Der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Württemberg lie­fert eine Ver­trags­vor­la­ge für eine Ver­ein­ba­rung zwi­schen „gemein­sam für die Ver­ar­bei­tung Ver­ant­wort­li­che“ nach Art. 26 Abs. 1 S. 2 DSGVO.

 

Auf­grund des durch die DSGVO völ­lig neu gestal­te­ten recht­li­chen Kon­strukts der gemein­sa­men Ver­ant­wort­lich­keit herrsch­te in die­sem Bereich bis­lang noch immer viel „Unsi­cher­heit“ und betrof­fe­ne Unter­neh­men waren nicht sel­ten dar­auf ange­wie­sen, bei spe­zia­li­sier­ten Anwalts­kanz­lei­en oder direkt bei den Auf­sichts­be­hör­den Unter­stüt­zung bei der geset­zes­kon­for­men Aus­ge­stal­tung einer sol­chen Ver­ein­ba­rung anzu­fra­gen. ” – Mar­kus Spöhr

Wir erin­nern uns an das in den Medi­en bekann­tes­te Bei­spiel für das Vor­lie­gen einer gemein­sa­men Ver­ant­wort­lich­keit (auch Joint Con­trol­ler genannt) im Sin­ne des Art. 26 DSGVO. Face­book und die Betrei­ber einer Facebook-Fanpage sind nach dem Urteil des EuGH vom 5. Juni 2018 für die Daten­ver­ar­bei­tung im Rah­men des Betriebs einer Fan­page gemein­sam ver­ant­wort­lich (hier­zu auch unser Bei­trag „Noch mehr gemein­sa­me Ver­ant­wor­tung? – Der Facebook-„Gefällt mir“-Button“). Gemäß Art. 26 Abs.1 S.2 DSGVO, ist im Fal­le einer gemein­sa­men Ver­ant­wort­lich­keit eine Ver­ein­ba­rung zwi­schen den Ver­ant­wort­li­chen zu schlie­ßen. Face­book reagier­te hier­auf mit Ihrem Page Insights Con­trol­ler Adden­dum (PICA). Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) hat­te am 01.04.2019 hier­zu Stel­lung genom­men und hielt fest, dass das von Face­book ver­öf­fent­lich­te PICA nicht die Anfor­de­run­gen an eine Ver­ein­ba­rung nach Art. 26 DSGVO erfüllt. Über die dar­aus resul­tie­ren­den Fol­gen berich­te­ten wir in unse­rem News-Beitrag vom 16.04. 2019.

Doch wie hat so eine ver­trag­li­che Ver­ein­ba­rung tat­säch­lich aus­zu­se­hen und wel­chen Rege­lungs­ge­halt misst man ihr bei, ins­be­son­de­re bei der Wahr­neh­mung der Betrof­fe­nen­rech­te?  Hal­ten wir fest: Ent­schei­den meh­re­re Ver­ant­wort­li­che gemein­sam über Zwe­cke und Mit­tel der Daten­ver­ar­bei­tung, so sind sie gemein­sam ver­ant­wort­lich und müs­sen unter­ein­an­der ver­ein­ba­ren, wer im Innen­ver­hält­nis wel­cher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nach­kommt. Auf­grund des durch die DSGVO völ­lig neu gestal­te­ten recht­li­chen Kon­strukts der gemein­sa­men Ver­ant­wort­lich­keit herrsch­te in die­sem Bereich bis­lang noch immer viel „Unsi­cher­heit“ und betrof­fe­ne Unter­neh­men waren nicht sel­ten dar­auf ange­wie­sen, bei spe­zia­li­sier­ten Anwalts­kanz­lei­en oder direkt bei den Auf­sichts­be­hör­den Unter­stüt­zung bei der geset­zes­kon­for­men Aus­ge­stal­tung einer sol­chen Ver­ein­ba­rung anzufragen.

Mus­ter­ver­trag

Der LfDI Baden-Württemberg ver­öf­fent­lich­te nun als ers­te Daten­schutz­auf­sicht in trans­pa­ren­ter und ver­ständ­li­cher Form ein Ver­trags­mus­ter zur gemein­sa­men Ver­ant­wort­lich­keit*. Das Mus­ter beruht auf einer gemein­sa­men Ent­wick­lung meh­re­rer pri­vat­wirt­schaft­li­cher Unter­neh­men und öffent­li­cher Stel­len. Die Vor­la­ge bie­tet mit den ent­hal­te­nen Rege­lun­gen nun einen wirk­lich guten und pra­xis­na­hen Ansatz für die Erstel­lung eines Ver­tra­ges zur gemein­sa­men Verantwortung.

Zuord­nung der Zustän­dig­kei­ten mit­tels Wirkbereiche

Her­vor­zu­he­ben ist vor allem die Zuord­nung der Ver­ar­bei­tun­gen in ein­zel­ne „Wirk­be­rei­che“. Hier­bei wer­den zum Bei­spiel ein Sys­tem­ab­schnitt und / oder ein­zel­ne Daten­ver­ar­bei­tungs­pro­zes­se  oder –ver­fah­ren, auf die der jewei­li­ge Ver­ant­wort­li­che Ein­fluss hat, „ver­teilt“. Die Ein­tei­lung in Wirk­be­rei­che soll hel­fen, sinn­vol­le Rege­lun­gen bezüg­lich der Ver­ant­wor­tun­gen im Innen­ver­hält­nis zwi­schen den gemein­sa­men Ver­ant­wort­li­chen als auch im Außen­ver­hält­nis zu den Betrof­fe­nen selbst fest­le­gen zu kön­nen. Zudem lie­fert der LfDI Baden-Württemberg auch eine Vor­la­ge bezüg­lich der Infor­ma­ti­on der Betrof­fe­nen über den Min­dest­in­halt der zwi­schen den Par­tei­en getrof­fe­nen Vereinbarung.

Indi­vi­du­al­ver­trag­li­che Anpas­sun­gen nötig 

Das Mus­ter lie­fert einen inter­es­san­ten Ein­blick in die Sicht­wei­se der Behör­den. Klar ist aber auch, dass spe­zi­el­le Ver­ar­bei­tun­gen der indi­vi­du­el­len Ver­trags­si­tua­ti­on ange­passt wer­den soll­ten. Die Vor­la­ge soll­te daher von den gemein­sam Ver­ant­wort­li­chen zusam­men mit deren Daten­schutz­be­auf­trag­ten zunächst kri­tisch geprüft und mit den eige­nen Gege­ben­hei­ten der geplan­ten Ver­ar­bei­tung abge­gli­chen wer­den. Anschlie­ßend muss die Vor­la­ge in den Ein­zel­hei­ten auf die indi­vi­du­el­len Gege­ben­hei­ten ange­passt und / oder ergänzt werden.

Fazit

Mit der Mus­ter­ver­trags­vor­la­ge zur gemein­sa­men Ver­ant­wor­tung hat der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Württemberg eine praxis- und anwen­dungs­na­he Hand­rei­chung zur Gestal­tung der kom­ple­xen Mate­rie ent­wi­ckelt. Das Ver­trags­mus­ter klärt dabei zum einen wich­ti­ge Aus­le­gungs­fra­gen im betrof­fe­nen The­men­be­reich, zum ande­ren lie­fert sie ein gutes Fun­da­ment zum Auf­bau der ent­spre­chen­den Ver­trä­ge in der Praxis.

* https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/05/190521_Vertragsmuster-Art-26.docx

Artikel zum selben Thema:

Autor des Artikels:

Datenschutz am Bodensee

Mehr zum Autorenteam