|

Kostenloser Mustervertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO

Datenschutz, Muster

Es scheint ein guter Tag für Musterverträge zu Art. 26 DSGVO zu sein. Nachdem die Aufsichtsbehörde in Baden-Württemberg ihr Muster heute veröffentlicht hat, stelle ich hier nun meinen Mustervertrag für eine „Vereinbarung zur gemeinsamen Verantwortlichkeit“ kostenlos zur Verfügung.

Haftungsausschluss:

Der Vertrag muss für die Anwendung im Einzelfall angepasst werden. Das Vertragsmuster stellt lediglich einen Vorschlag für eine vertragliche Regelung dar. Es wird dringend empfohlen, den Vertrag im Einzelfall anwaltlich anpassen und prüfen zu lassen. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung im Einzelfall. Es wird keine Haftung für Schäden durch die Verwendung des Vertragsmusters übernommen.

Nutzungsbedingungen:
Urheber für das nachfolgende Vertragsmuster ist Rechtsanwalt Stephan Hansen-Oest. Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind erlaubt und erwünscht.

Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass der Vertrag ohne Genehmigung des Urhebers als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.

Kurzfassung der Nutzungsregeln: Der Vertrag kann gerne in der Praxis von Unternehmen oder auch Anwälten genutzt und verändert werden. Ich möchte jedoch nicht, dass der Vertrag ohne meine Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.

Du kannst dir den Mustervertrag hier im sog. Markdown-Format (Hinweis zum Markdown-Format hier) herunterladen: Mustervertrag „Vereinbarung über eine gemeinsame Verantwortlichkeit“ (.txt)

Und hier ist der Mustervertrag:

Vereinbarung über eine gemeinsame Verantwortlichkeit

zwischen

Maxi Mustermann GmbH
Musterstr. 123
12345 Musterstadt
– Verantwortlicher (A) –

und

Peter Mustermann GmbH
Musterstr. 123
12345 Musterstadt
– Verantwortlicher (B) –

1. Gegenstand der Vereinbarung

(1) Zwischen den Parteien besteht ein Vertragsverhältnis („Hauptvertrag“), das die gemeinsame Erbringung von Dienstleistungen und/oder die gemeinsame Durchführung des Projektes „XYZ“ (!!! anpassen!!!) durch die Verantwortlichen (A) und (B) beinhaltet. Die Parteien sind sich darüber einig, dass sie im Hinblick auf dieses Zusammenwirken gemeinsam über Zwecke und Mittel der Verarbeitung i.S.d. Art. 4 Nr. 7 DSGVO bestimmen und insoweit eine gemeinsame Verantwortlichkeit besteht.

(2) Dieser Vertrag stellt die Vereinbarung zwischen gemeinsam Verantwortlichen i.S.d. Art. 26 DSGVO zwischen den Parteien dar. In diesem Vertrag werden Regelungen dazu getroffen, wer welchen Verpflichtungen der DSGVO im Zusammenhang mit gemeinsam Verarbeitung personenbezogener Daten nachkommt.

2. Beschreibung der Datenverarbeitung

(1) Zweck, Art und Umfang der Verarbeitung personenbezogener Daten ergeben sich aus dem zwischen den Parteien geschlossenen Hauptvertrag sowie der insoweit ggf. zusätzlich einbezogenen vertraglichen Regelungen.

(2) Die Art der Daten sowie die Kategorien betroffener Personen sind der Anlage 1 dieses Vertrages zu entnehmen.

3. Verantwortlichkeit und Zuständigkeiten für Verarbeitungsschritte/-phasen

(1) Die Parteien haben in der Anlage 2 dieses Vertrages die Verarbeitungsschritte, die der gemeinsamen Verantwortlichkeit unterliegen, beschrieben und die jeweiligen Verantwortlichkeiten zugewiesen. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass beide Parteien gleichermaßen für die Verarbeitung der jeweiligen Datenart(en) verantwortlich sind.

(2) In der Anlage 2 können die Parteien ferner Verantwortlichkeiten für die Bearbeitung und Umsetzung von Maßnahmen festlegen, die anlässlich der Wahrnehmung der Rechte von Betroffenen aus den Art. 15-21 DSGVO zu treffen sind. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass beide Parteien gleichermaßen für die Bearbeitung von vorgenannten Betroffenenanfragen verantwortlich sind.

(3) Ungeachtet der Regelungen in Absatz 1 und 2 stimmen die Parteien überein, dass sich betroffene Personen an beide Parteien zwecks Wahrnehmung der ihnen jeweils zustehenden Betroffenenrechte wenden können. In einem solchen Fall ist die jeweils andere Partei dazu verpflichtet, das Ersuchen eines Betroffenen an die nach Anlage 2 dieses Vertrages zuständige Partei unverzüglich weiterzuleiten. Die Parteien werden sich hierfür gegenseitig Kontaktadressen benennen und jede Änderung unverzüglich in Textform mitteilen.

4. Umsetzung von Betroffenenrechten

(1) Jede Partei ist verpflichtet, die Informationspflichten aus Art. 12-14 DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit die jeweilige Partei für den/die Verarbeitungschritt(e)/-phase(n) im Sinne der Ziff. 3 dieses Vertrages zuständig ist. Die Parteien tragen Sorge dafür, dass diese Informationen über das Internet zugänglich sind und stellen sich gegenseitig die Internetadressen zur Verfügung, unter denen die jeweiligen Informationen abrufbar sind.

(2) Betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen.

(3) Die Parteien können in Anlage 2 primäre Verantwortlichkeiten für die Erfüllung der Informationspflichten aus den Art. 12-14 DSGVO vereinbaren.

5. Datensicherheit

Die Parteien verpflichten sich gegenseitig zur Einhaltung der jeweils nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, soweit dies die Verarbeitung personenbezogener Daten betrifft, für die eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO besteht.

6. Meldepflichten bei Datenschutzverletzungen

(1) Jede Partei wird die jeweils andere Partei unverzüglich über jede Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO in Textform unterrichten. Die Parteien werden sich gegenseitig unverzüglich alle Informationen im Zusammenhang mit der Datenschutzverletzung zur Verfügung stellen, die zur Prüfung der Datenschutzverletzung und ihrer Folgen sowie für die Erfüllung etwaiger Meldepflichten nach den Art. 33, 34 DSGVO erforderlich sind.

(2) Für den Fall, dass eine Meldepflicht nach Art. 33 DSGVO besteht, werden die Parteien im Rahmen der Zumutbarkeit das weitere Vorgehen abstimmen und sich bei der Erfüllung der Meldepflichten gegenseitig unterstützen.

(3) Sofern eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich ist, werden die Parteien im Rahmen der Zumutbarkeit zusammenwirken und eine gemeinsame Benachrichtigung der Betroffenen durchführen, soweit die Parteien dies für sinnvoll halten.

7. Gemeinsame Pflichten

Beide Vertragsparteien haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) festgestellt werden.

8. Auftragsverarbeiter

(1) Die Beauftragung von Auftragsverarbeitern i.S.d. Art. 4 Nr. 8 DSGVO durch eine Partei bedarf der vorherigen Zustimmung der jeweils anderen Partei in Textform.

(2) Die jeweils andere Partei kann vor Erteilung der Zustimmung die Vorlage des Auftragsverarbeitungsvertrages verlangen, der mit dem jeweiligen Auftragsverarbeiter geschlossen wurde, um die Einhaltung der Vorgaben des Art. 28 DSGVO zu überprüfen.

(3) Sofern die Verarbeitung von personenbezogenen Daten in einem Drittland erfolgt, wird der Auftraggeber gegenüber der jeweils anderen Partei dieses Vertrages das Vorliegen der Garantien für ein angemessenes Datenschutzniveau im Drittland darlegen.

(4) Für den Fall, dass ein bestehender Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geändert wird, besteht eine Informationspflicht des Auftraggebers gegenüber der jeweils anderen Partei dieses Vertrages. Für den Fall, dass die Änderung des Auftragsverarbeitungsvertrages zu einer Verletzung der Vorgaben aus Art. 28 DSGVO führt, kann die jeweils andere Vertragspartei von dem Auftraggeber eine unverzügliche Nachbesserung des Vertrages verlangen, damit die Voraussetzungen von Art. 28 DSGVO eingehalten werden.

9. Zusammenarbeit mit Aufsichtsbehörden

(1) Jede Partei ist verpflichtet, die jeweils andere Partei unverzüglich zu informieren, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von diesem Vertrag umfasst ist.

(2) Die Parteien werden die Beantwortung von Anfragen von Aufsichtsbehörden zu der vertragsgegenständlichen Verarbeitung miteinander abstimmen, soweit dies rechtlich zulässig und/oder zumutbar ist.

(3) Die Parteien sind sich darüber einig, dass aufsichtsbehördlichen Maßnahmen grundsätzlich Folge zu leisten ist. Gleichwohl werden die Parteien sich darüber ins Benehmen setzen, ob und inwieweit Rechtsbehelfe gegen Anordnungen der Behörde eingelegt werden.

10. Haftung

(1) Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

(2) Die Parteien stellen einander im Innenverhältnis von jeglicher Haftung frei, wenn die haftungsauslösende Ursache im Rahmen der Verantwortlichkeit nach Ziff. 3 dieses Vertrages allein von einer Partei zu vertreten ist. Das gilt auch im Hinblick auf eine gegen eine Partei etwa verhängte Geldbuße wegen eines Verstoßes gegen Datenschutzvorschriften.

11. Schlussbestimmungen

(1) Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 26 DSGVO am besten gerecht wird.

(3) Es gilt deutsches Recht einschließlich der DSGVO.

============================
Ort, Datum

============================
Unterschrift Verantwortlicher (A)

============================
Ort, Datum

============================
Unterschrift Verantwortlicher (B)

Anlage 1

  1. Art(en) der personenbezogenen Daten

Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:

  • Vorname
  • Nachname
  • Anschrift
  • Email-Adresse
  • Passwort

(!!! anpassen!!!)

  1. Kategorien betroffener Person

Kreis der von der Datenverarbeitung betroffenen Personen:

  • Kunden der Verantwortlichen
  • Beschäftigte der Verantwortlichen

(!!! anpassen!!!)

Anlage 2

Verarbeitungsschritt Verantwortlich Primär verantwortlich für Betroffenenrechte
Erhebung von Betroffenendaten Verantwortlicher (A) Verantwortlicher (A)
Speicherung im CRM
Weitergabe an Kundendienst Verantwortlicher (A) Verantwortlicher (A)
Installation vor Ort Verantwortlicher (B) Verantwortlicher (B)

(!!! anpassen!!!)

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.