- EDPS hat einen Leitfaden zu den Begriffen Verantwortlicher, Auftragsverarbeiter und gemeinsam Verantwortliche veröffentlicht.
- Leitfaden bezieht sich auf Verordnung (EU) 2018/1725 für EU‑Organe, nicht direkt auf die DSGVO.
- Begriffsdefinitionen sind praktisch wortgleich mit der DSGVO, Unterschiede betreffen hauptsächlich Anwendungsbereich.
- Leitfaden betont weiten Anwendungsbereich gemeinsamer Verantwortlichkeit und integriert die Fashion‑ID‑Entscheidung des EuGH.
Der European Data Protection Supervisor (EDPS), die für die Organe und Behörden der EU zuständige Datenschutzbehörde, hat einen Leitfaden zu den Begriffen des Verantwortlichen, des Auftragsverarbeiters und der gemeinsam Verantwortlichen veröffentlicht (EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725). Der Leitfaden bezieht sich auf die Legaldefinition der Verordnung 2018/1725 zum Schutz bei der Verarbeitung von Personendaten durch Organe, Einrichtungen und Stellen der EU, also nicht auf die DSGVO. Die entsprechenden Legaldefinitionen sind aber praktisch wortgleich (mit wenigen Unterschieden, die sich entweder auf den Anwendungsbereich der Verordnung 2018/1725 beziehen oder nicht ins Gewicht fallen).
Inhaltlich findet man aus Sicht privater Verantwortlicher wenig Neues im Leitfaden. Der Leitfaden greift zwar bereits die aktuelle Entscheidung des EuGH i.S. Fashion ID auf, leitet aus ihr aber nichts Überraschendes ab. Deutlich wird aber – erneut -, dass der Anwendungsbereich der gemeinsamen Verantwortlichkeit (sehr) weit gezogen wird.
Hilfreich ist das folgende Flowchart im Leitfaden:
