LfDI Baden-Würt­tem­berg: Vor­la­ge für Joint-Controller-Verträge

Der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg hat Vor­la­gen für Ver­ein­ba­run­gen zwi­schen gemein­sam Ver­ant­wort­li­chen ver­öf­fent­licht. Die Doku­men­te wur­den sei­ner Mit­tei­lung zufol­ge “auf Grund­la­ge gemein­sa­mer Über­le­gun­gen mit einer Rei­he von Unter­neh­men und öffent­li­chen Stel­len entwickelt”.

Sie umfas­sen die Ver­ein­ba­rung i.S.v. Art. 26 Abs. 1 DSGVO und die nach Art. 26 Abs. 2 DSGVO vor­ge­se­he­ne Infor­ma­ti­on der Betrof­fe­nen über das Wesent­li­che die­ser Vereinbarung.

Die Doku­men­te sind als Aus­gangs­la­ge gut geeig­net und inso­fern zu begrü­ssen. Sie gehen aber deut­lich über das Mini­mum hin­aus. Die Ver­trags­vor­la­ge ist zudem auf zwei – d.h. nicht drei oder mehr – gemein­sa­me Ver­ant­wort­li­che zuge­schnit­ten und eig­net sich ohne Anpas­sun­gen nur bedingt für die Rege­lung der gemein­sa­men Ver­ant­wort­lich­keit im kon­zern­in­ter­nen Ver­hält­nis. Anpas­sun­gen sind auch für den Fall not­wen­dig, dass eine der Par­tei­en für die betref­fen­de Ver­ar­bei­tung nicht der DSGVO untersteht.