Gemeinsame Verantwortung

Vereinbarung über eine
gemeinsame Verantwortlichkeit zum Betrieb der Onlineberatungs-App „SupportCompass“

zwischen dem

Verband der Beratungsstellen für Betroffene rechter, rassistischer und antisemitischer Gewalt e.V., Schlesische Str. 20, 10997 Berlin
– Verantwortlicher (A) –
und

der Mitgliedsorganisation


– Verantwortlicher (B) –


1. Gegenstand der Vereinbarung


(1) Zwischen den Parteien besteht ein Vertragsverhältnis (Hauptvertrag: „Nutzungsvereinbarung Online-Beratungs-Software“), das die gemeinsame Durchführung des Projekts „SupportCompass“ durch die Verantwortlichen (A) und (B) beinhaltet. Der Verantwortliche (A) stellt die Anwendung „SupportCompass“ dem Verantwortlichen (B) kostenfrei zu Verfügung, damit dieser Ratsuchenden seine Beratungsleistung anbieten kann. Die Parteien sind sich darüber einig, dass sie im Hinblick auf dieses Zusammenwirken gemeinsam über Zwecke und Mittel der Verarbeitung i.S.d. Art. 4 Nr. 7 DS-GVO bestimmen und insoweit eine gemeinsame Verantwortlichkeit für personenbezogene Daten, die im Rahmen der Online-Beratung verarbeitet werden, besteht. Für die übrigen Prozessabschnitte, bei denen keine gemeinsame Festlegung der Zwecke und Mittel einzelner Phasen der Datenverarbeitung besteht, ist jede Vertragspartei eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO.

(2) Dieser Vertrag dient als Vereinbarung zwischen den gemeinsam Verantwortlichen i.S.d. Art. 26 DS-GVO. In diesem Vertrag werden Regelungen dazu getroffen, wie den datenschutzrechtlichen Verpflichtungen gemäß der DS-GVO im Zusammenhang mit der gemeinsamen Verarbeitung personenbezogener Daten nachgekommen wird.

2. Beschreibung der Datenverarbeitung


(1) Zweck, Art und Umfang der Verarbeitung personenbezogener Daten ergeben sich aus dem zwischen den Parteien geschlossenen Hauptvertrag sowie der insoweit ggf. zusätzlich einbezogenen vertraglichen Regelungen. Grundsätzlich werden von dieser Vereinbarung diejenigen personenbezogenen Datenverarbeitungen erfasst, die bei der Nutzung der Anwendung „SupportCompass“ durch Beschäftigte der Parteien oder durch sie beauftragte Auftragsverarbeiter erfolgen. 

(2) Die Art der verarbeiteten personenbezogenen Daten sowie die Kategorien betroffener Personen sind der Anlage 1 dieses Vertrages zu entnehmen.

3. Verantwortlichkeit und Zuständigkeiten für Verarbeitungsschritte/-phasen

(1) Die Parteien haben in der Anlage 2 dieses Vertrages die Verarbeitungsschritte, die der gemeinsamen Verantwortlichkeit unterliegen, beschrieben und die jeweiligen Verantwortlichkeiten zugewiesen.

(2) In der Anlage 2 können die Parteien ferner Verantwortlichkeiten für die Bearbeitung und Umsetzung von Maßnahmen festlegen, die anlässlich der Wahrnehmung der Rechte von Betroffenen aus den Art. 15 - 21 DS-GVO zu treffen sind. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass beide Parteien gleichermaßen für die Bearbeitung von vorgenannten Betroffenenanfragen verantwortlich sind.

(3) Unbeschadet der Regelungen in Absatz 1 und 2 stimmen die Parteien überein, dass sich betroffene Personen an beide Parteien zwecks Wahrnehmung der ihnen jeweils zustehenden Betroffenenrechte wenden können. In einem solchen Fall ist die jeweils andere Partei dazu verpflichtet, das Ersuchen eines Betroffenen an die nach Anlage 2 dieses Vertrages zuständige Partei unverzüglich weiterzuleiten. Die Parteien werden sich hierfür gegenseitig Kontaktadressen benennen und jede Änderung unverzüglich in Textform mitteilen.

(4) Unbeschadet der Regelungen in Absatz 1, 2 und 3 wird der Verantwortliche (A) eine E-Mail-Adresse (beratungsapp@verband-brg.de) als gemeinsame Anlaufstelle für die Wahrnehmung von Betroffenenrechten einrichten. Im Falle eines Auskunftsbegehrens bzw. der Geltendmachung eines anderen Betroffenenrechts, durch welches der Verarbeitungsschritt des Verantwortlichen (B) berührt ist, unterrichtet der Verantwortliche (A) diesen unverzüglich. Ebenfalls unverzüglich wird der Verantwortliche (B) sodann die erforderlichen Informationen übermitteln.

4. Verhältnis der Mitgliedsorganisationen zueinander

(1) Zwischen den Mitgliedsorganisationen besteht keine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO hinsichtlich der Verarbeitung von personenbezogenen Daten Ratsuchender.

(2) Nehmen die Mitgliedsorganisationen untereinander einen fachlichen Austausch vor, liegt eine Übermittlung von personenbezogenen Daten vor.

5. Umsetzung von Betroffenenrechten

(1) Jede Partei ist verpflichtet, die Informationspflichten aus Art. 12 - 14 DS-GVO und Art. 26 Abs. 2 S. 2 DS-GVO gegenüber den Betroffenen umzusetzen.

(2) Grundsätzlich werden den betroffenen Personen die erforderlichen Informationen im Wege der Datenschutzerklärung der App in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung gestellt. Die Datenschutzerklärung ist stets online abrufbar.

(3) Für die Pflege und Aktualisierung der Datenschutzerklärung ist der Verantwortliche (A) überwiegend verantwortlich. Der Verantwortliche (A) benennt eine Person, die als gemeinsame_r Ansprechpartner für Anfragen und die Ausübung von Betroffenrechten verantwortlich ist.

(4) Die Parteien gehen davon aus, dass dieprimäre Verantwortlichkeit für die Erfüllung der Informationspflichten gemäß der Art. 12 - 14 DS-GVO beim Verantwortliche (A) liegen. Insofern werden Ratsuchenden bereits bei der Registrierung auf die Datenschutzerklärung hingewiesen. Wird eine Verarbeitung personenbezogener Daten durch den Verantwortlichen (B) vorgenommen, welche nicht durch die Datenschutzerklärung erfasst ist, wird er über deren Inhalt hinaus den Informationspflichten gegenüber Betroffenen nachkommen.

(5) Die Parteien verpflichten sich, den wesentlichen Inhalt dieser Vereinbarung – eine überblicksartige Fassung – über die gemeinsame datenschutzrechtliche Verantwortlichkeit den betroffenen Personen zur Verfügung zu stellen (Art. 26 Abs. 2 DS-GVO).


6. Datenschutzgrundsäte / Datensicherheit

(1) Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten  Datenverarbeitungen.

(2) Die Parteien verpflichten sich gegenseitig zur Einhaltung der jeweils nach Art. 32 DS-GVO erforderlichen technischen und organisatorischen Maßnahmen, soweit dies die Verarbeitung personenbezogener Daten betrifft, für die eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO besteht. Die Parteien berücksichtigen die Grundsätze Privacy by Design sowie Privacy by Default.

7. Meldepflichten bei Datenschutzverletzungen

(1) Jede Partei wird die jeweils andere Partei unverzüglich und vollständig über jede Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DS-GVO in Textform unterrichten. Mitzuteilen sind insoweit alle Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder weiteren anwendbaren Datenschutzrechts. Die Parteien werden sich gegenseitig unverzüglich alle Informationen im Zusammenhang mit der Datenschutzverletzung zur Verfügung stellen, die zur Prüfung der Datenschutzverletzung und seiner Folgen sowie für die Erfüllung etwaiger Meldepflichten nach den Art. 33, 34 DSGVO erforderlich sind.

(2) Für den Fall, dass eine Meldepflicht nach Art. 33 DS-GVO besteht, werden die Parteien im Rahmen der Zumutbarkeit das weitere Vorgehen abstimmen und sich bei der Erfüllung der Meldepflichten gegenseitig unterstützen.

(3) Sofern eine Benachrichtigung der Betroffenen nach Art. 34 DS-GVO erforderlich ist, werden die Parteien im Rahmen der Zumutbarkeit zusammenwirken und eine gemeinsame Benachrichtigung der Betroffenen durchführen, soweit die Parteien dies für sinnvoll halten.

8. Datenschutzverpflichtung und Verschwiegenheit von Mitarbeitenden

Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß den  Artikeln 28 Abs. 3, 29 und 32 DS-GVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und dass diese vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.

9. Weitere gemeinsame Pflichten

(1) Die Parteien richten sich nach dem aktuell gültigen Löschkonzept, welches der Anwendung „SupportCompass“ zugrunde liegt. Das aktuell gültige Löschkonzept wird vom Verantwortlichen (A) ausgegeben, dem Verantwortlichen (B) übermittelt und ist im internen Fachaustausch auf der Beratungsoberfläche zu finden. Daten, die innerhalb der Beratung durch SupportCompass entstehen und außerhalb von SupportCompass digital oder nicht-digital gespeichert sind, sind den jeweiligen Aufbewahrungs-pflichten und -fristen der Beratungsorganisationen unterworfen. Sollen personenbezogene Daten außerhalb der von den Parteien vorgesehenen Löschroutine gelöscht werden, informieren sich die Parteien zuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen.

(2) Beide Vertragsparteien bestimmen eine Ansprechperson, sowie eine stellvertretende Ansprechperson, welche für Fragestellungen nach diesem Vertrag zuständig ist. Die zuständigen Personen sind nach Vertragsschluss unaufgefordert innerhalb von 2 Wochen zu benennen und deren Kontaktdaten mitzuteilen.

(3) Dokumentationen im Sinne von Art. 5 Abs. 2 DS-GVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch jede Partei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Vertragsende hinaus aufbewahrt.

(4) Ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO erforderlich, unterstützen sich die Parteien gegenseitig.


10. Auftragsverarbeiter

(1) Die Beauftragung von Auftragsverarbeitern i.S.d. Art. 4 Nr. 8 DS-GVO durch eine Partei bedarf der vorherigen Zustimmung der jeweils anderen Partei in Textform.

(2) Die jeweils andere Partei kann vor Erteilung der Zustimmung die Vorlage des Auftragsverarbeitungsvertrages verlangen, der mit dem jeweiligen Auftragsverarbeiter geschlossen wurde, um die Einhaltung der Vorgaben des Art. 28 DS-GVO zu überprüfen.

(3) Sofern die Verarbeitung von personenbezogenen Daten in einem Drittland erfolgt, wird der Auftraggeber gegenüber der jeweils anderen Partei dieses Vertrages das Vorliegen der Garantien für ein angemessenes Datenschutzniveau im Drittland darlegen.

(4) Für den Fall, dass ein bestehender Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geändert wird, besteht eine Informationspflicht des Auftraggebers gegenüber der jeweils anderen Partei dieses Vertrages. Für den Fall, dass die Änderung des Auftragsverarbeitungsvertrages zu einer Verletzung der Vorgaben aus Art. 28 DS-GVO führt, kann die jeweils andere Vertragspartei von dem Auftraggeber eine unverzügliche Nachbesserung des Vertrages verlangen, damit die Voraussetzungen von Art. 28 DS-GVO eingehalten werden.

11. Zusammenarbeit mit Aufsichtsbehörden

(1) Jede Partei ist verpflichtet, die jeweils andere Partei unverzüglich zu informieren, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von diesem Vertrag umfasst ist.

(2) Die Parteien werden die Beantwortung von Anfragen von Aufsichtsbehörden zu der vertragsgegenständlichen Verarbeitung miteinander abstimmen, soweit dies rechtlich zulässig und/oder zumutbar ist.

(3) Die Parteien sind sich darüber einig, dass aufsichtsbehördlichen Maßnahmen grundsätzlich Folge zu leisten ist. Gleichwohl werden die Parteien sich darüber ins Benehmen setzen, ob und inwieweit Rechtsbehelfe gegen Anordnungen der Behörde eingelegt werden.

12. Haftung

(1) Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften, insbesondere Art. 82 DS-GVO. Das Gesetzt sieht danach vor, dass im Bereich der gemeinsamen Verantwortlichkeit eine gesamtschuldnerische Haftung besteht.

(2) Die Parteien stellen einander im Innenverhältnis von jeglicher Haftung frei, wenn die
haftungsauslösende Ursache im Rahmen der Verantwortlichkeit nach Ziff. 3 dieses Vertrages allein von einer Partei zu vertreten ist. Fällt insoweit eine Datenschutzverletzung in den Prozessbereich einer Partei, ist diese bezüglich des Innenausgleichs beweisbelastet dafür, dass sie nicht für den entstandenen Schaden verantwortlich ist.

(3) Die Haftungsregelungen gelten entsprechend auch im Hinblick auf eine gegen eine Partei etwa verhängte Geldbuße wegen eines Verstoßes gegen Datenschutzvorschriften, insbesondere nach Art. 83 DS-GVO.

(4) Die Parteien weisen nach Vertragsschluss innerhalb von 2 Wochen unaufgefordert nach, dass eine Haftpflichtversicherung mit einer Deckungssummer von mindestens ---------------------- besteht.



13. Schlussbestimmungen
(1) Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 26 DS-GVO am besten gerecht wird.

(3) Es gilt deutsches Recht einschließlich der DS-GVO.




Berlin             , den   7.10.2021                                          , den                         
Ort                              Datum                                   Ort                              Datum


                                                                                                                                 
            - Verantwortlicher (A) -                                          - Verantwortlicher (B)  -