Der Beitrag ordnet die EuGH-Linie zur gemeinsamen Verantwortlichkeit ein und zeigt, warum Rollenfragen im Datenschutz nicht nur bei Plattformen, Plugins und Branchenstandards, sondern in vielen arbeitsteiligen Datenarchitekturen unterschätzt werden. Die vertiefte Einordnung der dogmatischen Grundlagen und der praktischen Anschlussfragen liegt im Datenschutzrecht.
Worum es hier im Kern geht
- Rechtsfrage: Wann bestimmen mehrere Akteure Zwecke oder Mittel einer Verarbeitung so, dass Art. 26 DSGVO eingreift?
- Praxisrelevanz: Die Abgrenzung zu Auftragsverarbeitung, Plattformbetrieb, Website-Plugins, Tool-Set-ups und Standardrahmen entscheidet über Informationspflichten, Zuständigkeiten und Haftungsrisiken.
- Mehrwert dieses Beitrags: Der Text bündelt die maßgeblichen EuGH-Entscheidungen in einer Linie und macht die Tragweite für operative Rollenprüfungen schneller erfassbar.
Das Wichtigste in Kürze
- Gemeinsame Verantwortlichkeit setzt keinen identischen Datenzugriff und keine gleich starke Beteiligung aller Akteure voraus.
- Maßgeblich ist, ob sich Entscheidungen mehrerer Stellen bei Zwecken oder Mitteln der Verarbeitung konkret ergänzen und die Verarbeitung dadurch mitprägen.
- Ein Joint Controller Agreement ist rechtlich wichtig, aber nicht konstitutiv für das Entstehen gemeinsamer Verantwortlichkeit.
- Für Plattformen, Drittinhalte, Frameworks und arbeitsteilige Set-ups zählt deshalb die tatsächliche Rollenrealität mehr als die Vertragsüberschrift.
Stand April 2026
Der Kern des Beitrags bleibt tragfähig: Für gemeinsame Verantwortlichkeit kommt es weiterhin auf tatsächlichen Einfluss auf Zwecke und Mittel der Verarbeitung an, nicht auf identischen Datenzugriff aller Beteiligten.
Neu hinzugekommen ist mit dem EuGH-Urteil Russmedia vom 02.12.2025, dass diese Linie auch Betreiber von Online-Marktplätzen besonders deutlich trifft, wenn sie durch Plattformdesign, Veröffentlichungsparameter und Verbreitungslogik die Veröffentlichung personenbezogener Daten mitprägen. In solchen Konstellationen rücken technische und organisatorische Maßnahmen schon vor der Veröffentlichung in den Vordergrund.
Für die Praxis heißt das: Rollenfragen stellen sich nicht nur bei Fanpages, Plugins oder Consent-Frameworks, sondern ebenso bei Plattformen, Nutzeranzeigen, eingebetteten Drittinhalten und anderen Set-ups, in denen mehrere Stellen eine Verarbeitung arbeitsteilig sichtbar prägen.
Auch die Datenschutzkonferenz hat diese weite Betrachtung 2024 in ihrer Orientierungshilfe zu KI und Datenschutz aufgegriffen: Ergänzende Entscheidungen mehrerer Stellen können für gemeinsame Verantwortlichkeit genügen, wenn beide Seiten die Zwecke oder Mittel spürbar mitbestimmen.
EuGH Entscheidungen zur DSGVO und gemeinsamen Verantwortlichkeit
Datenschutzrecht. Die Datenschutz-Grundverordnung (DSGVO) ist am 24. Mai 2016 in Kraft getreten. Sie beansprucht seit dem 25. Mai 2018 in der gesamten Europäischen Union (EU) Geltung. Die Rechtsfigur der sog. gemeinsamen Verantwortlichkeit gewinnt seitdem immer mehr an Bedeutung. Das zeigt eine Reihe von Rechtsprechungen des Gerichtshofs der Europäischen Union (EuGH).
Gemäß Artikel (Art.) 26 Absatz (Abs.) 1 Satz 1 DSGVO sind die Parteien dann gemeinsam Verantwortliche, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Die Festlegung erfolgt durch eine Vereinbarung in transparenter Form (Joint Control Agreement – JCA). Die EuGH-Rechtsprechung vertritt eine weite Auslegung des Begriffs, sodass jede verarbeitende Stelle ihre Verarbeitungstätigkeiten auf den Prüfstand stellen sollte. Denn: Als verarbeitende Stelle kommen sowohl Unternehmen als auch Verbraucher in Betracht.
Fehlt es an einer ausreichenden Vereinbarung bei einer faktisch vorliegenden gemeinsamen Verantwortlichkeit, droht ein Bußgeld.
Von der gemeinsamen Verantwortlichkeit abzugrenzen ist die Auftragsverarbeitung (Auftragsverarbeitungsvertrag - AVV). Im Unterschied zum Verantwortlichen entscheidet der Auftragsverarbeiter nicht selbst über die Mittel und Zwecke der Datenverarbeitung, sondern setzt lediglich die Weisungen des Verantwortlichen um. Entscheidungskriterium für die Abgrenzung zwischen der Auftragsverarbeitung und der Verantwortlichkeit ist, ob der jeweilige Akteur einen bestimmenden Einfluss auf die elementaren Elemente der Datenverarbeitung hat.
Im heutigen Beitrag beschäftigen wir uns mit sechs aktuellen Rechtsprechungen des EuGH, um die Rechtsfigur der gemeinsamen Verantwortlichkeit und deren Praxisrelevanz zu erläutern. Die ersten drei älteren Entscheidungen setzen die Grundsteine für die Festlegung des Begriffs „gemeinsame Verantwortlichkeit“. Mit den drei aktuelleren Entscheidungen kommen neue Anhaltspunkte dazu, wann eine gemeinsame Verantwortlichkeit vorliegt.
Die weite Auslegung des Begriffs erfordert mehr Sorgfalt für Unternehmen im Datenverkehr und Vorsicht vor der leichtfertigen Annahme einer Auftragsverarbeitung zwischen Datenverarbeitern.
Tief durchatmen! Und los geht's:
1. Wirtschaftsakademie („Facebook-Fanpages“; EuGH Urt. v. 5.6.2018 – C-210/16)
Der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie erstellt seine Fanpage entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten. Dadurch ist er an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die von Facebook angebotenen Dienstleistungen in Anspruch zu nehmen, befreit ihn nicht von der Beachtung seiner Verpflichtungen im Bereich des personenbezogenen Datenschutzes (C-210/16, Rn. 39).
Für die Annahme einer gemeinsamen Verantwortlichkeit genügt demnach die kausale Ermöglichung der Datenverarbeitung durch einen Akteur. Die Beteiligung an der Entscheidung eines anderen über die Zwecke sowie Mittel der Datenverarbeitung sei bereits beim Zulassen einer Parametrierung (z.B. in Form der Modifizierung von Einstellungen zu bestimmten Zielgruppen) gegeben. Nicht alle Verantwortlichen müssen überhaupt Zugang zu den personenbezogenen Daten haben.
2. Zeugen Jehovas (EuGH Urt. v. 10.7.2018 – C-25/17)
Eine Religionsgemeinschaft kann gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitungen personenbezogener Daten angesehen werden, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgen. Die Verkündigungstätigkeit wird von der Gemeinschaft organisiert und koordiniert, zu der die Mitglieder ermuntert werden, ohne dass die Gemeinschaft Zugriff auf diese Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu diesen Datenverarbeitungen gegeben hat (C-25/17, Rn. 75).
Es ist also nicht erforderlich, dass alle Verantwortlichen in gleicher Weise und gleichem Umfang Beiträge zur fraglichen Datenverarbeitung leisten. Ein Eigeninteresse an der Mitwirkung an der konkreten Verarbeitung reicht hierfür aus. Es bedarf auch keiner Anleitung oder Anweisung, um einen derartigen Einfluss auf die Verarbeitung anzunehmen, der eine gemeinsame Verantwortung begründet.
3. Fashion ID (EuGH Urt. v. 29.7.2019 – C-40/17)
Der Betreiber einer Website wie Fashion ID, der in diese Website ein Social Plugin („Gefällt mir“-Button von Facebook) einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters diese Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher angesehen werden (C-40/17, Rn. 85).
Mit dem Urteil bestätigt der EuGH die beiden vorgenannten Entscheidungen dahingehend, dass es für eine gemeinsame Verantwortlichkeit ausreicht, wenn ein gewisser Einfluss auf und eine gewisse Mitwirkung an der Entscheidung über die Zwecke oder Mittel der Datenverarbeitung bejaht werden kann und bei der Datenverarbeitung übereinstimmende eigene Interessen verfolgt werden. Es ist nicht mehr erforderlich, einen Zugriff auf die Daten zu haben und die Beiträge können dann auch in unterschiedlichen Phasen erfolgen und müssen nicht gleichwertig sein.
4. Nacionalinis visuomenės sveikatos centras (“Fashion ID 2.0”; EuGH Urt. v. 5.12.2023 – C-683/21)
Eine Partei, die ein Unternehmen mit der Entwicklung einer mobilen IT-Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der mittels der Anwendung erfolgenden Verarbeitung personenbezogener Daten mitgewirkt hat, kann als für die Verarbeitung Verantwortliche angesehen werden. Das ist auch der Fall, wenn die beauftragende Partei selbst keine Verarbeitung personenbezogener Daten vornimmt, keine ausdrückliche Einwilligung in die Durchführung der konkreten Verarbeitungsvorgänge oder in die Bereitstellung der mobilen Anwendung für die Öffentlichkeit erteilt und die mobile Anwendung nicht erworben hat (C-683/21, Rn. 127).
Danach genügt also bereits die rein tatsächliche Veranlassung eines anderen Akteurs zur Datenverarbeitung, um einen Beitrag zur Entscheidung über die Zwecke und Mittel zu bejahen:
„Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO sind dahin auszulegen, dass die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.“
Sprich: datenschutzrechtliche Vertragswerke, egal ob AVV oder JCA, wirken nicht konstitutiv. Die tatsächlichen Umstände der Datenverarbeitung sind entscheidend, die allein maßgeblich für die datenschutzrechtliche Rollenkonstellation sind.
5. Moniteur belge (EuGH Urt. v. 11.1.2024 – C-231/22)
In dem Urteil führt der EuGH aus, unter welchen Voraussetzungen ein Datenverarbeiter, der nicht selbst über die Mittel und Zwecke der von ihm vorgenommenen Datenverarbeitung entscheiden kann, aufgrund einer Vorgabe der Zwecke und Mittel dieser Datenverarbeitung durch nationales Recht (dennoch) als insoweit Verantwortlicher im Sinne des Art. 4 Nr. 7 2. Hs DSGVO anzusehen ist (C-231/22, Rn. 30, 49). Der EuGH überträgt damit seine Rechtsprechung zur privatautonomen Zweck/Mittelfestlegung auf die gesetzliche Vorzeichnung von Zweck und Mittel.
6. IAB Europe (EuGH Urt. v. 7.3.2024 – C-604/22)
IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien. Der Verband vertritt Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene. Mitglieder des Verbands sind sowohl Unternehmen dieses Sektors als auch nationale Verbände, darunter die nationale IAB (Interactive Advertising Bureaus).
IAB Europe entwickelte das Transparency & Consent Framework (TCF), das einen Regelungsrahmen darstellt, der aus Richtlinien, Anweisungen, technischen Spezifikationen, Protokollen und vertraglichen Verpflichtungen besteht, die es den Mitgliedern ermöglichen, personenbezogene Daten eines Nutzers einer Website oder Anwendung rechtmäßig zu verarbeiten.
Neben Äußerungen zum Personenbezug des streitgegenständlichen „Transparency & Consent Framework“ (TCF) stellt der EuGH in seinem Urteil fest, dass das TCF ein Rahmen für die Mitglieder des IAB Europe und technische Spezifikationen vorgebe, die das Einholen einer Einwilligung und die Erhebung und Bearbeitung weiterer Daten beeinflusse. Daher sei davon auszugehen, dass IAB Europe aus Eigeninteresse auf die Verarbeitung Einfluss nehme und damit gemeinsam mit seinen Mitgliedern auch die Mittel festlege – also von gemeinsamer Verantwortlichkeit im Sinne des Art. 26 DSGVO (C-604/22, Rn. 172).
Zudem bestätigt der EuGH neuerlich, dass jeder einzelne der Verantwortlichen für sich genommen die Definition des “Verantwortlichen” erfüllen muss, dabei ist ein Zugang zu den personenbezogenen Daten jedoch nicht erforderlich, solange sich die Entscheidungen der zusammenwirkenden Akteure jeweils auf die Zwecke und Mittel der Verarbeitung auswirken (C-604/22, Rn. 122):
„Die Mitwirkung an der Entscheidung über die Zwecke und Mittel der Verarbeitung kann verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen solcher Einrichtungen ergeben. In letzterem Fall müssen sich diese Entscheidungen in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und mittel auswirkt.“
Auswirkungen auf die Praxis
Durch die Rechtsprechungsreihe macht der EuGH deutlich, dass der Anwendungsbereich für eine gemeinsame Verantwortlichkeit sehr weit reicht. Die korrekte Einordnung einer Beteiligung an einer Verarbeitung wird dadurch problematisch, dass der Gerichtshof geringe Anforderungen an den tatsächlichen Beitrag zu einer Entscheidung über die Mittel und Zwecke einer Verarbeitung stellt. Für eine solche weite Auslegung spricht das Interesse des Gesetzgebers, für die betroffenen Personen keine Schutzlücken entstehen zu lassen.
Es empfiehlt sich sowohl für Unternehmen und auch Verbraucher in drei Schritten vorzugehen:
- Der Verantwortliche bestimmt seine eigene Rolle im Rahmen der zu prüfenden Verarbeitungstätigkeit.
- Der Verantwortliche bestimmt die Rollen etwaiger weiterer Beteiligter an der Datenverarbeitung je nach Phase der Datenverarbeitung.
- Besteht gemeinsame Verantwortlichkeit, sind die Verpflichtungen nach der DSGVO, bezogen auf die tatsächlichen Funktionen und Beziehungen gegenüber den betroffenen Personen, festzulegen.
Welche Inhalte gehören in das Joint Controller Agreement?
Zwingende Inhalte:
Die Zwecke und Mittel der Verarbeitung müssen in der Vereinbarung mit enthalten sein. Ebenso wie die Beschreibung der wesentlichen Funktionen und Rollen der gemeinsamen Verantwortlichen. Dazu kommt die interne Zuständigkeitsverteilung, insbesondere die Frage, wer die Informationspflichten erfüllt, Einwilligungen einholt, Einwilligungswiderrufe umsetzt und beantwortet, usw. Darüber hinaus sollen die weiteren Betroffenenrechte klaren Zuständigkeiten unterliegen.
Sinnvolle Inhalte:
Es ist sinnvoll, Gegenstand, Art und Umfang der Datenverarbeitungen noch einmal genauer und konkreter zu beschreiben. Eine gemeinsame Anlaufstelle kann vereinbart werden. Des Weiteren ist es hilfreich, gemeinsame technische Standards und technische und organisatorische Maßnahmen festzulegen.
In einem zweiten Blog-Teil werden wir das Thema „Abgrenzung zwischen der Auftragsverarbeitung und der gemeinsamen Verantwortlichkeit“ erläutern.
Was davon heute fortgilt
Die Rollenbestimmung folgt der realen Verarbeitung, nicht der bloßen Überschrift eines Vertragsdokuments.
Auch ohne identischen Zugang zu personenbezogenen Daten kann gemeinsame Verantwortlichkeit vorliegen.
Dieselbe Zusammenarbeit kann je nach Verarbeitungsschritt unterschiedlich einzuordnen sein.
Besonders risikoreich sind Set-ups mit Drittinhalten, Nutzeranzeigen, Frameworks und ausdifferenzierten Veröffentlichungsparametern.
Worauf es jetzt praktisch ankommt
- Rollen nicht pauschal unterstellen: Ob AVV oder Joint Control vorliegt, entscheidet sich an tatsächlichem Einfluss auf Zwecke und Mittel.
- Verarbeitungsschritte trennen: Erhebung, Übermittlung, Veröffentlichung, Auswertung und spätere Weiterverarbeitung können unterschiedlich zugeordnet sein.
- Art. 26 DSGVO funktionsbezogen umsetzen: Zuständigkeiten für Informationspflichten, Betroffenenrechte, Rechtsgrundlagen, Sicherheitsmaßnahmen und Kommunikation müssen sauber verteilt sein.
Weiterführend für einen besonders praxisnahen Spezialfall
Wer den Themenstrang aus Wirtschaftsakademie operativ weiterdenken will, findet eine spezialisierte Anschlussbetrachtung hier: DSGVO: Aktueller Stand Facebook Fanpages und Betreiberpflichten.
Kurze FAQ
Braucht gemeinsame Verantwortlichkeit immer ein Joint Controller Agreement?
Nein. Gemeinsame Verantwortlichkeit kann bereits aufgrund der tatsächlichen Rollenverteilung bestehen. Das Joint Controller Agreement ist dann Pflichtfolge von Art. 26 DSGVO, nicht Entstehungsvoraussetzung.
Muss jeder Beteiligte Zugriff auf die personenbezogenen Daten haben?
Nein. Die EuGH-Rechtsprechung lässt gemeinsame Verantwortlichkeit auch dann zu, wenn nicht alle Beteiligten denselben Datenzugriff haben, ihre Entscheidungen die Zwecke oder Mittel der Verarbeitung aber konkret mitprägen.
Wann spricht mehr für Auftragsverarbeitung als für Joint Control?
Eher dann, wenn der eingesetzte Dienstleister die Verarbeitung weisungsgebunden für fremde Zwecke ausführt und keinen eigenen bestimmenden Einfluss auf die elementaren Zwecke und Mittel der Verarbeitung ausübt.
Offizielle Quellen und Hinweise
- DSGVO, insbesondere Art. 4 Nr. 7 und Art. 26
- EDPB Guidelines 07/2020 zu Verantwortlichem und Auftragsverarbeiter
- Datenschutzkonferenz, Kurzpapier Nr. 16 zur gemeinsamen Verantwortlichkeit
- Datenschutzkonferenz, Orientierungshilfe KI und Datenschutz vom 06.05.2024
- EuGH, C-210/16 – Wirtschaftsakademie
- EuGH, C-25/17 – Zeugen Jehovas
- EuGH, C-40/17 – Fashion ID
- EuGH, C-683/21 – Nacionalinis visuomenės sveikatos centras
- EuGH, C-231/22 – Moniteur belge
- EuGH, C-604/22 – IAB Europe
- EuGH, C-492/23 – Russmedia
Zuständige Rechtsanwälte bei ITMR
Bei Fragen zur Rollenbestimmung, zu Joint Controller Agreements, Plattform-Set-ups oder zur Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit sind bei ITMR insbesondere diese anwaltlichen Profile fachlich naheliegend:
Partner · Fachanwalt für IT-Recht · CIPP/E · CIPM · Externer Datenschutzbeauftragter [TÜV]
Partner · Fachanwalt für IT-Recht · Externer Datenschutzbeauftragter · verfahrensnahe Erfahrung in datenschutzbezogenen Konfliktlagen