---
name: avv-art-26-joint-controllership-deutsch
description: "Joint-Controller-Vereinbarung nach Art. 26 DSGVO in deutscher Vertragssprache. Behandelt Aufgabenverteilung Anlaufstelle fuer Betroffene Transparenz Innenregress und EuGH-Rechtsprechung zu Fanpages Like-Button und Zeugen Jehovas. Output: deutscher Klauselsatz fuer Joint-Controller-Vereinbarung."
---

# Joint-Controller-Vereinbarung Art. 26 DSGVO – deutsche Vertragsfassung

## Zweck / Purpose

Klauselgeruest fuer eine Joint-Controller-Vereinbarung nach Art. 26 DSGVO in deutscher Vertragssprache, mit Aufgabenverteilung, Anlaufstelle fuer Betroffene und Innenregress. Purpose (EN): Joint controller agreement template under Article 26 GDPR in German.

## Wann brauchen Sie diesen Skill

- Zwei oder mehr Akteure entscheiden gemeinsam ueber Zwecke und Mittel der Verarbeitung.
- Typische Konstellationen: Fanpage und Plattformbetreiber, Co-Branding-Aktionen, Konsortien, Marktplaetze, Tracking-Anbieter und Webseitenbetreiber.
- Eine Aufsichtsbehoerde fragt nach der Vereinbarung gem. Art. 26 Abs. 1 DSGVO.

## Rechtlicher Rahmen

- Art. 26 Abs. 1 DSGVO: Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel festlegen, legen sie in transparenter Form ihre jeweiligen Verantwortlichkeiten in einer Vereinbarung fest.
- Art. 26 Abs. 2 DSGVO: Wesentliche Aspekte der Vereinbarung muessen den Betroffenen zur Verfuegung gestellt werden.
- Art. 26 Abs. 3 DSGVO: Betroffene koennen unabhaengig von der Vereinbarung ihre Rechte gegenueber jedem Verantwortlichen geltend machen.
- Art. 82 Abs. 4 DSGVO: Gesamtschuldnerische Haftung.
- EuGH C-25/17 (Zeugen Jehovas) – verifiziert.
- EuGH C-498/16 (Wirtschaftsakademie / Fanpages) – verifiziert.
- EuGH C-40/17 (Fashion ID) – verifiziert.

## Ablauf / Checkliste

1. **Konstellation klaeren.**
   - Welche Akteure?
   - Welche Verarbeitung ist betroffen?
   - Welche Zwecke werden gemeinsam verfolgt?

2. **Aufgabenverteilung.**
   - Informationspflichten Art. 13/14 DSGVO – wer informiert wen?
   - Betroffenenrechte Art. 15 bis 22 DSGVO – wer bearbeitet?
   - Sicherheitsmassnahmen Art. 32 DSGVO – wer trifft was?
   - Meldepflichten Art. 33, 34 DSGVO – wer meldet was?
   - DSFA Art. 35 DSGVO – wer fuehrt durch?
   - Vorabkonsultation Art. 36 DSGVO – wer fuehrt durch?
   - Verarbeitungsverzeichnis Art. 30 DSGVO – wer fuehrt?

3. **Anlaufstelle festlegen.**
   - Eine zentrale Anlaufstelle fuer Betroffene oder mehrere?
   - Empfehlung: zentrale Anlaufstelle, um Art. 26 Abs. 3 DSGVO praktisch handhabbar zu machen.

4. **Transparenz nach Art. 26 Abs. 2 DSGVO.**
   - "Wesentliche Aspekte" der Vereinbarung muessen den Betroffenen zugaenglich gemacht werden.
   - Praxis: Veroeffentlichung in der Datenschutzerklaerung oder als eigenes Dokument auf der Webseite.

5. **Innenregress.**
   - Trotz Gesamtschuld nach Art. 82 Abs. 4 DSGVO koennen die Parteien intern den Verschuldensanteil regeln.
   - Cap-Diskussion analog zum AVV (Querverweis: avv-haftung-risikoallokation-art-82-dsgvo).

## Mustertext / Template

> "Vereinbarung ueber gemeinsame Verantwortlichkeit gemaess Art. 26 DSGVO
>
> zwischen
> [Partei A], (im Folgenden 'Partei A') und
> [Partei B], (im Folgenden 'Partei B')
> – nachfolgend gemeinsam 'Parteien' und einzeln 'gemeinsam Verantwortlicher' im Sinne von Art. 26 DSGVO –
>
> Praeambel
>
> Die Parteien fuehren die in Anlage 1 beschriebenen Verarbeitungstaetigkeiten gemeinsam durch und legen die Zwecke und Mittel der Verarbeitung gemeinsam fest. Sie sind daher gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO und beabsichtigen mit dieser Vereinbarung ihre jeweiligen datenschutzrechtlichen Verantwortlichkeiten transparent festzulegen.
>
> § 1 Gegenstand der gemeinsamen Verarbeitung
> Die gemeinsame Verarbeitung umfasst die in Anlage 1 beschriebenen Verarbeitungstaetigkeiten, Datenarten, Kategorien Betroffener und Empfaengergruppen.
>
> § 2 Rollenverteilung
> (1) Partei A ist verantwortlich fuer
> a) die Bereitstellung der Verarbeitungsinfrastruktur;
> b) die Erfuellung der Informationspflichten gemaess Art. 13 und 14 DSGVO gegenueber den ueber Partei A erreichten Betroffenen;
> c) die Bearbeitung von Betroffenenanfragen nach Art. 15 bis 22 DSGVO, die ueber Partei A eingehen;
> d) die Erfuellung der Meldepflichten gemaess Art. 33 und 34 DSGVO im Hinblick auf Verarbeitungsteile, die Partei A allein steuert.
> (2) Partei B ist verantwortlich fuer
> a) die Erhebung und Erstuebermittlung der Daten an Partei A;
> b) die Erfuellung der Informationspflichten gemaess Art. 13 und 14 DSGVO gegenueber den ueber Partei B erreichten Betroffenen;
> c) die Bearbeitung von Betroffenenanfragen nach Art. 15 bis 22 DSGVO, die ueber Partei B eingehen;
> d) die Erfuellung der Meldepflichten gemaess Art. 33 und 34 DSGVO im Hinblick auf Verarbeitungsteile, die Partei B allein steuert.
> (3) Die Parteien fuehren gemeinsam durch:
> a) die Durchfuehrung einer etwaig erforderlichen DSFA gemaess Art. 35 DSGVO;
> b) die Festlegung der Loeschfristen;
> c) die Festlegung der technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO.
>
> § 3 Anlaufstelle fuer Betroffene
> Anlaufstelle fuer Anfragen Betroffener ist Partei A. Partei A leitet Anfragen, die in den Verantwortungsbereich von Partei B fallen, unverzueglich an Partei B weiter. Art. 26 Abs. 3 DSGVO bleibt unberuehrt: Betroffene koennen ihre Rechte gegenueber jeder Partei geltend machen.
>
> § 4 Transparenz gegenueber Betroffenen (Art. 26 Abs. 2 DSGVO)
> Die Parteien stellen den Betroffenen die wesentlichen Aspekte dieser Vereinbarung in ihrer jeweiligen Datenschutzerklaerung zur Verfuegung. Anlage 2 enthaelt eine zur Veroeffentlichung geeignete Kurzfassung.
>
> § 5 Sicherheit und Meldepflichten
> Die Parteien stimmen sich bei einer Datenpanne unverzueglich, spaetestens innerhalb von vierundzwanzig (24) Stunden ab Kenntnis, ueber Meldepflichten gegenueber der Aufsichtsbehoerde und gegenueber Betroffenen ab. Die Federfuehrung fuer die Meldung an die Aufsichtsbehoerde liegt bei der Partei, in deren Verantwortungsbereich der Vorfall faellt; bei gemeinsamem Bereich uebernimmt Partei A die Federfuehrung.
>
> § 6 Haftung und Innenregress
> Die Parteien haften gegenueber Betroffenen gesamtschuldnerisch nach Art. 82 Abs. 4 DSGVO. Im Innenverhaeltnis tragen die Parteien den Schaden im Verhaeltnis ihres jeweiligen Verschuldensanteils gemaess Art. 82 Abs. 5 DSGVO. Die Haftung im Innenverhaeltnis ist auf [BETRAG] EUR pro Schadensfall begrenzt; die Begrenzung gilt nicht bei Vorsatz und grober Fahrlaessigkeit sowie nicht fuer Schaeden aus der Verletzung des Lebens, des Koerpers oder der Gesundheit.
>
> § 7 Aufsichtsbehoerden
> Die Parteien unterstuetzen einander bei Anfragen und Kontrollen durch die Aufsichtsbehoerden.
>
> § 8 Laufzeit und Beendigung
> Diese Vereinbarung wird auf unbestimmte Zeit geschlossen und kann von jeder Partei mit einer Frist von sechs (6) Monaten zum Quartalsende gekuendigt werden.
>
> Anlage 1: Beschreibung der Verarbeitung
> Anlage 2: Kurzfassung zur Veroeffentlichung gemaess Art. 26 Abs. 2 DSGVO"

## Typische Drafting-Fehler

- Es wird ein AVV statt eines Joint-Agreement abgeschlossen.
- Aufgabenverteilung pauschal "beide gemeinsam".
- Keine Anlaufstelle definiert.
- Wesentliche Aspekte werden den Betroffenen nicht zugaenglich gemacht (Verstoss gegen Art. 26 Abs. 2 DSGVO).
- Innenregress nicht geregelt.
- Bei Webtracking: keine Beruecksichtigung der Erstuebermittlungsphase.

## Querverweise

- `datenschutzrecht/skills/avv-rolemix-getrennt-vs-gemeinsam-verantwortlich/SKILL.md`
- `datenschutzrecht/skills/joint-controllership-en-template/SKILL.md`
- `datenschutzrecht/skills/avv-haftung-risikoallokation-art-82-dsgvo/SKILL.md`

## Quellen Stand 06/2026

- Art. 26, Art. 13, Art. 14, Art. 82 Abs. 4 und Abs. 5 DSGVO.
- EDSA-Leitlinien 07/2020 (Final 07.07.2021).
- EuGH C-25/17 – verifiziert.
- EuGH C-498/16 – verifiziert.
- EuGH C-40/17 – verifiziert.
- Volltexte ueber curia.europa.eu pruefen.
- Zitierweise: `../../../references/zitierweise.md`.