Der Vertrag gem. Art. 26 DSGVO 

Endlich gibt es eine Vorlage für einen Vertrag nach Art. 26 DSGVO seitens einer Aufsichtsbehörde. Aber wie praxistauglich ist dieser?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LdDI BaWü) hat einen Mustervertrag für eine „Vereinbarung zur gemeinsamen Verantwortlichkeit“ nach Art. 26 DSGVO kostenlos zu Verfügung gestellt.

Kann man die Vorlage bedenkenlos und uneingeschränkt nutzen?

Anders als bei einem Auftragsverarbeitungsvertrag nach Art. 28 DSGVOin dem der Gesetzeswortlaut bereits viel Information darüber offenbart mit welchen Mindestanforderungen ein solcher Vertrag zu gestalten istist Art. 26 DSGVO im Vergleich kurz gefasst. Dabei können die Prozesse und die Gestaltung eines Vertrages zur gemeinsamen Verantwortlichkeit sich als recht kompliziert darstellenda es nicht nur einen Verantwortlichen gibt, sondern es sich um zwei oder mehrere Parteien handelt, die entweder einen ganzen Prozess in gleichen Maßen verantworten, oder aber auch für Systemabschnitte jeweils anteilig die Verantwortung übernehmen 

Sinn und Zweck des Art. 26 DSGVO ist unter anderem, dass trotz solcher Verflechtungen der Betroffene immer seine Rechte, die im Kapitel III der DSGVO aufgelistet sind, geltend machen kann, und dies nicht durch interne Vereinbarungen erschwert wird. Ganz im Gegenteil. Die Vereinbarung muss für den Betroffenen in verständlicher Form zu Verfügung gestellt werden, um den Grundgedanken der Transparenz in der DSGVO zu wahren.

Fazit

Aus diesem Grund ist die Vorlage des LdDI BaWü mit Vorsicht anzuwenden. Es ist durchaus als positiv zu bewerten, dass die Aufsichtsbehörde einen solchen Vertrag zu Verfügung stellt, um „[…] erstes Licht ins dunkle […]“ in dieser Thematik zu werfen. Im Einzelfall sollte aber der Vertrag ohne Anpassungen oder Prüfung eines Datenschutzexperten nicht ohne Weiteres verwendet werden. Denn um Betroffenenrechten nachkommen, und Haftungsansprüche durchsetzen zu können, muss bereits im Vertrag der gemeinsamen Verantwortlichen sehr genau und so detailliert wie möglich beschrieben werdenwelche Partei welchen Verarbeitungsabschnitt übernimmt, und folglich verantwortlich für die Verarbeitung personenbezogener Daten ist im jeweiligen Prozessabschnitt ist.

Sie haben Fragen zur Anwendbarkeit der Vorlage? Wir helfen Ihnen gerne weiter!