Fachnews Datenschutz: Mustervertrag über eine gemeinsame Verarbeitung von personenbezogenen Daten nach Art. 26 DSGVO Montag, 24. Juni 2019
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg liefert eine Vertragsvorlage für eine Vereinbarung zwischen „gemeinsam für die Verarbeitung Verantwortliche“ nach Art. 26 Abs. 1 S. 2 DSGVO. Wir erinnern uns an das in den Medien bekannteste Beispiel für das Vorliegen einer gemeinsamen Verantwortlichkeit (auch Joint Controller genannt) im Sinne des Art. 26 DSGVO. Facebook und die Betreiber einer Facebook-Fanpage sind nach dem Urteil des EuGH vom 5. Juni 2018 für die Datenverarbeitung im Rahmen des Betriebs einer Fanpage gemeinsam verantwortlich (hierzu auch unser Beitrag „Noch mehr gemeinsame Verantwortung? – Der Facebook-„Gefällt mir“-Button“). Gemäß Art. 26 Abs.1 S.2 DSGVO, ist im Falle einer gemeinsamen Verantwortlichkeit eine Vereinbarung zwischen den Verantwortlichen zu schließen. Facebook reagierte hierauf mit Ihrem Page Insights Controller Addendum (PICA). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte am 01.04.2019 hierzu Stellung genommen und hielt fest, dass das von Facebook veröffentlichte PICA nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO erfüllt. Über die daraus resultierenden Folgen berichteten wir in unserem News-Beitrag vom 16.04. 2019. Doch wie hat so eine vertragliche Vereinbarung tatsächlich auszusehen und welchen Regelungsgehalt misst man ihr bei, insbesondere bei der Wahrnehmung der Betroffenenrechte? Halten wir fest: Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt. Aufgrund des durch die DSGVO völlig neu gestalteten rechtlichen Konstrukts der gemeinsamen Verantwortlichkeit herrschte in diesem Bereich bislang noch immer viel „Unsicherheit“ und betroffene Unternehmen waren nicht selten darauf angewiesen, bei spezialisierten Anwaltskanzleien oder direkt bei den Aufsichtsbehörden Unterstützung bei der gesetzeskonformen Ausgestaltung einer solchen Vereinbarung anzufragen. Mustervertrag Der LfDI Baden-Württemberg veröffentlichte nun als erste Datenschutzaufsicht in transparenter und verständlicher Form ein Vertragsmuster zur gemeinsamen Verantwortlichkeit*. Das Muster beruht auf einer gemeinsamen Entwicklung mehrerer privatwirtschaftlicher Unternehmen und öffentlicher Stellen. Die Vorlage bietet mit den enthaltenen Regelungen nun einen wirklich guten und praxisnahen Ansatz für die Erstellung eines Vertrages zur gemeinsamen Verantwortung. Zuordnung der Zuständigkeiten mittels Wirkbereiche Hervorzuheben ist vor allem die Zuordnung der Verarbeitungen in einzelne „Wirkbereiche“. Hierbei werden zum Beispiel ein Systemabschnitt und / oder einzelne Datenverarbeitungsprozesse oder –verfahren, auf die der jeweilige Verantwortliche Einfluss hat, „verteilt“. Die Einteilung in Wirkbereiche soll helfen, sinnvolle Regelungen bezüglich der Verantwortungen im Innenverhältnis zwischen den gemeinsamen Verantwortlichen als auch im Außenverhältnis zu den Betroffenen selbst festlegen zu können. Zudem liefert der LfDI Baden-Württemberg auch eine Vorlage bezüglich der Information der Betroffenen über den Mindestinhalt der zwischen den Parteien getroffenen Vereinbarung. Individualvertragliche Anpassungen nötig Das Muster liefert einen interessanten Einblick in die Sichtweise der Behörden. Klar ist aber auch, dass spezielle Verarbeitungen der individuellen Vertragssituation angepasst werden sollten. Die Vorlage sollte daher von den gemeinsam Verantwortlichen zusammen mit deren Datenschutzbeauftragten zunächst kritisch geprüft und mit den eigenen Gegebenheiten der geplanten Verarbeitung abgeglichen werden. Anschließend muss die Vorlage in den Einzelheiten auf die individuellen Gegebenheiten angepasst und / oder ergänzt werden. Fazit Mit der Mustervertragsvorlage zur gemeinsamen Verantwortung hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg eine praxis- und anwendungsnahe Handreichung zur Gestaltung der komplexen Materie entwickelt. Das Vertragsmuster klärt dabei zum einen wichtige Auslegungsfragen im betroffenen Themenbereich, zum anderen liefert sie ein gutes Fundament zum Aufbau der entsprechenden Verträge in der Praxis. Autor: Markus Spöhr, Wirtschaftsjurist & Berater im Datenschutz * https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/05/190521_Vertragsmuster-Art-26.docx Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. Oktober 2024 Datenschutz Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz von zentraler Bedeutung. Primär steht zwar der Verantwortliche in der Haftung, doch auch die anderen Akteure unterliegen strengen … Weiterlesen … Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA < >