SBS Firmengruppe Logos

Joint Controller Agreement - Was ist das?


Das Joint Controller Agreement ist ein wichtiges Regelungsinstrument im Bereich der datenschutzrechtlichen Verantwortlichkeit von Unternehmen. Was hierunter verstanden wird und welche Anforderungen an eine solche Vereinbarung gestellt werden, erfahren Sie im Folgendem.

Was versteht man unter einem Joint Controller Agreement?

Ein Joint Controller Agreement, kurz JCA, bezeichnet eine Vereinbarung über bestimmte Aspekte im Bereich des Datenschutzrechts. Die Besonderheit hierbei ist, dass zwischen den Parteien eine Verbindung durch eine „gemeinsame Verantwortlichkeit“ besteht. Greifen beispielsweise mehrere Unternehmen auf einen Datenpool von personenbezogenen Daten zu, so sind diese gemeinsam für diese Daten verantwortlich. Das darauf bezogene arbeitsteilige Zusammenwirken dieser Verantwortlichen, bezeichnet man als Joint Controllership. Die dahinterstehende Vereinbarung, die bestimmt, wer welche Aufgaben wahrnimmt, ist dann das Joint Controller Agreement.

Eine solche Vereinbarung ermöglicht es, einen normalerweise hohen Arbeitsaufwand gezielt und effektiv zu verteilen. Ein gut ausgestaltetes JCA kann auch beim Thema Risikomanagement Vorteile mit sich bringen.

Bin ich als Unternehmen Verantwortlicher?

Ob man als Verantwortlicher zählt oder nicht, bestimmt sich nach den tatsächlichen Gegebenheiten und kann nicht durch vertragliche Vereinbarung bestimmt werden. Wann jemand als verantwortlich zu sehen ist, ergibt sich aus Art. 26 Datenschutzgrundverordnung (DSGVO):

Art. 26 DSGVO - Gemeinsam Verantwortliche

  • Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

  • Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

  • Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Abzugrenzen ist die Verantwortlichkeit von der reinen Auftragsverarbeitung. Bei einer Auftragsverarbeitung ist das verarbeitende Unternehmen gegenüber dem Auftraggeber weisungsgebunden. Die Verantwortlichkeit liegt sodann beim Auftraggeber. Stehen die Unternehmen jedoch auf einer Stufe und arbeiten gemeinschaftlich mit den Daten, liegt eine gemeinsame Verantwortlichkeit nahe. Diese Situationen sind immer anhand der tatsächlichen Gegebenheiten zu ermitteln. Es ist für die Verantwortlichkeit egal, ob in einem Vertrag eine Bindung an Weisungen geregelt ist, oder nicht. Dies ist lediglich als Indiz zu sehen. Wenn tatsächlich beide Unternehmen weisungsunabhängig agieren, wird einfach auf die tatsächliche Gegebenheit abgestellt. So werden Umgehungsversuche verhindert.

Einer weiteren Abgrenzung bedarf es zu der getrennten Verantwortlichkeit. Eine gemeinsame Verantwortlichkeit liegt nur vor, wenn der Zweck und die Mittel der Datenverarbeitung gemeinsam festgelegt werden. Die Formulierung aus Art. 26 Abs. 1 DSGVO – „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche“ – ist dabei sehr weit formuliert. Bisher gibt es noch keine festen Kriterien, ab wann die Schwelle zu einer gemeinsamen Festlegung überschritten ist. Einige Anhaltspunkte sind der Rechtsprechung des Europäischen Gerichtshofs (EuGH) zu entnehmen. In dieser Rechtsprechung wird es deutlich, dass der EuGH die Verantwortlichkeit sehr weit auslegt und eher geringere Anforderungen an die gemeinsame Festlegung von Mitteln und Zweck stellt. Es soll beispielsweise ausreichen, dass Unternehmen sich über die Mittel einigen und jeweils eigenen Zwecken mit der Datenverarbeitung nachgehen. Es ist für eine gemeinsame Verantwortlichkeit auch nicht erforderlich, dass alle beteiligten im gleichen Umfang Zugriff auf die Daten haben. Im Einzelfall kann es sogar sein, dass jemand gemeinsam verantwortlich ist, obwohl er gar keinen eigenen Zugriff hat und nur mitursächlich für die Datenverarbeitung ist.

Es kann hingegen nicht mehr von einer gemeinsamen Verantwortlichkeit ausgegangen werden, wenn die Zwecke der einzelnen Beteiligten keinen Zusammenhang aufweisen und auch ohne das Mitwirken des anderen erreicht werden können


Regelungen in einem Joint Controller Agreement

Liegt eine gemeinsame Verantwortlichkeit vor, so haben die betroffenen Unternehmen ein JCA zu vereinbaren. Das JCA gestaltet dabei die Umsetzung der gemeinsamen Verantwortlichkeit aus. Es Umrahmt den zu regelnden Bereich und legt fest, wer welchen Aufgaben nachkommen soll. Diese Aufgabenverteilung sollte dabei gut durchdacht sein. Verstößt einer der Verantwortlichen gegen seine Aufgabe und verstößt so gegen datenschutzrechtliche Schutzbestimmungen, kann dies zu Geldbüßen führen. Diese Geldbuße trifft dann nicht den nachlässigen Verantwortlichen allein. Durch die gemeinschaftliche Verantwortlichkeit wird eine gesamtschuldnerische Haftung begründet. Diese Haftung greift dabei nicht nur für Geldbußen, sondern auch für Schadensersatzansprüche aufgrund von Verstößen gegen datenschutzrechtliche Regelungen. Es ist daher von erheblicher Bedeutung, ein gut ausgestaltetes und klar verständliches JCA als Basis der Zusammenarbeit zu haben.

Zu Beachten ist, dass das JCA nur die Zusammenarbeit ausgestaltet, aber regelmäßig keine Rechtsgrundlage für die Verarbeitung von Daten darstellt. Für die rechtmäßige Verarbeitung von Daten gelten weiterhin die allgemeinen Vorschriften, vgl. Art 6 ff. DSGVO.

Inhaltliche Ausgestaltung eines Joint Controller Agreement

Um zu verhindern, dass ein Haftungsfall entsteht, sollte das JCA ordnungsgemäß gestaltet sein. Für ein JCA gibt es dabei zwingende Inhalte und solche, die für die Unternehmen als sinnvolle Vereinbarungen ergänzt werden können.

Zwingende Inhalte für verantwortliche Unternehmen

Bei einem JCA gibt es Inhalte, die zwingend enthalten und ordnungsgemäß geregelt werden müssen. Andernfalls kann es zu einer Geldbuße für die verantwortlichen Unternehmen kommen. Zu diesen zwingenden Inhalten zählen vor allem:

  • Zwecke und Mittel der Verarbeitung
  • Beschreibung der wesentlichen Funktionen und Rollen der gemeinsamen Verantwortlichen
  • Interne Zuständigkeitsverteilung (z.B. Übernahme der Informationspflichten; Einholung der Einwilligungen; Verwaltung von Einwilligungswiderrufe)

Sinnvolle Inhalte für verantwortliche Unternehmen

Eine Vielzahl von individuellen Regelungen kann im Rahmen eines JCA sinnvoll sein, ohne dass diese zwingend sind.

Es kann sich beispielsweise anbieten, im JCA eine klage Abgrenzung zwischen den Daten vorzunehmen, welche in die gemeinsame Verantwortlichkeit fallen, und welche nicht. Wird diese Abgrenzung gut umgesetzt, kann bei einem Datenvorfall sofort ermittelt werden, wen dieser Vorfall genau betrifft. Es kann also Streitigkeit in Haftungsfällen vorbeugen.

Weiter kann sich die Vereinbarung über eine gemeinsame Anlaufstelle für datenschutzrechtliche Angelegenheiten anbieten. So werden Anfragen und Probleme zentral gesammelt und von den dortigen Mitarbeitern an die entsprechenden Stellen weitergeleitet. Für diese Stelle muss dann auch festgelegt werden, an wen welche Fälle weiterzuleiten sind. Dies ist also eine Frage der Prozessoptimierung. Es wird verhindert, dass ungeordnet bei jeder Einzelstelle Anfragen und Probleme auftauchen und jeder Bereich einzeln ermitteln muss, wer eigentlich zuständig ist. Mit einer zentralen Anlaufstelle und gut geschultem Personal, kann dieses Problem schnell gelöst werden.

Um sicherzustellen, dass alle Stellen im gleichen Maße sorgfältig mit den Daten umgehen, kann ein gemeinsamer technischer Standard sowie technisch organisatorische Maßnahmen entwickelt und festgehalten werden. Dies verhindert Streitigkeiten über den konkreten Umgang mit Daten.

Ein weiteres sehr relevantes Thema ist die interne Haftung. Wie bereits dargestellt haften die Verantwortlichen als Gesamtschuldnern. Auch wenn es gesetzliche Regelungen für die Haftung von Gesamtschuldnern untereinander gibt, bietet es sich an Klarheit an dieser Front zu schaffen. Das Datenschutzrecht ist ein Bereich mit einem hohen Haftungsrisiko. Es sollten daher alle möglichen Haftungsszenarien besprochen werden und sich geeinigt werden, wie damit umgegangen werden soll. 


SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.