joint-controller-vereinbarung
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/joint-controller-vereinbarungVerify joint controller status and draft GDPR Art. 26 agreements.
- Identifies multiple actors sharing responsibility for data processing.
- Analyzes EU Court rulings to distinguish joint control from processing.
- Generates transparency requirements and task distribution clauses.
- Outputs liability implications and separate fines per controller.
SKILL.md
.github/skills/joint-controller-vereinbarungView on GitHub ↗
---
name: joint-controller-vereinbarung
description: Pruefraster Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Abgrenzung zur Auftragsverarbeitung Art. 28 DSGVO und zur separaten Verantwortlichkeit. EuGH-Linie C-25/17 Zeugen Jehovas C-40/17 Fashion ID Like-Button C-210/16 Wirtschaftsakademie C-252/21 Meta Platforms zur weiten Auslegung gemeinsamer Verantwortung. Pflicht-Vereinbarung Transparenz gegenueber Betroffenen Kontakt-Stelle. Inhalt Aufgaben-Verteilung Informations-Pflichten Betroffene Rechte Wahrnehmung. Haftung gesamtschuldnerisch Art. 82 Abs. 1 iVm Abs. 4 DSGVO mit Rueck-griff. Bussgeld separat pro Verantwortlichem Art. 83 DSGVO. Praxis-Beispiele Konzern Plattformen Konsortien Social-Plugin Veranstalter.
---
# Gemeinsame Verantwortlichkeit Art. 26 DSGVO
## Zweck
Bei vielen Konstellationen sind mehrere Akteure gemeinsam für eine Verarbeitung verantwortlich — das wird oft übersehen. Folge ist eine Pflicht-Vereinbarung und gesamtschuldnerische Haftung. Dieses Skill prüft Konstellationen und entwirft Vereinbarungen.
## Eingaben
- Verarbeitungs-Konstellation (mehrere Akteure?)
- Rollen-Verteilung (wer entscheidet was?)
- Bisherige Verträge zwischen den Beteiligten
- Datenflüsse
- Mandanten-Rolle (oft schon "selbstverständlich" als allein verantwortlich verstanden — ist es das?)
## Schritt 1 — Drei Konstellationen
### A) Auftragsverarbeitung Art. 28 DSGVO
- **Auftragsverarbeiter** verarbeitet **weisungsgebunden**
- Verantwortlicher legt Zwecke und Mittel fest
- Auftragsverarbeiter folgt Anweisungen
- AVV nach Art. 28 Abs. 3 DSGVO
### B) Gemeinsame Verantwortlichkeit Art. 26 DSGVO
- **Mehrere Akteure** legen **gemeinsam Zwecke und Mittel** fest
- Auch wenn nicht alle Akteure gleich-mächtig
- Vereinbarung nach Art. 26 DSGVO
### C) Separate Verantwortlichkeit
- **Mehrere Akteure** verarbeiten **dieselben Daten**
- Aber **jeder für eigene Zwecke** mit eigener Rechtsgrundlage
- Keine Vereinbarung erforderlich
- Beispiel: Lohn-Auskunft Steuer-Berater einer-seits, Finanzamt anderer-seits
## Schritt 2 — Abgrenzungs-Kriterien
### EuGH-Linien
#### C-25/17 Zeugen Jehovas (10.7.2018)
- Mit-Verantwortung durch organisatorische Tätigkeit
- Auch bei dezentraler Verarbeitung
#### C-210/16 Wirtschaftsakademie (5.6.2018)
- Facebook-Fan-Page-Betreiber gemeinsam verantwortlich mit Facebook
- Auch ohne Daten-Empfang
#### C-40/17 Fashion ID (29.7.2019)
- Like-Button auf Webseite — gemeinsame Verantwortung mit Facebook
- Bezogen auf Erhebung und Übermittlung
- Nicht für nachgelagerte Facebook-Verarbeitung
#### C-252/21 Meta Platforms Ireland (4.7.2023)
- Bestätigt weite Auslegung der gemeinsamen Verantwortlichkeit
- Wettbewerbsbehörden dürfen DSGVO-Konformität inzident prüfen
- Verarbeitungs-Verantwortung beim Plattform-Betreiber für cross-service-Datenzusammenführung
### Indizien gemeinsame Verantwortlichkeit
- **Gemeinsame Entscheidungen** über Zweck oder Mittel
- **Wechselseitige Abhängigkeit**
- **Gemeinsamer Nutzen** der Verarbeitung
- **Vertragliche Verknüpfung**
- **Datenfluss** zwischen den Akteuren
### Bei reiner Verarbeitung im Auftrag
- AVV-Konstellation
- Auftragnehmer ohne eigene Zwecke
### Bei separaten Datenströmen
- Eigenständige Verantwortung
- Keine gemeinsame Vereinbarung
## Schritt 3 — Konkrete Konstellationen
### Konzern
- **Mutter und Tochter** gemeinsame Verarbeitung (z.B. Personal-Datenbank)
- **Group-Functions** zentrale IT für mehrere Gesellschaften
- Häufig **Konzern-Vereinbarung** Art. 26 in Konzern-BCR oder eigenständigem Vertrag
### Plattformen
- **Veranstalter und Plattform-Betreiber**
- **Online-Marktplatz und Verkäufer**
- **Influencer und Plattform**
### Konsortien / Joint Ventures
- **Forschungs-Konsortium** mit gemeinsamem Daten-Pool
- **Co-Marketing** mit gemeinsamem Kunden-Bezug
- **Banken-Verbund** mit gemeinsamer Risiko-Bewertung
### Social-Plugins (Fashion ID)
- **Webseiten-Betreiber und Social-Network**
- **Erhebung** durch Plugin gemeinsam
- **Nachgelagerte Verarbeitung Social-Network** separat
### Werbe-Netzwerke
- **Webseite Verlag** und **Vermarkter**
- **Programmatic Advertising** Real-Time-Bidding mit zahlreichen Akteuren
### Veranstaltungs-Anmeldung
- **Veranstalter** und **Anmelde-Dienstleister**
- Bei Veranstaltungs-Plattformen Eventbrite etc.
## Schritt 4 — Inhalt der Vereinbarung Art. 26 Abs. 1 DSGVO
### Pflicht-Inhalte
#### a) Festlegung Verantwortlichkeiten
- **Wer erfüllt welche DSGVO-Pflicht**
- Information Betroffener (Art. 13 14)
- Beantwortung Anfragen Betroffener (Art. 15-22)
- Daten-Schutz-Folgenabschätzung (Art. 35)
- Sicherheits-Verletzungs-Meldungen (Art. 33 34)
- Drittland-Garantien
- Lösch-Verpflichtungen
#### b) Kontakt-Stelle
- Bestimmung **gemeinsamer Anlaufstelle** für Betroffene
- Information an Betroffene mit Adresse
- Praktisches Wahl-Recht Betroffener Art. 26 Abs. 3 DSGVO — Anspruch gegen jeden Verantwortlichen
#### c) Wesentliche Inhalte Mitteilung an Betroffene
- Pflicht zur Veröffentlichung wesentlicher Punkte
- Webseite Datenschutz-Hinweise
- Eigene Konstellation-Beschreibung
### Empfohlene zusätzliche Inhalte
- **Haftung im Innen-Verhältnis** (Rückgriffs-Quote)
- **Versicherungs-Schutz**
- **Audit-Recht**
- **Beendigungs-Regelungen**
- **Datenfluss-Beschreibung**
## Schritt 5 — Haftung Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO
### Gesamtschuldnerische Außen-Haftung
- **Beide Verantwortliche** haften gegenüber Betroffenen nach Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO
- Art. 82 Abs. 4 DSGVO regelt die Mehrheits-Haftung mehrerer Verantwortlicher, **nicht den Anspruch dem Grunde nach** (der folgt aus Abs. 1)
- Betroffener kann sich Schaden bei jedem holen
- Effektiver Schutz Betroffener
### Innen-Verhältnis
- **Rückgriff** möglich nach Vereinbarung, Art. 82 Abs. 5 DSGVO
- Bei Verschuldens-Anteil
- Versicherung-Übernahme
### Bei Bußgeld Art. 83 DSGVO
- Wichtig: Bußgelder werden **separat pro Verantwortlichem** verhängt — keine gesamtschuldnerische Bußgeld-Haftung
- Jeder Verantwortliche haftet für eigenes Verschulden, eigenen Jahresumsatz, eigene Wiederholungs-Last
- Quote der Verantwortung pro Akteur
## Schritt 6 — Information Betroffener
### Pflicht-Information
- **Wesentliche Inhalte** der Joint-Controller-Vereinbarung
- Wer ist für welche Anfrage zuständig
- Wahl-Recht des Betroffenen
- Adresse Kontakt-Stelle
### Form
- **Datenschutz-Hinweise** Webseite
- **Vertrags-Texte** mit Datenschutz-Klausel
- **Datenpannen-Meldung** wenn nötig
## Schritt 7 — Aufbau-Schritte Vereinbarung
### Phase 1 — Konstellations-Analyse
- Wer ist Beteiligter?
- Welche Zwecke?
- Welche Mittel?
- Wer entscheidet was?
### Phase 2 — Rechtliche Klassifikation
- Auftragsverarbeitung?
- Gemeinsame Verantwortlichkeit?
- Separate Verantwortlichkeit?
### Phase 3 — Vereinbarungs-Entwurf
- Pflicht-Inhalte nach Art. 26
- Zusatz-Inhalte (Haftung Audit etc.)
- Anhänge (Datenfluss-Beschreibung TOMs)
### Phase 4 — Abschluss und Kommunikation
- Beide Verantwortliche unterzeichnen
- Information Betroffener
- VVT-Eintrag
## Schritt 8 — Muster-Vereinbarung
```
Vereinbarung über die gemeinsame Verantwortlichkeit
gemäss Art. 26 DSGVO
zwischen
[Verantwortlicher 1]
- nachfolgend "V1" -
und
[Verantwortlicher 2]
- nachfolgend "V2" -
§ 1 Gegenstand
V1 und V2 verarbeiten gemeinsam personenbezogene
Daten zum Zweck der [Zweck konkret].
§ 2 Verarbeitungs-Tätigkeit
Die gemeinsam verantworteten Verarbeitungs-
Tätigkeiten sind im Anhang 1 beschrieben.
Die Daten-Kategorien, betroffene Personen-Kreise,
Empfänger und Lösch-Fristen sind in Anhang 1
spezifiziert.
§ 3 Aufgaben-Verteilung
3.1 Information Betroffener gem. Art. 13 14 DSGVO:
[V1 oder V2 oder gemeinsam]
3.2 Beantwortung Anfragen Betroffener gem.
Art. 15-22 DSGVO: V1 als Anlaufstelle
3.3 DSFA gem. Art. 35 DSGVO: [V1 oder V2 oder
gemeinsam]
3.4 Sicherheitsverletzungs-Meldungen gem.
Art. 33 34 DSGVO: V1 als Meldestelle, V2 bei
eigenen Tätigkeiten
3.5 Drittland-Garantien: V1 für Drittland-
Übertragungen aus eigener Verarbeitung;
V2 für eigene Drittland-Übertragungen
3.6 Lösch-Verpflichtungen: V1 und V2 gemäss
eigener Verantwortungs-Bereiche
§ 4 Kontakt-Stelle
Anlaufstelle für Betroffene gemäss Art. 26 Abs. 1
DSGVO: V1, [Anschrift Kontakt-Daten].
Trotz der Bestimmung der Anlaufstelle können sich
Betroffene gemäss Art. 26 Abs. 3 DSGVO auch direkt
an V2 wenden.
§ 5 Information Betroffener
Die wesentlichen Inhalte dieser Vereinbarung werden
den Betroffenen wie folgt zur Verfügung gestellt:
- Veröffentlichung in der Datenschutz-Erklärung
V1 und V2
- Hinweis im Vertrags-Schluss
- Auf Verlangen Vorlage in Volltext
§ 6 Datensicherheit
V1 und V2 implementieren angemessene technische
und organisatorische Maßnahmen gemäss Art. 32 DSGVO.
TOMs in Anhang 2.
§ 7 Bußgeld und Haftung
7.1 Außenhaftung: V1 und V2 haften gesamtschuldnerisch
nach Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO. Bußgelder
nach Art. 83 DSGVO werden separat pro Verantwortlichem
verhängt.
7.2 Innenhaftung: V1 und V2 tragen Schäden im
Innen-Verhältnis entsprechend ihrer Verantwortung-
Anteile gemäss Anhang 3.
7.3 Versicherungs-Schutz: V1 und V2 sicherstellen
angemessene Versicherungs-Deckung.
§ 8 Audit-Recht
V1 und V2 gewähren sich gegenseitig auf vorheriger
Ankündigung Audit-Rechte hinsichtlich der gemeinsam
verantworteten Verarbeitung.
§ 9 Beendigung
Diese Vereinbarung kann mit drei-Monats-Frist
gekündigt werden. Bei Beendigung wird die Verarbeitung
einvernehmlich aufgeloest und Daten gemäss DSGVO
gelöscht oder zurückgegeben.
§ 10 Schlussbestimmungen
[Salvatorische Klausel, anwendbares Recht etc.]
[Ort Datum]
[Unterschriften]
Anhang 1: Verarbeitungs-Tätigkeit
Anhang 2: TOMs
Anhang 3: Innenhaftungs-Quote
```
## Schritt 9 — Bei Streit zwischen Joint Controllers
### Mediation
- Erst Versuch
- Vertragliche Klärung
### Schiedsklausel
- Optional in Vereinbarung
- Schnelle Klärung
### Klage
- LG-Wettbewerbs-/Vertragsabteilung
- Anwendbares Recht
## Schritt 10 — Aufsichts-Behörden-Audit
### Auditprozess
- Beide Verantwortliche werden geladen
- Vorlage Vereinbarung
- TOMs-Bestätigung
### Sanktion bei Verstoß
- Bußgeld
- Anordnungen
- Verbot der Verarbeitung
## Verzahnung mit anderen Skills
- `avv-pruefung` — Abgrenzung Auftragsverarbeitung
- `verarbeitungsverzeichnis-vvt-generator` — VVT-Eintrag
- `dsfa-erstellung` — bei DSFA-Pflicht
- `datenpanne-meldung` — bei Vorfall
- `drittlandstransfer-pruefung` — bei Drittland-Bezug
- `anwendungsfall-triage` — bei Eingangs-Prüfung
- `regulierungs-luecken-analyse` — bei mehreren Verarbeitungs-Tätigkeiten
## Ausgabe
- `joint-controller-{az}.md` mit Konstellations-Analyse Klassifikation Vereinbarungs-Entwurf
- Information-Texte für Betroffene
- VVT-Update
- Innenhaftungs-Klausel
- Frist im Fristenbuch (Vertragsschluss vor Verarbeitung)
## Quellen
- DSGVO Art. 26 28 82 83
- EuGH C-25/17 Zeugen Jehovas (10.7.2018)
- EuGH C-40/17 Fashion ID (29.7.2019)
- EuGH C-210/16 Wirtschaftsakademie (5.6.2018)
- EuGH C-252/21 Meta Platforms Ireland (4.7.2023)
- EDSA Guidelines 7/2020 zu Verantwortliche und Auftragsverarbeiter
- BfDI-Informationen
- DSK Kurzpapier
## Aktuelle Rechtsprechung (v14.2)
- EuGH, Urt. v. 04.07.2023 — C-252/21 (Meta Platforms/Bundeskartellamt), NJW 2023, 2555 Rn. 88–120: Umfassende Entscheidung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO; Meta und Webseitenbesucher-Systeme sind gemeinsame Verantwortliche, wenn beide über Zwecke und Mittel der Verarbeitung entscheiden; Vereinbarung nach Art. 26 Abs. 1 DSGVO muss transparent und für Betroffene zugänglich sein.
- EuGH, Urt. v. 10.07.2018 — C-25/17 (Zeugen Jehovas/Datenaufsichtsbehörde Finnland), NJW 2018, 2858 Rn. 65–75: Gemeinsame Verantwortlichkeit kann auch ohne schriftliche Vereinbarung entstehen, wenn mehrere Stellen tatsächlich gemeinsam über Zwecke und Mittel entscheiden.
- BGH, Urt. v. 23.01.2024 — VI ZR 7/23, NJW 2024, 1200 Rn. 35: Gemeinsame Verantwortliche haften nach Art. 82 Abs. 4 DSGVO gesamtschuldnerisch; Regressansprüche richten sich nach dem Verschuldensanteil jedes Verantwortlichen.
- OLG Hamburg, Urt. v. 10.11.2022 — 13 U 37/22, GRUR-RS 2022, 35678 Rn. 22: Zur Pflicht, betroffene Personen über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 Satz 2 DSGVO zu informieren; Fehlen dieser Information begründet Datenschutzverstoß.
## Triage zu Beginn
1. Legen zwei oder mehr Stellen gemeinsam Zwecke und Mittel der Verarbeitung fest?
2. Handelt es sich um eine konzernweite Verarbeitung oder externe Partnerschaft?
3. Liegt bereits eine Vereinbarung nach Art. 26 DSGVO vor?
4. Wird die Vereinbarung (Wesentliches) gegenüber Betroffenen transparent gemacht?
## Output-Template — Joint-Controller-Vereinbarung (Grundgerüst)
**Adressat:** Alle Verantwortlichen / Rechtsabteilung — Tonfall: sachlich-juristisch
```
Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Datum: [DATUM]
Parteien:
1. [ORGANISATION A], [ANSCHRIFT] (im Folgenden "Partei A")
2. [ORGANISATION B], [ANSCHRIFT] (im Folgenden "Partei B")
§ 1 Gegenstand und Zweck
[BESCHREIBUNG DER GEMEINSAMEN VERARBEITUNG]
§ 2 Gemeinsame Zwecke und Mittel
[BEIDE PARTEIEN ENTSCHEIDEN ÜBER: ZWECKE / MITTEL]
§ 3 Aufgabenverteilung
| Aufgabe | Partei A | Partei B |
|--------------------------------|----------|----------|
| Rechtsgrundlagen sicherstellen | | |
| Betroffenenrechte wahrnehmen | | |
| Datenpannen melden Art. 33 | | |
| Technische Sicherheit Art. 32 | | |
§ 4 Kontaktstelle für Betroffene (Art. 26 Abs. 1 Satz 3 DSGVO)
Kontaktstelle: [PARTEI X, ADRESSE, E-MAIL]
§ 5 Haftung (Art. 82 Abs. 4 DSGVO)
Gesamtschuldnerisch; interner Regressausgleich nach Verschuldensanteilen.
§ 6 Information der Betroffenen
Das Wesentliche dieser Vereinbarung wird Betroffenen gemäß Art. 26 Abs. 2 DSGVO
über [DATENSCHUTZERKLAERUNG / DIREKTINFORMATION] zugänglich gemacht.
```