Fachnews

Datenschutz: Mustervertrag über eine gemeinsame Verarbeitung von personenbezogenen Daten nach Art. 26 DSGVO

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg liefert eine Vertragsvorlage für eine Vereinbarung zwischen „gemeinsam für die Verarbeitung Verantwortliche“ nach Art. 26 Abs. 1 S. 2 DSGVO.

Wir erinnern uns an das in den Medien bekannteste Beispiel für das Vorliegen einer gemeinsamen Verantwortlichkeit (auch Joint Controller genannt) im Sinne des Art. 26 DSGVO. Facebook und die Betreiber einer Facebook-Fanpage sind nach dem Urteil des EuGH vom 5. Juni 2018 für die Datenverarbeitung im Rahmen des Betriebs einer Fanpage gemeinsam verantwortlich (hierzu auch unser Beitrag „Noch mehr gemeinsame Verantwortung? – Der Facebook-„Gefällt mir“-Button“). Gemäß Art. 26 Abs.1 S.2 DSGVO, ist im Falle einer gemeinsamen Verantwortlichkeit eine Vereinbarung zwischen den Verantwortlichen zu schließen. Facebook reagierte hierauf mit Ihrem Page Insights Controller Addendum (PICA). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte am 01.04.2019 hierzu Stellung genommen und hielt fest, dass das von Facebook veröffentlichte PICA nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO erfüllt. Über die daraus resultierenden Folgen berichteten wir in unserem News-Beitrag vom 16.04. 2019.

Doch wie hat so eine vertragliche Vereinbarung tatsächlich auszusehen und welchen Regelungsgehalt misst man ihr bei, insbesondere bei der Wahrnehmung der Betroffenenrechte?  Halten wir fest: Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt. Aufgrund des durch die DSGVO völlig neu gestalteten rechtlichen Konstrukts der gemeinsamen Verantwortlichkeit herrschte in diesem Bereich bislang noch immer viel „Unsicherheit“ und betroffene Unternehmen waren nicht selten darauf angewiesen, bei spezialisierten Anwaltskanzleien oder direkt bei den Aufsichtsbehörden Unterstützung bei der gesetzeskonformen Ausgestaltung einer solchen Vereinbarung anzufragen. 

Mustervertrag

Der LfDI Baden-Württemberg veröffentlichte nun als erste Datenschutzaufsicht in transparenter und verständlicher Form ein Vertragsmuster zur gemeinsamen Verantwortlichkeit*. Das Muster beruht auf einer gemeinsamen Entwicklung mehrerer privatwirtschaftlicher Unternehmen und öffentlicher Stellen. Die Vorlage bietet mit den enthaltenen Regelungen nun einen wirklich guten und praxisnahen Ansatz für die Erstellung eines Vertrages zur gemeinsamen Verantwortung.

Zuordnung der Zuständigkeiten mittels Wirkbereiche

Hervorzuheben ist vor allem die Zuordnung der Verarbeitungen in einzelne „Wirkbereiche“. Hierbei werden zum Beispiel ein Systemabschnitt und / oder einzelne Datenverarbeitungsprozesse  oder –verfahren, auf die der jeweilige Verantwortliche Einfluss hat, „verteilt“. Die Einteilung in Wirkbereiche soll helfen, sinnvolle Regelungen bezüglich der Verantwortungen im Innenverhältnis zwischen den gemeinsamen Verantwortlichen als auch im Außenverhältnis zu den Betroffenen selbst festlegen zu können. Zudem liefert der LfDI Baden-Württemberg auch eine Vorlage bezüglich der Information der Betroffenen über den Mindestinhalt der zwischen den Parteien getroffenen Vereinbarung.

Individualvertragliche Anpassungen nötig  

Das Muster liefert einen interessanten Einblick in die Sichtweise der Behörden. Klar ist aber auch, dass spezielle Verarbeitungen der individuellen Vertragssituation angepasst werden sollten. Die Vorlage sollte daher von den gemeinsam Verantwortlichen zusammen mit deren Datenschutzbeauftragten zunächst kritisch geprüft und mit den eigenen Gegebenheiten der geplanten Verarbeitung abgeglichen werden. Anschließend muss die Vorlage in den Einzelheiten auf die individuellen Gegebenheiten angepasst und / oder ergänzt werden. 

Fazit

Mit der Mustervertragsvorlage zur gemeinsamen Verantwortung hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg eine praxis- und anwendungsnahe Handreichung zur Gestaltung der komplexen Materie entwickelt. Das Vertragsmuster klärt dabei zum einen wichtige Auslegungsfragen im betroffenen Themenbereich, zum anderen liefert sie ein gutes Fundament zum Aufbau der entsprechenden Verträge in der Praxis.

 

Autor: Markus Spöhr, Wirtschaftsjurist & Berater im Datenschutz

 

* https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/05/190521_Vertragsmuster-Art-26.docx

Zurück zur Newsübersicht

Das könnte Sie auch interessieren: