Joint Controllership im Unternehmensverbund

Zusammenfassung

Während international eine sogenannte “Gemeinsame Verantwortlichkeit” schon vor der Datenschutz-Grundverordnung (DS-GVO) bekannt war und als Regelungsform für eine gemeinsame Datenverarbeitung genutzt wurde, führt diese Regelungsmöglichkeit in Europa auch sechs Jahre nach Inkrafttreten des Art. 26 DS-GVO weiterhin ein Schattendasein. Nur sehr langsam erlangt diese Form der Zusammenarbeit an Bedeutung, obwohl die Datenschutz- Grundverordnung mit Art. 26 DS-GVO einen Joint Controllership ausdrücklich vorsieht. Gerade für Konzerne bietet sich die datenschutzkonforme Regelungsmöglichkeit einer gemeinsamen Datenverarbeitung, doch die Anwendung dieser Regelungsform enthält für die meisten Verantwortlichen noch zu viele ungeklärte Fragen. Wann handelt es sich beispielsweise um eine gemeinsame Festlegung der Mittel sowie Zwecke und welche Beurteilungskriterien sind anzuwenden, sind nur einige Fragen, deren Klärung die Verantwortlichen vorab vor Probleme stellt. Ebenso ist die Abgrenzung zur Auftragsverarbeitung (Art. 28 DS-GVO) für die Beteiligten oftmals schwierig. Der vorliegende Beitrag soll daher die wesentlichen Abgrenzungskriterien darstellen, wesentliche Anwendungsbereiche für Konzerne aufzeigen und die Inhalte einer zwischen den Joint Controllern zu schließenden Vereinbarung zusammenfassen.