Mustervertrag für gemeinsame Verantwortlichkeit der Aufsichtsbehörde Baden-Württemberg

Aufsichtsbehörden

Die Aufsichtsbehörde des Bundeslandes Baden-Württemberg hat heute eine schöne Sache verkündet, die sie selbst mit dem Titel „Mehr Licht! – Gemeinsame Verantwortlichkeit sinnvoll gestalten“ benannt hat.

In dem Beitrag wird dann ein Mustervertrag für die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO als Word-Datei veröffentlicht:

Außerdem gibt es „on top“ auch noch ein Muster für die nach Art. 26 Abs. 2 DSGVO erforderliche Information zur gemeinsamen Verantwortlichkeit gegenüber den Betroffenen:

Positiv ist, dass sich endlich eine Aufsichtsbehörde in Deutschland traut, hier mit einem guten Beispiel voranzugehen. Denn viele Aufsichtsbehörden hielten sich im Hinblick auf die Anforderungen an die Ausgestaltung von Vereinbarungen nach Art. 26 DSGVO bislang zurück. Letztlich ist die Rechtslage auch nicht ganz klar.

Ich habe mir das Vertragsmuster angesehen. Auf den ersten Blick macht es einen guten Eindruck. Auf den zweiten Blick muss ich als Rechtsanwalt sagen, dass ich meinen Mandanten diese Vereinbarung nicht unbedingt ohne Anpassungen empfehlen würde, die über die Anpassungsempfehlungen der Aufsichtsbehörde hinausgehen.

Denn bei einer gemeinsamen Verantwortlichkeit zeigt sich in der anwaltlichen Praxis, dass es kaum einen „One size fits all“-Ansatz geben kann. Es empfiehlt sich i.d.R. der Abschluss einer individuellen Vereinbarung, die direkt zum Projekt passt.

Außerdem zeigt sich bei diesem Muster der Aufsichtsbehörde eben auch, dass es sowohl für öffentliche Stellen wie auch private Stellen gedacht ist. So würde ich in einem „26er-Vertrag“ zwischen Unternehmen niemals von der Einhaltung des „Datengeheimnisses“ sprechen. Denn dieses kennt die DSGVO im Gegensatz zu den Regelungen, die für öffentliche Stellen des Bundes und der Länder gelten, nicht. Das würde einen eher unprofessionellen Eindruck machen.

Einzelne Regelungen des Vertrages machen für mich aus anwaltlicher Sicher zudem nicht immer Sinn. So gibt es z.B. keinen Grund dafür, dass die Parteien nur Daten verarbeiten, die für die rechtmäßige Prozessabwicklung „zwingend erforderlich“ sind. Und im Gegensatz zu anderen Formulierungen, die durch die Hinweise im dem Muster erläutert oder als optional gestellt werden, fehlt es hier an weiteren Hinweisen.

Positiv bleibt aber, dass dieses Muster ein Gradmesser dafür sein kann, welche Anforderungen Aufsichtsbehörde an „26er-Verträge“ setzen könnten.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.