Wann brauche ich ein Joint Control Agreement, wann einen Auftragsverarbeitungsvertrag?

Die Arbeit mit personenbezogenen Daten bringt immer wieder neue Herausforderungen und Fragen mit sich. Vor allem, wenn mehrere Akteure die personenbezogenen Daten verarbeiten, stellt sich die Frage der Verantwortung für die Verarbeitung.  

Wann muss eine Vereinbarung über eine gemeinsame Verantwortung oder ein Auftragsverarbeitungsvertrag geschlossen werden?

Diese häufig gestellte Frage ist von entscheidender Bedeutung, wenn man berücksichtigt, dass der Nicht-Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Control Agreement = „JCA“) beziehungsweise eines Auftragsverarbeitungsvertrags („AVV“) bußgeldbewehrt ist und Schadensersatzansprüche der Betroffenen auslösen kann.

Wann liegt eine gemeinsame Verantwortung vor? 

Nach Art. 26 Abs. 1 S. 1 DSGVO liegt eine gemeinsame Verantwortung (sog. „Joint Controllership; JC“) vor, wenn zwei oder mehrere Akteure gemeinsam die Zwecke der und die Mittel zur Verarbeitung   von personenbezogene Daten bestimmen.   

Diese gemeinsame Verantwortlichkeit ist sauber abzugrenzen zur Auftragsverarbeitung. Eine Auftragsverarbeitung ist dann gegeben, wenn der Auftragsverarbeiter für die verantwortliche Stelle gewissermaßen als „verlängerter Arm“ tätig wird. Die Verantwortung für die ordnungsgemäße Datenverarbeitung und den Schutz der Daten verbleibt bei der Auftragsverarbeitung aber beim Auftraggeber.

Der EuGH hat in inzwischen sechs wichtigen Entscheidungen „Leitplanken“ für die Bewertung der gemeinsamen Verantwortlichkeit entwickelt (dies sind die „älteren“ Entscheidungen „Facebook-Fanpages“ - EuGH Urt. v. 5.6.2018 – C-210/16; „Zeugen Jehovas“ -  EuGH Urt. v. 10.7.2018 – C-25/17; „Fashion ID“ - EuGH Urt. v. 29.7.2019 – C-40/17 und die neueren Entscheidungen „Nacionalinis visuomenės sveikatos centras“ (“Fashion ID 2.0”) - EuGH Urt. v. 5.12.2023 – C-683/21);  „Moniteur belge“ - EuGH Urt. v. 11.1.2024 – C-231/22; „IAB Europe“ -  (EuGH Urt. v. 7.3.2024 – C-604/22). Dabei verfolgt der EuGH in seiner Rechtsprechung ein sehr weit gefasstes Verständnis der gemeinsamen Verantwortlichkeit.

Gemeinsame Verantwortung liegt demnach vor, wenn

• jeder Akteur für sich eine eigene Verantwortlichkeit i. S. d. Art. 4 Nr. 7 DSGVO hat;
• die Akteure gemeinsam die Zwecke und Mittel festlegen. Dafür ist ausreichend, wenn jeder Akteur einen gewissen Einfluss die Entscheidung über Zwecke oder Mittel der Datenverarbeitung hat und an der Entscheidung mitwirkt.
• Maßgeblich sind die tatsächlichen Umstände der Datenverarbeitung, nicht die Bezeichnung – der Abschluss eines JCA (Joint Controllership Agreement) oder eines AV-Vertrags (Vertrag über die Auftragsverarbeitung) wirken nicht konstitutiv.
• Sobald der eine Akteur die (eigenverantwortliche) Datenverarbeitung auch des anderen ermöglicht, entsteht dadurch bereits eine gemeinsamen Verantwortlichkeit.
• Nicht erforderlich ist, dass alle Verantwortlichen in gleicher Weise und gleichem Umfang Beiträge zur fraglichen Datenverarbeitung leisten.
• Wenn und soweit sich die Entscheidungen der zusammenwirkenden gemeinsam Verantwortlichen auf die Zwecke und Mittel der Verarbeitung auswirken, ist nicht erforderlich, dass auch beide Akteure Zugriff auf alle/die personenbezogenen Daten haben.

Wie unterscheide ich die gemeinsame Verantwortung von der Auftragsverarbeitung? 

Bei der gemeinsamen Verantwortlichkeit sind beide Akteure für sich genommen bereits verantwortlich für eine Datenverarbeitung ist (Art. 4 Nr. 7 DSGVO).

Beide Akteure bestimmen die Zwecke und Mittel der Datenverarbeitung, während Auftragsverarbeiter die Daten nur als "verlängerter Arm" und im Auftrag der Verantwortlichen verarbeiten.

Die gemeinsame Zweck- und Mittelbestimmung ist somit Kern der Abgrenzung zur Auftragsverarbeitung, bei der der Auftragnehmer weisungsgebunden ist. 

Wer erfüllt welche (gemeinsame) Pflicht?

Vereinbarung (Joint Controller Agreement - JCA) erforderlich

Diese gemeinsame Verantwortlichkeit führt nach Art. 26 Abs. 1S. 2 DSGVO zu der Pflicht zum Abschluss „einer Vereinbarung in transparenter Form“ in der die Parteien festlegen müssen, „wer von ihnen welche Verpflichtungen gemäß dieser Verordnung erfüllt“.

Diese Vereinbarung muss unter anderem Bestimmungen zur Sicherheit der Datenverarbeitung, zur Einhaltung der Datenschutzprinzipien und zur Zusammenarbeit bei Anfragen von betroffenen Personen oder Datenschutzaufsichtsbehörden enthalten.