Ich habe eine eher organisatorische Frage zum AVV-Vertragsschluss:
Muss immer konkret ein Vertrag zwischen 2 Unternehmen geschlossen werden (also AG : AN1, AG: AN2, AG: AN3)
oder
könnte auch (um Arbeit zu minimieren) ein Auftraggeber mit allen anderen Unternehmen einer Unternehmensgruppe den AVV schließen (eine Geschäftsführung). Also: AG : AN1, AN2, AN3 mit einem gemeinsamen Vertragswerk und dann entsprechenden Anlagen je AN1-3, die die Abweichungen, also Zwecke, Datenkategorien, Subs usw. aufschlüsseln?
Warum nicht… Alle Unternehmen vereinbaren Auftragsverarbeitung mit Bezugnahme auf eine interne Leistungsmatrix, die nach Absprache aktualisiert wird.
Allerdings brächte es trotzdem estwas Vertragsmäßiges, das alle relevanten Unternehmen einzeln bindet. Z. B. durch einen Vertragstext, dem die anderen Unternehmen als Partei zu denselben Bedingungen ausdrücklich “beitreten”. Evtl. sind Geschäftsführer für mehrere Unternehmen identisch. Bei diesen muss beachtet werden, ob sie “Insichgeschäfte” für sich selbst bzw. als Vertreter meherer Parteien schließen dürfen.
Jetzt geht bestimmt die Grundsatzdiskussion los, ob Konzernunternehmen wegen der Machtverhältnisse als Verantwortliche Zwecke und Mittel unabhängig festlegen und ohne Rücksicht auf sonstige Unter- /Überordnung Weisungen können. Prinzipiell: ja Sie legen das im Auftragsverarbeitungsvertrag fest, und der ist einzuhalten. Wenn das nicht umgesetzt werden kann, wäre eine andere Stelle “Verantwortlicher”, z. B. das führende Unternehmen der Gruppe.
Prinzipiell geht es um Dienstleistungen (Kerntätigkeit der jeweiligen Tochter), mit denen sich die Unternehmen gegenseitig unterstützen und bei denen personenbezogene Daten weisungsgebunden verarbeitet werden. @Domasla Hast du einen unverbindlichen Mustertext dafür, dass alle auftragsverarbeitenden Parteien dem Vertrag ausdrücklich zu denselben Vertragsbedingungen und gemäß Leistungsmatrix (Anlage x) beitreten? Oder könnte ich das genauso formulieren? VG
Aber der Beitrittsmechanismus wäre in Klausel 5 der Standardklauseln beschrieben. Wer in Anhang I eingetragen ist (bzw. mit Zustimmung aller Parteien zu einem späteren Zeitpunkt aufgenommen wird), ist drin. Wenn es Beziehungen in alle Richtungen gibt, könnte man bei I. keine konkreten Stellen eintragen, sondern ebenfalls auf die Matrix verweisen. Und dort festlegen, wer wofür V oder A ist. Weil Unternehmen je nach “Gewerk” Verantwortlicher oder Auftragsverarbeiter sein können. Wer eine Leistung für sich selbst erbringt, dürfte in der Tabelle nicht als Verantwortlicher drin stehen, weil das dann keine Auftragsverarbeitung ist. (Wäre aber außerhalb der Matrix ganz einfach Verantwortlicher.)
In Anhang II würde ich auf die Matrix verweisen. Dort müsste bei jedem Eintrag stehen, um welche Verarbeitung, Betroffenengruppe, Datenkategorien etc. es geht. Auch Unterauftragnehmer sollten besser dort aufgelistet sein. Und welches Unternehmen intern der Auftragsverarbeiter wäre, der die Leistung erbringt. Bzw. welche als Verantwortliche die Leistung in Ansprüch nehmen.
Dort könnte man auch Abgrenzungen zu Verarbeitungsteilen unterbringen, die “gemeinsame Verantwortung” sind.
Ganz schlau wäre es, den Vertrag ans Verzeichnis von Verarbeitungstätigkeiten anzuklinken. (Dieser Eintrag ist interne Auftragsverarbeitung mit folgenden Parteien…)
Die hohe Kunst dürfte es sein, jeweils den nötigen Vertragscharakter durchzuhalten; also dass Erklärungen der Parteien über ihre vertraglichen Pflichten nachvollziehbar dokumentiert sind. (Wer mit wem wann was vereinbart hat.)
D., den zur Idee einer solchen… Auftragsverarbeitungsmaschine weitere Meinungen interessieren würden.
So etwa mach ich das auch (kein Konzern, sondern wenige, verbundene Unternehmen, Konzerngesellschaften, KMU … eher K als M …). Aber mit eigenem Rahmenvertrag statt EU-Muster (gab’s damals noch nicht) und Einzelvereinbarungen zu Verarbeitungen. Copy & paste würde ich nunmehr mit je 1 Vertrag mit mehreren Parteien machen, ggf Sonderregeln und Verweis im Verarbeitungsverzeichnis. Als TOMs nehmen wir ein ISMS nach ISO 27001 + ggf Extrafestlegung. Gemeinsame Verantwortung nur bei Personal. Praktisch ist die Arbeit eher chaotisch … äh: eine Matrixorganisation im Verbund - da kann man sich mit konzerninterner ANÜ behelfen. Allerdings - und damit zur Wirklichkeit - haben die Fachbereiche die Verträge nicht im Bewußtsein.
und ja, praktisch ist wie sagt man so schön, “der weg das ziel” 