Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat ein neues Kurzpapier veröffentlicht, das sich mit der praktischen Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit nach der Datenschutz-Grundverordnung befasst. Ziel ist es, Verantwortlichen eine Orientierung zu geben, wie sie Dienstleister und Kooperationspartner rechtlich korrekt einordnen.
Zentrales Kriterium für die Einordnung als Auftragsverarbeitung ist die Weisungsgebundenheit des Dienstleisters. Bestimmt die verantwortliche Stelle allein über den Zweck und die wesentlichen Mittel der Verarbeitung und ist der Dienstleister an diese Vorgaben gebunden, spricht dies eindeutig für ein Verhältnis nach Art. 28 DS-GVO. Ein entsprechender Vertrag allein reicht allerdings nicht aus; entscheidend ist die tatsächliche Ausgestaltung der Zusammenarbeit. Typisch für Auftragsverarbeiter ist, dass sie lediglich als „verlängerter Arm“ der verantwortlichen Stelle handeln, keine eigenen Entscheidungsbefugnisse besitzen und kein eigenes Interesse an den Verarbeitungsergebnissen haben.
Demgegenüber liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vor, wenn zwei oder mehr Parteien gemeinsam über Zweck und wesentliche Mittel der Verarbeitung bestimmen. Maßgeblich ist nicht die vertragliche Bezeichnung, sondern der funktionale Einfluss auf die Datenverarbeitung. Dabei müssen die Beteiligten nicht gleichrangig sein oder denselben Umfang an Kontrolle ausüben. Entscheidend ist, dass die wesentlichen Entscheidungen – etwa über die Erhebung, Auswahl, Nutzung oder Speicherdauer von Daten – tatsächlich von mehreren Stellen getragen werden. Die GDD betont, dass eine bloße Abstimmung in Randfragen hierfür nicht ausreicht.
Das Papier macht deutlich, dass die Abgrenzung stets einzelfallbezogen vorzunehmen ist. Während bei klarer Weisungsgebundenheit regelmäßig von einer Auftragsverarbeitung auszugehen ist, erfordert die Annahme gemeinsamer Verantwortlichkeit eine sorgfältige Prüfung, ob die Beteiligten tatsächlich gemeinsam über die Kernelemente der Verarbeitung entscheiden. Die dargestellten Indikatoren sollen Verantwortliche dabei unterstützen, eine rechtssichere Einordnung vorzunehmen, ersetzen jedoch nicht die detaillierte Analyse des konkreten Verarbeitungsszenarios.
(Foto: CREATIVE WONDER – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 83: Psychologie im Spiegel der KI
Die Haltung der Menschen zu KI wandelt sich nach dem Befund des Psychologen Stephan Grünewald. Aus dem Zauberstab des „Allmachts-Boosters“ sei eine Bedrohung geworden. KI sei zwischen „persönlichem Heinzelmann und gefügigem Traumpartner“ gestartet: „Was kann ich noch selbst? Und wer bin ich überhaupt noch?“. Diese Fragen stellen sich für den Menschen. Wie hätte man vor
Mehr erfahren -
Folge 86: KI-Daten-Wirtschaft – Der Parlamentarische Abend der GDD im Rückblick
Im Dezember 2025 hat die GDD zum Parlamentarischen Abend in der Deutschen Parlamentarischen Gesellschaft in Berlin eingeladen. Unter der Schirmherrschaft von MdB Günter Krings haben Thomas Jarzombek, Parlamentarischer Staatssekretär im BMDS, Dr. Daniela Brönstrup, Vizepräsidentin der BNetzA, und DSK-Chef Tobias Keber, VAUNET-Chef Claus Grewenig, der Neuropathologe Felix Sahm und Kristin Benedikt diskutiert, moderiert von Rolf
Mehr erfahren -
EuGH: Banken haften auch ohne Verurteilung ihrer Organmitglieder
Der Europäische Gerichtshof hat mit Urteil vom 29. Januar 2026 (C-291/24) entschieden, dass die EU-Geldwäscherichtlinie einer nationalen Regelung entgegensteht, die Sanktionen gegen juristische Personen von der förmlichen Feststellung der Schuld natürlicher Personen abhängig macht. Das Urteil stärkt die Durchsetzbarkeit von Compliance-Anforderungen im Finanzsektor. Ausgangssachverhalt aus Österreich Die österreichische Finanzmarktaufsicht (FMA) hatte gegen die Steiermärkische Bank
Mehr erfahren
