Datenverarbeitung in Form einer sogenannten „Gemeinsamen Verantwortlichkeit“ ist dadurch gekennzeichnet, dass zwei oder mehr Unternehmen personenbezogene Daten auf der Grundlage gemeinsam festgelegter Zwecke und gemeinsam festgelegter Mittel verarbeiten.

Ein Beispiel für eine solche gemeinsame Verarbeitung ist die Nutzung einer gemeinsamen Speicherinfrastruktur (z.B. Cloud). Die Verantwortlichen können diese Infrastruktur für die Speicherung unterschiedlicher Datenkategorien nutzen und unterschiedliche Zwecke mit den Daten verfolgen. Solange sie jedoch die Zwecke und Mittel der Verarbeitung gemeinsam festlegen, liegt eine Verarbeitung unter gemeinsamer Verantwortung vor und es muss ein entsprechender Datenschutzvertrag zwischen den Parteien geschlossen werden.

Die Anforderung soll sicherstellen, dass die Trennung moderner Geschäftslösungen nicht zu einem Zustand führt, in dem unklar ist, wer für eine bestimmte Verarbeitungstätigkeit verantwortlich ist. So muss im Vertrag zur gemeinsamen Verantwortlichkeit (Joint Control Agreement) insbesondere geregelt werden, welche Partei welche Datenschutzpflichten übernimmt (z.B. Durchführung einer Datenschutzfolgenabschätzung). Darüber hinaus kann eine sogenannte Anlaufstelle für den Betroffenen definiert werden. Eine Stelle also, an die sich Betroffene wenden können, um ihre Datenschutzrechte gegenüber den Verantwortlichen ausüben (z.B. Auskunftsrecht).

Die wesentlichen Inhalte des Joint Control Agreements müssen den Betroffenen zur Verfügung gestellt werden, was z.B. über eine Website erfolgen kann. In der Datenschutzerklärung sind zudem die für die jeweilige Verarbeitung Verantwortlichen zu benennen (Name, Anschrift, Kontaktdaten).