Haben Sie schon von einem Controller-to-Controller Agreement, Independent Controller Data Processing Agreement, Data Sharing Agreement, … gehört?

Es sind Vereinbarungen, die sich derzeit in der Vertragspraxis häufen, deren Zweck aber weitestgehend noch unbekannt ist.

Der nachfolgende Beitrag soll Ihnen Gegenstand und Zweck solcher Verträge erläutern.

Zweck dieser Vereinbarungen ist stets, dass die Weitergabe von personenbezogenen Daten von einem Verantwortlichen an einen anderen Verantwortlichen geregelt werden soll. Die beiden Verantwortlichen, die Vertragsparteien werden, entscheiden jeweils eigenständig über die Zwecke und Mittel einer Datenverarbeitung.

Die Vertragskonstellation „Controller-to-Controller“ ist strikt von der gemeinsamen Verantwortlichkeit („Joint-Controllership“ i.S.v. Art. 26 DSGVO) zu trennen, bei denen die Vertragsparteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Ebenso hiervon abzugrenzen ist die Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO („AV“, „AVV“), bei welcher der Auftragsverarbeiter die Verarbeitung personenbezogener Daten weisungsgebunden im Auftrag eines Verantwortlichen wahrnimmt.

Anders als „AV“- oder „Joint-Controllership“- Vereinbarungen, ist der Abschluss einer „Controller-to-Controller“- Vereinbarung nicht durch die DSGVO vorgeschrieben. Dennoch kann deren Abschluss Sinn machen. So kann mit der Vereinbarung eine einvernehmliche datenschutzrechtliche Einordnung und Abgrenzung der geplanten Datenverarbeitung erfolgen. Für beide Vertragsparteien geht aus der Vereinbarung klar und ohne Missverständnisse hervor, dass man grundsätzlich die datenschutzrechtlichen Pflichten eines Verantwortlichen wahrzunehmen hat. Gegebenenfalls können bestimmte Pflichten, wie z.B. Informationspflichten gegenüber von der Datenverarbeitung betroffenen Personen koordiniert werden. Regelungen zu gegenseitigen Mitteilungs- und Kooperationspflichten können ebenfalls Sinn machen.

Der Vertragsfreiheit sind hier grundsätzlich keine Schranken gesetzt, solange die Vereinbarung im Einklang mit dem Datenschutzrecht steht.

Fazit

Verarbeiten zwei oder mehrere Unternehmen die selben personenbezogenen Daten zu jeweils unterschiedlichen Zwecken, kann eine „Controller-to-Controller“- Vereinbarung zur datenschutzrechtlichen Abgrenzung und Pflichtenkoordination sinnvoll sein.

   Karoline Nutz                      
– Rechtsanwältin für IT- u. Datenschutzrecht –

Online-Vortrag: RA Görtz / IHK Karlsruhe am 18.11.2025 von 15.00-17.00 Uhr

Das europäische Produktsicherheits- und Produkthaftungsrecht ist spätestens seit Ende 2024 mit Geltung der neuen Produktsicherheitsverordnung 2023/988/EU sowie Erlass der neuen Produkthaftungsrichtlinie 2024/2853/EU aus seinem Dornröschenschlaf erwacht. Die aktuellen Entwicklungen der Regulatorik fordern von allen Wirtschaftsakteuren vielfältige Anstrengungen, um sichere Produkte in der Europäischen Union in Verkehr zu bringen und damit verbundene Haftungsrisiken nach Zivilrecht, öffentlichem Marktaufsichtsrecht und Strafrecht für Ihr Unternehmen und die handelnden Personen, möglichst gering zu halten.

Produktsicherheit beginnt idealerweise zu Beginn der Entwicklungsphase in einem ständigen Zusammenspiel der jeweiligen Fachbereiche Ihres Unternehmens. Um hierzu zum einen die gesetzlichen Anforderungen zu erfüllen, aber auch bestmögliche Ergebnisse erzielen zu können und in nicht zu 100 % vermeidbaren Produktsicherheitsfällen bestmöglich aufgestellt zu sein, ist das bestehende Compliance System zu überprüfen und zu einem vollwirksamen „Product Compliance Management Systems“ weiterzuentwickeln.

Der Fachvortrag beleuchtet die wichtigsten rechtlichen Aspekte des Produktsicherheitsrecht wie auch den neuen Produkthaftungsregelungen aus Unternehmersicht mit Praxisbespielen und praktischen Handlungsempfehlungen.

Anmeldungen bitte gerne unter:
https://veranstaltungen.karlsruhe.ihk.de/b?p=produktsicherherheitprodukthaftung

Veranstaltungsdetails:

Die Umsetzung der GPSR (General Product Safety Regulation – VO (EU) 2023/988) erweist sich als nicht ganz einfach, zumal es zu wenig für die Unternehmenspraxis nutzbare Literatur dazu gab.

Nach dem Inkrafttreten der GPSR am 13.12.2024 soll das dreistündige Webinar (einschließlich 20-minütiger Pause) einen praxisorientierten Überblick über die wichtigsten Fragen geben.

Der Referent Dominik Görtz von der Görtz Legal Rechtsanwaltsgesellschaft mbH in Stuttgart ist Rechtsanwalt und Fachanwalt für internationales Wirtschaftsrecht. Er ist seit vielen Jahren im Produktsicherheitsrecht tätig und berät mittelständische Unternehmen bei der Umsetzung der GPSR.

Das kostenfreie Webinar richtet sich ausschließlich an IHK-Mitgliedsunternehmen und findet am 05.02.2025 in der Zeit von 13.30 Uhr bis 16.30 Uhr statt.

Die Zugangsdaten zum Webinarraum erhalten Sie spätestens drei Tage vor dem Termin in einer separaten E-Mail.

Bitte beachten Sie, dass bei einem Webinar keine Teilnahmebescheinigungen ausgegeben werden.

Wir freuen uns auf Ihre Anmeldung!

https://www.ihk.de/heilbronn-franken/system/veranstaltungssuche/vstdetail-antrago/5588746/19461?terminId=19461

DKMS Urkunde für Görtz Legal Rechtsanwaltsgesellschaft mbH