Die zunehmende Diversifizierung des technischen und betrieblichen Know-hows im Geschäftsleben erfordert häufig die Einbeziehung von Dienstleistern oder anderen Kooperationspartnern.

Während bei einigen Geschäftsbeziehungen der Austausch von bloßen Kontaktdaten der Geschäftspartner ausreicht (um die Kommunikation zu ermöglichen), liegt der Schwerpunkt bei anderen Beziehungen auf der Verarbeitung personenbezogener Daten selbst. Dies ist insbesondere dann der Fall, wenn personenbezogene Daten von einem Dienstleister gesammelt, strukturiert und/oder analysiert werden müssen, um Marketing-, Verkaufs- oder andere Bedürfnisse zu erfüllen. Die Speicherkapazität für eine wachsende Menge personenbezogener Daten ist für viele Unternehmen ein weiterer wichtiger Grund, einen Auftragnehmer mit dem Zugriff auf personenbezogene Daten zu betrauen.

Werden solche Dienste nur für den / die Zweck(e) des Auftraggebers erbracht und verbleibt die Hoheit über die Festlegung wesentlicher Verarbeitungsumstände wie Aufbewahrungsfristen, Datenkategorien, betroffene Personen und Zugriffsrechte vertraglich abgesichert beim Auftraggeber, ist die Zusammenarbeit als Auftragsverarbeitung nach Art. 28, 29 DS-GVO einzuordnen. Im Gegensatz dazu ist eine gemeinsame Verantwortlichkeit (wie in Art. 26 DSGVO definiert) dadurch gekennzeichnet, dass beide Partner, nachdem sie sich vertraglich über die wesentlichen Umstände der Verarbeitung geeinigt haben, ihre eigenen Geschäftsziele verfolgen, die nicht identisch sein müssen, aber gemeinsam definiert werden müssen.

Der "gemeinsame Bedeutungshorizont", der sowohl für die Auftraggeber-Auftragnehmer-Beziehung als auch für die gemeinsame Verantwortlichkeit charakteristisch ist, fehlt bei einer getrennten Verantwortlichkeit: Hier können beide Parteien wesentliche Verarbeitungsumstände sowie ihre jeweiligen Zwecke unabhängig vom anderen Partner justieren - die Verarbeitungshorizonte sind nicht miteinander verbunden.

Transferiert das Unternehmen Daten an ein anderes Unternehmen oder Behörde, kann damit ein erhöhtes Risiko für den Betroffenen verbunden sein, da das transferierende Unternehmen mit dem Datentransfer ein Stück Kontrolle über die Datenverarbeitung abgibt. Je länger die „Verarbeitungskette“ – also je mehr (Sub-)Unternehmen an der Datenverarbeitung beteiligt sind – desto größer der Kontrollverlust. Vor diesem Hintergrund schreibt das Gesetz bestimmte Pflichten für unterschiedliche Kooperationskonstellationen vor. Gemäß Art. 28 (3) S. 1 DSGVO erfolgt die Verarbeitung durch einen Dienstleister in der Rolle eines Auftragsverarbeiters "auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind."

Darüber hinaus muss der Vertrag u.a. Regelungen zur Einbindung von Unterauftragsverarbeitern enthalten - Stellen, die nicht vom Auftraggeber, sondern vom Auftragsverarbeiter zur Erreichung der im Auftragsverarbeitungsvertrag festgelegten Zwecke beauftragt werden. Art. 28 (2) DSGVO sieht vor, dass der für die Verarbeitung Verantwortliche solche Unterauftragsverarbeiter entweder ausdrücklich genehmigen muss oder ihm vertraglich die Möglichkeit eingeräumt werden muss, einer beabsichtigten Einschaltung auf Grundlage einer vorausgehenden Benachrichtigung des Auftragsverarbeiters zu widersprechen.

Nicht zuletzt darf der Auftragsverarbeiter gemäß Art. 29 DSGVO "ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind".

Auch die Parteien einer gemeinsamen Kontrollstelle müssen eine Vereinbarung schließen, um "in transparenter Form fest[zulegen], wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt" (Art. 26 Abs. 1 S. 2 DSGVO).

Art. 26 (3) stellt klar, dass die betroffene Person unabhängig von der Rollenbeschreibung in der Vereinbarung "ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen." In diesem Punkt unterscheidet sich die gemeinsame Verantwortlichkeit nicht von der getrennten Verantwortlichkeit, bei der, ander als bei der Auftragsverarbeitung und der gemeinsamen Verantwortlichkeit, gesetzlich keine speziellen Datenschutzregelungen erforderlich sind, auch wenn sie aus organisatorischer Sicht empfehlenswert sind.

Das für die Verarbeitung verantwortliche Unternehmen muss zunächst ermitteln, welche der drei oben beschriebenen Verarbeitungskonstellationen vorliegt. Liegt eine Auftragsverarbeitung oder eine Gemeinsame Verantwortlichkeit vor, muss ein Datenschutzvertrag mit dem Kooperationspartner abgeschlossen werden. Darüber hinaus ist ggf. die Umsetzung technischer und/ oder organisatorischer Maßnahmen erforderlich.