Die zunehmende Diversifizierung des technischen und betrieblichen Know-hows im Geschäftsleben erfordert zunehmend die Einbeziehung von Dienstleistern oder anderen Kooperationspartnern in die Verarbeitung von Kunden- oder Mitarbeiterdaten.

Während bei einigen Geschäftsbeziehungen der Austausch von bloßen Kontaktdaten der Geschäftspartner ausreicht (um die Kommunikation zu ermöglichen), liegt der Schwerpunkt bei anderen Beziehungen auf der Verarbeitung personenbezogener Daten selbst. Dies ist insbesondere dann der Fall, wenn personenbezogene Daten von einem Dienstleister gesammelt, strukturiert und/oder analysiert werden müssen, um Marketing-, Verkaufs- oder andere Bedürfnisse zu erfüllen. Die Speicherkapazität für eine wachsende Menge personenbezogener Daten ist für viele Unternehmen ein weiterer wichtiger Grund, einen Auftragnehmer mit der Verarbeitung von personenbezogenen Daten zu betrauen.

Werden solche Dienste nur für den / die Zweck(e) des Auftraggebers erbracht und verbleibt die Hoheit über die Festlegung wesentlicher Verarbeitungsumstände (wie z.B. Aufbewahrungsfristen, Datenkategorien, betroffene Personen und Zugriffsrechte) vertraglich abgesichert beim Auftraggeber, ist die Zusammenarbeit als sogenannte Auftragsverarbeitung nach Art. 28, 29 DSGVO einzuordnen.

Im Gegensatz dazu ist eine gemeinsame Verantwortlichkeit (wie in Art. 26 DSGVO definiert) dadurch gekennzeichnet, dass beide Partner ihre eigenen Geschäftsziele verfolgen, nachdem sie sich vertraglich auf die wesentlichen Umstände der Verarbeitung geeinigt haben. Die jeweiligen Verarbeitungsziele der Kooperationspartner müssen dabei nicht identisch sein, solange sie gemeinsam definiert wurden.

Der "gemeinsame Bedeutungshorizont", der sowohl für die Auftraggeber-Auftragnehmer-Beziehung als auch für die gemeinsame Verantwortlichkeit charakteristisch ist, fehlt bei einer getrennten Verantwortlichkeit: Hier können beide Parteien wesentliche Verarbeitungsumstände sowie ihre jeweiligen Zwecke unabhängig vom anderen Partner justieren - die Verarbeitungshorizonte sind nicht miteinander verbunden.

Gemäß Art. 28 (3) S. 1 DSGVO erfolgt die Verarbeitung durch einen Dienstleister in der Rolle eines Auftragsverarbeiters "auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind."

Transferiert das Unternehmen Daten an ein anderes Unternehmen, kann damit ein erhöhtes Risiko für den Betroffenen verbunden sein, da das transferierende Unternehmen mit dem Datentransfer ein Stück Kontrolle über die Datenverarbeitung abgibt. Je länger die „Verarbeitungskette“ – also je mehr (Sub-)Unternehmen an der Datenverarbeitung beteiligt sind – desto größer der Kontrollverlust. Vor diesem Hintergrund schreibt das Gesetz vor, dass der Vertrag u.a. Regelungen zur Einbindung von Unterauftragsverarbeitern enthält - Stellen, die nicht vom Auftraggeber, sondern vom Auftragsverarbeiter zur Erreichung der im Auftragsverarbeitungsvertrag festgelegten Zwecke beauftragt werden. Art. 28 (2) DSGVO sieht vor, dass der Verantwortliche solche Unterauftragsverarbeiter entweder ausdrücklich genehmigen muss oder ihm vertraglich die Möglichkeit eingeräumt wird, einer beabsichtigten Einschaltung auf Grundlage einer vorausgehenden Benachrichtigung des Auftragsverarbeiters zu widersprechen.

Nicht zuletzt darf der Auftragsverarbeiter gemäß Art. 29 DSGVO Daten "ausschließlich auf Weisung des Verantwortlichen verarbeiten", es sei denn, dass er nach dem EU-Recht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

Auch die Parteien einer gemeinsamen Verantwortlichkeit müssen eine Vereinbarung schließen, um "in transparenter Form fest[zulegen], wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt" (Art. 26 Abs. 1 S. 2 DSGVO).

Art. 26 (3) stellt klar, dass die betroffene Person unabhängig von der Rollenbeschreibung in der Vereinbarung "ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen" kann. In diesem Punkt unterscheidet sich die gemeinsame Verantwortlichkeit nicht von der getrennten Verantwortlichkeit, bei der, anders als bei der Auftragsverarbeitung und der gemeinsamen Verantwortlichkeit, gesetzlich keine speziellen Datenschutzregelungen erforderlich sind, auch wenn diese aus organisatorischer Sicht empfehlenswert sind.

Das für die Verarbeitung verantwortliche Unternehmen muss zunächst ermitteln, welche der drei oben beschriebenen Verarbeitungskonstellationen vorliegt. Liegt eine Auftragsverarbeitung oder eine Gemeinsame Verantwortlichkeit vor, muss ein Datenschutzvertrag mit dem Kooperationspartner abgeschlossen werden. Darüber hinaus ist ggf. die Umsetzung technischer und/ oder organisatorischer Maßnahmen erforderlich.