Zahlreiche Konstellationen, in denen personenbezogene Daten durch mehr als einen Akteur verarbeitet werden, sind jedenfalls seit Wirksamwerden der DSGVO als gemeinsame Verantwortlichkeit einzuordnen. Die ausufernde Rechtsprechung des EuGH hierzu verstärkt diese Tendenz. Viele der v. a. infolge der nicht vollständigen Umsetzung von Art. 2 lit. d RL 95/46/EG im BDSG a. F. bis dato als Auftragsverarbeitung ausgestalteten Prozesse mussten umgestellt werden oder haben diese Umstellung noch vor sich. Die hiergegen oft geäußerten Vorbehalte sind in der Regel unbegründet: Anders als das starre Korsett der Auftragsverarbeitung gestattet die nach Art. 26 Abs. 1 S. 2 DSGVO erforderliche Vereinbarung im Innenverhältnis weitgehende Vertragsautonomie. Umgekehrt geht von Joint-Control-Konstellationen keine Sperrwirkung gegen Weiterverarbeitungen zu nur durch einzelne Verantwortliche verfolgten Zwecken aus, wie dieser Beitrag darstellen wird.
Erhältlich als Kunde oder Kundin des eJournals „PinG Privacy in Germany“ oder direkt kostenpflichtig bestellen über den Link.