Stand: 28.5.2026 · Thema: Auftragsverarbeitung · DSGVO Art. 26, 28
Joint Controllership vs. Auftragsverarbeitung
Sobald zwei Stellen personenbezogene Daten in einer gemeinsamen Verarbeitung berühren, stellt sich die Frage: Ist die zweite Stelle weisungsgebundener Auftragsverarbeiter (Art. 28) — oder gemeinsamer Verantwortlicher (Art. 26)? Die Einordnung entscheidet über Vertragsart, Haftung und Pflichteninhalt.
Die Kernunterscheidung
| Auftragsverarbeitung (Art. 28) | Joint Controllership (Art. 26) | |
|---|---|---|
| Entscheidung über Zwecke | nur Verantwortlicher | gemeinsam |
| Entscheidung über wesentliche Mittel | nur Verantwortlicher | gemeinsam |
| Weisungsbindung | ja | nein |
| Eigenes Interesse | nein, nur Dienstleistung | ja, beide profitieren |
| Vertragsform | AVV (Art. 28) | Joint-Controller-Vereinbarung (Art. 26) |
| Haftung gegenüber Betroffenen | grundsätzlich nur Verantwortlicher | beide gesamtschuldnerisch |
Entscheidungsfragen
- Wer entscheidet, welche Personen erfasst werden? Wenn beide → Joint.
- Wer entscheidet, wie lange gespeichert wird? Wenn beide → Joint.
- Wer hat ein eigenes Interesse an den Daten? Wenn beide → Joint.
- Würde die andere Stelle die Verarbeitung auch ohne Sie machen? Wenn ja → eher Joint.
Typische Beispiele
Klar Auftragsverarbeitung
- Cloud-Hoster (AWS, Azure) speichert Ihre Anwendungsdaten — kein Eigeninteresse am Inhalt.
- Lohnabrechnungs-Dienstleister verarbeitet Personaldaten nach Ihrer Weisung.
- E-Mail-Versanddienst verschickt Ihre Newsletter nach Ihrer Empfängerliste.
- Übersetzungsbüro, das Ihre Texte übersetzt.
Klar Joint Controllership
- Facebook-Fanpage-Betreiber + Meta (EuGH C-210/16, „Wirtschaftsakademie”): beide profitieren von Insights-Daten.
- Like-Button auf Website (EuGH C-40/17, „Fashion ID”): Website-Betreiber + Meta sind gemeinsam verantwortlich für die Datenübermittlung beim Seitenaufruf.
- Gemeinschaftliche Studienkohorte zwischen zwei Forschungsinstituten mit gemeinsamem Studiendesign.
- Konzern-CRM, das Tochterunternehmen-übergreifend genutzt wird, ohne klare Weisungsverhältnisse.
Häufig falsch eingeordnet
- Steuerberater ist kein Auftragsverarbeiter (eigene berufsrechtliche Pflichten, eigenes Interesse) — eigener Verantwortlicher.
- Externer DSB ist kein Auftragsverarbeiter, sondern eigener Funktionsträger nach Art. 38.
- Inkassobüro ist meist eigener Verantwortlicher, nicht Auftragsverarbeiter.
- Bewerbungsplattform (z.B. softgarden) kann je nach Funktionsumfang AV oder Joint sein.
Pflichten bei Joint Controllership
Nach Art. 26 Abs. 1+2:
- Schriftliche Vereinbarung über die Aufgabenverteilung (insbesondere wer welche Betroffenenrechte erfüllt).
- Wesentlicher Inhalt der Vereinbarung muss den Betroffenen zur Verfügung gestellt werden (typisch: in der Datenschutzerklärung).
- Eine Anlaufstelle für Betroffenenrechte (kann aber jeder Verantwortliche sein — Betroffene können sich an jeden wenden).
Häufige Fehler
- AVV unterzeichnet, wo Joint Controllership vorliegt — Vertrag passt nicht, Haftung unklar.
- Joint-Controller-Vereinbarung vorhanden, aber nichts in der Datenschutzerklärung der Website veröffentlicht.
- Keine Aufgabenverteilung — beide Verantwortlichen schieben Betroffenenanfragen hin und her.
Wenn wir DSB sind
Wir prüfen Verträge in beide Richtungen (vor Unterschrift) und entwerfen Joint-Controller-Vereinbarungen, wenn der Sachverhalt das hergibt. In komplexen Fällen (Plattform-Geschäftsmodelle) liefern wir eine Kurzanalyse mit klarer Empfehlung.