Die Rechtsfigur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) hat seit den EuGH Urteilen in Sachen Wirtschaftsakademie (C-210/16) und FashionID (C-40/17) Hochkonjunktur. Das Problem in der Praxis: niemand weiß, wie genau eine von der DSGVO geforderte Vereinbarung aussehen muss. Art. 26 DSGVO gibt hierzu nur rudimentäre Anhaltspunkte; ganz anders etwa als Art. 28 DSGVO für die Auftragsverarbeitung. Für die Praxis ist dies positiv und negativ zugleich. Positiv, da man einen gewissen Gestaltungsspielraum hat; negativ, da man diesen Gestaltungsspielraum nicht sicher definieren kann.
Daher freue ich mich immer, wenn ich Beispiele für Vereinbarungen nach Art. 26 DSGVO sehe.
Ein solches Beispiel habe ich nun in der Parlamentsdokumentation des Landtages NRW entdeckt. Dort ist der „Entwurf einer Vereinbarung gemäß Artikel 26 Datenschutz-Grundverordnung (DS-GVO) über die Verarbeitung personenbezogener Daten der Händler und Hersteller von Waffen und wesentlichen Waffenteilen in der Kopfstelle des Nationalen Waffenregisters“ (pdf) abrufbar.
Hintergrund der Vereinbarung (die ab dem 1.9.2020 gelten soll) ist das Inkrafttreten neuer Vorschriften zum Nationalen Waffenregister (NWR). Diese beinhalten eine Registrierungspflicht der Händler und Hersteller von Waffen. In der Form einer „Kopfstelle“ beauftragen alle Bundesländer die Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) mit Datenverarbeitungen.
Die Vereinbarung nach Art. 26 DSGVO wird hier also von alles Bundesländern getroffen.
Aus Sicht der Praxis lohnt sich sicher ein Blick in die Vereinbarung. Sei es, um in eigenen Ansichten bestätigt zu werden oder auch, um neue Anregungen zu erhalten. Nach dem Motto: wie machen das eigentlich die Bundesländer?
Einige Anmerkungen zu der Vereinbarung selbst.
In § 1 wird der Hintergrund der Vereinbarung erläutert. Zudem wird in Abs. 3 in Form einer detaillierten Aufzählung festgelegt, worauf sich die gemeinsame Verantwortlichkeit bezieht. Es werden nacheinander einzelne Verarbeitungstätigkeiten beschrieben. Dies in einer beschreiben Form auf faktischer Ebene. Das halte ich für sinnvoll.
§ 2 enthält dann eine Beschreibung der Datenkategorien und auch einen Hinweis auf den Erlaubnistatbestand der Verarbeitung.
§ 3 befasst sich mit der Erfüllung von Betroffenenrechten. Ein für die Praxis sehr relevantes Thema. Hinsichtlich der Informationspflichten wird (sinnigerweise) intern festgelegt, welche Partei sich um die Erteilung der Informationen nach Art. 13, 14 DSGVO und auch des Wesentlichen der Vereinbarung (Art. 26 Abs. 2 DSGVO) kümmert. Achtung: dies soll die Betreiberin der Kopfstelle sein; also nicht eine Partei der Vereinbarung selbst. Daher ist hier auch nur geregelt, dass die Betreiberin der Kopfstelle damit beauftragt wird. Sie kann aber nicht in der Vereinbarung selbst verpflichtet werden (Stichwort: Vertrag zu Lasten Dritter).
Interessant ist zB noch, dass in Abs. 4 Regelungen zur Identifizierung von Betroffenen festgelegt sind, wenn diese Auskunftsansprüche geltend machen.
In § 5 geht es um Meldungen nach Datenschutzverletzungen. Hier ist jede Partei selbst für die Meldung an die für sie zuständige Behörde verantwortlich.
In § 8 geht es um die Beauftragung und Einbindung der Betreiberin der Kopfstelle. Die DVZ M-V GmbH wird als Betreiberin der Kopfstelle als „Auftragsverarbeiterin der Parteien im Sinne von Artikel 28 DS-GVO“ betrachtet.
Nach Abs. 2 muss Partei 8 (das ist das Land Mecklenburg-Vorpommern) „im Namen aller Parteien einen Vertrag nach Art. 28 DS-GVO im Hinblick auf die Verarbeitung der von ihnen zu verantwortenden personenbezogenen Daten“ mit der DVZ M-V GmbH abschließen. Bedeutet: nicht jede Partei muss einzeln mit dem AVler kontrahieren. Das geht auch durch eine beauftragte Partei, im Namen aller. Zudem sehen die Abs. 3 und 4 einen Mechanismus zur Aufnahme weiterer AVler vor. Es muss eine vorherige schriftliche Zustimmung aller Parteien eingeholt werden. So ein Mechanismus kann in Unternehmensgruppen natürlich wahnsinnig aufwendig sein. Hier könnte man überlegen, ob denn diese Zustimmung (ähnlich wie bei Art. 28 DSGVO) nicht schon vorab erteilt wird und die übrigen Parteien informiert werden und ggfs. widersprechen können.
§ 10 enthält Regelungen zur Haftung. Diese sind jedoch wenig spektakulär und geben im Grunde die Vorgaben der DSGVO wieder. Interessant ist aber, dass die Bundesländer davon ausgehen, dass sie nach außen für Schäden gesamtschuldnerisch haften und zwar nach Maßgabe der Regelungen zum Schadensersatz (Art. 82 DSGVO). Zu einer Haftung bzgl. der Nichterfüllung von Betroffenenrechten (Art. 26 Abs. 3 DSGVO) oder im Fall von Bußgeldern, wird dort nichts geregelt.