Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat ein neues Kurzpapier veröffentlicht, das sich mit der praktischen Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit nach der Datenschutz-Grundverordnung befasst. Ziel ist es, Verantwortlichen eine Orientierung zu geben, wie sie Dienstleister und Kooperationspartner rechtlich korrekt einordnen.
Zentrales Kriterium für die Einordnung als Auftragsverarbeitung ist die Weisungsgebundenheit des Dienstleisters. Bestimmt die verantwortliche Stelle allein über den Zweck und die wesentlichen Mittel der Verarbeitung und ist der Dienstleister an diese Vorgaben gebunden, spricht dies eindeutig für ein Verhältnis nach Art. 28 DS-GVO. Ein entsprechender Vertrag allein reicht allerdings nicht aus; entscheidend ist die tatsächliche Ausgestaltung der Zusammenarbeit. Typisch für Auftragsverarbeiter ist, dass sie lediglich als „verlängerter Arm“ der verantwortlichen Stelle handeln, keine eigenen Entscheidungsbefugnisse besitzen und kein eigenes Interesse an den Verarbeitungsergebnissen haben.
Demgegenüber liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vor, wenn zwei oder mehr Parteien gemeinsam über Zweck und wesentliche Mittel der Verarbeitung bestimmen. Maßgeblich ist nicht die vertragliche Bezeichnung, sondern der funktionale Einfluss auf die Datenverarbeitung. Dabei müssen die Beteiligten nicht gleichrangig sein oder denselben Umfang an Kontrolle ausüben. Entscheidend ist, dass die wesentlichen Entscheidungen – etwa über die Erhebung, Auswahl, Nutzung oder Speicherdauer von Daten – tatsächlich von mehreren Stellen getragen werden. Die GDD betont, dass eine bloße Abstimmung in Randfragen hierfür nicht ausreicht.
Das Papier macht deutlich, dass die Abgrenzung stets einzelfallbezogen vorzunehmen ist. Während bei klarer Weisungsgebundenheit regelmäßig von einer Auftragsverarbeitung auszugehen ist, erfordert die Annahme gemeinsamer Verantwortlichkeit eine sorgfältige Prüfung, ob die Beteiligten tatsächlich gemeinsam über die Kernelemente der Verarbeitung entscheiden. Die dargestellten Indikatoren sollen Verantwortliche dabei unterstützen, eine rechtssichere Einordnung vorzunehmen, ersetzen jedoch nicht die detaillierte Analyse des konkreten Verarbeitungsszenarios.
(Foto: CREATIVE WONDER – stock.adobe.com)
Das könnte Sie auch interessieren
-
Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand
Mehr erfahren -
Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag
Mehr erfahren -
KI-Verordnung: Rat und Parlament einigen sich auf Vereinfachungen im Omnibus-Paket
Am 7. Mai 2026 haben sich Europäisches Parlament und Rat auf eine vorläufige Einigung zum sogenannten „Digital Omnibus on AI“ verständigt. Es ist damit die erste substanzielle Änderung der KI-Verordnung (EU) 2024/1689, bevor deren zentrale Hochrisiko-Pflichten überhaupt in Kraft getreten sind. Der Vorschlag ist Teil des „Omnibus VII“-Gesetzgebungspakets im Rahmen der EU-Vereinfachungsagenda und zielt darauf
Mehr erfahren
