La DPA de Hambourg a infligé une amende de 13 000 euros à une entreprise. Une personne avait réservé et suivi un cours avec une entreprise, mais n'avait pas payé les frais de cours encourus. Quelque temps plus tard, il s'est inscrit à un cours dans une autre entreprise de la même société mère et y a été rejeté. Comme raison, on lui a dit qu'il avait encore des arriérés avec l'entreprise dont il avait déjà suivi les cours. Suite à une plainte déposée par le particulier contre l'entreprise, la DPA a ouvert une enquête. Il a constaté que ces sociétés partageaient une base de données commune. Elle a souligné que la gestion d'une base de données clients commune par plusieurs sociétés juridiquement indépendantes entraîne une responsabilité conjointe au sens de l'art. 26 RGPD. Selon l'art. 26 (2) GDPR, cela nécessite un accord qui reflète les fonctions et relations réelles respectives des co-responsables envers les personnes concernées. Cependant, un tel accord n'existait pas.