--- name: joint-controller-vereinbarung description: "Joint-Controller-Vereinbarung nach Art. 26 DSGVO erstellen wenn zwei oder mehr Verantwortliche gemeinsam entscheiden. Art. 26 DSGVO Gemeinsame Verantwortlichkeit. Prüfraster: gemeinsame Zwecke und Mittel Aufgabenverteilung Anlaufstelle Betroffenenrechte interne Haftungsverteilung. Output: Vereinb..." --- # Gemeinsame Verantwortlichkeit Art. 26 DSGVO ## Eingaben - Verarbeitungs-Konstellation (mehrere Akteure?) - Rollen-Verteilung (wer entscheidet was?) - Bisherige Verträge zwischen den Beteiligten - Datenflüsse - Mandanten-Rolle (oft schon "selbstverständlich" als allein verantwortlich verstanden — ist es das?) ## Schritt 1 — Drei Konstellationen ### A) Auftragsverarbeitung Art. 28 DSGVO - **Auftragsverarbeiter** verarbeitet **weisungsgebunden** - Verantwortlicher legt Zwecke und Mittel fest - Auftragsverarbeiter folgt Anweisungen - AVV nach Art. 28 Abs. 3 DSGVO ### B) Gemeinsame Verantwortlichkeit Art. 26 DSGVO - **Mehrere Akteure** legen **gemeinsam Zwecke und Mittel** fest - Auch wenn nicht alle Akteure gleich-mächtig - Vereinbarung nach Art. 26 DSGVO ### C) Separate Verantwortlichkeit - **Mehrere Akteure** verarbeiten **dieselben Daten** - Aber **jeder für eigene Zwecke** mit eigener Rechtsgrundlage - Keine Vereinbarung erforderlich - Beispiel: Lohn-Auskunft Steuer-Berater einer-seits, Finanzamt anderer-seits ## Schritt 2 — Abgrenzungs-Kriterien ### EuGH-Linien #### C-25/17 Zeugen Jehovas (10.7.2018) - Mit-Verantwortung durch organisatorische Tätigkeit - Auch bei dezentraler Verarbeitung #### C-210/16 Wirtschaftsakademie (5.6.2018) - Facebook-Fan-Page-Betreiber gemeinsam verantwortlich mit Facebook - Auch ohne Daten-Empfang #### C-40/17 Fashion ID (29.7.2019) - Like-Button auf Webseite — gemeinsame Verantwortung mit Facebook - Bezogen auf Erhebung und Übermittlung - Nicht für nachgelagerte Facebook-Verarbeitung #### C-252/21 Meta Platforms Ireland (4.7.2023) - Bestätigt weite Auslegung der gemeinsamen Verantwortlichkeit - Wettbewerbsbehörden dürfen DSGVO-Konformität inzident prüfen - Verarbeitungs-Verantwortung beim Plattform-Betreiber für cross-service-Datenzusammenführung ### Indizien gemeinsame Verantwortlichkeit - **Gemeinsame Entscheidungen** über Zweck oder Mittel - **Wechselseitige Abhängigkeit** - **Gemeinsamer Nutzen** der Verarbeitung - **Vertragliche Verknüpfung** - **Datenfluss** zwischen den Akteuren ### Bei reiner Verarbeitung im Auftrag - AVV-Konstellation - Auftragnehmer ohne eigene Zwecke ### Bei separaten Datenströmen - Eigenständige Verantwortung - Keine gemeinsame Vereinbarung ## Schritt 3 — Konkrete Konstellationen ### Konzern - **Mutter und Tochter** gemeinsame Verarbeitung (z.B. Personal-Datenbank) - **Group-Functions** zentrale IT für mehrere Gesellschaften - Häufig **Konzern-Vereinbarung** Art. 26 in Konzern-BCR oder eigenständigem Vertrag ### Plattformen - **Veranstalter und Plattform-Betreiber** - **Online-Marktplatz und Verkäufer** - **Influencer und Plattform** ### Konsortien / Joint Ventures - **Forschungs-Konsortium** mit gemeinsamem Daten-Pool - **Co-Marketing** mit gemeinsamem Kunden-Bezug - **Banken-Verbund** mit gemeinsamer Risiko-Bewertung ### Social-Plugins (Fashion ID) - **Webseiten-Betreiber und Social-Network** - **Erhebung** durch Plugin gemeinsam - **Nachgelagerte Verarbeitung Social-Network** separat ### Werbe-Netzwerke - **Webseite Verlag** und **Vermarkter** - **Programmatic Advertising** Real-Time-Bidding mit zahlreichen Akteuren ### Veranstaltungs-Anmeldung - **Veranstalter** und **Anmelde-Dienstleister** - Bei Veranstaltungs-Plattformen Eventbrite etc. ## Schritt 4 — Inhalt der Vereinbarung Art. 26 Abs. 1 DSGVO ### Pflicht-Inhalte #### a) Festlegung Verantwortlichkeiten - **Wer erfüllt welche DSGVO-Pflicht** - Information Betroffener (Art. 13 14) - Beantwortung Anfragen Betroffener (Art. 15-22) - Daten-Schutz-Folgenabschätzung (Art. 35) - Sicherheits-Verletzungs-Meldungen (Art. 33 34) - Drittland-Garantien - Lösch-Verpflichtungen #### b) Kontakt-Stelle - Bestimmung **gemeinsamer Anlaufstelle** für Betroffene - Information an Betroffene mit Adresse - Praktisches Wahl-Recht Betroffener Art. 26 Abs. 3 DSGVO — Anspruch gegen jeden Verantwortlichen #### c) Wesentliche Inhalte Mitteilung an Betroffene - Pflicht zur Veröffentlichung wesentlicher Punkte - Webseite Datenschutz-Hinweise - Eigene Konstellation-Beschreibung ### Empfohlene zusätzliche Inhalte - **Haftung im Innen-Verhältnis** (Rückgriffs-Quote) - **Versicherungs-Schutz** - **Audit-Recht** - **Beendigungs-Regelungen** - **Datenfluss-Beschreibung** ## Schritt 5 — Haftung Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO ### Gesamtschuldnerische Außen-Haftung - **Beide Verantwortliche** haften gegenüber Betroffenen nach Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO - Art. 82 Abs. 4 DSGVO regelt die Mehrheits-Haftung mehrerer Verantwortlicher, **nicht den Anspruch dem Grunde nach** (der folgt aus Abs. 1) - Betroffener kann sich Schaden bei jedem holen - Effektiver Schutz Betroffener ### Innen-Verhältnis - **Rückgriff** möglich nach Vereinbarung, Art. 82 Abs. 5 DSGVO - Bei Verschuldens-Anteil - Versicherung-Übernahme ### Bei Bußgeld Art. 83 DSGVO - Wichtig: Bußgelder werden **separat pro Verantwortlichem** verhängt — keine gesamtschuldnerische Bußgeld-Haftung - Jeder Verantwortliche haftet für eigenes Verschulden, eigenen Jahresumsatz, eigene Wiederholungs-Last - Quote der Verantwortung pro Akteur ## Schritt 6 — Information Betroffener ### Pflicht-Information - **Wesentliche Inhalte** der Joint-Controller-Vereinbarung - Wer ist für welche Anfrage zuständig - Wahl-Recht des Betroffenen - Adresse Kontakt-Stelle ### Form - **Datenschutz-Hinweise** Webseite - **Vertrags-Texte** mit Datenschutz-Klausel - **Datenpannen-Meldung** wenn nötig ## Schritt 7 — Aufbau-Schritte Vereinbarung ### Phase 1 — Konstellations-Analyse - Wer ist Beteiligter? - Welche Zwecke? - Welche Mittel? - Wer entscheidet was? ### Phase 2 — Rechtliche Klassifikation - Auftragsverarbeitung? - Gemeinsame Verantwortlichkeit? - Separate Verantwortlichkeit? ### Phase 3 — Vereinbarungs-Entwurf - Pflicht-Inhalte nach Art. 26 - Zusatz-Inhalte (Haftung Audit etc.) - Anhänge (Datenfluss-Beschreibung TOMs) ### Phase 4 — Abschluss und Kommunikation - Beide Verantwortliche unterzeichnen - Information Betroffener - VVT-Eintrag ## Schritt 8 — Muster-Vereinbarung ``` Vereinbarung über die gemeinsame Verantwortlichkeit gemäss Art. 26 DSGVO zwischen [Verantwortlicher 1] - nachfolgend "V1" - und [Verantwortlicher 2] - nachfolgend "V2" - § 1 Gegenstand V1 und V2 verarbeiten gemeinsam personenbezogene Daten zum Zweck der [Zweck konkret]. § 2 Verarbeitungs-Tätigkeit Die gemeinsam verantworteten Verarbeitungs- Tätigkeiten sind im Anhang 1 beschrieben. Die Daten-Kategorien, betroffene Personen-Kreise, Empfänger und Lösch-Fristen sind in Anhang 1 spezifiziert. § 3 Aufgaben-Verteilung 3.1 Information Betroffener gem. Art. 13 14 DSGVO: [V1 oder V2 oder gemeinsam] 3.2 Beantwortung Anfragen Betroffener gem. Art. 15-22 DSGVO: V1 als Anlaufstelle 3.3 DSFA gem. Art. 35 DSGVO: [V1 oder V2 oder gemeinsam] 3.4 Sicherheitsverletzungs-Meldungen gem. Art. 33 34 DSGVO: V1 als Meldestelle, V2 bei eigenen Tätigkeiten 3.5 Drittland-Garantien: V1 für Drittland- Übertragungen aus eigener Verarbeitung; V2 für eigene Drittland-Übertragungen 3.6 Lösch-Verpflichtungen: V1 und V2 gemäss eigener Verantwortungs-Bereiche § 4 Kontakt-Stelle Anlaufstelle für Betroffene gemäss Art. 26 Abs. 1 DSGVO: V1, [Anschrift Kontakt-Daten]. Trotz der Bestimmung der Anlaufstelle können sich Betroffene gemäss Art. 26 Abs. 3 DSGVO auch direkt an V2 wenden. § 5 Information Betroffener Die wesentlichen Inhalte dieser Vereinbarung werden den Betroffenen wie folgt zur Verfügung gestellt: - Veröffentlichung in der Datenschutz-Erklärung V1 und V2 - Hinweis im Vertrags-Schluss - Auf Verlangen Vorlage in Volltext § 6 Datensicherheit V1 und V2 implementieren angemessene technische und organisatorische Maßnahmen gemäss Art. 32 DSGVO. TOMs in Anhang 2. § 7 Bußgeld und Haftung 7.1 Außenhaftung: V1 und V2 haften gesamtschuldnerisch nach Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO. Bußgelder nach Art. 83 DSGVO werden separat pro Verantwortlichem verhängt. 7.2 Innenhaftung: V1 und V2 tragen Schäden im Innen-Verhältnis entsprechend ihrer Verantwortung- Anteile gemäss Anhang 3. 7.3 Versicherungs-Schutz: V1 und V2 sicherstellen angemessene Versicherungs-Deckung. § 8 Audit-Recht V1 und V2 gewähren sich gegenseitig auf vorheriger Ankündigung Audit-Rechte hinsichtlich der gemeinsam verantworteten Verarbeitung. § 9 Beendigung Diese Vereinbarung kann mit drei-Monats-Frist gekündigt werden. Bei Beendigung wird die Verarbeitung einvernehmlich aufgeloest und Daten gemäss DSGVO gelöscht oder zurückgegeben. § 10 Schlussbestimmungen [Salvatorische Klausel, anwendbares Recht etc.] [Ort Datum] [Unterschriften] Anhang 1: Verarbeitungs-Tätigkeit Anhang 2: TOMs Anhang 3: Innenhaftungs-Quote ``` ## Schritt 9 — Bei Streit zwischen Joint Controllers ### Mediation - Erst Versuch - Vertragliche Klärung ### Schiedsklausel - Optional in Vereinbarung - Schnelle Klärung ### Klage - LG-Wettbewerbs-/Vertragsabteilung - Anwendbares Recht ## Schritt 10 — Aufsichts-Behörden-Audit ### Auditprozess - Beide Verantwortliche werden geladen - Vorlage Vereinbarung - TOMs-Bestätigung ### Sanktion bei Verstoß - Bußgeld - Anordnungen - Verbot der Verarbeitung ## Verzahnung mit anderen Skills - `avv-pruefung` — Abgrenzung Auftragsverarbeitung - `verarbeitungsverzeichnis-vvt-generator` — VVT-Eintrag - `dsfa-erstellung` — bei DSFA-Pflicht - `datenpanne-meldung` — bei Vorfall - `drittlandstransfer-pruefung` — bei Drittland-Bezug - `anwendungsfall-triage` — bei Eingangs-Prüfung - `regulierungs-luecken-analyse` — bei mehreren Verarbeitungs-Tätigkeiten ## Ausgabe - `joint-controller-{az}.md` mit Konstellations-Analyse Klassifikation Vereinbarungs-Entwurf - Information-Texte für Betroffene - VVT-Update - Innenhaftungs-Klausel - Frist im Fristenbuch (Vertragsschluss vor Verarbeitung) ## Quellen - DSGVO Art. 26 28 82 83 - Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. - EDSA Guidelines 7/2020 zu Verantwortliche und Auftragsverarbeiter - BfDI-Informationen - DSK Kurzpapier ## Aktuelle Rechtsprechung (v14.2) - Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. ## Triage zu Beginn 1. Legen zwei oder mehr Stellen gemeinsam Zwecke und Mittel der Verarbeitung fest? 2. Handelt es sich um eine konzernweite Verarbeitung oder externe Partnerschaft? 3. Liegt bereits eine Vereinbarung nach Art. 26 DSGVO vor? 4. Wird die Vereinbarung (Wesentliches) gegenüber Betroffenen transparent gemacht? ## Output-Template — Joint-Controller-Vereinbarung (Grundgerüst) **Adressat:** Alle Verantwortlichen / Rechtsabteilung — Tonfall: sachlich-juristisch ``` Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO Datum: [DATUM] Parteien: 1. [ORGANISATION A], [ANSCHRIFT] (im Folgenden "Partei A") 2. [ORGANISATION B], [ANSCHRIFT] (im Folgenden "Partei B") § 1 Gegenstand und Zweck [BESCHREIBUNG DER GEMEINSAMEN VERARBEITUNG] § 2 Gemeinsame Zwecke und Mittel [BEIDE PARTEIEN ENTSCHEIDEN ÜBER: ZWECKE / MITTEL] § 3 Aufgabenverteilung | Aufgabe | Partei A | Partei B | |--------------------------------|----------|----------| | Rechtsgrundlagen sicherstellen | | | | Betroffenenrechte wahrnehmen | | | | Datenpannen melden Art. 33 | | | | Technische Sicherheit Art. 32 | | | § 4 Kontaktstelle für Betroffene (Art. 26 Abs. 1 Satz 3 DSGVO) Kontaktstelle: [PARTEI X, ADRESSE, E-MAIL] § 5 Haftung (Art. 82 Abs. 4 DSGVO) Gesamtschuldnerisch; interner Regressausgleich nach Verschuldensanteilen. § 6 Information der Betroffenen Das Wesentliche dieser Vereinbarung wird Betroffenen gemäß Art. 26 Abs. 2 DSGVO über [DATENSCHUTZERKLAERUNG / DIREKTINFORMATION] zugänglich gemacht. ```