Vereinbarung über die gemeinsame Verantwortlichkeit
zwischen
shopware AG Ebbinghof 10 48624 Schöppingen
(nachfolgend „Verantwortlicher“)
und
dem Store-Betreiber, der dieser Vereinbarung durch Annahme im Backend seiner Storefront zustimmt
(nachfolgend „weiterer Verantwortlicher“)
(nachfolgend zusammen „gemeinsame Verantwortliche“)
Präambel
Verantwortlicher und weiterer Verantwortlicher sehen sich den hohen Standards verpflichtet, die bei den gemeinsam Verantwortlichen jeweils im Hinblick auf den Datenschutz gelten.
Die gemeinsam Verantwortlichen haben gemäß Art. 26 Abs. 1 S. 1 DGSVO gemeinsam über Zwecke und Mittel einer Verarbeitung personenbezogener Daten (kurz: „Daten“) entschieden (kurz: „gemeinsame Verarbeitungstätigkeit“). Deshalb konkretisiert die vorliegende Vereinbarung über die gemeinsame Verantwortlichkeit (kurz: „GVV“) für diese gemeinsamen Verarbeitungstätigkeiten die Rechte und Pflichten der gemeinsam Verantwortlichen auf dem Gebiet des Datenschutzes, welche sich aus dem zwischen den gemeinsam Verantwortlichen bereits oder künftig bestehenden rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnis (kurz: „Hauptvertrag“) ergeben.
Anders als die Auftragsverarbeitung gemäß Art. 28 DGSVO kennt die gemeinsame Verantwortlichkeit gemäß Art. 26 DGSVO keine feste Zuweisung der Rechte und Pflichten der gemeinsam Verantwortlichen. Diese Zuweisung nehmen die Parteien deshalb mit dem GVV vor. Dabei kann sich ergeben, dass einem der gemeinsam Verantwortlichen eine hervorgehobene Rolle in der gemeinsamen Verantwortlichkeit zukommt. In diesem Fall sollte die betroffene Partei im GVV als Verantwortlicher im Vertragskopf aufgeführt werden.
Gegenstand der Vereinbarung
Der GVV gilt ausschließlich für die in den folgenden Ziffern bezeichneten gemeinsamen Verarbeitungstätigkeiten. Die für die gemeinsamen Verarbeitungstätigkeiten geltenden datenschutzrechtlichen Festlegungen werden im GVV geregelt. Dies ist insbesondere die Festlegung, welcher der gemeinsam Verantwortlichen welche Verpflichtung gemäß der DGSVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person betrifft, und welcher der gemeinsam Verantwortlichen welchen Informationspflichten gemäß Artt. 13, 14 DGSVO nachkommt, sofern und soweit die jeweiligen Aufgaben der Parteien nicht durch Rechtsvorschriften verbindlich vorgegeben sind.
Bei etwaigen Widersprüchen gehen die Regelungen dieses GVV und all seiner Teile den Regelungen des zugehörigen Hauptvertrages vor.
Etwaige Anlagen sind Teil des GVV. Bei etwaigen Widersprüchen gehen die Regelungen in den Anlagen der allgemeineren Regelung im GVV vor. Wird im Folgenden oder in einer Anlage auf den GVV Bezug genommen, so ist der GVV mit allen seinen Teilen gemeint.
Gemeinsame Verarbeitungstätigkeiten
Der Gegenstand der gemeinsamen Verarbeitungstätigkeit ergibt sich aus dem Hauptvertrag.
Die gemeinsame Verarbeitungstätigkeit einschließlich der Löschung erfolgt durch den Verantwortlichen.
Die Dauer der gemeinsamen Verarbeitungstätigkeit ergibt sich aus dem Hauptvertrag.
Art und Zweck der gemeinsamen Verarbeitungstätigkeit ergeben sich aus dem Hauptvertrag.
Kategorien der von der gemeinsamen Verarbeitungstätigkeit betroffenen Daten ergeben sich aus dem Hauptvertrag.
Kategorien der von der gemeinsamen Verarbeitungstätigkeit betroffenen Personen ergeben sich aus dem Hauptvertrag.
Kategorien von Empfängern der von der gemeinsamen Verarbeitungstätigkeit betroffenen Daten ergeben sich aus dem Hauptvertrag.
Die Erlaubnis für die im Rahmen der gemeinsamen Verarbeitungstätigkeit erfolgenden Datenverarbeitungen ergibt sich für den Verantwortlichen aus Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO und für den weiteren Verantwortlichen aus Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO.
Jeder der gemeinsam Verantwortlichen ist im Rahmen des GVV für die Einhaltung der anwendbaren gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Offenlegung gegenüber dem/den anderen, sowie für die Rechtmäßigkeit der gemeinsamen Verarbeitungstätigkeit verantwortlich.
Sollte einer der gemeinsam Verantwortlichen Daten aus einer gemeinsamen Verarbeitungstätigkeit auch für andere Zwecke verarbeiten, ist dieser gemeinsam Verantwortliche hierfür eigenständig Verantwortlicher im Sinne des Art. 4 Nr. 7 DGSVO. Dieser Verantwortliche ist verpflichtet, den anderen gemeinsam Verantwortlichen über solche Verarbeitungen zu anderen Zwecken in Textform zu unterrichten.
Erfüllung der Verpflichtungen aus der DGSVO
Die Festlegung, welcher der gemeinsam Verantwortlichen welche Verpflichtung aus der DGSVO für die gemeinsamen Verarbeitungstätigkeiten erfüllt, geschieht wie folgt:
Pflicht | Verantwortlicher | weiterer Verantwortlicher |
Festlegungen für die gemeinsamen Verarbeitungstätigkeiten | werden stets gemeinsam getroffen | werden stets gemeinsam getroffen |
Erfüllung der eigenen Rechenschaftspflicht gemäß Art. 5 Abs.2 DGSVO | eigene Verantwortung jedes gemeinsamen Verantwortlichen | eigene Verantwortung jedes gemeinsamen Verantwortlichen |
Implementierung, Einholung und Management der Einwilligungen betroffener Personen als Erlaubnis für die der gemeinsamen Verarbeitungstätigkeiten vorgelagerte Erhebung von Daten in Endgeräten nach § 25 TDDDG | ☒ | |
Erfüllung der Informationspflichten gemäß Artt. 13, 14, 21 DGSVO[KK2] | ☒ | |
Erfüllung der Rechte betroffener Personen gemäß Art. 15 DGSVO (Auskunft) | ☒ | |
Erfüllung der Rechte betroffener Personen gemäß Art. 16 DGSVO (Berichtigung) | ☒ | |
Erfüllung der Rechte betroffener Personen gemäß Art. 17 DGSVO (Löschung) | ☒ | |
Erfüllung der Rechte betroffener Personen gemäß Art. 18 DGSVO (Einschränkung der Verarbeitung) | ☒ | |
Erfüllung der Rechte betroffener Personen gemäß Art. 19 DGSVO (Mitteilungspflichten) | ☒ | |
Erfüllung der Rechte betroffener Personen gemäß Art. 20 DGSVO (Datenübertragbarkeit) | ☒ | |
Erfüllung der Rechte betroffener Personen gemäß Art. 21 DGSVO (Widerspruch) | ☒ | |
Gewährleistung der zur DGSVO-konformen Verarbeitung erforderlichen Maßnahmen gemäß Art. 24 DGSVO | ☒ | |
Umsetzung der Anforderungen zum Datenschutz durch Technikgestaltung gemäß Art. 25 Abs.1 DGSVO | ☒ | |
Umsetzung der Anforderungen zu datenschutzfreundlichen Voreinstellungen gemäß Art.25 Abs.2 DGSVO | ☒ | |
Bereitstellung der wesentlichen Inhalte des GVV für die betroffenen Personen gemäß Art. 26 Abs.2 S.2 DGSVO | ☒ | |
Führung des Verzeichnisses von Verarbeitungstätigkeiten für die gemeinsamen Verarbeitungstätigkeiten gemäß Art. 30 DGSVO | ☒ | |
Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DGSVO | ☒ | |
Bearbeitung von Datenschutzverletzungen gemäß Artt. 33, 34 DGSVO | ☒ | |
Durchführung der Datenschutz-Folgeabschätzung und Konsultation der Aufsichtsbehörde gemäß Artt. 35, 36 DGSVO | ☒ | |
Benennung eines Datenschutzbeauftragten gemäß Art. 37 DGSVO (soweit erforderlich) | erfolgt stets eigenständig bei jedem gemeinsamen Verantwortlichen | erfolgt stets eigenständig bei jedem gemeinsamen Verantwortlichen |
Verpflichtung der Beschäftigten auf die Wahrung der Vertraulichkeit personenbezogener Daten | erfolgt stets eigenständig bei jedem gemeinsamen Verantwortlichen | erfolgt stets eigenständig bei jedem gemeinsamen Verantwortlichen |
Jeder der gemeinsam Verantwortlichen wird an der Erfüllung der Verpflichtungen aus der DGSVO durch den gemäß dieser Ziffer für die jeweilige Pflicht Verantwortlichen mitwirken, soweit dies zur Pflichterfüllung erforderlich und ihm zumutbar und möglich ist.
Ist einem der gemeinsam Verantwortlichen eine Pflicht gemäß dieser Ziffer zugewiesen, wird dieser die Erfüllung dieser Pflicht im Rahmen der ihm gemäß Art. 5 Abs. 2 DGSVO obliegenden Rechenschaftspflicht dokumentieren und auf Verlangen dem/den anderen Verantwortlichen die diesbezügliche Dokumentation zugänglich machen, soweit dies zur Erfüllung von Pflichten des/der anderen Verantwortlichen erforderlich ist.
Über die Meldung einer Datenschutzverletzung gemäß Art. 33 Abs. 1 DGSVO oder die Konsultation einer Aufsichtsbehörde bei der Datenschutz-Folgenabschätzung gemäß Art. 36 Abs. 1 DGSVO wird sich der hierfür zuständige der gemeinsam Verantwortlichen mit dem anderen der gemeinsam Verantwortlichen unverzüglich abstimmen, es sei denn durch die Abstimmung wird die Einhaltung zwingender Rechtsvorschriften aus der DGSVO (insbesondere die Meldefrist gemäß Art. 33 Abs. 1 DGSVO) gefährdet.
Erfüllung der Informationspflichten gemäß Artt. 13, 14, 21, Art. 26 Abs. 2 S. 2 DGSVO
Die den betroffenen Personen gemäß Artt. 13, 14, 21 DGSVO und gemäß Art. 26 Abs. 2 S. 2 DGSVO zur Verfügung zu stellenden Informationen werden von den gemeinsam Verantwortlichen separat einvernehmlich festgelegt.
Der für die Erfüllung der Informationspflichten gemäß Artt. 13, 14, 21 DGSVO und gemäß Art. 26 Abs. 2 S. 2 DGSVO zuständige der gemeinsam Verantwortlichen wird die Informationen den betroffenen Personen wie folgt leicht zugänglich zur Verfügung stellen: Als Datenschutzinformation auf seiner Website (Storefront).
Sicherheit der Verarbeitung gemäß Art. 32 DGSVO
Der für die Gewährleistung der Sicherheit der Verarbeitung zuständige der gemeinsam Verantwortlichen wird angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DGSVO (kurz „TOM“) treffen und für die Laufzeit des GVV aufrechterhalten.
Die TOM unterliegen dem technischen Fortschritt und der technologischen Weiterentwicklung sowie gesetzlichen Änderungen. Dem für die Gewährleistung der Sicherheit der Verarbeitung zuständigen der gemeinsam Verantwortlichen ist deshalb gestattet, alternative und angemessene TOM umzusetzen, sofern dabei das Sicherheitsniveau der zuvor festgelegten TOM insgesamt nicht unterschritten wird. Über solche Änderungen werden der andere der gemeinsam Verantwortlichen in Textform durch Bereitstellung der neuen TOM unterrichtet.
Anlaufstelle für die betroffenen Personen
Anlaufstelle für die betroffenen Personen gemäß Art. 26 Abs. 1 S. 3 DGSVO ist der Verantwortliche. Die als Anlaufstelle benannte Partei (kurz „Anlaufstelle“) wird die Bearbeitung von Anfragen betroffener Personen gemäß Artt. 15 ff. DGSVO vollständig für den anderen der gemeinsam Verantwortlichen übernehmen.
Wendet sich eine betroffene Person in Ausübung ihrer Rechte gemäß Art. 26 Abs. 3 DGSVO an einen anderen der gemeinsam Verantwortlichen als die Anlaufstelle, wird dieser die Anfrage unverzüglich an die Anlaufstelle weiterleiten, die sodann die Anfrage bearbeiten wird. Bei der Kommunikation mit der betroffenen Person wird die Anlaufstelle darauf hinweisen, dass sie auch für den anderen der gemeinsam Verantwortlichen tätig wird.
Ansprechpartner der gemeinsam Verantwortlichen
Die gemeinsam Verantwortlichen benennen in Textform gegenseitig einen oder mehrere Ansprechpartner in datenschutzrechtlichen Angelegenheiten, einschließlich der ggf. benannten Datenschutzbeauftragten. Die Benennung ist entbehrlich, wenn diese sich bereits aus dem Hauptvertrag oder anderen Festlegungen der gemeinsam Verantwortlichen ergibt.
Unterrichtung bei Datenschutzverletzungen und Fehlern der Verarbeitung
Jeder der gemeinsam Verantwortlichen unterrichtet unverzüglich den für die Bearbeitung von Verletzungen des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DGSVO (kurz „Datenschutzverletzung“) zuständigen der gemeinsam Verantwortlichen, wenn (a) eine gemeinsame Verarbeitungstätigkeit betroffen ist und (b) ihm Datenschutzverletzungen in seinem Organisationsbereich bekannt werden oder ein konkreter Verdacht einer solchen Datenschutzverletzung bei diesem der gemeinsam Verantwortlichen besteht.
Stellt einer der gemeinsam Verantwortlichen Fehler bei der gemeinsamen Verarbeitungstätigkeit fest, hat er den jeweils andere der gemeinsam Verantwortlichen unverzüglich hierüber zu unterrichten.
Der jeweils von der Datenschutzverletzung betroffene der gemeinsam Verantwortlichen trifft unverzüglich die erforderlichen Maßnahmen zur Behebung der Datenschutzverletzung oder der Fehler sowie zur Minderung möglicher nachteiliger Folgen, insbesondere für die betroffenen Personen. Hierüber stimmt er sich mit dem anderen der gemeinsam Verantwortlichen ab. Mündliche Unterrichtungen sind unverzüglich in Textform nachzureichen.
Übermittlung von Daten an einen Empfänger in einem Drittland
Die Übermittlung von Daten an einen Empfänger in einem Drittland außerhalb von EU und EWR durch einen der gemeinsam Verantwortlichen ist unter den in Artt. 44 ff. DGSVO geschriebenen Bedingungen zulässig.
Über solche Übermittlungen hat der übermittelnde der gemeinsam Verantwortlichen den anderen der gemeinsam Verantwortlichen in Textform zu unterrichten. Einzelheiten werden bei Bedarf in der Anlage "Drittlandsübertragung" geregelt.
Auftragsverarbeitungen
Zur Beauftragung von Auftragsverarbeitungen für sämtliche gemeinsamen Verantwortlichen ist ausschließlich der Verantwortliche befugt. Für die Beachtung der Vorgaben aus Art. 28 DGSVO ist der Verantwortliche allein verantwortlich. Über solche Auftragsverarbeitungen hat der beauftragende der gemeinsam Verantwortlichen den anderen der gemeinsam Verantwortlichen in Textform zu unterrichten.
Sofern und soweit dies zur Durchführung des GVV erforderlich ist, wird der beauftragende der gemeinsam Verantwortlichen seinen Auftragsverarbeitern Weisungen zur Durchführung der gemeinsamen Verarbeitungstätigkeiten erteilen und dies dem anderen der gemeinsam Verantwortlichen auf dessen Verlangen nachweisen.
Auf Verlangen des anderen der gemeinsam Verantwortlichen wird der beauftragende der gemeinsam Verantwortlichen diesem die nach Art. 28 DGSVO erforderlichen Regelungen nachweisen. Sind Daten des anderen gemeinsam Verantwortlichen betroffen, wird der beauftragende der gemeinsam Verantwortlichen sicherstellen, dass Überprüfungen gemäß Art. 28 Abs. 3 S. 2 lit. h) DGSVO auch durch den anderen der gemeinsam Verantwortlichen durchgeführt werden können und der Auftragsverarbeiter dazu beiträgt.
Umgang mit Aufsichtsbehörden
Macht eine Aufsichtsbehörde von Befugnissen nach Art. 58 DGSVO Gebrauch, so informieren sich die gemeinsam Verantwortlichen hierüber unverzüglich. Sie unterstützen sich in ihrem jeweiligen Verantwortungsbereich bei Erfüllung der gegenüber der jeweiligen Aufsichtsbehörde bestehenden Verpflichtungen.
Haftung und Schadenersatz
Macht eine betroffene Person gegenüber einem der gemeinsam Verantwortlichen Ansprüche (wie z. B. Unterlassung, Schadenersatz) wegen Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so hat der beanspruchte der gemeinsam Verantwortlichen den/die anderen der gemeinsam Verantwortlichen hierüber unverzüglich in Textform zu informieren.
Die gemeinsam Verantwortlichen haften gegenüber betroffenen Personen entsprechend der in Art. 82 DGSVO getroffenen Regelung.
Die gemeinsam Verantwortlichen unterstützen sich wechselseitig bei der Abwehr von Ansprüchen betroffener Personen, es sei denn, dies würde die Rechtsposition eines der gemeinsam Verantwortlichen im Verhältnis zu dem/den anderen der gemeinsam Verantwortlichen oder zur Aufsichtsbehörde gefährden.
Kosten
Kosten, die einem der gemeinsam Verantwortlichen durch die Erfüllung der Pflichten aus dem GVV entstehen, trägt dieser selbst.
Laufzeit
Der GVV wird auf unbestimmte Zeit geschlossen.
Der GVV kann mit einer Frist von drei Monaten zum Quartalsende gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
Die Kündigung des GVV durch den Verantwortlichen ist gegenüber allen anderen der gemeinsam Verantwortlichen zu erklären. Die Kündigung eines weiteren Verantwortlichen ist gegenüber dem Verantwortlichen zu erklären, der zur Entgegennahme der Kündigung stellvertretend für alle anderen der gemeinsam Verantwortlichen durch jeden gemeinsam Verantwortlichen bevollmächtigt ist. Über den Zugang einer Kündigung hat der Verantwortliche die anderen der gemeinsam Verantwortlichen unverzüglich in Textform zu unterrichten.
Erklärt der Verantwortliche die Kündigung des GVV oder scheidet er sonst aus, endet dieser GVV mit dem Ausscheiden des Verantwortlichen unabhängig von der Zahl der an der gemeinsamen Verantwortlichkeit beteiligten gemeinsam Verantwortlichen. Den anderen gemeinsam Verantwortlichen bleibt vorbehalten, eine neue Vereinbarung unter Festlegung eines neuen Verantwortlichen abzuschließen.
Herausgabe und Löschung von Daten
Die gemeinsam Verantwortlichen haben bei Beendigung des Hauptvertrags oder des GVV unverzüglich die Daten herauszugeben oder datenschutzkonform zu löschen. Die Pflicht zur Herausgabe oder Löschung besteht nicht, wenn auch nach Beendigung des Hauptvertrags oder des GVV der jeweils verpflichtete gemeinsam Verantwortliche eigenständig zur weiteren Verarbeitung der Daten insoweit berechtigt ist.
Ob die Daten herauszugeben und/oder datenschutzkonform zu löschen sind, entscheidet derjenige der gemeinsam Verantwortlichen, der die Daten erstmalig gegenüber dem/den weiteren Verantwortlichen offengelegt hat. Herausgabe und Löschung sind in Textform (z. B. durch ein Löschprotokoll) zu bestätigen.
Die gemeinsam Verantwortlichen haben jeweils selbst dafür Sorge zu tragen, dass sie die in Bezug auf die Daten bestehenden Aufbewahrungspflichten einhalten. Hierfür sind angemessene eigene TOM festzulegen, welche die für die gemeinsamen Verarbeitungstätigkeiten geltenden TOM ergänzen.
Änderungen dieses GVV
Vorschläge für Änderungen des GVV werden vom Verantwortlichen erstellt oder diesem von einem anderen der gemeinsam Verantwortlichen zugeleitet.
Der Vorschlag für Änderungen des GVV oder ein aus mehreren anderen Vorschlägen der gemeinsam Verantwortlichen konsolidierter Vorschlag wird vom Verantwortlichen unverzüglich allen anderen der gemeinsam Verantwortlichen unter Gewährung einer angemessenen Frist zur Stellungnahme in Textform bereitgestellt.
Wird der Vorschlag innerhalb der gesetzten Frist von allen der gemeinsam Verantwortlichen unverändert akzeptiert und dem Verantwortlichen zugeleitet, ist die Vereinbarung wie im Vorschlag vorgesehen geändert. Anderenfalls gilt der Vorschlag als abgelehnt.
Schlussbestimmungen
Die gemeinsam Verantwortlichen sind sich darüber einig, dass durch den GVV eine Gesellschaft bürgerlichen Rechts, eine Vorgesellschaft, eine Vorgründungsgesellschaft oder eine andere Gesellschaft oder Vereinigung nicht begründet wird und eine solche Gründung auch nicht beabsichtigt ist.
Sollten die Daten aus einer gemeinsamen Verarbeitungstätigkeit eines der gemeinsam Verantwortlichen durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der von der Maßnahme betroffene der gemeinsam Verantwortlichen den/die anderen der gemeinsam Verantwortlichen unverzüglich darüber in Textform zu informieren. Außerdem hat der von der Maßnahme betroffene der gemeinsam Verantwortlichen die Dritten unverzüglich in Textform darüber zu informieren, dass die Verantwortung für die Daten bei allen gemeinsam Verantwortlichen gemäß Art. 26 DGSVO liegt.
Mündliche Nebenabreden wurden nicht getroffen. Änderungen und Ergänzungen des GVV bedürfen zu ihrer Wirksamkeit der Textform und in jedem Fall der ausdrücklichen Bezugnahme auf den GVV. Abweichende mündliche Abreden der gemeinsam Verantwortlichen sind unwirksam. Dies gilt auch für Änderungen dieser Klausel.
Sollte auch nur eine Bestimmung dieser Vereinbarung ganz oder teilweise rechtsunwirksam oder nichtig sein oder werden, bleibt dieser GVV im Übrigen gleichwohl aufrechterhalten und gültig. An Stelle der rechtsunwirksamen oder nichtigen Bestimmung gilt das Gesetz, sofern die hierdurch entstandene Lücke nicht durch ergänzende Vertragsauslegung gemäß §§ 133, 157 BGB geschlossen werden kann. Die gemeinsam Verantwortlichen sind jedoch insoweit verpflichtet, unverzüglich eine rechtswirksame und datenschutzkonforme Vertragsergänzung abzustimmen und zu erstellen.
Es gilt deutsches Recht.
