Informationen zur gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 2 S. 2 der Datenschutz-Grundverordnung (DS-GVO)
Was ist der Grund für die gemeinsame Verantwortlichkeit?
Unsere AGBs finden Sie auf der Seite AGB. Im Rahmen der gemeinsamen Nutzung eines CRM-Systems (Customer-Relationship-Management) arbeiten EFAFLEX (im Nachfolgenden Partei 1) und ihre Handelsvertreter (im Nachfolgenden Partei 2) eng zusammen. Dies betrifft auch die Verarbeitung Ihrer persönlichen Daten. Die Parteien haben gemeinsam die Reihenfolge der Verarbeitung dieser Daten in den einzelnen Prozessabschnitten festgelegt. Sie sind daher innerhalb der nachfolgend beschriebenen Prozessabschnitte gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DS-GVO).
Für welche Prozessabschnitte besteht eine gemeinsame Verantwortlichkeit?
In einem CRM-System erfolgt die gemeinsame Verarbeitung personenbezogener Daten primär zum Zwecke der Angebotslegung und zur Pflege der Kunden- bzw. Geschäftsbeziehungen. Beiden Parteien ist es erlaubt, diese personenbezogenen Daten im Rahmen des Lead-, Opportunity- und Kontaktmanagements anzulegen, zu ändern oder einzusehen.
Was haben die Parteien vereinbart?
Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben Partei 1 und Partei 2 vereinbart, wer von ihnen welche Pflichten nach der DS-GVO erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DS-GVO.
Diese Vereinbarung ist notwendig, da im zentralen CRM-System personenbezogene Daten in unterschiedlichen Prozessabschnitten und Systemen verarbeitet werden, die entweder von Partei 1 oder Partei 2 betrieben werden.
Abschnitt | Prozessabschnitt / EDV-System | Erfüllung der Pflichten durch |
1 | Betrieb des zentrales CRM-System inkl. der dafür erfindlichen Kommunikationseinrichtungen (Netzwerk, aktive Netzwerkkomponenten, Firewall, VPN-Gateway) in den Räumen der Partei 1. | Partei 1 |
2 | Verarbeitung der personenbezogenen Daten im zentralen CRM-System | Partei 1 und Partei 2 |
3 | Betrieb der für die Kommunikation mit dem zentralen CRM-System erforderlichen IT-Systeme (Arbeitsplatzrechner. Laptop, Netzwerkkomponenten) der Partei 2 | Partei 2 |
Was bedeutet das für Betroffene?
Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Prozessabschnitte wie folgt:
- Im Rahmen der gemeinsamen Verantwortlichkeit ist
- Partei 1 für die Verarbeitung der personenbezogenen Daten im Abschnitt 1 und 2 zuständig und
- Partei 2 für die Verarbeitung der personenbezogenen Daten im Abschnitt 2 und 3 zuständig.
- Partei 1 und Partei 2 machen den betroffenen Personen die gemäß Art. 13 und 14 DS-GVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen.
- Die Parteien informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beantwortung von Auskunftsersuchen notwendigen Informationen zur Verfügung.
- Datenschutzrechte können sowohl bei Partei 1 als auch bei Partei 2 geltend gemacht werden. Betroffene erhalten die Auskunft grundsätzlich von der Stelle, bei der Rechte geltend gemacht wurden.