gern würde ich eure Meinung dazu hören, wie und ob ihr bei diesem Fall eine gemeinsame Verantwortung auslegt. Ich habe mir alle Merkmale der gemeinsamen Verantwortung nach Artikel 26 DSGVO angesehen und bin mir unschlüssig.
Landkreis X und eine kreisangehörige Stadt Y schaffen eine TK-Anlage an. Die Kosten werden nach Beschäftigten prozentual umgelegt. Die Idee dahinter ist, Kosten zu sparen.
Alle personenbezogenen Daten werden separat gespeichert auf das jeweilige System, so dass keiner des anderen Zugriff darauf hat. Einzig und allein im Falle des Ausfalls des einen, soll das System dann beim anderen laufen und umgekehrt, so dass die Aufrechterhaltung des TK-Systems gewährleistet ist (redundantes System). Würde die TK-Anlage beim Landkreis ausfallen, hätte dies enorme Auswirkungen, Leitstelle nicht erreichbar etc…
Für den Support und Wartung des Systems wird nach Artikel 28 DSGVO mit der Firma Z ein AVV geschlossen. Es ist vorgesehen, dass sowohl der Landkreis X als auch die kreisangehörige Stadt Y jeweils einen AVV mit der Firma Z schließt. Darin sind die Betroffenenrechte und die Prozesse bei Datenpannen geregelt, die Informationen zum Datenschutz nach Artikel 13 DSGVO fertigt jeder selbst.
Die Abgrenzung ist schwierig … vielleicht könnt ihr mich ja unterstützen.
Eine gemeinsame Verantwortlichkeit würde bedeuten, dass Landkreis X und Stadt Y die Daten zusammen, miteinander, vereint verarbeiten. Also X holt sich die Daten von Y und macht irgendwas damit und umgekehrt (Anrufauswertung o.ä.). Die Gemeinsamkeit bezieht sich auf die Verarbeitung der Daten, nicht auf die Nutzung desselben Systems. Ist das System mandantenfähig (separate Speicherung, Zugriffssteuerung), dann sehe ich keine solche gemeinsame Verarbeitung, denn der eine verarbeitet nicht die Daten des anderen. Welcher Zugriff wäre im Falle des Ausfalls möglich, wenn alles auf einem System läuft?
Wenn es eine Mandantentrennung gibt (logische Trennung sollte ja reichen), müssten sich beide Behörden doch lediglich gegenseitig mit einem AV-Vertrag für den Fall des Ausfalls ausstatten, oder?
Wenn es keine Trennung gibt, müssten wir dann aber doch recht schnell, bei einem JC sein.
Es würde mich wundern, wenn sich der Lieferant auf 2 Kunden zu 1 Anlage (inkl Wartung) einläßt, was immer “Beschaffung” meint. Das dürfte auch vom öffentlichen Preisrecht her nicht so einfach sein (?).
Danke für eure Antworten. Das hilft mir schon weiter. Nach Rücksprache mit unserem Fachamt IT gibt es tatsächlich eine Mandantentrennung, so dass ich nunmehr die gemeinsame Verantwortung ausschließe. Der Lieferant schließt mit jeder Behörde einen AVV, das war Bedingung in der Ausschreibung.
Vielen Dank!