2016, 137 (138)), welches tatsächlich ins Gewicht fallen, ist vor dem Hintergrund der präzisen inhaltlichen Anforderungen an eine Auftragsdatenvereinbarung nach Art. 28 Abs. 3 DSGVO nur schwer nachvollziehbar.
266 Gola, K&R 2017, 145 (148f.); Schmitz/von Dall’Armi, ZD 2016, 427 (429); zu den einzelnen Pflichten Lissner, Auftragsdatenverarbeitung nach der DSGVO – Was kommt, was bleibt?, in: Taeger, DSRITB 2016, 401 (409ff.).
267 A.A. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2017, S. 130f. zum BDSG a.F.
268 Vgl. Müthlein, RDV 2016, 74 (83f.); ebd. ausführlich zu den Änderungen der Auftragsdatenverarbeitung nach der DSGVO im Vergleich zum BDSG a.F.
269 Zustimmend Tribess/Spitz, GWR 2019, 261 (262).
270 Aufgrund der Kongruenz der Definition des Verantwortlichen in der EU-Datenschutzrichtlinie und der DSGVO, aus dessen Kontext sich das Institut des gemeinsamen Verantwortlichen ergibt, können die Grundsätze der Artikel-29-Datenschutzgruppe zum gemeinsamen Verantwortlichen (vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169) und die Rechtsprechung zur EU-Datenschutzrichtlinie auch auf die aktuelle Rechtslage übertragen werden. Im BDSG a.F. wurde hingegen das Konzept des gemeinsamen Verantwortlichen nicht explizit bestimmt, vgl. Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 3.
271 Zu den weiteren Einzelheiten und insbesondere zu den Anforderungen an eine Vereinbarung zwischen den gemeinsamen Verantwortlichen, vgl. Dovas, ZD 2016, 512 (514ff.); Lezzi/Oberlin, ZD 2018, 398 (402f.).
272 Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1, Teil B, Rn. 55.
273 Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 12; zu den Merkmalen der „Zwecke und Mittel der Verarbeitung“ bei gemeinsamen Verantwortlichen und den Grad der Beteiligung an der gemeinsamen Entscheidung Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 21ff.; Lezzi/Oberlin, ZD 2018, 398 (400), wonach kein gleiches Maß an Mitbestimmungsrecht hinsichtlich der Festlegung der Zwecke und Mittel erforderlich ist; für das nach alter Rechtslage entscheidende Abgrenzungskriterium der „Funktionsübertragung“ ist hingegen unter Geltung der DSGVO kein Raum mehr, Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO vom 19.03.2018, S. 2.
274 Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 26, Rn. 11; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 62; Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO vom 19.03.2018, S. 1; a.A. Plath, in: Plath, DSGVO/BDSG, Art. 26, Rn. 5; Moos, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, Kapitel 8, Rn. 32; Monreal, ZD 2014, 611 (616), der Datenübermittlungen an andere gemeinsame Verantwortliche aus der Rolle des Verantwortlichen heraus legitimiert, weshalb ein rechtfertigender Erlaubnistatbestand entbehrlich ist.
275 Dovas, ZD 2016, 512 (515).
276 So auch Conrad, ZD 2016, 1 (2): a.A. Bach, EuZW 2020, 175 (176); Tribess/Spitz, GWR 2019, 261 (262) zumindest im Hinblick auf die Due Diligence-Phase.
277 Vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1, Teil B, Rn. 56; Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVO vom 19.03.2018, S. 3.
278 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 15.
279 Moos/Rothkegel, MMR 2018, 591 (598).
280 Vgl. EuGH, Rs. 40/17, Fashion ID, ECLI:EU:C:2019:629, Rn. 85.
281 Vgl. EuGH, Rs. 210/16, Facebook-Fanpages, ECLI:EU:C:2018:388, Rn. 36; zur Einstufung als gemeinsame Verantwortliche kommt es allerdings nicht darauf an, dass jeder Zugang zu den betreffenden personenbezogenen Daten hat, ebd., Rn. 38.
282 Siehe dazu S. 245f.