Die Zusammenarbeit zwischen zwei Parteien kann nach der DSGVO entweder durch eine Auftragsverarbeitung nach Art. 28 DSGVO vereinbart werden. Oder Sie wird durch einen Vertrag geregelt in dem zwei oder mehrere Parteien als gemeinsame Verantwortliche agieren. Die richtige Rechtsgrundlage ist dann Art. 26 DSGVO. Diese Rechtsgrundlage ist z.B. immer dann die Richtige, wenn z.B. jede der Parteien ihre eigenen Daten erhebt, die Parteien aber in Teilen eine gemeinsame IT Infrastruktur benutzen wie es z.B. im Rahmen von Bürogemeinschaften der Fall sein kann.
Art 26 Abs. 1 S.1 besagt:
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.
Verantwortlicher nach Art. 4 Abs. 7 DSGVO ist:
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …
Also kann es auch dasjenige Unternehmen sein, das selbst keine Daten verarbeitet, aber Zwecke und Mittel der Verarbeitung mitbestimmt. Wer über Mittel und Zwecke der Datenverarbeitung nicht bestimmt, ist nicht Verantwortlicher. Eine gemeinschaftliche Verantwortlichkeit kann deshalb z.B. nicht begründet werden, wenn eine Seite weisungsgebunden ist, weil nur der Auftraggeber den Zweck der Verarbeitung festlegt.
Wozu dient die Regelung nach Art. 26 DSGVO?
Die gemeinsam Verantwortlichen … legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt.
In Betracht kommen hier z.B. Bürogemeinschaften oder Gemeinschaften, die gemeinsam technische Systeme nutzen, also Drucker, Faxgeräte etc. Die Verpflichtungen, die zu erfüllen sind, sind eben wieder dem allgemeinen Teil der DSGVO zu entnehmen: Wer dokumentiert, wie welche Daten wie verarbeitet werden, wer analysiert, welche Risiken dabei entstehen, wer entscheidet über die TOMs und über die Kontrolle? Wer kümmert sich um welche Betroffenen, wer erfüllt die Auskunftsrechte welcher Betroffenen?
Der Vertragsaufbau ist dann sehr einfach. Ich habe das nachfolgend ganz einfach strukturiert aufgeschrieben, man kann den Aufbau übernehmen, aber bitte nicht den Inhalt unreflektiert abschreiben. Man muss erstens den Gegenstand des Vertrags beschreiben, zweitens dann den Umfang, Zweck (wir regeln mit diesem Vertrag die gemeinsame Verantwortlichkeit für die Verarbeitung von personenbezogenen Daten im Rahmen unserer gemeinsamen Nutzung der Mietung XYZ) und die Laufzeit festlegen (dieser Vertrag gilt, solange die Mietung XYZ gemeinsam genutzt wird) und dann im Kern genau die Verantwortlichkeiten regeln. Bsp. für eine Bürogemeinschaft: Mieter 1 ist für die Rechtmäßigkeit der Erhebung aller Daten verantwortlich, die Mieter 1 erhebt. Mieter 2 ist für die Rechtmäßigkeit der Erhebung aller Daten verantwortlich, die Mieter 2 erhebt. Für die Einhaltung der technischen Maßnahmen ist Mieter 2 allein verantwortlich, soweit die Mietung ihm alleine zusteht. Beide Parteien sind gemeinschaftlich für die Räume verantwortlich, die sie gemeinschaftlich nutzen. Für den Fall, dass Betroffene Rechte nach den Art. 13, 14 DSGVO geltend machen, ist diejenige Partei für die Erfüllung der Betroffenenrechte verantwortlich, die die jeweiligen Daten erhoben hat. der Betroffenenrechte unterstützen. Die Haftung sollte geregelt werden, damit Klarheit über die Haftung im Innenverhältnis besteht. Und dann kommen die allgemeinen Regelungen.
