§1 Gegenstand
Diese Bestimmung regelt die Rechte und Pflichten der Verantwortlichen bei der gemeinsamen Verarbeitung personenbezogener Daten. Diese Bestimmung findet auf alle Tätigkeiten Anwendung, bei denen Beschäftigte der Parteien oder durch sie beauftragte Auftragsverarbeiter personenbezogene Daten für die Verantwortlichen verarbeiten. Die Parteien haben die Mittel und Zwecke der nachfolgend näher beschriebenen Verarbeitungstätigkeiten gemeinsam festgelegt. Zudem sind sich die Parteien darüber einig, dass sie im Hinblick auf dieses Zusammenwirken gemeinsam über Zwecke und Mittel der Verarbeitung i.S.d. Art. 4 Nr. 7 DSGVO bestimmen und insoweit eine gemeinsame Verantwortlichkeit besteht.
§2 Beschreibung der Verarbeitung
(1) Zweck, Art und Umfang der Verarbeitung personenbezogener Daten ergeben sich aus dem zwischen den Parteien geschlossenen Kooperationsvertrag sowie der insoweit ggf. zusätzlich einbezogenen vertraglichen Regelungen.
(2) Die Art der Daten sowie die Kategorien betroffener Personen sind der Anlage 1 dieser Bestimmung zu entnehmen.
§3 Verantwortlichkeit und Zuständigkeiten für Verarbeitungsschritte/-phasen
(1) Es ist davon auszugehen, dass beide Parteien gleichermaßen für die Verarbeitung der jeweiligen Datenart(en) verantwortlich sind.
(2) Es ist davon auszugehen, dass beide Parteien gleichermaßen für die Bearbeitung von vorgenannten Betroffenenanfragen (Art.15-21 DSGVO) verantwortlich sind.
(3) Ungeachtet der Regelungen in Absatz 1 und 2 stimmen die Parteien überein, dass sich betroffene Personen an beide Parteien zwecks Wahrnehmung der ihnen jeweils zustehenden Betroffenenrechte wenden können. In einem solchen Fall ist die jeweils andere Partei dazu verpflichtet, das Ersuchen eines Betroffenen an die zuständige Partei unverzüglich weiterzuleiten. Die Parteien werden sich hierfür gegenseitig ihre Kontaktadressen benennen und jede Änderung unverzüglich in Textform mitteilen.
§4 Umsetzung von Betroffenenrechten
(1)Jede Partei ist verpflichtet, die Informationspflichten aus den Art. 12-14DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit die jeweilige Partei für den/die Verarbeitungsschritt(e) im Sinne der Ziff. 3 dieser Bestimmung zuständig ist.
§5 Datensicherheit
Die Parteien verpflichten sich gegenseitig zur Einhaltung der jeweils nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, soweit dies die Verarbeitung personenbezogener Daten betrifft, für die eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO besteht.
§6 Meldepflichten bei Datenschutzverletzungen
(1) Jede Partei wird die jeweils andere Partei unverzüglich über jede Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO in Textform unterrichten. Die Parteien werden sich gegenseitig unverzüglich alle Informationen im Zusammenhang mit der Datenschutzverletzung zur Verfügung stellen, die zur Prüfung der Datenschutzverletzung und seiner Folgen sowie für die Erfüllung etwaiger Meldepflichten nach den Art. 33, 34 DSGVO erforderlich sind.
§7 Gemeinsame Pflichten
Beide Vertragsparteien haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) festgestellt werden.
§8 Auftragsverarbeiter
(1) Die Beauftragung von Auftragsverarbeitern i.S.d. Art. 4 Nr. 8 DSGVO durch eine Partei bedarf der vorherigen Zustimmung der jeweils anderen Partei in Textform.
(2) Die jeweils andere Partei kann vor Erteilung der Zustimmung die Vorlage des Auftragsverarbeitungsvertrages verlangen, der mit dem jeweiligen Auftragsverarbeiter geschlossen wurde, um die Einhaltung der Vorgaben des Art.28 DSGVO zu überprüfen.
(3) Sofern die Verarbeitung von personenbezogenen Daten in einem Drittland erfolgt, wird der betroffene Verantwortliche gegenüber der jeweils anderen Partei dieses Vertrages das Vorliegen der Garantien für ein angemessenes Datenschutzniveau im Drittland darlegen.
(4) Für den Fall, dass ein bestehender Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geändert wird, besteht eine Informationspflicht des betroffenen Verantwortlichen gegenüber der jeweils anderen Partei dieses Vertrages. Für den Fall, dass die Änderung des Auftragsverarbeitungsvertrages zu einer Verletzung der Vorgaben aus Art. 28 DSGVO führt, kann die jeweils andere Vertragspartei von dem betroffenen Verantwortlichen eine unverzügliche Nachbesserung des Vertrages verlangen, damit die Voraussetzungen von Art. 28 DSGVO eingehalten werden.
§9 Zusammenarbeit mit Aufsichtsbehörden
(1) Jede Partei ist verpflichtet, die jeweils andere Partei unverzüglich zu informieren, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von diesem Vertrag umfasst ist.
(2) Die Parteienwerden die Beantwortung von Anfragen von Aufsichtsbehörden zu der vertragsgegenständlichen Verarbeitung miteinander abstimmen, soweit dies rechtlich zulässig und/oder zumutbar ist.
(3) Die Parteien sind sich darüber einig, dass aufsichtsbehördlichen Maßnahmen grundsätzlich Folge zu leisten sind. Gleichwohl werden die Parteien sich darüber ins Benehmen setzen, ob und inwieweit Rechtsbehelfe gegen Anordnungen der Behörde eingelegt werden.
§10 Haftung
Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften. Weiterhin stellen die Parteien einander im Innenverhältnis von jeglicher Haftung frei, wenn die haftungsauslösende Ursache im Rahmen der Verantwortlichkeit nach Ziff.3 dieser Bestimmung allein von einer Partei zu vertreten ist. Das gilt auch im Hinblick auf eine gegen eine Partei etwa verhängte Geldbuße wegen eines Verstoßes gegen Datenschutzvorschriften.
§11 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 26 DSGVO am besten gerecht wird.
(2) Es gilt deutsches Recht, einschließlich der DSGVO.
Anlage 1
1. Art(en) der personenbezogenen Daten. Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
- Kontaktdaten (Vorname, Nachname, Adresse etc.)
- Gesundheitsdaten