Zur Navigation springen Zum Inhalt springen Zum Footer springen

Datenschutz: Was ist eine „Controller-to-Controller“-Vereinbarung?

  • 1 Minuten Lesezeit
  • (13)

Haben Sie schon von einem Controller-to-Controller Agreement, Independent Controller Data Processing Agreement, Data Sharing Agreement, … gehört?

Es sind Vereinbarungen, die sich derzeit in der Vertragspraxis häufen, deren Zweck aber weitestgehend noch unbekannt ist. 

Der nachfolgende Beitrag soll Ihnen Gegenstand und Zweck solcher Verträge erläutern.

Zweck dieser Vereinbarungen ist stets, dass die Weitergabe von personenbezogenen Daten von einem Verantwortlichen an einen anderen Verantwortlichen geregelt werden soll. Die beiden Verantwortlichen, die Vertragsparteien werden, entscheiden jeweils eigenständig über die Zwecke und Mittel einer Datenverarbeitung.

Die Vertragskonstellation „Controller-to-Controller“ ist strikt von der gemeinsamen Verantwortlichkeit („Joint-Controllership“ i. S. v. Art. 26 DSGVO) zu trennen, bei denen die Vertragsparteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Ebenso hiervon abzugrenzen ist die Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO („AV“, „AVV“), bei welcher der Auftragsverarbeiter die Verarbeitung personenbezogener Daten weisungsgebunden im Auftrag eines Verantwortlichen wahrnimmt.

Anders als bei „AV“- oder „Joint-Controllership“-Vereinbarungen ist der Abschluss einer „Controller-to-Controller“-Vereinbarung nicht durch die DSGVO vorgeschrieben. Dennoch kann deren Abschluss Sinn machen. So kann mit der Vereinbarung eine einvernehmliche datenschutzrechtliche Einordnung und Abgrenzung der geplanten Datenverarbeitung erfolgen. Für beide Vertragsparteien geht aus der Vereinbarung klar und ohne Missverständnisse hervor, dass man grundsätzlich die datenschutzrechtlichen Pflichten eines Verantwortlichen wahrzunehmen hat. Gegebenenfalls können bestimmte Pflichten, wie z. B. Informationspflichten gegenüber von der Datenverarbeitung betroffenen Personen koordiniert werden. Regelungen zu gegenseitigen Mitteilungs- und Kooperationspflichten können ebenfalls Sinn machen. 

Der Vertragsfreiheit sind hier grundsätzlich keine Schranken gesetzt, solange die Vereinbarung im Einklang mit dem Datenschutzrecht steht.

Fazit

Verarbeiten zwei oder mehrere Unternehmen dieselben personenbezogenen Daten zu jeweils unterschiedlichen Zwecken, kann eine „Controller-to-Controller“-Vereinbarung zur datenschutzrechtlichen Abgrenzung und Pflichtenkoordination sinnvoll sein. 

Görtz Rechtsanwälte
Stuttgart-Heilbronn


Rechtstipp aus dem Rechtsgebiet IT-Recht

Artikel teilen:


Sie haben Fragen? Jetzt Kontakt aufnehmen!

Weitere Rechtstipps von Rechtsanwalt Fachanwalt für internationales Wirtschaftsrecht Dominik Görtz

Das Verwaltungsgericht Koblenz hat mit Urteil vom 10.05.2021 entschieden, dass ein Arbeitgeber keinen Anspruch auf Entschädigungszahlung nach § 56 Infektionsschutzgesetz (IfSG) hat, wenn dem ... Weiterlesen
Projekte und Verträge im Maschinen- und Anlagenbau zeichnen sich meist durch eine Vielzahl unterschiedlicher Beteiligte, komplexe technische und rechtliche Aufgaben und Unterlagen sowie durch hohe ... Weiterlesen
In dem Fall des Arbeitsgerichts Köln vom 15.04.2021, Az.: 8 Ca 7334/20 kündigte ein Arbeitgeber in einem Kleinbetrieb (nicht mehr als zehn Vollzeitmitarbeiter - § 23 KSchG), weil er der Aussage ... Weiterlesen

Beiträge zum Thema

(3)
26.02.2016
1. Beschwerde über Unternehmen beim Bayerischen Landesamt für Datenschutzaufsicht jetzt einfach online möglich ... Weiterlesen
(14)
07.10.2019
Die Einführung der DSGVO im Frühjahr letzten Jahres hat insbesondere für Unternehmen eine große Reihe von ... Weiterlesen
(1)
18.10.2019
Natürlich muss ein Vertrieb, ein Versicherer oder ein anderes Unternehmen nach§ 87 c Abs.2 HGB einen Buchauszug ... Weiterlesen

Ihre Spezialisten