Zur Navigation springen Zum Inhalt springen Zum Footer springen
Der Standort konnte nicht bestimmt werden.
Der Standort konnte nicht bestimmt werden.

Datenschutz: Was ist eine „Controller-to-Controller“-Vereinbarung?

  • 1 Minuten Lesezeit

Haben Sie schon von einem Controller-to-Controller Agreement, Independent Controller Data Processing Agreement, Data Sharing Agreement, … gehört?

Es sind Vereinbarungen, die sich derzeit in der Vertragspraxis häufen, deren Zweck aber weitestgehend noch unbekannt ist. 

Der nachfolgende Beitrag soll Ihnen Gegenstand und Zweck solcher Verträge erläutern.

Zweck dieser Vereinbarungen ist stets, dass die Weitergabe von personenbezogenen Daten von einem Verantwortlichen an einen anderen Verantwortlichen geregelt werden soll. Die beiden Verantwortlichen, die Vertragsparteien werden, entscheiden jeweils eigenständig über die Zwecke und Mittel einer Datenverarbeitung.

Die Vertragskonstellation „Controller-to-Controller“ ist strikt von der gemeinsamen Verantwortlichkeit („Joint-Controllership“ i. S. v. Art. 26 DSGVO) zu trennen, bei denen die Vertragsparteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Ebenso hiervon abzugrenzen ist die Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO („AV“, „AVV“), bei welcher der Auftragsverarbeiter die Verarbeitung personenbezogener Daten weisungsgebunden im Auftrag eines Verantwortlichen wahrnimmt.

Anders als bei „AV“- oder „Joint-Controllership“-Vereinbarungen ist der Abschluss einer „Controller-to-Controller“-Vereinbarung nicht durch die DSGVO vorgeschrieben. Dennoch kann deren Abschluss Sinn machen. So kann mit der Vereinbarung eine einvernehmliche datenschutzrechtliche Einordnung und Abgrenzung der geplanten Datenverarbeitung erfolgen. Für beide Vertragsparteien geht aus der Vereinbarung klar und ohne Missverständnisse hervor, dass man grundsätzlich die datenschutzrechtlichen Pflichten eines Verantwortlichen wahrzunehmen hat. Gegebenenfalls können bestimmte Pflichten, wie z. B. Informationspflichten gegenüber von der Datenverarbeitung betroffenen Personen koordiniert werden. Regelungen zu gegenseitigen Mitteilungs- und Kooperationspflichten können ebenfalls Sinn machen. 

Der Vertragsfreiheit sind hier grundsätzlich keine Schranken gesetzt, solange die Vereinbarung im Einklang mit dem Datenschutzrecht steht.

Fazit

Verarbeiten zwei oder mehrere Unternehmen dieselben personenbezogenen Daten zu jeweils unterschiedlichen Zwecken, kann eine „Controller-to-Controller“-Vereinbarung zur datenschutzrechtlichen Abgrenzung und Pflichtenkoordination sinnvoll sein. 

Görtz Rechtsanwälte
Stuttgart-Heilbronn


Rechtstipp aus dem Rechtsgebiet IT-Recht

Artikel teilen:


Sie haben Fragen? Jetzt Kontakt aufnehmen!

Weitere Rechtstipps von Rechtsanwalt Fachanwalt für internationales Wirtschaftsrecht Dominik Görtz

Wirtschaftskanzlei für Produktsicherheit und Produkthaftung - Stuttgart www.goertz-legal.de Ausnahmetatbestände zur Maschinenrichtlinie für Prototypen zu Forschungs- und Demonstrationszwecken I. ... Weiterlesen
Görtz Legal Rechtsanwaltsgesellschaft mbH Kanzlei für Produkthaftung und Produktsicherheit in Stuttgart www.goertz-legal.de Unterlagen und technische Dokumentation einschließlich Risikoanalyse und ... Weiterlesen
Görtz Legal Rechtsanwaltsgesellschaft mbH Kanzlei für Produkthaftung und Produktsicherheit in Stuttgart www.goertz-legal.de Begriffsdefinition und Abgrenzung zur vollständigen Maschine Die ... Weiterlesen

Beiträge zum Thema

26.08.2022
Sobald personenbezogene Daten erfasst werden – ob von Mitarbeitern, Website-Besuchern oder Kunden – handelt es ... Weiterlesen
12.08.2021
Heutzutage erfolgt die Verarbeitung von personenbezogenen Daten in arbeitsteiligen Unternehmensstrukturen oftmals ... Weiterlesen
07.10.2019
Die Einführung der DSGVO im Frühjahr letzten Jahres hat insbesondere für Unternehmen eine große Reihe von ... Weiterlesen

Ihre Spezialisten