Sind Laden und Smartphone-Hersteller gemeinsame Verantwortliche, wenn ich im Geschäft Push-Angebote erhalte?

Antwort vom

**Nicht automatisch. Gemeinsame Verantwortlichkeit liegt nur vor, wenn Laden und Hersteller die konkrete Datenverarbeitung für die Push-Angebote gemeinsam über Zweck und wesentliche Mittel bestimmen; oft ist das nur teilweise oder gar nicht der Fall.** ([edpb.europa.eu](https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de)) ## Entscheidend ist nicht die Push-Nachricht, sondern wer was steuert Gemeinsame Verantwortliche nach Art. 26 DSGVO sind zwei Stellen nur dann, wenn sie **gemeinsam** über das „Warum“ und die wesentlichen Punkte des „Wie“ der Verarbeitung entscheiden. Dass beide wirtschaftlich profitieren, reicht dafür nicht. Genau darauf stellt der EDSA ab. ([edpb.europa.eu](https://www.edpb.europa.eu/sme/learn-the-basics/data-controller-or-data-processor_de)) Bei In-Store-Angeboten gibt es deshalb **kein Ja/Nein für alle Fälle**, sondern meist drei Konstellationen: ## Wann eher gemeinsame Verantwortlichkeit vorliegt Wenn der Laden und der Smartphone-Hersteller oder Plattformbetreiber das System so verzahnen, dass beide die Ausspielung der Angebote mitprägen, spricht viel für gemeinsame Verantwortlichkeit – etwa wenn sie gemeinsam festlegen: - welche Kundendaten genutzt werden, - nach welchen Standort- oder Verhaltenssignalen Angebote erscheinen, - welche Nutzergruppen angesprochen werden, - wie Erfolgsmessung und Profilbildung erfolgen. ([edpb.europa.eu](https://www.edpb.europa.eu/sme/find-practical-info/faq_de?page=1)) Der wichtige Punkt: Gemeinsame Verantwortlichkeit kann sich auch **nur auf einen Teil der Verarbeitung** beziehen, nicht zwingend auf alles. Der EuGH hat das bei ähnlichen Konstellationen klar begrenzt: gemeinsame Verantwortung kann für **Erhebung und Übermittlung** bestehen, aber nicht automatisch für jede spätere Weiterverarbeitung durch den anderen Beteiligten. ([curia.europa.eu](https://curia.europa.eu/site/upload/docs/application/pdf/2019-07/cp190099en.pdf)) ## Wann eher keine gemeinsame Verantwortlichkeit vorliegt Wenn der Hersteller nur das Betriebssystem oder den Push-Dienst technisch bereitstellt und der Laden allein entscheidet, **welche** Angebote **wann** an **wen** gehen, ist der Hersteller nicht schon deshalb gemeinsamer Verantwortlicher. Dann ist der Laden eher eigener Verantwortlicher, während der Hersteller je nach Ausgestaltung eigener Verantwortlicher für seine eigene Infrastruktur oder bloß ein separater Akteur für einen anderen Verarbeitungsschritt ist. ([edpb.europa.eu](https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de)) Umgekehrt gilt auch: Wenn der Hersteller eigene Zwecke verfolgt, etwa eigene Werbeprofile, Analytics oder plattformweite Personalisierung, dann ist er dafür oft **eigenständig** verantwortlich – nicht automatisch gemeinsam mit dem Laden. ([curia.europa.eu](https://curia.europa.eu/site/upload/docs/application/pdf/2019-07/cp190099en.pdf)) ## Der häufige Denkfehler Der typische Fehler ist, aus der sichtbaren Zusammenarbeit sofort auf gemeinsame Verantwortlichkeit zu schließen. Datenschutzrechtlich zählt aber nicht die Kooperation nach außen, sondern **wer die konkrete Verarbeitung tatsächlich mitbestimmt**. Praxisnah gesagt: - **Laden wählt Kampagne, Zielgruppe und Trigger allein** → eher **keine** gemeinsame Verantwortlichkeit mit dem Hersteller. - **Laden und Hersteller definieren gemeinsam Targeting-Logik oder Datennutzung** → eher **ja**, zumindest für diesen Teil. - **Hersteller nutzt die Daten zusätzlich für eigene Zwecke** → dafür meist **eigene** Verantwortlichkeit des Herstellers. ([edpb.europa.eu](https://www.edpb.europa.eu/sme/learn-the-basics/data-controller-or-data-processor_de)) ## Klare Einordnung Die beste kurze Antwort ist daher: **Der Laden und der Smartphone-Hersteller sind nicht schon wegen einer Push-Nachricht im Store gemeinsame Verantwortliche. Das hängt davon ab, ob sie die Ausspielung der Angebote gemeinsam konzipieren und steuern.** Maßgeblich sind also Vertragslage, technische Rollen, Targeting-Logik und die Frage, ob der Hersteller nur transportiert oder selbst über Werbezwecke mitentscheidet. ([edpb.europa.eu](https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de))

Verwandte Fragen

Liegt bei Pushnachrichten im Shop gemeinsame Verantwortung vor, wenn der Shop die Empfänger mitbestimmt, also nur Kunden mit o2-Vertrag und App-Nutzung?

Ja, gemeinsame Verantwortlichkeit liegt hier sehr nahe vor, wenn der Shop nicht nur technisch versendet, sondern die Zielgruppe inhaltlich mitfestlegt – also etwa „nur Kunden mit o2‑Vertra...

Darf der Vermieter persönliche Daten von Notfall-Schlüsselinhabern verlangen?

Nein. Der Vermieter darf nicht pauschal „vollständige persönliche Informationen“ über Dritte verlangen, die nur für einen Notfall einen Ersatzschlüssel haben solle...

Kann Fremdpersonal, das über einen Dienstvertrag beim Kunden eingesetzt wird, datenschutzrechtlich als nicht Dritter gelten?

Ja – Fremdpersonal kann datenschutzrechtlich „nicht Dritter“ sein, aber nicht schon deshalb, weil es per Dienstvertrag beim Kunden arbeitet. Entscheidend ist, ob die Personen persone...

Wie entsteht das Spannungsfeld zwischen Datenschutz und Scheinselbstständigkeit beim Einsatz von Fremdpersonal im Unternehmen?

Das Spannungsfeld ist real: Unternehmen wollen Fremdpersonal datenschutzrechtlich eng steuern, dürfen es aber arbeitsorganisatorisch nicht so einbinden, dass aus dem „Selbstständigen&l...

Hat eine Impfhelferin nur Datenschutzpflicht oder auch gesetzliche Schweigepflicht?

Nein. Eine Impfhelferin hat nicht nur Datenschutzpflicht; sie kann je nach Rolle auch einer gesetzlichen Schweigepflicht unterliegen. Entscheidend ist nicht die Bezeichnung „Impfhelferin“,...

Welche Eskalationsinstanzen braucht es bei einer Verfahrensverzeichnisprüfung, wenn das Datenschutzteam den Prozess an einen Rechtsdienstleister ausgelagert hat?

Die Eskalation darf nicht beim externen Rechtsdienstleister enden: Verantwortlich bleibt immer die auslagernde Stelle, deshalb braucht die Verfahrensverzeichnisprüfung mindestens eine fachliche,...

Sollte bei Auditorfragen zum Verfahrensverzeichnis eher der Fachbereich oder das Datenschutz-Team zum Datenschutzhinweis antworten?

Ja – aber nur, wenn das Datenschutz-Team die rechtliche Einordnung übernimmt und der Fachbereich die tatsächliche Praxis liefert. Genau dort liegt der entscheidende Punkt: Ein Datensch...

Wer ist für die Umsetzung von Maßnahmen nach einer Verfahrensverzeichnis-Prüfung verantwortlich, z. B. für die Erstellung eines Löschkonzepts?

Verantwortlich ist grundsätzlich der Verantwortliche im Sinne der DSGVO – also die Stelle bzw. Unternehmensleitung, nicht der Datenschutzbeauftragte. Die praktische Umsetzung einzelner Ma&s...

Wie bestätigt man einem Kunden offiziell die Löschung seiner personenbezogenen Daten?

Offiziell bestätigst du die Löschung am besten schriftlich und eindeutig: Du erklärst, welche kundenbezogenen Daten gelöscht wurden, wann die Löschung erfolgt ist und welche D...

Dürfen Unternehmen Vollständiger Name, Geburtsdatum und -ort, Geschlecht, Staatsangehörigkeit, Adresse, Telefon- und Handynummer sowie E-Mail-Adresse abfragen und speichern?

Ja – aber nicht pauschal. Unternehmen dürfen diese Daten nur abfragen und speichern, wenn sie dafür einen konkreten, rechtmäßigen Zweck haben und nur die Daten erheben, die...