Liegt bei Pushnachrichten im Shop gemeinsame Verantwortung vor, wenn der Shop die Empfänger mitbestimmt, also nur Kunden mit o2-Vertrag und App-Nutzung?

Antwort vom

**Ja, gemeinsame Verantwortlichkeit liegt hier sehr nahe vor, wenn der Shop nicht nur technisch versendet, sondern die Zielgruppe inhaltlich mitfestlegt – also etwa „nur Kunden mit o2‑Vertrag, die die App nutzen“. Dann bestimmt der Shop einen wesentlichen Teil von Zweck und Mitteln der Verarbeitung mit.** ([edpb.europa.eu](https://www.edpb.europa.eu/sme/learn-the-basics/data-controller-or-data-processor_de)) ## Entscheidend ist nicht der Versand, sondern die Zielgruppenauswahl Nach Art. 26 DSGVO sind zwei Stellen gemeinsam verantwortlich, wenn sie **gemeinsam Zwecke und Mittel** der Verarbeitung festlegen. Genau darauf stellt auch der EDPB ab: Wer mitentscheidet, **warum** Daten verarbeitet werden und **nach welchen Kriterien** Personen ausgewählt werden, ist nicht bloß Auftragsverarbeiter. ([edpb.europa.eu](https://www.edpb.europa.eu/sme/learn-the-basics/data-controller-or-data-processor_de)) Wenn der Shop vorgibt oder mitentscheidet, dass Pushnachrichten nur an **o2‑Vertragskunden mit App-Nutzung** gehen, bestimmt er die Empfängerkreise nicht nur technisch, sondern sachlich. Das ist regelmäßig ein **wesentliches Mittel** der Verarbeitung. ([edpb.europa.eu](https://www.edpb.europa.eu/sme/learn-the-basics/data-controller-or-data-processor_en)) ## Wann es eher keine gemeinsame Verantwortung ist Keine gemeinsame Verantwortlichkeit liegt eher vor, wenn der Shop nur als reiner Dienstleister handelt, also ausschließlich nach Weisung versendet und **keine eigene Entscheidung** über Zielgruppe, Zweck, Segmentierung oder Kampagnenlogik trifft. Dann spricht mehr für **Auftragsverarbeitung nach Art. 28 DSGVO**. ([edpb.europa.eu](https://www.edpb.europa.eu/sme/learn-the-basics/data-controller-or-data-processor_en)) Der praktische Unterschied ist wichtig: „Wir verschicken nur technisch“ reicht nicht als Argument, wenn der Shop tatsächlich die Selektionslogik mitdefiniert. Gerade die Auswahl „nur bestimmte Vertragskunden“ ist datenschutzrechtlich mehr als ein bloßer Versandvorgang. Das ist der Punkt, den viele Standardantworten zu oberflächlich behandeln. ([edpb.europa.eu](https://www.edpb.europa.eu/sme/find-practical-info/faq_sk?page=1)) ## Was daraus konkret folgt Bei gemeinsamer Verantwortlichkeit braucht ihr **eine Vereinbarung nach Art. 26 DSGVO**, in der transparent geregelt ist, wer welche Pflichten erfüllt, insbesondere Information der Betroffenen, Rechtsgrundlage, Wahrnehmung von Betroffenenrechten und Sicherheitsmaßnahmen. Außerdem muss für die Betroffenen klar erkennbar sein, wer wofür zuständig ist. ([edpb.europa.eu](https://www.edpb.europa.eu/sme/learn-the-basics/data-controller-or-data-processor_de)) Kurz gesagt: **Sobald der Shop die Empfänger nicht nur ausführt, sondern anhand eigener oder gemeinsam festgelegter Kriterien mitbestimmt, spricht das deutlich für gemeinsame Verantwortlichkeit – nicht nur für Auftragsverarbeitung.** ([edpb.europa.eu](https://www.edpb.europa.eu/sme/learn-the-basics/data-controller-or-data-processor_de))

Verwandte Fragen

Sind Laden und Smartphone-Hersteller gemeinsame Verantwortliche, wenn ich im Geschäft Push-Angebote erhalte?

Nicht automatisch. Gemeinsame Verantwortlichkeit liegt nur vor, wenn Laden und Hersteller die konkrete Datenverarbeitung für die Push-Angebote gemeinsam über Zweck und wesentliche Mittel bes...

Wer ist für die Platzierung von Kanaldeckeln auf Straßen verantwortlich?

Für die Platzierung von Kanaldeckeln sind in der Regel nicht „Beamte“ persönlich verantwortlich, sondern der jeweilige Straßenbaulastträger und der Betreiber des Kanal...

Wer ist für die Umsetzung von Maßnahmen nach einer Verfahrensverzeichnis-Prüfung verantwortlich, z. B. für die Erstellung eines Löschkonzepts?

Verantwortlich ist grundsätzlich der Verantwortliche im Sinne der DSGVO – also die Stelle bzw. Unternehmensleitung, nicht der Datenschutzbeauftragte. Die praktische Umsetzung einzelner Ma&s...