Art. 26 Abs. 1 Satz 2 DSGVO sieht vor, dass gemeinsam Verantwortliche in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtungen gemäß der Datenschutz-Grundverordnung erfüllt.
Gemeinsam Verantwortliche müssen also festlegen, „wer was tut“, indem sie untereinander entscheiden, wer welche Aufgaben auszuführen hat, um sicherzustellen, dass die Verarbeitung den geltenden Verpflichtungen aus der DSGVO in Bezug auf die betreffende gemeinsame Verarbeitung entspricht. Mit anderen Worten: Es ist eine Aufteilung der Verantwortlichkeiten für die Einhaltung der Vorschriften vorzunehmen, wie sie sich aus der Verwendung des Begriffs jeweilige in Art. 26 Abs. 1 ergibt. Dies schließt nicht aus, dass das Unionsrecht oder das Recht der Mitgliedstaaten bereits bestimmte Zuständigkeiten für jeden der gemeinsam Verantwortlichen festlegen kann. Ist dies der Fall, sollte in der Vereinbarung der gemeinsam Verantwortlichen auch auf alle zusätzlichen Zuständigkeiten eingegangen werden, die erforderlich sind, um die Einhaltung der DSGVO sicherzustellen, die nicht in den Rechtsvorschriften geregelt sind.
Mit diesen Vorschriften soll sichergestellt werden, dass in Fällen, an denen mehrere Akteure beteiligt sind, insbesondere in komplexen Datenverarbeitungsumgebungen, die Verantwortung für die Einhaltung der Datenschutzvorschriften eindeutig zugewiesen wird, um zu vermeiden, dass der Schutz personenbezogener Daten eingeschränkt wird oder dass ein negativer Zuständigkeitskonflikt zu Schlupflöchern führt, bei denen bestimmte Verpflichtungen von den an der Verarbeitung beteiligten Parteien nicht eingehalten werden.
Die Rechtsform der Vereinbarung zwischen gemeinsam Verantwortlichen ist in der DSGVO nicht spezifiziert. Daher steht es den gemeinsam Verantwortlichen frei, sich auf die Form der Vereinbarung zu einigen. Im Interesse der Rechtssicherheit und zur Gewährleistung von Transparenz und Rechenschaftspflicht empfiehlt der Europäische Datenschutzausschuss (EDSA) aber, eine solche Vereinbarung in Form eines verbindlichen Dokuments wie eines Vertrags oder eines anderen verbindlichen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem die Verantwortlichen unterliegen, zu treffen. Dies schafft Sicherheit und kann für den Nachweis von Transparenz und die Rechenschaftspflicht genutzt werden. Wird nämlich die in der Vereinbarung niedergelegte Zuweisung nicht respektiert, kann ein Verantwortlicher aufgrund des verbindlichen Charakters der Vereinbarung die Haftung des anderen Verantwortlichen für das, was in der Vereinbarung als in dessen Zuständigkeitsbereich fallend festgelegt ist, geltend machen. Ebenfalls im Einklang mit dem Grundsatz der Rechenschaftspflicht ermöglicht es die Verwendung eines Vertrags oder eines anderen Rechtsinstruments den gemeinsam Verantwortlichen nachzuweisen, dass sie die ihnen durch die DSGVO auferlegten Verpflichtungen erfüllen.
Darüber hinaus ist die Vereinbarung über die Aufteilung der Zuständigkeiten für jeden der gemeinsam Verantwortlichen verbindlich. Sie vereinbaren und verpflichten sich gegenseitig, für die Erfüllung der jeweiligen Verpflichtungen, die in ihrer Vereinbarung als ihre Verantwortung festgelegt sind, verantwortlich zu sein.
Die Vereinbarung trägt den jeweiligen Rollen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend Rechnung, und der Wesensgehalt der Vereinbarung wird der betroffenen Person zur Verfügung gestellt (siehe Art. 26 Abs. 2 DSGVO).
Die Art und Weise, wie die Zuständigkeiten, d. h. die Aufgaben, zwischen den einzelnen gemeinsam für die Verarbeitung Verantwortlichen aufgeteilt werden, muss in der Vereinbarung in einer klaren und einfachen Sprache angegeben werden. Diese Anforderung ist wichtig, da sie Rechtssicherheit gewährleistet und mögliche Konflikte nicht nur in Bezug auf die Beziehungen zwischen den gemeinsam Verantwortlichen, sondern auch gegenüber den betroffenen Personen und den Datenschutzbehörden verhindert.
Eine entsprechende Vereinbarung hindert allerdings die betroffene Person nicht, ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend zu machen (siehe Art. 26 Abs. 3 DSGVO).
Weder in Bezug auf die Frage der Einstufung der Parteien als gemeinsam Verantwortliche noch auf die benannte Kontaktstelle sind die Aufsichtsbehörden an die Bedingungen der Vereinbarung gebunden.
