Einhaltung von Artikel 26 der DSGVO: Was Sie wissen müssen
Datenschutz Artikel 26 stellt sicher, dass im Falle gemeinsamer Verantwortlicher, die mit demselben Datensatz arbeiten, die Verantwortlichkeiten zwischen allen Parteien klar geklärt sind und die betroffenen Personen gut darüber informiert werden, wie ihre Daten zwischen zwei unterschiedlichen, aber kooperativen Verantwortlichen verwaltet werden.
DSGVO Artikel 26 Gesetzestext
EU-DSGVO-Version
Gemeinsame Verantwortliche
- Wenn zwei oder mehr Verantwortliche die Zwecke und Mittel der Verarbeitung gemeinsam festlegen, sind sie gemeinsame Verantwortliche. Sie legen in transparenter Weise ihre jeweiligen Verantwortlichkeiten für die Einhaltung der Verpflichtungen aus dieser Verordnung fest, insbesondere im Hinblick auf die Ausübung der Rechte der betroffenen Person und ihre jeweiligen Pflichten zur Bereitstellung der in den Artikeln 13 und 14 genannten Informationen einer Vereinbarung zwischen ihnen, es sei denn und soweit die jeweiligen Verantwortlichkeiten der Verantwortlichen durch das Recht der Union oder der Mitgliedstaaten, dem die Verantwortlichen unterliegen, festgelegt sind. Die Vereinbarung kann eine Anlaufstelle für betroffene Personen benennen.
- Die in Absatz 1 genannte Vereinbarung muss die jeweiligen Rollen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen angemessen widerspiegeln. Der Inhalt der Vereinbarung ist der betroffenen Person zugänglich zu machen.
- Unabhängig von den Bedingungen der in Absatz 1 genannten Vereinbarung kann die betroffene Person ihre Rechte gemäß dieser Verordnung gegenüber und gegenüber jedem einzelnen Verantwortlichen ausüben.
Britische DSGVO-Version
Gemeinsame Verantwortliche
- Wenn zwei oder mehr Verantwortliche die Zwecke und Mittel der Verarbeitung gemeinsam festlegen, sind sie gemeinsame Verantwortliche. Sie legen in transparenter Weise ihre jeweiligen Verantwortlichkeiten für die Einhaltung der Verpflichtungen aus dieser Verordnung fest, insbesondere im Hinblick auf die Ausübung der Rechte der betroffenen Person und ihre jeweiligen Pflichten zur Bereitstellung der in den Artikeln 13 und 14 genannten Informationen einer Vereinbarung zwischen ihnen, es sei denn und soweit die jeweiligen Verantwortlichkeiten der Verantwortlichen durch das Recht der Union oder der Mitgliedstaaten, dem die Verantwortlichen unterliegen, festgelegt sind. Die Vereinbarung kann eine Anlaufstelle für betroffene Personen benennen.
- Die in Absatz 1 genannte Vereinbarung muss die jeweiligen Rollen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen angemessen widerspiegeln. Der Inhalt der Vereinbarung ist der betroffenen Person zugänglich zu machen.
- Unabhängig von den Bedingungen der in Absatz 1 genannten Vereinbarung kann die betroffene Person ihre Rechte gemäß dieser Verordnung gegenüber und gegenüber jedem einzelnen Verantwortlichen ausüben.
Technischer Kommentar
Das Konzept der „gemeinsamen Verantwortlichkeit“
Artikel 26 der DSGVO definiert die gemeinsame Verantwortlichkeit als jedes Szenario, in dem zwei Verantwortliche „gemeinsam die Zwecke und Mittel der Verarbeitung festlegen“. Grundsätzlich bedeutet dies, dass zwei gemeinsame Verantwortliche bei der Verarbeitung der Daten einer Person praktische und nicht formelle Aufgaben wahrnehmen müssen.
Bei der Analyse, inwieweit eine Partei ein gemeinsamer Verantwortlicher ist, sollte darauf geachtet werden, ob eine Organisation „entscheidende Kontrolle“ über die Daten einer Person ausübt oder nicht.
Dies bedeutet nicht, dass zwei Controller während des gesamten Verarbeitungsvorgangs einen stetigen, einheitlichen Einfluss haben sollten. Jeder Verantwortliche kann in verschiedenen Phasen unterschiedliche Kontrollgrade ausüben.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 7.2.7 (Gemeinsame PII-Controller) und EU-DSGVO Artikel 26
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 26 (1), 26 (2) und 26 (3).
Organisationen müssen die Einzelheiten jeder gemeinsamen PII-Verarbeitungsvereinbarung mit einem begleitenden PII-Controller darlegen – dazu gehören allgemeine Schutzmaßnahmen und alle damit verbundenen Sicherheitsanforderungen.
Das beinhaltet:
- warum personenbezogene Daten weitergegeben werden;
- Datenkategorien;
- ein allgemeiner Überblick über den PII-Verarbeitungsvorgang;
- alle relevanten Rollen und Verantwortlichkeiten;
- wie die Sicherheit von Datenschutzinformationen geregelt werden soll;
- welche Maßnahmen sind im Falle einer Datenschutzverletzung zu ergreifen;
- wie personenbezogene Daten aufbewahrt und vernichtet werden sollen, wenn sie nicht mehr benötigt werden;
- Was passiert, wenn eine der Parteien gegen die Vereinbarung verstößt?
- Welche Verpflichtungen hat eine der Parteien gegenüber PII-Auftraggebern?
- Welche Mechanismen sind vorhanden, um PII-Auftraggebern die entsprechenden Einzelheiten der gemeinsamen Vereinbarung zur Verfügung zu stellen?
- wie PII-Direktoren offizielle Anfragen stellen können und wie sie eine Antwort formulieren und übermitteln;
- Ansprechpartner – sowohl intern als auch für PII-Auftraggeber.
Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln
| DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
|---|---|---|
| EU-DSGVO Artikel 26 (1) bis 26 (3) | ISO 27701 7.2.7 | Keine Präsentation |
Wie ISMS.online hilft
Mit unserer vorgefertigten Umgebung können Sie Ihren Ansatz zum Schutz der Daten Ihrer Kunden in der EU und im Vereinigten Königreich auf eine Weise beschreiben und demonstrieren, die sich nahtlos in Ihr Managementsystem einfügt.
Mit ISMS.online können Sie im Handumdrehen DSGVO-Konformität erreichen und ganz einfach nachweisen, dass Sie Ihre Daten über das Maß hinaus schützen, das als angemessen erachtet wird – und das alles an einem sicheren, stets verfügbaren Ort.
Durch unseren „Adopt, Adapt, Add“-Implementierungsansatz bietet die ISMS.online-Plattform bei jedem Schritt Orientierung, wodurch der Aufwand zum Nachweis Ihrer DSGVO-Konformität minimiert wird.
Erfahren Sie mehr von Buchung einer 30-minütigen Demo.
