Wie muss eine datenschutzrechtskonforme Vereinbarung bei einer Praxisgemeinschaft nach Art. 26 DSGVO (gemeinsam Verantwortliche) aussehen?

Die Daten­schutz­kon­fe­renz (DSK) hat ein Kurz­pa­pier heraus­ge­ge­ben, das als Hilfe­stel­lung für eine Verein­ba­rung nach Art. 26 DSGVO dienen soll. Daraus geht hervor, dass insbe­son­dere folgende Punkte in einer solchen Verein­ba­rung zwin­gend mitauf­ge­nom­men werden müssen:

» Fest­hal­ten der Vertrags­par­teien
» Aufga­ben­be­schrei­bung mit Abgren­zung, welcher Verant­wort­li­che welche Aufgabe über­nimmt
» Fest­le­gung des Zwecks und der Mittel der Daten­ver­a­r­bei­tung
» Pflich­ten der jewei­li­gen Vertrags­par­tei

Die Verein­ba­rung sollte außer­dem zwin­gend die tatsäch­li­chen Funk­ti­o­nen und Bezie­hun­gen der gemein­sa­men Verant­wort­li­chen gegen­über der betrof­fe­nen Person wider­spie­geln. Des Weite­ren sollte eine interne Ausgleichs­re­ge­lung für den Fall getrof­fen werden, dass ein Verant­wort­li­cher wegen des Fehlers des ande­ren von der betrof­fe­nen Person aufgrund von Art. 26 Abs. 3 DSGVO in Anspruch genom­men wird.