Datenverarbeitung in Form einer sogenannten „Gemeinsamen Verantwortlichkeit“ ist dadurch gekennzeichnet, dass zwei oder mehr Unternehmen personenbezogene Daten auf der Grundlage gemeinsam festgelegter Zwecke und gemeinsam festgelegter Verarbeitungsmaßnahmen verarbeiten.

Ein Beispiel für eine solche gemeinsame Verarbeitung ist die Nutzung einer gemeinsamen Speicherinfrastruktur. Die Verantwortlichen können auf diesem Server unterschiedliche Datenkategorien speichern und unterschiedliche Zwecke mit den Daten verfolgen. Solange sie jedoch gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, liegt eine Verarbeitung unter gemeinsamer Verantwortung vor und es muss ein Vertrag zwischen den Parteien geschlossen werden.

Die Anforderung soll sicherstellen, dass die Trennung moderner Geschäftslösungen nicht zu einem Zustand führt, in dem unklar wird, wer für eine bestimmte Verarbeitungstätigkeit verantwortlich ist. Der Vertrag schafft Klarheit zwischen den verantwortlichen Parteien und ermöglicht eine Zuweisung rechtlich definierter Aufgaben im Hinblick auf die Erfüllung der Rechte der betroffenen Person (z. B. Recht auf Zugang zu personenbezogenen Informationen). Die Offenlegung der wesentlichen Elemente dieses Vertrags gegenüber der betroffenen Person ermöglicht es dieser, die verantwortlichen Parteien zu identifizieren und ihre Anliegen entsprechend vorzubringen.

Im JCA-Vertrag muss insbesondere geregelt werden, welche Partei welche Datenschutzpflichten übernimmt (z.B. Durchführung einer Datenschutzfolgenabschätzung). Darüber hinaus kann eine sogenannte Anlaufstelle für den Betroffenen definiert werden. Eine Stelle also, an die sich Betroffene wenden können, um ihre Datenschutzrechte gegenüber den Verantwortlichen ausüben zu können.

Die wesentlichen Inhalte des JCA-Vertrags müssen den Betroffenen zur Verfügung gestellt werden, was z.B. über eine Website erfolgen kann. In den Datenschutzhinweisen sind zudem die für die jeweilige Verarbeitung Verantwortlichen zu benennen (Name, Anschrift, Kontaktdaten).