Gemeinsam Verantwortliche (Art. 26 DSGVO)
Wann zwei oder mehr Stellen gemeinsam Verantwortliche sind: Kriterien, Fallgruppen und EuGH-Rechtsprechung sowie die Vereinbarung über die Pflichtenverteilung nach Art. 26 DSGVO, Bekanntgabe an Betroffene und gesamtschuldnerische Haftung.
Eine gemeinsame Verantwortlichkeit liegt vor, wenn mehrere Verantwortliche die Zwecke und Mittel einer Verarbeitung gemeinsam festlegen. Sie ist von der Auftragsverarbeitung (eine Stelle handelt weisungsgebunden für eine andere) und von der getrennten Verantwortlichkeit (jede Stelle entscheidet eigenständig) zu unterscheiden.
Das Wichtigste in Kürze
- Gemeinsam Verantwortliche sind zwei oder mehr Verantwortliche, die gemeinsam über Zwecke und Mittel entscheiden (Art. 26 Abs. 1 DSGVO).
- Die Schwelle ist niedrig: Die Festlegung muss nicht gleichberechtigt sein; es genügt, dass eine Stelle die Zwecke und Mittel nicht allein bestimmt oder sich der Entscheidung der anderen anschließt.
- Ein Zugriff auf die Daten ist nicht erforderlich; entscheidend ist die Einflussnahme auf das Wofür und Wie, nicht die Zugriffsmöglichkeit.
- Gemeinsam Verantwortliche müssen eine Vereinbarung schließen, die die Pflichten verteilt, insbesondere zu den Betroffenenrechten (Art. 26 Abs. 1 S. 2 DSGVO).
- Nach außen können Betroffene ihre Rechte gegen jeden Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO); die Haftung ist gesamtschuldnerisch (Art. 82 DSGVO).
1 Vorliegen einer gemeinsamen Verantwortlichkeit
1.1 Grundbegriff
Die Prüfung verläuft in zwei Schritten. Zunächst ist für jede beteiligte Stelle festzustellen, ob sie überhaupt Verantwortlicher ist, also über Zwecke und wesentliche Mittel mitentscheidet und nicht bloß weisungsgebunden als Auftragsverarbeiter handelt. Erst danach stellt sich die Frage, ob mehrere Verantwortliche die Zwecke und Mittel gemeinsam festlegen.
Erforderlich ist ein gewolltes, bewusstes Zusammenwirken. Verarbeiten mehrere Stellen dieselben Daten rein zufällig nebeneinander, ohne abgestimmte Festlegung, liegt keine gemeinsame, sondern getrennte Verantwortlichkeit vor.
1.2 Kriterien
Die Anforderungen an das Merkmal "gemeinsam" sind nach der Rechtsprechung gering:
- Keine gleichberechtigte Festlegung nötig. Es genügt, dass eine Stelle die Zwecke und Mittel nicht allein bestimmt oder sich der Entscheidung der anderen anschließt. "Gemeinsam" bedeutet "zusammen mit" oder "nicht allein". Die Beteiligten müssen auch nicht dieselben Zwecke verfolgen; es reicht, wenn sich ihre Entscheidungen ergänzen und einander bedingen.
- Untrennbare Verarbeitung. Ein wesentliches Kriterium ist, dass die Verarbeitung ohne das gleichzeitige Mitwirken der Beteiligten nicht möglich wäre, ihre Verarbeitungstätigkeiten also untrennbar miteinander verbunden sind.
- Kein Datenzugriff erforderlich. Eine Stelle kann auch dann mitverantwortlich sein, wenn sie auf die Daten keinen Zugriff hat oder sie nur in anonymisierter oder pseudonymisierter Form erhält. Maßgeblich ist der Einfluss auf die Entscheidung, nicht die Zugriffsmöglichkeit.
- Reichweite begrenzt. Die gemeinsame Verantwortlichkeit reicht nur so weit, wie tatsächlich gemeinsam über das Wofür und das Wie entschieden wird. Besteht ein Vorhaben aus mehreren Arbeitspaketen oder Phasen, sind diese gesondert zu betrachten, wenn sie nicht untrennbar verknüpft sind.
- Zweck oder Mittel genügen. Nach den Auslegungshilfen der Aufsichtsbehörden (EDSA, Leitlinien 07/2020 zu den Begriffen Verantwortlicher und Auftragsverarbeiter) muss nicht jede Stelle über Zweck und Mittel zugleich entscheiden. Es genügen einander ergänzende (konvergierende) Entscheidungen, etwa wenn eine Stelle die Mittel bereitstellt und die andere sich entscheidet, diese mitzunutzen, sofern beide einen spürbaren Einfluss auf die Verarbeitung haben.
- Gemeinsamer Vorteil genügt nicht. Ein bloß beiderseitiger, auch wirtschaftlicher Vorteil aus einer Verarbeitung begründet für sich genommen noch keine gemeinsame Verantwortlichkeit; erforderlich bleibt die gemeinsame Festlegung von Zweck und Mitteln.
Die Aufsichtsbehörden verdeutlichen diese Kriterien an Beispielen. Eine gemeinsame Verantwortlichkeit nehmen sie etwa an, wenn ein Reiseunternehmen, eine Hotelkette und eine Fluggesellschaft eine gemeinsame Buchungsplattform aufbauen und zusammen über deren Zwecke und wesentliche Funktionen entscheiden, oder wenn mehrere Unternehmen für eine gemeinsame, co-gebrandete Marketingaktion über die Zielgruppe und die ausgewerteten Daten gemeinsam bestimmen. Auch bei einer Plattform, die Daten für einander ergänzende Forschungszwecke mehrerer Institute bündelt, kann eine gemeinsame Verantwortlichkeit für die Bündelung selbst bestehen. Keine gemeinsame Verantwortlichkeit liegt dagegen vor, wenn ein Dienstleister im Auftrag mehrerer Unternehmen Daten verarbeitet, ohne dass diese Unternehmen untereinander Zwecke und Mittel abstimmen, oder wenn Daten lediglich in einer Kette weitergegeben werden, etwa von einem Arbeitgeber an die Finanzbehörden, die jeweils eigenständig über ihre Verarbeitung entscheiden. Stellt eine Stelle nur ein technisches System oder eine Infrastruktur bereit, ohne über die Zwecke der einzelnen Nutzer mitzuentscheiden, ist sie nicht schon deshalb gemeinsam verantwortlich.
Praktische Anhaltspunkte für eine gemeinsame Verantwortlichkeit sind gemeinsam abgestimmte Zwecke, eine gemeinsam verfasste und befolgte Vorhabenbeschreibung, eine gemeinsam genutzte Infrastruktur (etwa eine gemeinsame Datenbank) sowie komplexe Verarbeitungen mit vielen Beteiligten und unklarer Verantwortungsverteilung.
1.3 Fallgruppen
| Eher gemeinsame Verantwortlichkeit | Eher getrennte Verantwortlichkeit (keine gemeinsame) |
|---|---|
| Mehrere Stellen richten eine gemeinsame Plattform oder Datenbank ein und entscheiden zusammen über Funktionen und Zugriffe (etwa Reisebüro, Hotelkette und Fluggesellschaft mit gemeinsamer Buchungsplattform) | Bloße Übermittlung von Daten in einer Kette, ohne gemeinsame Festlegung (etwa Übermittlung von Beschäftigtendaten an die Finanzbehörde) |
| Einbindung eines Social Plugins oder Betrieb einer Fanpage, soweit es um die Erhebung und Übermittlung der Besucherdaten geht | Bank und Zahlungsdienst, die nacheinander an einer Finanztransaktion mitwirken, jeweils mit eigenem Zweck |
| Gemeinsam abgestimmtes Projekt mit untrennbar verbundenen Verarbeitungstätigkeiten der Beteiligten | Gemeinsame Nutzung einer Konzern-Datenbank, bei der jede Gesellschaft die Daten für eigene Zwecke nutzt (getrennte Verantwortlichkeit) |
| Gemeinsame Infrastruktur mit abgestimmten, sich ergänzenden Zwecken | Einmeldende Stelle und Auskunftei, die jeweils eigenständig über ihre Verarbeitung entscheiden |
| Gemeinsame Werbekampagne oder Online-Werbung, bei der mehrere Stellen über Ausrichtung und Auswertung mitentscheiden | Eine Konzerngesellschaft stellt nur ein technisches System bereit (etwa ein HR- oder CRM-System), das jede andere für eigene Zwecke nutzt (Auftragsverarbeitung oder getrennte Verantwortlichkeit) |
| Abgestimmtes Vorhaben mit gemeinsam verfasster und befolgter Vorhabenbeschreibung | Nacheinander geschaltete statistische Auswertungen, bei denen jede Stelle eigenständig über ihren Schritt entscheidet |
1.4 Leitentscheidungen des EuGH
Der EuGH hat die gemeinsame Verantwortlichkeit weit ausgelegt und dabei die genannten Kriterien entwickelt.
| Entscheidung | Sachverhalt | Kernaussage |
|---|---|---|
| Wirtschaftsakademie (C-210/16) | Betreiber einer Facebook-Fanpage | Der Fanpage-Betreiber ist mit dem Netzwerk gemeinsam verantwortlich. Er ermöglicht durch das Einrichten der Seite die Datenerhebung und beeinflusst sie über die Parametrierung. Gemeinsame Verantwortlichkeit setzt keine gleichwertige Beteiligung und keinen Datenzugang voraus. |
| Zeugen Jehovas (C-25/17) | Religionsgemeinschaft und Mitglieder bei der Verkündigungstätigkeit | Die Beteiligung kann unterschiedlich ausfallen und verschiedene Phasen betreffen; ein Datenzugang der Gemeinschaft ist nicht erforderlich. Bereits die Organisation und Anleitung der Tätigkeit kann gemeinsame Verantwortlichkeit begründen. |
| Fashion ID (C-40/17) | Einbindung des Like-Buttons auf einer Website | Der Website-Betreiber ist gemeinsam verantwortlich, aber nur für die Vorgänge, über die er mitentscheidet, also Erhebung und Übermittlung der Daten, nicht für die anschließende Verarbeitung durch das Netzwerk. Die Verantwortlichkeit ist auf die einzelnen Verarbeitungsphasen begrenzt. |
1.5 Reichweite und praktische Eingrenzung
Die weite Auslegung birgt die Gefahr, die gemeinsame Verantwortlichkeit zu überdehnen. Für die Praxis sind drei Eingrenzungen wichtig:
- Begrenzung auf die gemeinsamen Phasen. Eine Stelle ist nur für die Verarbeitungsvorgänge gemeinsam verantwortlich, über die sie tatsächlich mitentscheidet. Für nachgelagerte Vorgänge, die allein die andere Stelle bestimmt, trägt sie keine Verantwortung (so die Begrenzung in der Fashion-ID-Entscheidung).
- Tatsächliche Einflussmöglichkeit. Maßgeblich ist, ob eine Stelle die Verarbeitung wirklich beeinflussen kann. Wer einer vorgegebenen Verarbeitung nur faktisch ausgesetzt ist, ohne sie steuern zu können, ist nicht schon deshalb gemeinsam verantwortlich.
- Enger Prüfgegenstand. In Zweifelsfällen ist die einzelne Verarbeitungstätigkeit zu einem bestimmten Zweck zu betrachten, nicht die gesamte Zusammenarbeit pauschal. So lässt sich klären, für welche Vorgänge tatsächlich eine gemeinsame Festlegung vorliegt.
2 Vereinbarung zwischen gemeinsam Verantwortlichen
2.1 Pflicht und Form
Gemeinsam Verantwortliche müssen in einer Vereinbarung festlegen, wer von ihnen welche Pflichten der DSGVO erfüllt, insbesondere im Hinblick auf die Wahrnehmung der Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO (Art. 26 Abs. 1 S. 2 DSGVO). Eine bestimmte Form ist nicht vorgeschrieben; aus Nachweisgründen ist eine schriftliche oder elektronische Fassung dringend zu empfehlen.
Die Vereinbarung ist nicht konstitutiv: Die gemeinsame Verantwortlichkeit entsteht durch die tatsächliche gemeinsame Festlegung, nicht durch den Vertrag. Fehlt die Vereinbarung, ist dies bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO), macht die Verarbeitung selbst aber nicht rechtswidrig (EuGH, Urt. v. 04.05.2023, C-60/22).
2.2 Mindestinhalt
Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der Beteiligten gegenüber den Betroffenen widerspiegeln (Art. 26 Abs. 2 S. 1 DSGVO). Sie kann darüber hinaus weitere Punkte regeln, ähnlich einem Auftragsverarbeitungsvertrag.
| Regelungspunkt | Inhalt |
|---|---|
| Funktionen und Phasen | Beschreibung, welche Stelle in welcher Phase welche Verarbeitung vornimmt |
| Betroffenenrechte | Wer beantwortet Auskunfts-, Berichtigungs- und Löschanträge; gegebenenfalls eine zentrale Anlaufstelle (Art. 26 Abs. 1 S. 3 DSGVO) |
| Informationspflichten | Wer informiert die Betroffenen nach Art. 13, 14 DSGVO |
| Sicherheit und Datenpannen | Technische und organisatorische Maßnahmen, Meldewege nach Art. 33, 34 DSGVO |
| Datenschutz-Folgenabschätzung | Zusammenwirken bei der Prüfung nach Art. 35 DSGVO |
| Rechtsgrundlagen | Wer legt die Rechtsgrundlage fest und holt erforderliche Einwilligungen ein |
| Internationale Übermittlungen | Festlegung der Mechanismen und Verantwortlichkeiten bei Drittlandbezug |
| Beendigung | Umgang mit den Daten nach Ende der Zusammenarbeit |
| Haftung im Innenverhältnis | Ausgleich zwischen den Beteiligten für Schäden und Bußgelder |
Die Pflichten müssen nicht gleichmäßig verteilt werden. Zulässig ist eine asymmetrische Verteilung, bei der eine Stelle bestimmte Aufgaben vollständig übernimmt, etwa die Beantwortung aller Betroffenenanfragen, auch wenn die andere Stelle keinen Datenzugriff hat.
2.3 Bekanntgabe an Betroffene
Das Wesentliche der Vereinbarung ist den Betroffenen zur Verfügung zu stellen (Art. 26 Abs. 2 S. 2 DSGVO). In der Praxis geschieht dies regelmäßig in den Datenschutzhinweisen, die offenlegen, dass eine gemeinsame Verantwortlichkeit besteht, wer beteiligt ist und an wen sich Betroffene wenden können.
2.4 Rechtsfolgen und strategische Erwägungen
Unabhängig von der internen Verteilung kann die betroffene Person ihre Rechte bei und gegenüber jedem der Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Nach außen haften gemeinsam Verantwortliche gesamtschuldnerisch (Art. 82 DSGVO); der interne Ausgleich richtet sich nach der Vereinbarung. Die gemeinsame Verantwortlichkeit begründet keine Erleichterung bei der Rechtsgrundlage: Jeder Beteiligte benötigt eine eigene Rechtsgrundlage nach Art. 6 DSGVO, ein Konzernprivileg gibt es nicht.
Anders als bei der Auftragsverarbeitung sind gemeinsam Verantwortliche füreinander Dritte und Empfänger (Art. 4 Nr. 9, 10 DSGVO); die gemeinsame Festlegung der Zwecke privilegiert die Datenweitergabe gerade nicht. Gibt eine Stelle Daten an die andere weiter oder macht sie ihr zugänglich, ist dieser Vorgang daher ein eigenständig zu rechtfertigender Übermittlungsschritt, der eine eigene Rechtsgrundlage nach Art. 6 DSGVO (bei besonderen Kategorien zusätzlich Art. 9 DSGVO) erfordert. Die Vereinbarung nach Art. 26 DSGVO ersetzt diese Rechtsgrundlage nicht, sondern setzt sie voraus.
Jeder gemeinsam Verantwortliche kann zudem allein Adressat von Maßnahmen der Aufsichtsbehörde sein. Verstöße gegen die Pflichten aus Art. 26 DSGVO, insbesondere das Fehlen der Vereinbarung, sind bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO, bis 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes).
Die gemeinsame Verantwortlichkeit stellt die größten Herausforderungen aller Rollen: Es entsteht eine gemeinsame Außenhaftung aller Beteiligten, die auch Verstöße der anderen Partei erfasst, und es ist eine vertragliche Regelung im Innenverhältnis nötig. Steht eine gemeinsame Verantwortlichkeit im Raum, sollte daher sorgfältig geprüft werden, ob sie wirklich alle Beteiligten und alle Verarbeitungen erfasst oder ob sie auf einzelne Teilbereiche, Arbeitspakete oder Phasen beschränkt ist.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Verantwortlicher (Art. 4 Nr. 7, Art. 24 DSGVO)
Der Verantwortliche als zentrale Figur der DSGVO: Begriff und weite Auslegung nach Art. 4 Nr. 7, wer Verantwortlicher sein kann, Pflichten nach Art. 24 sowie die unterstellten Personen nach Art. 29 DSGVO.
Auftragsverarbeiter (Art. 28 DSGVO)
Wann eine Auftragsverarbeitung vorliegt: Fallgruppen, Prüfschema nach Zwecken und Mitteln, Funktionsübertragung, Mehrfachrollen und Risiken der Fehleinordnung sowie der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Pflichtinhalten, Unterauftragsverarbeitern und EU-Mustervertrag.