Vereinbarung art. 26 dsgvo Muster

Die Rechtsprechung des EuGH zeigt, dass die Schwelle für das Bestehen einer gemeinsamen Kontrolle niedrig ist und es für die Parteien nicht erforderlich ist, die Verantwortung gleichermaßen zu teilen, oder sogar, dass beide Parteien Zugang zu den streitigen Daten haben. Angesichts der Breiteren Anwendung eines größeren Anwendungsbereichs für die gemeinsame Kontrolle durch den EuGH und mit begrenzten Leitlinien, die aus dem Text der DSGVO zu entnehmen sind, wird es jetzt wichtiger denn je, sicherzustellen, dass die Beziehungen zwischen den für die Verarbeitung Verantwortlichen von beiden Parteien klar identifiziert werden, und geeignete Maßnahmen ergriffen werden, sei es durch Datenverarbeitungsvereinbarungen, Vereinbarungen für gemeinsame Kontrolleure oder durch Standardpraktiken im Verlauf der Verarbeitung. Diese Datenverarbeitungsvereinbarung ist von der ProtonMail DPA, die auf dieser Seite zu finden ist, angepasst. Organisationen können das folgende Dokument als Teil ihrer DSGVO-Konformität verwenden. Der EDSB hat vor kurzem seine “Leitlinien für die Konzepte der Steuerung, des Auftragsverarbeiters und der gemeinsamen Kontrolle gemäß der Verordnung (EU) 2018/1725” veröffentlicht. Obwohl sich die Verordnung 2018/1725 speziell auf die EU-Organe bezieht, enthält sie eine nahezu identische Bestimmung über gemeinsame für die Verarbeitung Verantwortliche, die sich auf das entscheidende Element der Parteien konzentriert, die “gemeinsam die Zwecke und Mittel der Verarbeitung bestimmen müssen”. Die Leitlinien des EDSB enthalten einige nützliche Leitlinien. Der EDSB stellt fest, dass der Begriff der gemeinsamen Bestimmung entstehen kann, wenn jeder für die Verarbeitung Verantwortliche die Möglichkeit hat, “Zwecke und wesentliche Elemente” für die Verarbeitungsvorgänge zu bestimmen, was beispielsweise nur durch den Abschluss einer Vereinbarung über solche Elemente geschehen könnte. Damit jedoch eine gemeinsame Kontrolle entsteht, müssen sowohl die Zwecke als auch die Mittel der Verarbeitungsvorgänge gemeinsam festgelegt werden.

Der EDSB stützte sich auch auf die Argumentation des Falles Fan Pages und stellte fest, dass der Zugang zu anonymisierten Daten zwar keinen Einfluss auf die Situation der gemeinsamen Kontrolle leinen, es aber bei der Festlegung des Grades der Verantwortung von Bedeutung sein wird. In einem ähnlichen Fact-Muster wie die Fan Pages-Entscheidung stellte der EuGH fest, dass beide Parteien von der Verarbeitung profitierten.