Vertrag über die Datenverarbeitung als gemeinsam für die Verarbeitung Verantwortliche gemäß § 28 Gesetz über den kirchlichen Datenschutz (KDG)
zwischen
- Deutscher Caritasverband e. V., im Folgenden DCV, und
- Bundesverband der Energie- und Klimaschutzagenturen Deutschlands (eaD) e. V., im Folgenden eaD, und
- örtlichem Träger (öT).
- zusammen: gemeinsam Verantwortliche –
Präambel
Die Parteien dieser Vereinbarung legen gemeinsam die Zwecke und die Mittel der gemeinsamen Datenverarbeitungstätigkeiten fest (Anlage 1 und 2). Ungeachtet dieser Vereinbarung sind sie „Verantwortliche“ im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) bzw. Sinne des § 4 Nr. 9 des Gesetzes über den Kirchlichen Datenschutz (KDG) und unterliegen unabhängig voneinander allen Aufgaben und Pflichten eines Verantwortlichen gemäß DSGVO und KDG. Gleichwohl können sich die Verantwortlichen bei der Erfüllung ihrer gesetzlichen Verpflichtungen gegenseitig unterstützen. Diese gegenseitige Unterstützung wird zwischen den gemeinsamen Verantwortlichen geregelt wie folgt:
Der DCV sowie die Mehrzahl der örtlichen Träger unterliegen den datenschutzrechtlichen Regelungen des Kirchlichen Datenschutzgesetzes (KDG), Der eaD sowie die übrigen örtlichen Träger garantieren, dass Sie diese Regelungen beachten werden.
Im Rahmen der Zusammenarbeit in Bezug auf den Stromspar-Check kann analog auf die europäische Datenschutzgrundverordnung (DSGVO) Bezug genommen werden. Die Regelungen des KDG gehen dieser jedoch im Einzelfall vor.
§ 1 Gegenseitige Funktionen und Beziehungen der Verantwortlichen
- Im Rahmen der Aufgaben und Pflichten der gemeinsam Verantwortlichen gemäß KDG und anderen Datenschutzgesetzen werden die gegenseitigen Funktionen und Beziehungen der Verantwortlichen in Anlage 3 „Interne Zuteilung bzw. Festlegung gegenseitiger Unterstützung hinsichtlich der Erfüllung von Pflichten gemäß KDG“ beschrieben.
- Unabhängig von Abs. 1 können von der Verarbeitung betroffene Personen die ihnen zustehenden Rechte bei und gegenüber jedem einzelnen Verantwortlichen geltend machen. Soweit ein Verantwortlicher seinen Aufgaben und Pflichten nach dem KDG bzw. der DSGVO, insbesondere den Rechten der betroffenen Personen, nicht eigenständig nachkommen kann, unterstützen ihn insoweit die anderen Verantwortlichen im Rahmen des Erforderlichen.
- Macht die betroffene Person ihre Rechte gegenüber einem Verantwortlichen geltend und regelt Anlage 3 diesbezüglich eine interne Zuteilung bzw. Unterstützung zwischen den gemeinsam Verantwortlichen, so veranlasst dieser Verantwortliche die vorgesehene Ein-beziehung der anderen Verantwortlichen im erforderlichen Umfang.
- Diese Vereinbarung wird gemäß §28 Abs. 2 mit Ausnahme der Anlage 2 der betroffenen Person zur Verfügung gestellt. Interne Zuteilung bzw. gegenseitige Unterstützung ist insoweit ggf. in Anlage 3 geregelt.
§ 2 Auftragsverarbeiter
Einen Vertrag zur Auftragsverarbeitung nach § 29 KDG mit einem Auftragsverarbeiter schließt jeder Verantwortliche ohne Rücksprache mit den übrigen Verantwortlichen ab.
Alle Verantwortlichen sind verpflichtet, sich gegenseitig über neue Auftragsverarbeiter zu informieren. Wenn einer der gemeinsam Verantwortlichen dem Einsatz eines neuen Auftragsverarbeiters widersprechen möchte, so ist er verpflichtet dies binnen zwei Wochen nach Erhalt der Information schriftlich bei den übrigen gemeinsam Verantwortlichen anzumelden. Etwaige Auftragsverarbeiter sind in Anlage 4 aufgeführt.
§ 3 Beendigung des Vertragsverhältnisses und nachvertragliche Pflichten
- Diese Vereinbarung endet mit Beendigung des Hauptvertrags. Das Recht zur fristlosen Kündigung aus wichtigem Grund (§ 626 Bürgerliches Gesetzbuch) bleibt hiervon unberührt.
- Mit Beendigung dieses Vertrags stellen die Verantwortlichen sicher, dass kein unbefugter Zugriff eines Verantwortlichen auf personenbezogene Daten besteht, für die ein anderer Vertragspartner Verantwortlicher ist. Soweit keine Zugriffsbefugnisse bestehen, löschen bzw. vernichten die Vertragspartner die betreffenden personenbezogenen Daten und/oder geben diese an den Verantwortlichen auf dessen Anforderung heraus.
§ 4 Mitzuteilende Verstöße
Die Vertragsparteien benachrichtigen sich untereinander unverzüglich über jede Verletzung dieses Vertrags oder anwendbarer Datenschutzgesetze.
§ 5 Haftung und Schadensersatz
In Bezug auf Haftung und Schadenersatz gelten die gesetzlichen Regelungen unverändert, insbesondere § 50 KDG und Art. 82 DSGVO.
§ 6 Sonstiges, Allgemeines
- Die Anlagen sind verpflichtender Bestandteil dieses Vertrages.
- Die Vertragsparteien werden zur Durchführung des Vertrages nur Personen beschäftigen, die sie zur Vertraulichkeit verpflichtet haben oder die einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
- Die Regelungen dieses Vertrags gehen abweichenden Regelungen im Hauptvertrag und in etwaigen anderen Verträgen vor.
- Sollten Daten bei einer der Vertragsparteien durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die Vertragspartei die anderen Verantwortlichen unverzüglich darüber zu informieren und weitreichende Transparenz hinsichtlich der gemeinsamen Verantwortlichkeit an den personenbezogenen Daten gegenüber den Beteiligten herzustellen. Die Vertragspartner sind in diesen Fällen dazu verpflichtet, alle Maßnahmen zu ergreifen und sich gegenseitig im erforderlichen Rahmen zu unterstützen, um einem unrechtmäßigen Datenzugriff Dritter vorzubeugen.
- Dieser Vertrag beginnt am 01.04.2020 und läuft auf unbestimmte Zeit. Gerichtsstand ist Freiburg im Breisgau.
- Die Vertragsparteien stimmen darin überein, diesen Vertrag mit einer elektronischen oder einer handgeschriebenen Signatur zu unterschreiben.
- Nebenabreden zu diesem Vertrag bestehen nicht. Änderungen oder Ergänzungen dieses Vertrages bedürfen der Schriftform. Sollte eine Bestimmung dieses Vertrages unwirksam sein oder werden, so wird der Vertrag im übrigen Inhalt nicht berührt. Die unwirksame Bestimmung soll einvernehmlich durch eine solche wirksame Bestimmung ersetzt wer-den, die der ursprünglichen Absicht der Parteien soweit wie möglich gleichkommt.
Freiburg im Breisgau, Berlin, den 01.04.202
- Reiner Sans, Projektleiter Stromspar-Check (Deutscher Caritasverband e. V.)
- Michael Geißler, Vorsitzender des Vorstandes, Bundesverband der Energie- und Klimaschutzagenturen Deutschlands (eaD) e. V.
Ort, Datum
- - örtlicher Träger -
Anlagen
- Anlage 1: Allgemeine Angaben zu den Verarbeitungstätigkeiten
- Anlage 2: [nicht öffentlich]
- Anlage 3: Interne Zuteilung bzw. Festlegung gegenseitiger Unterstützung hinsichtlich der Erfüllung von Pflichten gemäß KDG
- Anlage 4: Auftragsverarbeiter