Ist ein Vertrag zwischen Verantwortlichen, die nicht gemeinsame Verantwortliche sind, notwendig?
Werden zwischen Unternehmen personenbezogene Daten ausgetauscht oder nutzen zwei oder mehrere Unternehmen einen gemeinsamen Datenpool, das findet sich häufig in Konzernkonstellationen, regelt die DSGVO zwei Fallkonstellationen: Die Auftragsverarbeitung (Art. 28 DSGVO) und die gemeinsame Verantwortlichkeit (Art. 26 DSGVO).
Ein Unternehmen ist dann Auftragsverarbeiter (Begriffsbestimmung siehe Art. 4 Nr. 8 DSGVO), wenn es personenbezogene Daten für die Zwecke eines Verantwortlichen weisungsgebunden verarbeitet. In dieser Fallkonstellation sieht die DSGVO vor, dass der Verantwortliche und der Auftragsverarbeiter einen Vertrag schließen, deren Elemente im Art. 28 Abs. 3 DSGVO aufgelistet sind.
Verfolgen die beiden Unternehmen jeweils auch eigene Zwecke oder fehlt es an der Weisungsgebundenheit, dann sind diese Unternehmen jeweils Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Sie könnten aber als sog. Joint Controller gemeinsam verantwortlich sein. Für die gemeinsame Verantwortlichkeit ist der Abschluss eines entsprechenden Vertrages gemäß Art. 26 DSGVO zwingend vorgeschrieben. Dabei liegt gemeinsame Verantwortlichkeit gemäß Art. 26 Absatz 1 DSGVO vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.
Legen hingegen zwei oder mehr Verantwortliche die Zwecke der und die Mittel zur Verarbeitung eben nicht gemeinsam fest, greift der Art. 26 DSGVO nicht. Vielmehr sieht der Verordnungsgeber in dieser Fallkonstellation zwei oder mehrere Verantwortliche, die ohne eine vertragliche Regelung auf die personenbezogenen Daten zugreifen oder sich diese offen legen. Selbstverständlich muss jeder Verantwortliche zur datenschutzkonformen Verarbeitung der personenbezogenen Daten berechtigt sein, also eine entsprechende Rechtgrundlage haben.
Dennoch kann es Sinn machen, dass (nicht gemeinsam) verantwortliche Unternehmen die gemeinsame Datennutzung freiwillig auf eine vertragliche Basis stellen und einen sog. Controller-Controller-Vertrag schließen. Dass dies im Hinblick auf die Erfüllung der Anforderungen der DSGVO eine ganze Reihe von Vorteilen haben kann, stelle ich im Folgenden dar
Vorteile eines Controller-Controller-Vertrags
Ein Controller-Controller-Vertrag zur gemeinsamen Datennutzung:
- hilft den beteiligten Verantwortlichen, sich über ihre Rollen klar zu werden;
- legt den Zweck der gemeinsamen Datennutzung fest;
- regelt, was mit den Daten in jeder Phase geschieht; und
- legt Standards (u.a. im Hinblick auf umzusetzende technischen und organisatorischen Maßnahmen) fest.
Ein Controller-Controller-Vertrag zwischen verschiedenen Verantwortlichen rechtfertigt damit gleichzeitig die gemeinsame Nutzung von Daten und zeigt, dass die relevanten Compliance-Aspekte beachtet und dokumentiert werden. Gerade dieser Aspekt ist nicht zu unterschätzen, zumal ein derartiger Controller-Controller-Vertrag im Rahmen der Interessenabwägung nach Art. 6 Absatz 1 Buchstabe f DSGVO (Balancing Test) als positives Argument zu Gunsten des Verantwortlichen eingestellt werden kann.
Ein Controller-Controller-Vertrag zur gemeinsamen Datennutzung bietet auf diese Weise einen Rahmen, der hilft, die Anforderungen der DSGVO und insbesondere der dort formulierten Datenschutzprinzipien zu erfüllen. Ein Abschluss eines Controller-Controller-Vertrag auch zwischen zwei (nicht gemeinsam) Verantwortlichen ist daher ausdrücklich zu empfehlen.
Was sollte in einem Controller-Controller-Vertrag zur gemeinsamen Nutzung von Daten enthalten sein?
In einem Controller-Controller-Vertrag zur gemeinsamen Nutzung von Daten sollten folgende Fragen geklärt werden:
- Wer sind die Vertragsparteien und wer ist wann verantwortlich?
Der Controller-Controller-Vertrag sollte in jeder Phase, auch nach der gemeinsamen Nutzung, angeben, wer die Verantwortlichen sind.
- Was ist der Zweck der gemeinsamen Nutzung von Daten?
Der Controller-Controller-Vertrag sollte klären, welche spezifischen Ziele verfolgt werden und warum die gemeinsame Nutzung von Daten notwendig ist, um diese Ziele zu erreichen sowie den Nutzen erläutern, der sich hieraus ergibt. Wichtig ist, dass sich alle Parteien absolut im Klaren darüber sind, für welche Zwecke sie die Daten gemeinsam nutzen dürfen.
- Welche anderen Unternehmen bzw. Organisationen werden an der gemeinsamen Datennutzung beteiligt sein?
Der Controller-Controller-Vertrag sollte alle Entitäten, die an der gemeinsamen Datennutzung beteiligt sind, klar benennen und die Kontaktdaten des Datenschutzbeauftragten bzw. eines zuständigen Ansprechpartners, der für die gemeinsame Datennutzung verantwortlich ist, und ggf. weitere wichtige Ansprechpartner enthalten. Ggf. sollte im Controller-Controller-Vertrag (z.B. im Konzernumfeld) ein Vertragsmechanismus für die Einbeziehung weiterer Entitäten bzw. für den Umgang mit Fällen, in denen eine Entität von der gemeinsamen Nutzung ausgeschlossen werden muss, vorgesehen werden.
- Welche Datenelemente werden gemeinsam genutzt?
Der Controller-Controller-Vertrag sollte die Arten von Daten spezifizieren, die gemeinsam genutzt werden sollen. Diese Spezifikation muss unter Umständen sehr detailliert sein, da es in manchen Fällen angebracht ist, nur bestimmte Informationen über eine Person weiterzugeben und andere, sensiblere Daten über die Person auszulassen. Zudem kann es angebracht sein, bestimmte Daten mit “Berechtigungen” zu versehen, so dass nur bestimmte Mitarbeiter bzw. Mitarbeiter in bestimmten Rollen darauf zugreifen dürfen (zum Beispiel Mitarbeiter bestimmter Abteilungen oder Mitarbeiter, die eine entsprechende Schulung erhalten haben).
- Was ist unsere rechtmäßige Grundlage für die Weitergabe?
Es muss eine rechtmäßige Grundlage für die gemeinsame Nutzung von Daten bestehen. Dabei ist zu beachten, dass die Rechtsgrundlage für eine Partei möglicherweise nicht dieselbe ist wie für die andere Partei. Wenn die Daten auf Basis einer Einwilligung als Rechtsgrundlage verarbeitet werden, sollte der Controller-Controller-Vertrag als Anlage ein Muster der Einwilligung sein. Die Prozesse im Zusammenhang mit der Verweigerung oder dem Widerruf der Einwilligung sind ebenfalls zu klären. In jedem Fall sollte die Rechtsgrundlage darlegt werden, aufgrund derer die Daten weitergeben dürfen. Dies gilt insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 und 10 DSGVO.
- Was ist mit Zugang und individuellen Rechten?
Die Prozesse und Verantwortlichkeiten für die Einhaltung der Betroffenenrechte gemäß Art. 12 ff. DSGVO (Auskunftsrecht, Widerspruchsrecht, Recht auf Löschung und Berichtigung usw.) sind festzulegen. Im Controller-Controller-Vertrag ist deutlich zu machen, dass alle Parteien für die Einhaltung der Betroffenenrechte verantwortlich bleiben, auch wenn Prozesse definiert wurden, die festlegen, wer von den Parteien bestimmte Aufgaben übernehmen soll.
- Welche Governance-Vereinbarungen sollten getroffen werden?
Der Controller-Controller-Vertrag sollte sich auch mit den wichtigsten praktischen Problemen befassen, die beim Austausch personenbezogener Daten auftreten können. Es sollte über entsprechende Regelungen sichergestellt werden, dass alle Parteien:
- über detaillierte Informationen verfügen, welche Datensätze sie gemeinsam nutzen können, um zu verhindern, dass irrelevante oder übermäßige viele Informationen offengelegt werden;
- die Daten, die sie gemeinsam nutzen, korrekt sind, z. B. über Stichproben oder eine Analyse der Datenqualität;
- die Daten im gleichen Format speichern und sich dabei an offene Standards halten, sofern dies möglich ist. Der Controller-Controller-Vertrag könnte Beispiele enthalten, die zeigen, wie bestimmte Datenelemente, z. B. Geburtsdaten, aufgezeichnet oder konvertiert werden sollen;
- gemeinsame, angemessene Regeln für die Aufbewahrung und Löschung von gemeinsam genutzten Daten verwenden, sowie dass ein Verfahren für den Umgang mit Fällen existiert, in denen verschiedene Verantwortliche ggf. unterschiedliche gesetzliche oder fachliche Aufbewahrungs- oder Löschungsfristen zu beachten haben;
- über gemeinsame technische und organisatorische Sicherheitsvorkehrungen verfügen, einschließlich eines Verfahrens, um Pflichtverletzungen einer Partei unverzüglich zu verfolgen;
- ihre Mitarbeiter angemessen geschult haben und sich ihrer Verantwortung für alle gemeinsam genutzten Daten, zu denen sie Zugang haben, bewusst sind;
- Prozesse für Betroffenenanfragen, Beschwerden und Anfragen der Aufsichtsbehörden implementieren bzw. beachten;
- sich an einen Auditierungsprozess für die vereinbarten Maßnahmen und Prozesse halten; und
- über die Beendigung der Zusammenarbeit, einschließlich der Löschung der gemeinsam genutzten Daten oder ihrer Rückgabe an die Partei, die sie ursprünglich zur Verfügung gestellt hat, informiert sind.
- Welche weiteren Details können in den Controller-Controller-Vertrag aufgenommen werden?
Es ist hilfreich, wenn der Controller-Controller-Vertrag einen Anhang oder eine Anlage enthält, die Folgendes enthält:
- eine Zusammenfassung der wichtigsten gesetzlichen und sonstigen rechtlichen Bestimmungen, z. B. relevante Abschnitte der DSGVO; Gesetze, die Ihre rechtliche Befugnis für die gemeinsame Datennutzung vorsehen; Links zu maßgeblichen fachlichen Leitlinien;
- ein Musterformular für die Einholung der Einwilligung von Personen zur gemeinsamen Datennutzung, wenn dies die gesetzliche Grundlage ist;
- Entscheidungshilfen, ob bestimmte Daten weitergeben werden dürfen;
- ggf. ein Antragsformular für die gemeinsame Nutzung von Daten und ein Formular zur Entscheidung über die gemeinsame Nutzung von Daten.
Der Controller-Controller-Vertrag sollte regelmäßig überprüft werden, insbesondere wenn sich die Umstände oder die Gründe für die gemeinsame Datennutzung ändern. Beschwerden von Betroffenen oder ein Datenschutzvorfall sollte zudem immer ein Anlass sein, den Controller-Controller-Vertrag zu überprüfen.
Zusammenfassung
- Bei Konstellationen, in denen Unternehmen ständig gemeinsame Daten nutzen ohne gemeinsame Verantwortliche zu sein, ist es empfehlenswert, einen Controller-Controller-Vertrag abzuschließen.
- Der Controller-Controller-Vertrag legt den Zweck der gemeinsamen Nutzung von Daten fest, regelt, was mit den Daten in jeder Phase der Verarbeitung geschieht, legt Standards fest und schafft für alle an der gemeinsamen Nutzung beteiligten Parteien Klarheit und Transparenz, über die Rollen und Verantwortlichkeiten der Beteiligten.
- Mit einem Controller-Controller-Vertrag, also einer Vereinbarung zur gemeinsamen Datennutzung, können Sie nachweisen, dass Sie Ihren Rechenschaftspflichten gemäß der Datenschutzgrundverordnung nachkommen.
- Der Controller-Controller-Vertrag sollte zudem regelmäßig überprüft werden.
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.