Art. 26 DSGVO: Vertragsinhalte und Form

Nicht jede Zusammenarbeit zwischen Unternehmen bedeutet automatisch eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO. In vielen Fällen agieren die Beteiligten nicht weisungsgebunden, sondern treffen gemeinsam Entscheidungen. In solchen Fällen greift Art. 26 DSGVO: die gemeinsame Verantwortlichkeit. Aber was muss ein solcher Vertrag konkret regeln?

Die gemeinsame Verantwortlichkeit – das unbeliebte DSGVO-Thema

In der Praxis wird häufig versucht, die gemeinsame Verantwortlichkeit zu vermeiden. Da man mit diesen Verträgen im Umgang nicht so geübt ist, fühlt man sich unsicher und es treten hier auch häufiger Fehler auf, z. B.:

• Verwechslung mit Auftragsverarbeitung: Viele Kooperationen werden fälschlich über Auftragsverarbeitungsverträge geregelt, obwohl eine gemeinsame Verantwortlichkeit vorliegt.
• Fehlende oder unklare Aufgabenzuweisung: Wenn unklar bleibt, wer was macht, bringt die Vereinbarung keinen echten Mehrwert – und wird von Aufsichtsbehörden oft bemängelt.
• Keine oder unzureichende Information an die Betroffenen: Die Transparenzpflicht wird häufig übersehen, auch wenn sie explizit in Art. 26 Abs. 2 DSGVO geregelt ist.

Ohne unseren allgemeinen Blogbeitrag zur gemeinsamen Verantwortlichkeit 1:1 zu wiederholen, sollen die nachfolgenden Erläuterungen helfen, auch dieses Thema zukünftig souverän zu bearbeiten und beraten.

Wann liegt eine gemeinsame Verantwortlichkeit vor?

Von gemeinsamer Verantwortlichkeit spricht man, wenn zwei oder mehr Parteien gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, vgl. Art. 4 Ziffer 7 DSGVO. Dabei kommt es nicht darauf an, ob beide exakt dieselben Aufgaben übernehmen, sondern ob eine enge inhaltliche Abstimmung über das „Wie“ und „Warum“ der Datenverarbeitung erfolgt. Auch hier wieder der Hinweis, dass der Fokus auf die Frage nach dem Zweck der Datenverarbeitung liegt und die Frage nach den Mittel eher nachrangig ist.

In der Vergangenheit wurde durch Gerichte und Aufsichtsbehörden die gemeinsame Verantwortlichkeit bereits für das Betreiben einer Facebook-Fanpage, die Einbindung von Social-Plugins wie Facebook-Like-Buttons oder die Erhebung von optionalen Telemetriedaten in der IT-Umgebung von Microsoft 365 festgestellt.

Weitere Beispiele sind aber wie folgt denkbar: Zwei Unternehmen betreiben gemeinsam eine Webseite und analysieren das Nutzerverhalten. Beide haben Einfluss auf die Datenerhebung, -verwendung und ggf. -weitergabe. Oder es wird eine gemeinsame Datenbank mit Bewerberdaten und/oder Kundendaten innerhalb eines Konzerns betrieben. Im Rahmen eines Forschungsprojektes kommt es zur Zusammenarbeit zwischen einer Klinik und einem Pharma-Unternehmen als Finanzierer der Forschungsarbeit. In enger Abstimmung zwischen dem Bauherrn und dem Bauunternehmen wird eine Baustellenkamera aufgestellt und auf die Videoaufzeichnungen haben beide Parteien vollen Zugriff.

Nicht immer sind die Sachverhalte eindeutig und es muss daher konkret untersucht werden, wer die Zwecke und Mittel der Datenverarbeitung bestimmt und wer die Haftung für etwaige Datenschutzverstöße übernehmen soll.

Warum ist ein Vertrag nach Art. 26 DSGVO erforderlich?

Die DSGVO schreibt in Art. 26 Abs. 1 ausdrücklich vor, dass eine Vereinbarung zwischen den gemeinsamen Verantwortlichen zu schließen ist, um festzulegen, wer von ihnen welche Verpflichtung aus der DSGVO erfüllt. Das betrifft insbesondere:

• die Wahrnehmung von Betroffenenrechten,
• die Informationspflichten nach Art. 13 und 14 DSGVO.

Ohne eine solche Vereinbarung drohen nicht nur Sanktionen wie ein Bußgeld gemäß Art. 83 Abs. 4 lit. a DSGVO, sondern auch erhebliche rechtliche Unsicherheiten im Umgang mit Anfragen von Aufsichtsbehörden und Betroffenen.

Was muss im Vertrag zur gemeinsamen Verantwortlichkeit stehen?

Die DSGVO selbst gibt im Vergleich zur Auftragsverarbeitung keinen detaillierten Vertragsrahmen vor, sondern nennt nur bestimmte Mindestinhalte. In der Praxis haben sich aber folgende Vertragsinhalte bewährt:

1. Zweck der Zusammenarbeit: Einleitung und Beschreibung der Zusammenarbeit – Warum arbeiten die Parteien zusammen, in welchem Zusammenhang werden personenbezogene Daten verarbeitet?
2. Festlegung der Datenverarbeitungsvorgänge: Klarstellung darüber, welche Arten personenbezogener Daten und betroffener Personen zu welchen Zwecken verarbeitet werden und durch wen die Verarbeitung erfolgt. Hier ist eine transparente Zuordnung notwendig, um die Verantwortlichkeit nachvollziehbar zu machen.
3. Aufgabenverteilung bei der Erfüllung der DSGVO-Pflichten
4. Kontaktstelle für Betroffene: Gemäß Art. 26 Abs. 1 S. 3 DSGVO kann eine zentrale Anlaufstelle für Betroffene zu benannt werden – also eine Partei, an die sich Betroffene bei Fragen zur Verarbeitung wenden können.
5. Technische und organisatorische Maßnahmen (kurz: TOM): Beschreibung der Sicherheitsmaßnahmen, um die personenbezogenen Daten zu schützen – insbesondere bei einer engen technischen Verzahnung der IT-Systeme.
6. Haftungsregelungen: Auch wenn beide Parteien gegenüber den Betroffenen gesamtschuldnerisch haften (Art. 82 DSGVO), kann daneben noch eine vertragliche, interne Haftungsaufteilung für den Fall von Datenschutzverstößen aufgenommen werden.
7. Laufzeit, Kündigung, Anpassungen: Wie lange gilt die Vereinbarung, unter welchen Voraussetzungen kann sie gekündigt oder geändert werden?

Deep Dive zu einzelnen Regelungsinhalten

Hinsichtlich „3. Aufgabenverteilung“ sind insbesondere folgende Aspekte zu erläutern:

• Wer informiert die betroffenen Personen gemäß Art. 13, 14 DSGVO?
• Welche Partei ist für Beantwortung von Betroffenenanfragen (z. B. nach Auskunft, Löschung, Berichtigung) zuständig?
• Wer meldet Datenschutzverletzungen i. S. v. Art. 33 DSGVO an die Aufsichtsbehörde und informiert ggf. die Betroffenen nach Art. 34 DSGVO?
• Wer ist ggf. für die Erstellung und Einholung einer wirksamen Einwilligungserklärung zuständig, um die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten?
• Wer führt eine erforderliche Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durch?
• Wer ist für die ordnungsgemäße Datenlöschung zuständig?

Es sei darauf hinzuweisen, dass gemäß Art. 26 Abs. 3 DSGVO die betroffene Person Ihre Rechte gegenüber jeden Datenverantwortlichen geltend machen kann. Selbst wenn geregelt ist, dass Partei A die Betroffenenanfragen zu bearbeiten hat, darf Partei B nicht untätig bleiben, wenn diese beispielsweise eine Anfrage auf Auskunft erhält. Partei B muss dann die Anfrage an A unverzüglich weiterleiten, damit eine fristgemäße Beantwortung erfolgen kann. Oder Partei B beantwortet die Anfrage (unter Einbeziehung von A) selbst. Die Aufgabenverteilung muss hierbei nicht paritätisch erfolgen, sondern die tatsächlichen Gegebenheiten sind maßgeblich.

Bei Punkt „5. Technische und organisatorische Maßnahmen“ empfiehlt es sich, sich auf einen Sicherheitsstandard zu einigen. So kann beispielsweise festgelegt werden, wo die personenbezogenen Daten verarbeitet und gespeichert werden (z. B. nur in Rechenzentren innerhalb der EU/EWR) oder wie Datenübertragungen gesichert sein müssen (z. B. mindestens Transport-Verschlüsselung, Ende-zu-Ende-Verschlüsselung). Auch der Einsatz von Subdienstleistern und die Datenübermittlung in Drittstaaten kann hier oder in einem separaten Vertragspunkt geregelt werden. Wenn man besonders sensiblen Datensätzen zu tun hat, will man vielleicht auch einheitliche Regularien zum Umgang mit Home-Office oder Einsatz von KI-Systemen treffen.

Nicht vergessen: Gegenseitige Unterstützungspflichten

Bei all den Regularien dazu, wer welche Pflichten übernimmt, sollte im Vertrag aber ein wichtiger Aspekt nicht vergessen werden: Man will gemeinsam arbeiten und Daten verarbeiten. Daher sollten im Vertrag gegenseitig Ansprechpartnern für den Datenschutz genannt werden und eine Vereinbarung zu Notfall- und Eskalationsmechanismen (z. B. im Falle von Datenschutzverletzungen, Behördenanfragen oder Unstimmigkeiten) getroffen werden. Insbesondere bei der Erstellung von erforderlichen Dokumenten (z. B. Einwilligungserklärungen, Verarbeitungsverzeichnissen, Datenschutzerklärungen, Datenschutz-Folgenabschätzungen) sollte die Zusammenarbeit und gegenseitige Unterstützungspflicht ausdrücklich normiert werden. Schließlich ist daran zu denken, dass sich die Rechtslage jederzeit ändern kann, sodass auch hier der Umgang mit solchen DSGVO-relevanten Änderungen schon vorab geregelt ist (z. B. im Rahmen eines Change Managements).

Wie sind die Betroffenen zu informieren?

Art. 26 Abs. 2 S. 2 DSGVO sagt hierzu Foglendes:

„Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.“

Daraus folgt, dass die Kernaussagen der Vereinbarung den betroffenen Personen zur Verfügung zu stellen sind. Dies wird typischerweise über eine Datenschutzerklärung erfüllt. In der Datenschutzerklärung ist insbesondere offen zu legen, dass eine gemeinsame Verantwortlichkeit vorliegt und wer die Datenverantwortlichen sind.

Ein gewisser Interpretationsspielraum verbleibt aber darüber, was das „Wesentliche“ der Vertragsvereinbarung ist. Wenn man den betroffenen Personen die Einsichtnahme in den vollständigen Vertrag gewährt, wäre man auf jeden Fall auf der sicheren Seite. Dies ist aber mit Blick auf den jüngsten Beschluss des Bayerischen Verwaltungsgericht vom 21.02.2025 (Az. 7 ZB 24.651) nicht zwingend erforderlich, da der Betroffene bereits keinen Anspruch auf Einsichtnahme in den Auftragsverarbeitungsvertrag hat, vgl. Veröffentlichung des Urteils unter Bayerische Staatskanzlei. Entsprechendes gilt daher auch für den Vertrag zur gemeinsamen Verantwortlichkeit. Bereits der Wortlaut in Art. 26 DSGVO widerspricht auch einer Pflicht, den betroffenen Personen den gesamten Vertrag vorlegen zu müssen. Mit Blick auf Sinn und Zweck der Transparenzpflicht wird der Gesetzgeber unter das „Wesentliche“ nur die Vertragsinhalte gemeint haben, welche für den Betroffenen relevant sind. Hierzu gehören die Aufgabenverteilung bzgl. des Umgangs mit Betroffenenanfragen, Zweck und Umfang der Datenverarbeitung und alles andere, was die Rechte und Freiheiten der betroffenen Personen tangieren könnte. Für die Betroffenen ist es z. B. irrelevant, wie die Vertragsbeendigung oder interne Haftungsregelungen zwischen den Datenverantwortlichen konzipiert sind.

Gibt es Formvorgaben zu beachten?

In Art. 28 Abs. 9 DSGVO ist für den Auftragsverarbeitungsvertrag explizit geregelt, dass dieser schriftlich abzufassen ist oder in einem elektronischen Format zu erfolgen hat. Unter letzterem wird nach herrschender Ansicht die Textform verstanden, wie sie beispielsweise in § 126b BGB definiert wird. Sinn und Zweck ist es, dass die Datenverantwortlichen Ihre Nachweispflichten aus Art. 5 Abs. 2 DSGVO erfüllen und die Vereinbarungen so fixiert sind, dass sie nicht einseitig leicht verändert werden können (sog. Beweisfunktion).

Für den Vertrag zur gemeinsamen Verantwortlichkeit hat der EU-Gesetzgeber leider keine entsprechende Regelung in Art. 26 DSGVO aufgenommen. Da hier aber die Interessenlage ähnlich ist, empfiehlt es sich, auch hier die Vereinbarungen in schriftlich oder mindestens Textform festzuhalten.

Musterverträge sind zwar gut, aber bitte immer anpassen!

Die gemeinsame Verantwortlichkeit ist kein rein theoretisches Konstrukt, sondern in vielen modernen Kooperationsformen der Regelfall. Ein sauber aufgesetzter Vertrag nach Art. 26 DSGVO ist daher nicht nur Pflicht, sondern schützt auch vor unnötigen Haftungsrisiken und Ärger mit den Aufsichtsbehörden. Fachverbände und Datenschutzaufsichtsbehörden haben zwar Musterverträge veröffentlicht, die durchaus hilfreich sind. Diese müssen jedoch immer an den konkreten Einzelfall angepasst werden. Audiesem Grunde sollten Sie unbedingt den Datenschutzbeauftragten rechtzeitig einbeziehen.