Vor der DSGVO... da war die Welt noch in Ordnung und es gab eine klare Rollenverteilung: Verantwortliche waren Verantwortliche und Auftragsverarbeiter waren Auftragsverarbeiter! Erstere gaben dominant den Ton an und während letztere sich wohlgefällig devot unterordneten. Aber... die Zeiten ändern sich... Gleichberechtigung! Augenhöhe! etc... bestimmen zusehends auch die Rollenkonzepte in der DSGVO, welche hierfür schon in Art. 26 mit der Rechtsfigur der gemeinsamen Verantwortlichkeit vorgesorgt hat.

Artikel 28 und für manche neu Artikel 26

Diese Bestimmung wurde von der Rechtsprechung - hier sind in erster Linie die Entscheidung bezüglich Facebook-Fanpages die Entscheidung FashionID zu nennen - auch bereits ausgiebig genutzt und es wird mittlerweile in vielen (weit verbreiteten) Konstellationen keine Auftragsverabeitung, sondern eine gemeinsame Verantwortlichkeit angenommen. Gemäß Art. 26 DSGVO sind in solchen Fällen, dann aber keine Auftragsverarbeitungsvereinbarungen (Art 28 Vereinbarungen), sondern entsprechende Art 26 Vereinbarungen abzuschließen.

Und wie sieht es mit Vorlagen aus?

Der große Wermutstropfen an dieser Entwicklung: Vorlagen für Auftragsverarbeitervereinbarungen existieren wie Sand am Meer. Ganz anders ist es aber für den Art 26 DSGVO: (praxiserprobte) Vorlagen oder Guidelines sind bis dato Mangelware. Bis dato! Denn in unserem Nachbarland Deutschland findet sich eine schöne Vorlage hierzu, welche wir uns gleich mal näher angesehen und einem kritischen, praxisorientierten Blick unterzogen haben:

Vorab noch allgemein ein wenig Theorie! Anders als eine Auftragsverarbeitung nach Art 28 DSGVO liegt bei einer gemeinsamen Verantwortung (auch bekannt als Joint Controllership) keine Rollenverteilung eines weisungsgebenden Auftraggebers (Verantwortlicher) und weisungsgebundenem Auftragnehmer (Auftragsverarbeiter) vor. Stattdessen verarbeiten mehrere - hierarchisch auf gleichem Level - eingeordnete Verantwortliche gemeinsam personenbezogene Daten.
Laut Art 26 DSGVO muss in solchen Fällen der gemeinsamen Verantwortlichkeit eine (transparente) Vereinbarung darüber getroffen werden, wer welche Verpflichtung, insbesondere die Wahrnehmung der Rechte der betroffenen Person und Informationspflichten gemäß den Artikeln 13 und 14 erfüllt.

Die Vorlage

Nun aber zur gefundenen Vorlage...
Diese entstammt der Feder des Innenministeriums des deutschen Bundeslandes Nordrhein-Westfahlen und es handelt sich um einen Entwurf einer Vereinbarung über die Verarbeitung anlässlich der Verarbeitung von personenbezogenen Daten im nationalen Waffenregister. Da es sich bei diesem Register um eine bundesweite Angelegenheit handelt sind alle Bundesländer betroffen. Da - verständlicherweise - kein Bundesland formell über einem anderen stehen kann, können keine Weisungen erteilt werden und war daher zwangsläufig eine gemeinsame Verantwortlichkeit anzunehmen.

Von der Tatsache, dass der Entwurf satte 26 Seiten umfasst, sollte man sich nicht abschrecken lassen, da es sich bei 16 dieser Seiten nur um die Beitrittserklärungen der jeweiligen Bundesländer handelt.
Die Tatsache, dass statt bilateralen Vereinbarungen zwischen den einzelnen Ländern (man stelle sich kurz das Geflecht Bildlich vor) lediglich eine einzige multilaterale Vereinbarung getroffen wurde ist übrigens nach Einschätzung des Teams von DSGVO.CARE sehr zu begrüßen, da alleine schon der organisatorische Aufwand im Bereich des Vertragsmanagements reduziert wird.

Tipp!
Diese Art der multilateralen Vereinbarung bietet sich übrigens auch für Unternehmensgruppen an, welche konzerninterne Vereinbarungen (seien es Art 28, Art 26 Vereinbarungen oder Standarddatenschutzklauseln für die Drittlandsübermittlung) schließen müssen.

Die eigentliche Vereinbarung hingegen ist - vor allem für deutsche Verhältnisse äußerst schlank gehalten und enthält neben einer sehr präzisen Auflistung der Art der verarbeiteten personenbezogenen Daten fast "nur" die Aussage, dass alle Vertragsparteien weitgehend eigenständig die Vorgaben der DSGVO erfüllen müssen.
Besondere Regelungen werden lediglich für die Abarbeitung von Betroffenenrechtsansuchen (insbesondere die Identifikation von Betroffenen) getroffen.

Daneben werden freilich noch einige andere Punkte (wie etwa Kriterien bei der Auswahl von Auftragsverarbeitern, Meldepflichten im Fall des Verdachts eines Data Breaches, Regelungen im Haftungsfalle, etc...) in der Vereinbarung behandelt. Zu diesen Punkten ist allerdings zu sagen, dass diese nach Art 26 DSGVO nicht zwingend notwendiger Inhalt sind.