EDPS: Leit­fa­den zu den Begrif­fen des Ver­ant­wort­li­chen, des Auf­trags­ver­ar­bei­ters und der gemein­sam Verantwortlichen

Der Euro­pean Data Pro­tec­tion Super­vi­sor (EDPS), die für die Orga­ne und Behör­den der EU zustän­di­ge Daten­schutz­be­hör­de, hat einen Leit­fa­den zu den Begrif­fen des Ver­ant­wort­li­chen, des Auf­trags­ver­ar­bei­ters und der gemein­sam Ver­ant­wort­li­chen ver­öf­fent­licht (EDPS Gui­de­li­nes on the con­cepts of con­trol­ler, pro­ces­sor and joint con­trol­lership under Regu­la­ti­on (EU) 2018/1725). Der Leit­fa­den bezieht sich auf die Legal­de­fi­ni­ti­on der Ver­ord­nung 2018/1725 zum Schutz bei der Ver­ar­bei­tung von Per­so­nen­da­ten durch Orga­ne, Ein­rich­tun­gen und Stel­len der EU, also nicht auf die DSGVO. Die ent­spre­chen­den Legal­de­fi­ni­tio­nen sind aber prak­tisch wort­gleich (mit weni­gen Unter­schie­den, die sich ent­we­der auf den Anwen­dungs­be­reich der Ver­ord­nung 2018/1725 bezie­hen oder nicht ins Gewicht fallen).

Inhalt­lich fin­det man aus Sicht pri­va­ter Ver­ant­wort­li­cher wenig Neu­es im Leit­fa­den. Der Leit­fa­den greift zwar bereits die aktu­el­le Ent­schei­dung des EuGH i.S. Fashion ID auf, lei­tet aus ihr aber nichts Über­ra­schen­des ab. Deut­lich wird aber – erneut -, dass der Anwen­dungs­be­reich der gemein­sa­men Ver­ant­wort­lich­keit (sehr) weit gezo­gen wird.

Hilf­reich ist das fol­gen­de Flow­chart im Leitfaden: