Der European Data Protection Supervisor (EDPS), die für die Organe und Behörden der EU zuständige Datenschutzbehörde, hat einen Leitfaden zu den Begriffen des Verantwortlichen, des Auftragsverarbeiters und der gemeinsam Verantwortlichen veröffentlicht (EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725). Der Leitfaden bezieht sich auf die Legaldefinition der Verordnung 2018/1725 zum Schutz bei der Verarbeitung von Personendaten durch Organe, Einrichtungen und Stellen der EU, also nicht auf die DSGVO. Die entsprechenden Legaldefinitionen sind aber praktisch wortgleich (mit wenigen Unterschieden, die sich entweder auf den Anwendungsbereich der Verordnung 2018/1725 beziehen oder nicht ins Gewicht fallen).
Inhaltlich findet man aus Sicht privater Verantwortlicher wenig Neues im Leitfaden. Der Leitfaden greift zwar bereits die aktuelle Entscheidung des EuGH i.S. Fashion ID auf, leitet aus ihr aber nichts Überraschendes ab. Deutlich wird aber – erneut -, dass der Anwendungsbereich der gemeinsamen Verantwortlichkeit (sehr) weit gezogen wird.
Hilfreich ist das folgende Flowchart im Leitfaden: