Urteile zur datenschutzrechtlichen Einordnung von Geschäftsbeziehungen
Für die Zusammenarbeit von Unternehmen, die auch die Verarbeitung personenbezogener Daten beinhaltet, die DS-GVO drei Konstellationen: Die Auftragsverarbeitung gem. Art. 28 DS-GVO, die gemeinsame Verantwortung gem. Art. 26 DS-GVO sowie die Verarbeitung in eigener Verantwortung („Dritte“). Allgemein lassen sich die drei Kategorien durch eine Analyse der Weisungsgebundenheit und dem Entscheidungsfreiraum der Beteiligten in Bezug auf die Zwecke und Mittel der Verarbeitung abgrenzen. Die Grenzen sind hier allerdings fließend, sodass eine datenschutzrechtliche Einordnung im Einzelfall schwierig sein kann.
Mittlerweile haben Gerichtsurteile zumindest an ein paar Stellen die Frage der datenschutzrechtlichen Einordnung und den relevanten Kriterien klären können.