Mustervertrag für gemeinsame Verantwortlichkeit
Der Europäische Gerichtshof (EuGH) hatte im Zusammenhang mit dem Betrieb von sogenannten Fanpages auf Facebook festgestellt, dass für die Einhaltung der Rechte der Betroffenen zwei Seiten gemeinsam verantwortlich sind:
- Das ist zum einen der Betreiber der Seite im engeren Sinn. Also das Unternehmen oder die Organisation, die für den Benutzer der Absender des Auftritts ist.
- In diesem konkreten Fall ist der zweite Verantwortliche das Unternehmen Facebook, das die Technologie zur Verfügung stellt.
Gemeinsame Verantwortung vertraglich gestalten
Diese juristische Klarstellung hat bei Firmen aber mehr Fragen als Antwort hinterlassen. Das betrifft nicht nur die Zusammenarbeit mit Facebook, auf dessen System die Unternehmen ja keinen Einfluss nehmen können.
Das Urteil wirft die Frage auf, wie eine solche gemeinsame Verantwortung vertraglich zu gestalten ist. Der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg (LfDI BW) hat dazu nun ein Muster veröffentlicht.
Innenverhältnis muss geregelt werden
Entscheiden mehrere Verantwortliche gemeinsam über den Zweck und die Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich. Sie müssen untereinander festlegen, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt.
Bisher gab es von offizieller Seite keine Handreichung dazu. Das hat zur Konsequenz, dass die beteiligten Unternehmen viel Zeit und personelle Ressourcen in die Ausgestaltung einer Vereinbarung stecken müssen.
Vertragsmuster als Vorlage veröffentlicht
Das ändert sich jetzt mit dem vom LfDI BW veröffentlichten Vertragsmuster. Entwickelt wurde die Vorlage für die gemeinsame Verantwortlichkeit gemäß § 26 Abs. 1 und Abs. 2 der DSGVO von der Behörde in Zusammenarbeit mit öffentlichen Stellen und Unternehmen.
Die Vorlagen liegen als Word-Dokumente vor, und Anwender können sie so direkt einsetzen.
In den beiden Abschnitten geht es einerseits um die Vereinbarung zwischen den Verantwortlichen, andererseits um die vorgesehene Information der Betroffenen über die Vereinbarung selbst.
Zu beachten ist dabei, dass das Muster für den Fall von zwei Verantwortlichen entwickelt wurde. Denkbar sind aber noch weitere Konstellationen (drei oder mehr verantwortliche Stellen). In diesem Fall ist das Muster entsprechend anzupassen.
Das gilt auch für den Fall, dass einer der Verantwortlichen möglicherweise gar nicht der DSGVO untersteht.
Die Entwicklung des Musters ist sehr zu begrüßen, schafft sie doch definitiv mehr Sicherheit für Unternehmen. Das Muster können Sie von dieser Seite herunterladen.