Controller-Controller-Vertrag

Ist ein Vertrag zwischen Verantwortlichen, die nicht gemeinsame Verantwortliche sind, notwendig? Werden zwischen Unternehmen personenbezogene Daten ausgetauscht oder nutzen zwei oder mehrere Unternehmen einen gemeinsamen Datenpool, das findet sich häufig in Konzernkonstellationen, regelt die DSGVO zwei Fallkonstellationen: Die Auftragsverarbeitung (Art. 28 DSGVO) und die gemeinsame Verantwortlichkeit (Art. 26 DSGVO). Ein Unternehmen ist dann Auftragsverarbeiter (Begriffsbestimmung siehe Art. 4 Nr. 8 DSGVO), wenn es personenbezogene Daten für die Zwecke eines Verantwortlichen weisungsgebunden verarbeitet. In dieser Fallkonstellation sieht die DSGVIO vor, dass der...