Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) gab es eine Reihe von Neuerungen – eine wesentliche betraf den Bereich „Gemeinsam für die Verarbeitung Verantwortliche, kurz Joint Controllership, vgl. Art. 26 DSGVO“. Wir berichteten bereits über diese Rechtsfigur und die dazugehörigen gesetzlichen Voraussetzungen, einschließlich der von der Datenschutzkonferenz bereitgestellten Liste von Anwendungsfällen sowie über die Abgrenzungskriterien zur Auftragsverarbeitung.

Über die Zeit entwickelte sich das Rechtskonstrukt der gemeinsamen Verantwortlichkeit vorrangig zu einer „guten Alternative“ zur weisungsgebundenen Auftragsverarbeitung und beruhigte die Vertragsparteien zunehmend, dass überhaupt eine datenschutzrechtliche Regelung im Vertrag berücksichtigt wurde. Wie ein solcher Vertrag jedoch inhaltlich konkret ausgestaltet werden soll, blieb bislang offen und war Gegenstand zahlreicher uferloser Diskussionen der jeweiligen Vertragsparteien.

Als erste Aufsichtsbehörde hat sich nun der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) an einen Lösungsvorschlag herangewagt.

Vertragsmuster der Aufsichtsbehörde

Neben den schon veröffentlichen Formulierungshilfen für einen Auftragsverarbeitungsvertrag hat der LfDI BaWü aktuell einen Mustervertrag samt Informationen zur gemeinsamen Verantwortlichkeit für die Betroffenen auf seiner Webseite zur Verfügung gestellt – eine super Idee! Dieses Vertragsmuster versucht alle Szenarien eines Joint Controller Verhältnisses abzudecken. Als wesentliches Unterscheidungsmerkmal dienen dabei die jeweils verantwortlichen Wirkbereiche der Parteien, welche zum „Befüllen“ des Vertrages einzelnen Erläuterungen bzw. Anpassungshinweise mit an die Hand bekommen.

Eine Frage drängt sich jedoch nahezu auf: Kann dieses Muster tatsächlich die vielen Fragezeichen auf Seiten der Verantwortlichen beseitigen?

Regelungsgehaltes des Musters

Die Antwort auf die obige Frage lautet eindeutig Nein. Der Mustervertrag kann gerade nicht auf sämtliche Anwendungsfälle für eine gemeinsame Verantwortlichkeit angewandt werden und stößt unweigerlich an seine Grenzen. Beispielsweise für den Bereich der Durchführung einer klinischen Studie muss ein Vertrag gemäß Art. 26 neben einer Vielzahl unterschiedlicher Verantwortungsbereiche und Vertragsparteien auch zu den Pflichten und Rechten anknüpfend an diese spezielle Sparte Stellung beziehen.

Zudem ist das Muster teilweise so abstrakt geschrieben, dass nicht hinreichend deutlich wird, was gemeint sein soll. Zum Beispiel sollen die Parteien gemäß § 4 nur Daten verarbeiten die für eine rechtmäßige Prozessabwicklung „zwingend erforderlich“ sind. Dies ergibt ohne weitere Erläuterung jedoch keinen Sinn. Daneben wird im Muster zwar viel Wert gelegt auf Ausführungen bezüglich der Geltendmachung von Betroffenenrechten, gleichwohl gibt es nicht einmal einen Punkt der sich mit der konkreten Beschreibung bezüglich der Art und des Zwecks der Datenverarbeitung, der betroffenen Datenkategorien, der betroffenen Personen sowie einer transparenten Beschreibung der tatsächlichen Funktion und Beziehung der gemeinsamen Verantwortlichen beschäftigt.

Das Muster der Aufsichtsbehörde kann damit zwar als „erster Aufschlag“ gesehen werden, jedoch muss dieses bevor es an den Vertragspartner gegeben wird kritisch hinterfragt und auf die individuelle Vertragssituation angepasst werden. Dem Muster kann mithin nicht derartig „blind“ vertraut werden, wie beim Muster für die Auftragsverarbeitung. Nichts desto trotz ist es sehr erfreulich, dass die Aufsichtsbehörde dieses Muster zur Verfügung gestellt hat.

Bleibt zu hoffen, dass andere Aufsichtsbehörden dem guten Beispiel aus Baden-Württemberg folgen und künftig auch Modifikationen für spezielle Vertragskonstellationen herausgegeben werden.

| | | , , , , ,