Vertrag über die Datenverarbeitung als gemeinsam für die Verarbeitung Verantwortliche gemäß § 28 Gesetz über den kirchlichen Datenschutz (KDG)

zwischen

  • Deutscher Caritasverband e. V., im Folgenden DCV, und
  • Bundesverband der Energie- und Klimaschutzagenturen Deutschlands (eaD) e. V., im Folgenden eaD, und
  • örtlichem Träger (öT).

- zusammen: gemeinsam Verantwortliche –

 

Präambel

Die Parteien dieser Vereinbarung legen gemeinsam die Zwecke und die Mittel der gemeinsamen Datenverarbeitungstätigkeiten fest (Anlage 1 und 2). Ungeachtet dieser Vereinbarung sind sie „Verantwortliche“ im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) bzw. Sinne des § 4 Nr. 9 des Gesetzes über den Kirchlichen Datenschutz (KDG) und unterliegen unabhängig voneinander allen Aufgaben und Pflichten eines Verantwortlichen gemäß DSGVO und KDG. Gleichwohl können sich die Verantwortlichen bei der Erfüllung ihrer gesetzlichen Verpflichtungen gegenseitig unterstützen. Diese gegenseitige Unterstützung wird zwischen den gemeinsamen Verantwortlichen geregelt wie folgt: 

Der DCV sowie die Mehrzahl der örtlichen Träger unterliegen den datenschutzrechtlichen Regelungen des Kirchlichen Datenschutzgesetzes (KDG), Der eaD sowie die übrigen örtlichen Träger garantieren, dass Sie diese Regelungen beachten werden. 

Im Rahmen der Zusammenarbeit in Bezug auf den Stromspar-Check kann analog auf die europäische Datenschutzgrundverordnung (DSGVO) Bezug genommen werden. Die Regelungen des KDG gehen dieser jedoch im Einzelfall vor.

§ 1 Gegenseitige Funktionen und Beziehungen der Verantwortlichen

  1. Im Rahmen der Aufgaben und Pflichten der gemeinsam Verantwortlichen gemäß KDG und anderen Datenschutzgesetzen werden die gegenseitigen Funktionen und Beziehungen der Verantwortlichen in Anlage 3 „Interne Zuteilung bzw. Festlegung gegenseitiger Unterstützung hinsichtlich der Erfüllung von Pflichten gemäß KDG“ beschrieben.
  2. Unabhängig von Abs. 1 können von der Verarbeitung betroffene Personen die ihnen zustehenden Rechte bei und gegenüber jedem einzelnen Verantwortlichen geltend machen. Soweit ein Verantwortlicher seinen Aufgaben und Pflichten nach dem KDG bzw. der DSGVO, insbesondere den Rechten der betroffenen Personen, nicht eigenständig nachkommen kann, unterstützen ihn insoweit die anderen Verantwortlichen im Rahmen des Erforderlichen.
  3. Macht die betroffene Person ihre Rechte gegenüber einem Verantwortlichen geltend und regelt Anlage 3 diesbezüglich eine interne Zuteilung bzw. Unterstützung zwischen den gemeinsam Verantwortlichen, so veranlasst dieser Verantwortliche die vorgesehene Ein-beziehung der anderen Verantwortlichen im erforderlichen Umfang.
  4. Diese Vereinbarung wird gemäß §28 Abs. 2 mit Ausnahme der Anlage 2 der betroffenen Person zur Verfügung gestellt. Interne Zuteilung bzw. gegenseitige Unterstützung ist insoweit ggf. in Anlage 3 geregelt.

§ 2 Auftragsverarbeiter

Einen Vertrag zur Auftragsverarbeitung nach § 29 KDG mit einem Auftragsverarbeiter schließt jeder Verantwortliche ohne Rücksprache mit den übrigen Verantwortlichen ab. 

Alle Verantwortlichen sind verpflichtet, sich gegenseitig über neue Auftragsverarbeiter zu informieren. Wenn einer der gemeinsam Verantwortlichen dem Einsatz eines neuen Auftragsverarbeiters widersprechen möchte, so ist er verpflichtet dies binnen zwei Wochen nach Erhalt der Information schriftlich bei den übrigen gemeinsam Verantwortlichen anzumelden. Etwaige Auftragsverarbeiter sind in Anlage 4 aufgeführt.

§ 3 Beendigung des Vertragsverhältnisses und nachvertragliche Pflichten

  1. Diese Vereinbarung endet mit Beendigung des Hauptvertrags. Das Recht zur fristlosen Kündigung aus wichtigem Grund (§ 626 Bürgerliches Gesetzbuch) bleibt hiervon unberührt.
  2. Mit Beendigung dieses Vertrags stellen die Verantwortlichen sicher, dass kein unbefugter Zugriff eines Verantwortlichen auf personenbezogene Daten besteht, für die ein anderer Vertragspartner Verantwortlicher ist. Soweit keine Zugriffsbefugnisse bestehen, löschen bzw. vernichten die Vertragspartner die betreffenden personenbezogenen Daten und/oder geben diese an den Verantwortlichen auf dessen Anforderung heraus. 

§ 4 Mitzuteilende Verstöße

Die Vertragsparteien benachrichtigen sich untereinander unverzüglich über jede Verletzung dieses Vertrags oder anwendbarer Datenschutzgesetze.

§ 5 Haftung und Schadensersatz

In Bezug auf Haftung und Schadenersatz gelten die gesetzlichen Regelungen unverändert, insbesondere § 50 KDG und Art. 82 DSGVO.

§ 6 Sonstiges, Allgemeines

  1. Die Anlagen sind verpflichtender Bestandteil dieses Vertrages.
  2. Die Vertragsparteien werden zur Durchführung des Vertrages nur Personen beschäftigen, die sie zur Vertraulichkeit verpflichtet haben oder die einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Die Regelungen dieses Vertrags gehen abweichenden Regelungen im Hauptvertrag und in etwaigen anderen Verträgen vor.
  4. Sollten Daten bei einer der Vertragsparteien durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die Vertragspartei die anderen Verantwortlichen unverzüglich darüber zu informieren und weitreichende Transparenz hinsichtlich der gemeinsamen Verantwortlichkeit an den personenbezogenen Daten gegenüber den Beteiligten herzustellen. Die Vertragspartner sind in diesen Fällen dazu verpflichtet, alle Maßnahmen zu ergreifen und sich gegenseitig im erforderlichen Rahmen zu unterstützen, um einem unrechtmäßigen Datenzugriff Dritter vorzubeugen.
  5. Dieser Vertrag beginnt am 01.04.2020 und läuft auf unbestimmte Zeit. Gerichtsstand ist Freiburg im Breisgau.
  6. Die Vertragsparteien stimmen darin überein, diesen Vertrag mit einer elektronischen oder einer handgeschriebenen Signatur zu unterschreiben.
  7. Nebenabreden zu diesem Vertrag bestehen nicht. Änderungen oder Ergänzungen dieses Vertrages bedürfen der Schriftform. Sollte eine Bestimmung dieses Vertrages unwirksam sein oder werden, so wird der Vertrag im übrigen Inhalt nicht berührt. Die unwirksame Bestimmung soll einvernehmlich durch eine solche wirksame Bestimmung ersetzt wer-den, die der ursprünglichen Absicht der Parteien soweit wie möglich gleichkommt.

 

Freiburg im Breisgau, Berlin, den 01.04.202

  • Reiner Sans, Projektleiter Stromspar-Check (Deutscher Caritasverband e. V.)
  • Michael Geißler, Vorsitzender des Vorstandes, Bundesverband der Energie- und Klimaschutzagenturen Deutschlands (eaD) e. V.

Ort, Datum

  • - örtlicher Träger -

 Anlagen

  • Anlage 1: Allgemeine Angaben zu den Verarbeitungstätigkeiten
  • Anlage 2: [nicht öffentlich]
  • Anlage 3: Interne Zuteilung bzw. Festlegung gegenseitiger Unterstützung hinsichtlich der Erfüllung von Pflichten gemäß KDG
  • Anlage 4: Auftragsverarbeiter 

Anlage 1: Allgemeine Angaben zu den Verarbeitungstätigkeiten

1. Gegenstand der Verarbeitungstätigkeit

Gegenstand der Verarbeitungstätigkeit ist die Bereitstellung und Durchführung des verbund-partnerschaftlichen Projekts Stromspar-Check. 

2. Zweck der Verarbeitungstätigkeit 

Im Rahmen des Stromspar-Check agieren der DCV und der eaD gemeinsam mit unabhängigen Partnern vor Ort (örtlichen Trägern) darin, bei Haushalten mit geringem Einkommen relevante Daten zu deren Energie- und Wasserverbrauch sowie zum Verbrauchsverhalten zu erheben, um hiermit individuelle Energie- und Wassersparpläne zu erstellen und somit den Energie- und Wasserverbrauch in Haushalten der Zielgruppe zu verringern und damit deren Kostenbelastung zu reduzieren. Gleichzeitig erhalten Langzeitarbeitslose über ihre Tätigkeit als Stromsparhelfer/-innen die Chance auf einen Wiedereinstieg ins Berufsleben.

Die gemeinsam verantwortete Verarbeitungstätigkeit dient des Weiteren den unter den Vertragsparteien vereinbarten Zwecken des Stromspar-Checks. 

3. Art der personenbezogenen Daten (Datenarten)

Folgende Datenarten sind Gegenstand der Verarbeitungstätigkeit: 

Allgemeine Daten / Private Kontaktinformationen

  • [x] Namen
  • [x] Private Telefon- und Adressdaten (inkl. E-Mailadresse)
  • Angaben zur Art der öffentlichen Transferleistungen
  • [x] Altersgruppe der Haushaltsbewohner/innen nach für Transferleistungsbezug relevanter Eingruppierung
  • [x] Art der bezogenen Transferleistung mit ausstellender Behörde
  • Information, ob Rentner oder Alleinerziehend
  • Art und Dauer der Beschäftigungsförderung
  • Informationen zu Wohnung
  • [x] Art der Wohnung und Lage im Haus
  • [x] Anzahl der Wohnung im Haus (bei Mehrfamilienhaus)
  • [x] Angaben zu Wohnfläche und Anzahl der Räume
  • [x] Nutzungszeit der Wohnung pro Jahr
  • [x] Angaben zu festgestellten Problemen in der Wohnung (z.B. Schimmel)

Verbrauchsdaten

  • [x] Angaben aus vorgelegten Verbrauchsabrechnungen des Haushalts
  • [x] Bestand an Energie- und Wasserverbrauchenden Geräten und Einrichtungen, einschließlich Angaben zur Leistungsaufnahme bzw. zu Durchflüssen, zur Intensität der Nutzung und zu technischen Eigenschaften, im Falle von Großgeräten auch zu Fabrikat und Alter
  • [x] Angaben zu genutzten Energieträgern im Haushalt
  • [x] Angaben der Haushalte zum Nutzungsverhalten

Vertragsdaten

  • [x] Abrechnungs- und Zahlungsdaten
  • [x] Bankverbindungsdaten / Kreditkartendaten
  • [x] Vertrags-/Nutzungshistorien
  • [x] Identifikationsdaten / IDs 

Sonstige

  • [x] Daten gemäß Haushaltserfassungsbogen, jeweils aktuelle Fassung.

4. Kategorien betroffener Personen

Die folgenden Kategorien von Personen sind von der Verarbeitungstätigkeit betroffen: 

Folgende Kategorien betroffener Personen sind Gegenstand der Verarbeitungstätigkeit:

  • [x] Kunden
  • [x] Interessenten
  • [_] Abonnenten
  • [_] Dienstnutzer
  • [x] Mittelbar Betroffene / Personen im Umfeld / Insassen
  • [_] Besucher
  • [_] Veranstaltungsteilnehmer
  • [_] Kommunikationsteilnehmer/-innen
  • [_] Bewerber
  • [x] Mitarbeiter
  • [x] ehemalige Mitarbeiter
  • [_] Auszubildende / Praktikanten
  • [_] Angehörige von Mitarbeitern
  • [_] Gesellschafter / Organe / Fördermittelgeber und Mitarbeiterdaten nachgeordneter Behörden
  • [x] Geschäftspartner
  • [x] Lieferanten und Dienstleister 
  • [x] Berater
  • [_] Dienstliche Ansprechpartner
  • [_] Handelsvertreter
  • [_] Pressevertreter
  • [_] Sonstige: ___________________________

Anlage 2

[nicht öffentlich]

Anlage 3 Interne Zuteilung bzw. Festlegung gegenseitiger Unterstützung hinsichtlich der Erfüllung von Pflichten gemäß KDG

Pflicht gemäß KDG: § 7 Abs. 1 lit a: Verarbeitung nach Treu und Glauben
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 7 Abs. 1 lit a: Rechtmäßigkeit der Verarbeitung
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: §7 Abs. 1 lit. b: Zweckbindung der Verarbeitung
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 7 Abs. 1 lit. c: Datenminimierung
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 7 Abs. 1 lit. d: Richtigkeit der personenbezogenen Daten
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 7 Abs. 1 lit. e: Speicherbegrenzung
DCV [x] eaD [x] örtlicher Träger [Verantwortlich insofern in Datenbank gelöscht werden kann]

Pflicht gemäß KDG: § 7 Abs. 1 lit. e: § 7 Abs. 1 lit. f: Integrität und Vertraulichkeit
DCV [x] eaD [Verantwortlich für Integrität und Vertraulichkeit der Daten in der Datenbank] örtlicher Träger [Verantwortlich für Integrität und Vertraulichkeit von der Erhebung bis zur Eintragung in die Datenbank]

Pflicht gemäß KDG: § 7 Abs. 1 lit. d: § 7 Abs. 2: Rechenschaft
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 15: Informationspflicht bei Direkterhebung
DCV [_] eaD [_] örtlicher Träger [x]

Pflicht gemäß KDG: § 16: Informationspflicht bei Dritterhebung
DCV [x] eaD [x] örtlicher Träger [_]

Pflicht gemäß KDG: § 17: Bearbeitung von Auskunftsverlangen
DCV [_] eaD [Unterstützt öT bei der Zusammenstellung der zu beauskunftenden Daten] örtlicher Träger [x]

Pflicht gemäß KDG: § 18: Bearbeitung von Berichtigungsanfragen
DCV [_] eaD [Unterstützt öT bei Berichtigungen in der Datenbank] örtlicher Träger [x]

Pflicht gemäß KDG: § 19: Bearbeitung von Ansprüchen auf Löschung der Daten oder Beschränkung der Verarbeitung
DCV [_] eaD [x] örtlicher Träger [Weiterleitung des Anspruchs an eaD]

Pflicht gemäß KDG: § 19: Mitteilung der Berichtigung, Löschung oder Einschränkung der Verarbeitung
DCV [_] eaD [x] örtlicher Träger [Weiterleitung des Anspruchs an eaD]

Pflicht gemäß KDG: § 22: Abwicklung von Herausgabeverlangen (Datenportabilität)
DCV [_] eaD [x] örtlicher Träger [_]

Pflicht gemäß KDG: § 23: Bearbeitung von Widersprüchen
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 26: Umsetzung der techn.-org. Maßnahmen nach Risikoabschätzung
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 26: Überprüfung und Aktualisierung der techn.-org. Maßnahmen
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 26: Dokumentation der Auswahl der techn.-org. Maßnahmen
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 27: Gewährleistung von „privacy by design“ und „privacy by default“
DCV [_] eaD [x] örtlicher Träger [_]

Pflicht gemäß KDG: § 28: Anlaufstelle für die betroffenen Personen
DCV [x] eaD [x] örtlicher Träger [_]

Pflicht gemäß KDG: § 29: Initiale Überprüfung der Geeignetheit von Auftragsverarbeitern (falls erforderlich)
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 29: Regelmäßige Kontrollen von Auftragsverarbeitern (falls erforderlich)
DCV [_] eaD [x] örtlicher Träger [_]

Pflicht gemäß KDG: § 31: Führung des Verzeichnisses von Verarbeitungstätigkeiten
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 33, 34: Gewährleistung der Meldepflicht und ggf. der Benachrichtigung betroffener Personen bei Datenschutzverletzungen
DCV [x] eaD [x] örtlicher Träger [x]

Pflicht gemäß KDG: § 35: Prüfung der Erforderlichkeit und Durchführung von Datenschutz-Folgenabschätzungen
DCV [x] eaD [x] örtlicher Träger [_]

Pflicht gemäß KDG: § 35: Vorherige Konsultation einer Aufsichtsbehörde und Übermittlung der notwendigen Informationen
DCV [x] eaD [x] örtlicher Träger [_]

Anlage 4 Auftragsverarbeiter

Name und Anschrift des Auftragsverarbeiters: SEnerCon, Berlin
Gegenstand der Auftragsverarbeitung: Datenbank-Dienstleistung

Name und Anschrift des Auftragsverarbeiters: Hildegard Hügemann, Rödermark
Gegenstand der Auftragsverarbeitung: Kontaktmanagementsystem

Name und Anschrift des Auftragsverarbeiters: Berliner Energieagentur GmbH, Berlin
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Name und Anschrift des Auftragsverarbeiters: Energieagentur Regio Freiburg GmbH, Freiburg
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Name und Anschrift des Auftragsverarbeiters: Klimaschutzagentur Region Hannover gGmbH, Hannover
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Name und Anschrift des Auftragsverarbeiters: BEKS EnergieEffizienz GmbH, Bremen
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Name und Anschrift des Auftragsverarbeiters: Energie- und Umweltzentrum Allgäu, Kempten
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Name und Anschrift des Auftragsverarbeiters: HessenEnergie Gesellschaft für rationelle Energienutzung mbH, Wiesbaden
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Name und Anschrift des Auftragsverarbeiters: Landesenergieagentur Sachsen-Anhalt GmbH, Magdeburg
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Name und Anschrift des Auftragsverarbeiters: Klimaschutz- und Energie-Beratungsagentur Heidelberg - Rhein-Neckar-Kreis gGmbH, Heidelberg
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Name und Anschrift des Auftragsverarbeiters: Prisma Consult GmbH, Wuppertal
Gegenstand der Auftragsverarbeitung: Pflege von Nutzerdaten

Beratung telefonisch und online

Trotz Corona: Beratungen finden statt am Telefon, im Video-Chat oder in der Sprechstunde ... [weiterlesen]

< zurück