Vereinbarung zur gemeinsamen Verantwortlichkeit (VGV) für die Bereitstellung der Meldestellensoftware Parlabox
Präambel
Die Frage der Verantwortlichkeit i.S.d. Art. 4 Nr. 7 DSGVO wird auf Grundlage objektive Maßstäbe bestimmt; insbesondere das Vorliegen einer gemeinsamen Verantwortlichkeit, sobald Auftraggeber und Auftragnehmer gemeinsam über Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmten. In diesen Fällen ist nach Art. 26 DSGVO eine Vereinbarung über eine gemeinsame Verantwortlichkeit zu treffen.
Den Vertragsparteien ist bei Abschluss dieses Vertrages bewusst, dass bei einer Auslagerung der internen Meldestelle Teile der Tätigkeiten bzw. Phasen der Datenverarbeitung eine gemeinsame Verantwortlichkeit darstellen können.
Soweit eine gemeinsame Verantwortlichkeit zwischen Auftraggeber und Auftragnehmer vorliegt, gelten die nachfolgenden Regelungen zur gemeinsamen Verantwortlichkeit als zwischen den Vertragsparteien geschlossene „Vereinbarung zur gemeinsamen Verantwortlichkeit“.
Die vorliegende VGV wird geschlossen zwischen Ihnen („Controller 1“ bzw. „Auftraggeber“) und der Cortina Consult GmbH („Controller 2“ bzw. „Auftragnehmer“) und ist Bestandteil der AGB.
Controller 1 und Controller 2 verarbeiten im Rahmen abgeschlossener oder abzuschließender Verträge personenbezogene Daten aus beidseitigem datenschutzrechtlichen Verantwortungsbereich im Sinne des Art. 26 Datenschutzgrundverordnung (DSGVO). Die gemeinsam und im weiteren Verlauf ggfs. gesondert verarbeiteten (bzw. zu verarbeitenden) personenbezogenen Daten unterliegen den Bestimmungen der DSGVO und den sonstigen datenschutzrechtlichen Vorschriften (z. B. BDSG).
Diese Vereinbarung legt die Rahmenbedingungen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Regelungen fest.
1. Gegenstand und Dauer der Vereinbarung
Zwischen den Vertragsparteien besteht ein Vertragsverhältnis („Hauptvertrag“) über die Erbringung der Leistungen der internen Meldestelle nach dem Hinweisgeberschutzgesetz. Dieser Vertrag stellt die Vereinbarung zwischen gemeinsam Verantwortlichen i.S.d. Art. 26 DSGVO zwischen den Vertragsparteien dar, sofern eine gemeinsame Verantwortlichkeit i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Erbringung von Leistungen aus dem Hauptvertrag vorliegt. Konkret ist diejenige Datenverarbeitung betroffen, die der Auftragnehmer im Zusammenhang mit der Erbringung seiner Leistungen als interne Meldestelle für den Auftraggeber erbringt.
Die Dauer der Vereinbarung entspricht der Dauer der Verarbeitung der im Rahmen der gemeinsamen Verantwortlichkeit erhobenen personenbezogenen Daten.
2. Beschreibung der Datenverarbeitung
Zweck, Art und Umfang der Verarbeitung personenbezogener Daten ergeben sich aus dem zwischen den Vertragsparteien geschlossenen Hauptvertrag sowie der insoweit ggf. zusätzlich einbezogenen vertraglichen Regelungen.
3. Verantwortlichkeit und Zuständigkeiten
Die Vertragsparteien sind sich darüber einig, dass Controller 2 die Verpflichtungen der DSGVO erfüllt, soweit der Auftragnehmer (Controller 2) seine vertraglichen Leistungen als interne Meldestelle als Verantwortlicher oder gemeinsam Verantwortlicher erbringt.
4. Qualitätssicherung und sonstige Pflichten der Controller
Für die Controller gelten zusätzlich zu den Regelungen aus dieser Vereinbarung gesetzliche Pflichten gemäß Art. 26 DSGVO; insofern vereinbaren sie insbesondere die Einhaltung folgender Vorgaben:
- Beide Controller gewährleisten bei der vorliegenden Datenverarbeitung die Einhaltung einschlägiger, nicht ausschließlich datenschutzrechtlicher Rechtsvorschriften; insbesondere die Einhaltung der Vorgaben aus DSGVO sowie BDSG.
- Beide Vertragspartner kontrollieren regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in ihren jeweiligen Verantwortungsbereichen im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
- Soweit eine Folge-Datenverarbeitung im eigenen Verantwortungsbereich des jeweiligen Controllers stattfindet, muss für diese die Wahrnehmung der Betroffenenrechte und Umsetzung der Informationspflichten gem. Art. 13 und 14 DSGVO separat durch den jeweiligen Verantwortlichen gewährleistet werden.
- Beide Controller arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Sofern ein Controller von Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde betroffen ist, wird der jeweilige Vertragspartner unverzüglich darüber in Kenntnis gesetzt, soweit diese sich auf Datenverarbeitungen gemäß der vorliegenden Vereinbarung beziehen. Dies gilt ferner, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei dem jeweiligen Controller ermittelt.
5. Umsetzung von Betroffenenrechten
Controller 2 ist verpflichtet, die Informationspflichten aus Art. 13-14 DSGVO und Art. 26 Abs. 2 Satz 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit Leistungen als interne Meldestelle für den Auftraggeber (Controller 1) verantwortlich erbracht werden.
Betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen.
Die Vertragsparteien stimmen überein, dass sich betroffene Personen an beide Controller zwecks Wahrnehmung der ihnen jeweils zustehenden Betroffenenrechte wenden können. In einem solchen Fall ist die jeweils andere Partei dazu verpflichtet, das Ersuchen eines Betroffenen an die jeweils andere Partei weiterzuleiten, wenn dies für Maßnahmen zur Umsetzung der Betroffenenrechte erforderlich ist. Der Auftragnehmer kann eine Weiterleitung an den Auftraggeber unterlassen, wenn hierdurch Pflichten aus dem Vertraulichkeitsgebot nach § 8 HinSchG verletzt würden.
6. Datensicherheit
Die Vertragsparteien verpflichten sich gegenseitig zur Einhaltung der jeweils nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, soweit dies die Verarbeitung personenbezogener Daten betrifft, für die eine gemeinsame Verantwortlichkeit i.S.d. Art. 4 Nr. 7 DSGVO besteht.
7. Meldepflichten bei Datenschutzverletzungen
Sollte im Rahmen der gemeinsamen Verantwortlichkeit eine Datenschutzverletzung eintreten, müssen umgehend Maßnahmen getroffen werden, die geeignet sind, den potentiellen Schaden für die betroffenen Personen auf das geringstmögliche Maß zu begrenzen. Beide Controller vereinbaren zu diesem Zweck die Einhaltung notwendiger Maßnahmen zur Erkennung, Eindämmung und ggfs. Meldung von Datenschutzvorfällen im jeweils eigenen Unternehmen. Dazu zählen insbesondere:
Sensibilisierung und Unterweisung der Mitarbeiter hinsichtlich potentieller Datenschutzrisiken und Meldung verdächtiger Vorgänge an die jeweiligen Datenschutzbeauftragten
Jede Vertragspartei wird die jeweils andere Vertragspartei unverzüglich über jede Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO in Textform unterrichten, soweit dies eine Verarbeitung personenbezogener Daten betrifft, für die eine gemeinsame Verantwortlichkeit besteht. Die Vertragsparteien werden sich gegenseitig unverzüglich alle Informationen im Zusammenhang mit der Datenschutzverletzung zur Verfügung stellen, die zur Prüfung der Datenschutzverletzung und ihrer Folgen sowie für die Erfüllung etwaiger Meldepflichten nach den Art. 33, 34 DSGVO erforderlich sind.
Für den Fall, dass eine Meldepflicht nach Art. 33 DSGVO besteht, werden die Vertragsparteien im Rahmen der Zumutbarkeit das weitere Vorgehen abstimmen und sich bei der Erfüllung der Meldepflichten gegenseitig unterstützen.
Sofern eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich ist, werden die Vertragsparteien im Rahmen der Zumutbarkeit zusammenwirken und eine gemeinsame Benachrichtigung der Betroffenen durchführen, soweit die Vertragsparteien dies für sinnvoll halten.
8. Gemeinsame Pflichten
Beide Vertragsparteien haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten, für die eine gemeinsame Verantwortlichkeit besteht, oder Verletzungen von Bestimmungen dieses Vertrages oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) festgestellt werden.
9. Auftragsverarbeiter
Die Vertragsparteien können Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten, für die eine gemeinsame Verantwortlichkeit besteht, beauftragen. Voraussetzung ist, dass die Vorgaben von Art. 28 DSGVO eingehalten und von der jeweiligen Vertragspartei nachgewiesen werden können.
10. Zusammenarbeit mit Aufsichtsbehörden
Jede Vertragspartei ist verpflichtet, die jeweils andere Partei unverzüglich zu informieren, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von dieser Vereinbarung über eine gemeinsame Verantwortlichkeit umfasst ist.
Die Vertragsparteien werden die Beantwortung von Anfragen von Aufsichtsbehörden zu der vertragsgegenständlichen Verarbeitung miteinander abstimmen, soweit dies rechtlich zulässig und/oder zumutbar ist.
Die Vertragsparteien sind sich darüber einig, dass aufsichtsbehördlichen Maßnahmen grundsätzlich Folge zu leisten ist. Gleichwohl werden die Vertragsparteien sich darüber ins Benehmen setzen, ob und inwieweit Rechtsbehelfe gegen Anordnungen der Behörde eingelegt werden.
11. Haftung
Die Vertragsparteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.
Die Vertragsparteien stellen einander im Innenverhältnis von jeglicher Haftung frei, wenn die haftungsauslösende Ursache im Rahmen der Verantwortlichkeit für eine Datenverarbeitung allein von einer Vertragspartei zu vertreten ist. Das gilt auch im Hinblick auf eine gegen eine Vertragspartei etwa verhängte Geldbuße wegen eines Verstoßes gegen Datenschutzvorschriften.
12. Schlussbestimmungen
Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages.
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 26 DSGVO am besten gerecht wird.
Es gilt das Recht der Bundesrepublik Deutschland.