Sprache:

26. Juni 2019 - erstellt von Dominik Görtz
Datenschutz: Was ist eine „Controller-to-Controller“- Vereinbarung?

Haben Sie schon von einem Controller-to-Controller Agreement, Independent Controller Data Processing Agreement, Data Sharing Agreement, … gehört?

Es sind Vereinbarungen, die sich derzeit in der Vertragspraxis häufen, deren Zweck aber weitestgehend noch unbekannt ist.

Der nachfolgende Beitrag soll Ihnen Gegenstand und Zweck solcher Verträge erläutern.

Zweck dieser Vereinbarungen ist stets, dass die Weitergabe von personenbezogenen Daten von einem Verantwortlichen an einen anderen Verantwortlichen geregelt werden soll. Die beiden Verantwortlichen, die Vertragsparteien werden, entscheiden jeweils eigenständig über die Zwecke und Mittel einer Datenverarbeitung.

Die Vertragskonstellation „Controller-to-Controller“ ist strikt von der gemeinsamen Verantwortlichkeit („Joint-Controllership“ i.S.v. Art. 26 DSGVO) zu trennen, bei denen die Vertragsparteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Ebenso hiervon abzugrenzen ist die Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO („AV“, „AVV“), bei welcher der Auftragsverarbeiter die Verarbeitung personenbezogener Daten weisungsgebunden im Auftrag eines Verantwortlichen wahrnimmt.

Anders als „AV“- oder „Joint-Controllership“- Vereinbarungen, ist der Abschluss einer „Controller-to-Controller“- Vereinbarung nicht durch die DSGVO vorgeschrieben. Dennoch kann deren Abschluss Sinn machen. So kann mit der Vereinbarung eine einvernehmliche datenschutzrechtliche Einordnung und Abgrenzung der geplanten Datenverarbeitung erfolgen. Für beide Vertragsparteien geht aus der Vereinbarung klar und ohne Missverständnisse hervor, dass man grundsätzlich die datenschutzrechtlichen Pflichten eines Verantwortlichen wahrzunehmen hat. Gegebenenfalls können bestimmte Pflichten, wie z.B. Informationspflichten gegenüber von der Datenverarbeitung betroffenen Personen koordiniert werden. Regelungen zu gegenseitigen Mitteilungs- und Kooperationspflichten können ebenfalls Sinn machen.

Der Vertragsfreiheit sind hier grundsätzlich keine Schranken gesetzt, solange die Vereinbarung im Einklang mit dem Datenschutzrecht steht.

Fazit

Verarbeiten zwei oder mehrere Unternehmen die selben personenbezogenen Daten zu jeweils unterschiedlichen Zwecken, kann eine „Controller-to-Controller“- Vereinbarung zur datenschutzrechtlichen Abgrenzung und Pflichtenkoordination sinnvoll sein.

   Karoline Nutz                      
– Rechtsanwältin für IT- u. Datenschutzrecht –