---
name: joint-controller-vereinbarung
description: Pruefraster Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Abgrenzung zur Auftragsverarbeitung Art. 28 DSGVO und zur separaten Verantwortlichkeit. EuGH-Linie C-25/17 Zeugen Jehovas C-40/17 Fashion ID Like-Button C-210/16 Wirtschaftsakademie C-252/21 Meta Platforms zur weiten Auslegung gemeinsamer Verantwortung. Pflicht-Vereinbarung Transparenz gegenueber Betroffenen Kontakt-Stelle. Inhalt Aufgaben-Verteilung Informations-Pflichten Betroffene Rechte Wahrnehmung. Haftung gesamtschuldnerisch Art. 82 Abs. 1 iVm Abs. 4 DSGVO mit Rueck-griff. Bussgeld separat pro Verantwortlichem Art. 83 DSGVO. Praxis-Beispiele Konzern Plattformen Konsortien Social-Plugin Veranstalter.
---

# Gemeinsame Verantwortlichkeit Art. 26 DSGVO

## Zweck

Bei vielen Konstellationen sind mehrere Akteure gemeinsam für eine Verarbeitung verantwortlich — das wird oft übersehen. Folge ist eine Pflicht-Vereinbarung und gesamtschuldnerische Haftung. Dieses Skill prüft Konstellationen und entwirft Vereinbarungen.

## Eingaben

- Verarbeitungs-Konstellation (mehrere Akteure?)
- Rollen-Verteilung (wer entscheidet was?)
- Bisherige Verträge zwischen den Beteiligten
- Datenflüsse
- Mandanten-Rolle (oft schon "selbstverständlich" als allein verantwortlich verstanden — ist es das?)

## Schritt 1 — Drei Konstellationen

### A) Auftragsverarbeitung Art. 28 DSGVO

- **Auftragsverarbeiter** verarbeitet **weisungsgebunden**
- Verantwortlicher legt Zwecke und Mittel fest
- Auftragsverarbeiter folgt Anweisungen
- AVV nach Art. 28 Abs. 3 DSGVO

### B) Gemeinsame Verantwortlichkeit Art. 26 DSGVO

- **Mehrere Akteure** legen **gemeinsam Zwecke und Mittel** fest
- Auch wenn nicht alle Akteure gleich-mächtig
- Vereinbarung nach Art. 26 DSGVO

### C) Separate Verantwortlichkeit

- **Mehrere Akteure** verarbeiten **dieselben Daten**
- Aber **jeder für eigene Zwecke** mit eigener Rechtsgrundlage
- Keine Vereinbarung erforderlich
- Beispiel: Lohn-Auskunft Steuer-Berater einer-seits, Finanzamt anderer-seits

## Schritt 2 — Abgrenzungs-Kriterien

### EuGH-Linien

#### C-25/17 Zeugen Jehovas (10.7.2018)

- Mit-Verantwortung durch organisatorische Tätigkeit
- Auch bei dezentraler Verarbeitung

#### C-210/16 Wirtschaftsakademie (5.6.2018)

- Facebook-Fan-Page-Betreiber gemeinsam verantwortlich mit Facebook
- Auch ohne Daten-Empfang

#### C-40/17 Fashion ID (29.7.2019)

- Like-Button auf Webseite — gemeinsame Verantwortung mit Facebook
- Bezogen auf Erhebung und Übermittlung
- Nicht für nachgelagerte Facebook-Verarbeitung

#### C-252/21 Meta Platforms Ireland (4.7.2023)

- Bestätigt weite Auslegung der gemeinsamen Verantwortlichkeit
- Wettbewerbsbehörden dürfen DSGVO-Konformität inzident prüfen
- Verarbeitungs-Verantwortung beim Plattform-Betreiber für cross-service-Datenzusammenführung

### Indizien gemeinsame Verantwortlichkeit

- **Gemeinsame Entscheidungen** über Zweck oder Mittel
- **Wechselseitige Abhängigkeit**
- **Gemeinsamer Nutzen** der Verarbeitung
- **Vertragliche Verknüpfung**
- **Datenfluss** zwischen den Akteuren

### Bei reiner Verarbeitung im Auftrag

- AVV-Konstellation
- Auftragnehmer ohne eigene Zwecke

### Bei separaten Datenströmen

- Eigenständige Verantwortung
- Keine gemeinsame Vereinbarung

## Schritt 3 — Konkrete Konstellationen

### Konzern

- **Mutter und Tochter** gemeinsame Verarbeitung (z.B. Personal-Datenbank)
- **Group-Functions** zentrale IT für mehrere Gesellschaften
- Häufig **Konzern-Vereinbarung** Art. 26 in Konzern-BCR oder eigenständigem Vertrag

### Plattformen

- **Veranstalter und Plattform-Betreiber**
- **Online-Marktplatz und Verkäufer**
- **Influencer und Plattform**

### Konsortien / Joint Ventures

- **Forschungs-Konsortium** mit gemeinsamem Daten-Pool
- **Co-Marketing** mit gemeinsamem Kunden-Bezug
- **Banken-Verbund** mit gemeinsamer Risiko-Bewertung

### Social-Plugins (Fashion ID)

- **Webseiten-Betreiber und Social-Network**
- **Erhebung** durch Plugin gemeinsam
- **Nachgelagerte Verarbeitung Social-Network** separat

### Werbe-Netzwerke

- **Webseite Verlag** und **Vermarkter**
- **Programmatic Advertising** Real-Time-Bidding mit zahlreichen Akteuren

### Veranstaltungs-Anmeldung

- **Veranstalter** und **Anmelde-Dienstleister**
- Bei Veranstaltungs-Plattformen Eventbrite etc.

## Schritt 4 — Inhalt der Vereinbarung Art. 26 Abs. 1 DSGVO

### Pflicht-Inhalte

#### a) Festlegung Verantwortlichkeiten

- **Wer erfüllt welche DSGVO-Pflicht**
- Information Betroffener (Art. 13 14)
- Beantwortung Anfragen Betroffener (Art. 15-22)
- Daten-Schutz-Folgenabschätzung (Art. 35)
- Sicherheits-Verletzungs-Meldungen (Art. 33 34)
- Drittland-Garantien
- Lösch-Verpflichtungen

#### b) Kontakt-Stelle

- Bestimmung **gemeinsamer Anlaufstelle** für Betroffene
- Information an Betroffene mit Adresse
- Praktisches Wahl-Recht Betroffener Art. 26 Abs. 3 DSGVO — Anspruch gegen jeden Verantwortlichen

#### c) Wesentliche Inhalte Mitteilung an Betroffene

- Pflicht zur Veröffentlichung wesentlicher Punkte
- Webseite Datenschutz-Hinweise
- Eigene Konstellation-Beschreibung

### Empfohlene zusätzliche Inhalte

- **Haftung im Innen-Verhältnis** (Rückgriffs-Quote)
- **Versicherungs-Schutz**
- **Audit-Recht**
- **Beendigungs-Regelungen**
- **Datenfluss-Beschreibung**

## Schritt 5 — Haftung Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO

### Gesamtschuldnerische Außen-Haftung

- **Beide Verantwortliche** haften gegenüber Betroffenen nach Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO
- Art. 82 Abs. 4 DSGVO regelt die Mehrheits-Haftung mehrerer Verantwortlicher, **nicht den Anspruch dem Grunde nach** (der folgt aus Abs. 1)
- Betroffener kann sich Schaden bei jedem holen
- Effektiver Schutz Betroffener

### Innen-Verhältnis

- **Rückgriff** möglich nach Vereinbarung, Art. 82 Abs. 5 DSGVO
- Bei Verschuldens-Anteil
- Versicherung-Übernahme

### Bei Bußgeld Art. 83 DSGVO

- Wichtig: Bußgelder werden **separat pro Verantwortlichem** verhängt — keine gesamtschuldnerische Bußgeld-Haftung
- Jeder Verantwortliche haftet für eigenes Verschulden, eigenen Jahresumsatz, eigene Wiederholungs-Last
- Quote der Verantwortung pro Akteur

## Schritt 6 — Information Betroffener

### Pflicht-Information

- **Wesentliche Inhalte** der Joint-Controller-Vereinbarung
- Wer ist für welche Anfrage zuständig
- Wahl-Recht des Betroffenen
- Adresse Kontakt-Stelle

### Form

- **Datenschutz-Hinweise** Webseite
- **Vertrags-Texte** mit Datenschutz-Klausel
- **Datenpannen-Meldung** wenn nötig

## Schritt 7 — Aufbau-Schritte Vereinbarung

### Phase 1 — Konstellations-Analyse

- Wer ist Beteiligter?
- Welche Zwecke?
- Welche Mittel?
- Wer entscheidet was?

### Phase 2 — Rechtliche Klassifikation

- Auftragsverarbeitung?
- Gemeinsame Verantwortlichkeit?
- Separate Verantwortlichkeit?

### Phase 3 — Vereinbarungs-Entwurf

- Pflicht-Inhalte nach Art. 26
- Zusatz-Inhalte (Haftung Audit etc.)
- Anhänge (Datenfluss-Beschreibung TOMs)

### Phase 4 — Abschluss und Kommunikation

- Beide Verantwortliche unterzeichnen
- Information Betroffener
- VVT-Eintrag

## Schritt 8 — Muster-Vereinbarung

```
Vereinbarung über die gemeinsame Verantwortlichkeit
gemäss Art. 26 DSGVO

zwischen

[Verantwortlicher 1]
- nachfolgend "V1" -

und

[Verantwortlicher 2]
- nachfolgend "V2" -

§ 1 Gegenstand

V1 und V2 verarbeiten gemeinsam personenbezogene
Daten zum Zweck der [Zweck konkret].

§ 2 Verarbeitungs-Tätigkeit

Die gemeinsam verantworteten Verarbeitungs-
Tätigkeiten sind im Anhang 1 beschrieben.

Die Daten-Kategorien, betroffene Personen-Kreise,
Empfänger und Lösch-Fristen sind in Anhang 1
spezifiziert.

§ 3 Aufgaben-Verteilung

3.1 Information Betroffener gem. Art. 13 14 DSGVO:
[V1 oder V2 oder gemeinsam]

3.2 Beantwortung Anfragen Betroffener gem.
Art. 15-22 DSGVO: V1 als Anlaufstelle

3.3 DSFA gem. Art. 35 DSGVO: [V1 oder V2 oder
gemeinsam]

3.4 Sicherheitsverletzungs-Meldungen gem.
Art. 33 34 DSGVO: V1 als Meldestelle, V2 bei
eigenen Tätigkeiten

3.5 Drittland-Garantien: V1 für Drittland-
Übertragungen aus eigener Verarbeitung;
V2 für eigene Drittland-Übertragungen

3.6 Lösch-Verpflichtungen: V1 und V2 gemäss
eigener Verantwortungs-Bereiche

§ 4 Kontakt-Stelle

Anlaufstelle für Betroffene gemäss Art. 26 Abs. 1
DSGVO: V1, [Anschrift Kontakt-Daten].

Trotz der Bestimmung der Anlaufstelle können sich
Betroffene gemäss Art. 26 Abs. 3 DSGVO auch direkt
an V2 wenden.

§ 5 Information Betroffener

Die wesentlichen Inhalte dieser Vereinbarung werden
den Betroffenen wie folgt zur Verfügung gestellt:

- Veröffentlichung in der Datenschutz-Erklärung
  V1 und V2
- Hinweis im Vertrags-Schluss
- Auf Verlangen Vorlage in Volltext

§ 6 Datensicherheit

V1 und V2 implementieren angemessene technische
und organisatorische Maßnahmen gemäss Art. 32 DSGVO.
TOMs in Anhang 2.

§ 7 Bußgeld und Haftung

7.1 Außenhaftung: V1 und V2 haften gesamtschuldnerisch
nach Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO. Bußgelder
nach Art. 83 DSGVO werden separat pro Verantwortlichem
verhängt.

7.2 Innenhaftung: V1 und V2 tragen Schäden im
Innen-Verhältnis entsprechend ihrer Verantwortung-
Anteile gemäss Anhang 3.

7.3 Versicherungs-Schutz: V1 und V2 sicherstellen
angemessene Versicherungs-Deckung.

§ 8 Audit-Recht

V1 und V2 gewähren sich gegenseitig auf vorheriger
Ankündigung Audit-Rechte hinsichtlich der gemeinsam
verantworteten Verarbeitung.

§ 9 Beendigung

Diese Vereinbarung kann mit drei-Monats-Frist
gekündigt werden. Bei Beendigung wird die Verarbeitung
einvernehmlich aufgeloest und Daten gemäss DSGVO
gelöscht oder zurückgegeben.

§ 10 Schlussbestimmungen

[Salvatorische Klausel, anwendbares Recht etc.]

[Ort Datum]
[Unterschriften]

Anhang 1: Verarbeitungs-Tätigkeit
Anhang 2: TOMs
Anhang 3: Innenhaftungs-Quote
```

## Schritt 9 — Bei Streit zwischen Joint Controllers

### Mediation

- Erst Versuch
- Vertragliche Klärung

### Schiedsklausel

- Optional in Vereinbarung
- Schnelle Klärung

### Klage

- LG-Wettbewerbs-/Vertragsabteilung
- Anwendbares Recht

## Schritt 10 — Aufsichts-Behörden-Audit

### Auditprozess

- Beide Verantwortliche werden geladen
- Vorlage Vereinbarung
- TOMs-Bestätigung

### Sanktion bei Verstoß

- Bußgeld
- Anordnungen
- Verbot der Verarbeitung

## Verzahnung mit anderen Skills

- `avv-pruefung` — Abgrenzung Auftragsverarbeitung
- `verarbeitungsverzeichnis-vvt-generator` — VVT-Eintrag
- `dsfa-erstellung` — bei DSFA-Pflicht
- `datenpanne-meldung` — bei Vorfall
- `drittlandstransfer-pruefung` — bei Drittland-Bezug
- `anwendungsfall-triage` — bei Eingangs-Prüfung
- `regulierungs-luecken-analyse` — bei mehreren Verarbeitungs-Tätigkeiten

## Ausgabe

- `joint-controller-{az}.md` mit Konstellations-Analyse Klassifikation Vereinbarungs-Entwurf
- Information-Texte für Betroffene
- VVT-Update
- Innenhaftungs-Klausel
- Frist im Fristenbuch (Vertragsschluss vor Verarbeitung)

## Quellen

- DSGVO Art. 26 28 82 83
- EuGH C-25/17 Zeugen Jehovas (10.7.2018)
- EuGH C-40/17 Fashion ID (29.7.2019)
- EuGH C-210/16 Wirtschaftsakademie (5.6.2018)
- EuGH C-252/21 Meta Platforms Ireland (4.7.2023)
- EDSA Guidelines 7/2020 zu Verantwortliche und Auftragsverarbeiter
- BfDI-Informationen
- DSK Kurzpapier