Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Joint Controllership: Ja oder nein?
Die gemeinsame Verantwortlichkeit (Joint Controllership) ist ein Rollenmodell, das schon vor der Datenschutz-Grundverordnung (DSGVO) bestand. Aber sie gewinnt aufgrund der Ausgestaltung durch die DSGVO und zukünftig z.B. für die datenschutzrechtliche Bewertung der Nutzung künstlicher Intelligenz zunehmend an Bedeutung.
Die DSGVO macht in ErwGr. 79 deutlich: Es ist unmöglich, dass es eine Datenverarbeitung ohne (zumindest) einen Verantwortlichen gibt. Die DSGVO kennt jedoch nicht nur Verantwortliche (Art. 4 Nr. 7 DSGVO), sondern auch als weiteren Datenverarbeiter den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO).
Abgrenzung zur Auftragsverarbeitung
Für das Verständnis der gemeinsamen Verantwortlichkeit ist es zunächst erforderlich, sie von der Auftragsverarbeitung abzugrenzen. Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) entscheidet nicht über Zweck und Mittel, sondern tut, was ihm der Verantwortliche als Auftraggeber vorgibt. Die Vereinbarung über die Auftragsverarbeitung ist konstitutiv für eine Auftragsverarbeitung. Mit anderen Worten: Erst der (zusätzliche) Abschluss der Vereinbarung begründet eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung.
Wenn der Auftragsverarbeiter die personenbezogenen Daten (auch) zu eigenen Zwecken verarbeitet, dann liegt in Bezug auf diese eigenen Zwecke keine Auftragsverarbeitung vor (vgl. Art. 28 Abs. 10, Art. 29 DSGVO).
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat im Juni 2024 eine Orientierungshilfe zur gemeinsamen Verantwortlichkeit veröffentlicht (Orientierungshilfe: Gemeinsame Verantwortlichkeit). Bereits zuvor hat der Datenschutzausschuss der Europäischen Union die „Guidelines on the concept of controller and processors in the GDPR“ herausgebracht (Guidelines 07/2020 on the c…
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?