Wenn zwei oder mehrere Unternehmen gemeinsam darüber entscheiden, wie und wofür Daten verarbeitet werden, sind die Unternehmen auch gemeinsam für die Datenverarbeitung verantwortlich.
Als gemeinsam Verantwortliche (englisch: Joint Controllership) haben die Unternehmen nach Art. 26 DSGVO eine Vereinbarung zu treffen. Darin muss insbesondere transparent dargestellt werden, welches Unternehmen in welcher Weise die datenschutzrechtlichen Pflichten (z. B. Beantwortung von Betroffenenanfragen, Informationspflichten) wahrnimmt.
Typische Anwendungsfälle
Nach meinen Erfahrungen führt die gemeinsame Verantwortlichkeit in der Praxis zumindest bisher ein Schattendasein. Es ist schwierig, eine Zusammenarbeit mehrerer Unternehmen als gemeinsame Verantwortlichkeit zu identifizieren.
Eine Orientierung bieten folgende Beispiele:
- gemeinsames Betreiben einer internetgestützten Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft
- gemeinsame Arzneimittelstudien zwischen einem Studienzentrum und einem Arzt, die jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
- gemeinsamer Informationspool mehrerer Banken über säumige Schuldner
Abgrenzung zur Datenweitergabe und Auftragsverarbeitung
Eine gemeinsame Verantwortlichkeit hat nichts mit einer herkömmlichen Weitergabe von Daten an ein anderes Unternehmen zu tun. Die beteiligten Unternehmen tauschen zwar Daten aus, nutzen diese aber für eigene Zwecke und mit eigenen Mitteln.
Auch die Auftragsverarbeitung ist anders gelagert. Hier bestimmen nicht mehrere Unternehmen gemeinsam, sondern nur ein verantwortliches Unternehmen allein, wie das andere Unternehmen mit den Daten umgehen soll. Dazu später mehr.