Joint Controller Agreement nach Art. 26 DSGVO: Wann braucht man es – und was muss drin stehen?

Die Datenschutz-Grundverordnung (DSGVO) ist seit Jahren in aller Munde – und doch sind einige Regelungen für viele Unternehmen weiterhin eine Herausforderung. Ein typisches Beispiel dafür: die Frage, wann ein sogenanntes Joint Controller Agreement (gemeinsame Verantwortlichkeit) erforderlich ist, wie es sich von einer klassischen Auftragsverarbeitung abgrenzt – und was ein solches Abkommen zwingend regeln muss.

Bereits 2021 berichteten wir hier bei comp/lex in einem Blogbeitrag zum Joint Controller Agreement. Auch vier Jahre später gibt es bei den Unternehmen immer noch eine Menge Fragezeichen zu diesem Thema. Deshalb finden wir, es ist Zeit für ein Update. 

In diesem Beitrag erklären wir, wann eine gemeinsame Verantwortlichkeit tatsächlich vorliegt, welche typischen Fehler Unternehmen vermeiden sollten und wie ein wirksames Joint Controller Agreement gestaltet sein muss, um rechtliche Risiken zu minimieren.

1. Was ist ein Joint Controller Agreement?

Ein Joint Controller Agreement (auch Vereinbarung über die gemeinsame Verantwortlichkeit genannt) wird notwendig, wenn zwei oder mehr Parteien gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden.
Rechtsgrundlage ist Art. 26 DSGVO.

Typische Beispiele:

• Kooperationen zwischen Unternehmen im Bereich Marketing (gemeinsame Gewinnspiele)
• Gemeinsam betriebene Plattformen oder Apps
• Joint Ventures, bei denen Daten gemeinsam genutzt und verarbeitet werden
• Arbeitgeber:innen und Berufsgenossenschaft bei der Unfallprävention

Wichtig: Es reicht nicht, dass mehrere Unternehmen Daten verarbeiten. Entscheidend ist, dass sie gemeinsam und auf Augenhöhe die Art und Weise und den Zweck der Verarbeitung bestimmen.

2. Wie viel Einfluss muss eine Partei haben?

Entscheidend für die Annahme einer gemeinsamen Verantwortlichkeit ist nicht, dass beide Parteien exakt denselben Einfluss auf alle Aspekte der Datenverarbeitung haben. Es genügt, dass sie in wesentlichen Fragen der Zwecke und Mittel der Verarbeitung zusammenwirken. Auch wenn eine Partei stärker den Zweck bestimmt und die andere mehr Einfluss auf die technischen Mittel hat, kann eine gemeinsame Verantwortlichkeit vorliegen.
Wichtig ist also, dass beide Parteien eine relevante Rolle bei der Gestaltung des „Was“ und „Wie“ der Datenverarbeitung spielen – sei es strategisch oder operativ.
Eine rein unterstützende Tätigkeit oder ein rein technisches Hosting ohne Entscheidungsbefugnis begründet hingegen keine gemeinsame Verantwortlichkeit, sondern eher eine klassische Auftragsverarbeitung.

3. Abgrenzung zur Auftragsverarbeitung

Oft wird die gemeinsame Verantwortlichkeit mit einer Auftragsverarbeitung verwechselt.
Dabei gibt es wichtige Unterschiede:

Auftragsverarbeitung	Gemeinsame Verantwortlichkeit
Auftragnehmer:in handelt weisungsgebunden für den Auftraggeber:in.	Beide Parteien entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung.
Beispiele: Cloud-Dienstleister:in, externe Buchhalter:in	Beispiele: Gemeinschaftliche Marketingkampagnen, gemeinsamer Betrieb einer Website
Regelung: Art. 28 DSGVO (Auftragsverarbeitungsvertrag)	Regelung: Art. 26 DSGVO (Joint Controller Agreement)

Praxis-Tipp:
Wenn eine:r der Beteiligten überwiegend Anweisungen erhält und keine eigene Entscheidungsbefugnis hat, liegt regelmäßig Auftragsverarbeitung vor.
Besteht hingegen echte Mitentscheidung, ist ein Joint Controller Agreement erforderlich.

4. Gemeinsame Verantwortlichkeit innerhalb von Konzernen und Unternehmensgruppen

Besondere Aufmerksamkeit verdienen Konstellationen innerhalb von Konzernen, Unternehmensgruppen oder zwischen Muttergesellschaften und ihren Tochtergesellschaften. Hier wird oft vorschnell angenommen, dass allein die Konzernzugehörigkeit eine gemeinsame Verantwortlichkeit begründet.
Tatsächlich kommt es auch hier darauf an, ob Mutter- und Tochterunternehmen gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden.

Beispiel

Betreiben eine Holdinggesellschaft und ihre 100%-Tochtergesellschaft eine gemeinsame Kund:innenplattform oder CRM-Systeme und legen dabei zusammen die Datenverarbeitungsstrategie fest, liegt regelmäßig eine gemeinsame Verantwortlichkeit vor.
Nutzt eine Tochtergesellschaft hingegen lediglich zentrale IT-Dienste (z.B. Infrastruktur oder Hosting) der Muttergesellschaft ohne eigenen Entscheidungsspielraum, handelt es sich oft nur um eine Auftragsverarbeitung.

Praxis-Tipp:

Gerade in Konzernstrukturen ist eine genaue Analyse notwendig. Der bloße Zugriff auf Daten oder deren gemeinsame Nutzung bedeutet noch keine gemeinsame Verantwortlichkeit – maßgeblich sind konkrete Entscheidungs- und Steuerungsbefugnisse im Einzelfall.

5. Was muss ein Joint Controller Agreement enthalten?

Art. 26 DSGVO gibt einige klare Vorgaben. Ein Joint Controller Agreement sollte aber mindestens folgende Punkte regeln:

Verteilung der Pflichten

• Wer erfüllt welche Informationspflichten gegenüber den Betroffenen?
• Wer bearbeitet Anfragen von Betroffenen (z.B. Auskunfts-, Löschanfragen)?

Zuständigkeit für Datenschutzverstöße

• Wer ist verantwortlich, wenn Datenschutzverletzungen auftreten?
• Wer kommuniziert mit Aufsichtsbehörden?

Verhältnis zu den Betroffenen

• Betroffene müssen in klarer und transparenter Weise über die wesentlichen Inhalte der Vereinbarung informiert werden.

Haftung

• Wie wird die Haftung bei Datenschutzverstößen untereinander geregelt?
• Es empfiehlt sich, interne Ausgleichsansprüche zu regeln, auch wenn gegenüber Betroffenen grundsätzlich jede:r Verantwortliche vollständig haftet.

Rechtsgrundlagen der Verarbeitung

• Auf welcher Grundlage erfolgt die Verarbeitung (z.B. Einwilligung, Vertragserfüllung)?

Sicherheitsmaßnahmen

• Welche technischen und organisatorischen Maßnahmen setzen die Parteien ein, um die Sicherheit der Daten zu gewährleisten?

6. Warum ein rechtssicheres Joint Controller Agreement so wichtig ist

Ein fehlendes oder fehlerhaftes Joint Controller Agreement kann für Unternehmen schwerwiegende Folgen haben:

• Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes
• Haftung gegenüber Betroffenen bei Datenschutzverstößen
• Imageschäden durch öffentlich gewordene Compliance-Probleme

Hinzu kommt: Aufsichtsbehörden prüfen vermehrt Kooperationen, insbesondere im digitalen Marketing und bei Plattformbetreibern.

Praxisbeispiel:
Zwei Unternehmen führen gemeinsam eine Social-Media-Kampagne durch, ohne klare Regelung. Es kommt zu einem Datenschutzverstoß – und beide haften vollumfänglich gegenüber den betroffenen Personen. Ohne klare interne Vereinbarung kann dies schnell teuer werden.

7. Fazit: Sorgfältige Prüfung spart hohe Risiken

Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ist kein Randthema – sie betrifft viele alltägliche Kooperationen in der IT-Branche. Entscheidend ist eine genaue Prüfung, ob und in welchem Umfang gemeinsame Entscheidungen über Zwecke und Mittel der Datenverarbeitung getroffen werden.
Besonders in Konzernstrukturen oder bei engen Partnerschaften empfiehlt sich eine sorgfältige Abgrenzung zwischen gemeinsamer Verantwortlichkeit und Auftragsverarbeitung.

Nur mit einem klaren, rechtssicheren Joint Controller Agreement können IT-Unternehmen teure Bußgelder, Haftungsrisiken und Imageschäden vermeiden.

Sie suchen Unterstützung?

Als Datenschutzkanzlei mit langer Erfahrung hilft comp/lex und unser Team Ihnen, Ihre gemeinsamen Projekte rechtssicher aufzustellen:

• Beratung bei der Abgrenzung: Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
• Erstellung und Prüfung von Joint Controller Agreements nach Maß
• Unterstützung bei der Kommunikation mit Aufsichtsbehörden
• Risikoanalyse und individuelle Empfehlungen

Sichern Sie Ihre Kooperationen rechtlich ab – sprechen Sie uns gerne an!