Es liegt folgende Situation vor:
-
App mit einer Datenverarbeitung von personenbezogenen Daten wird durch einen Entwickler für einen Unternehmerverband (Interessenvertretung) erstellt; Personenbezogene Daten = Anmeldedaten der Beschäftigten der einzelnen Unternehmen des Unternehmerverbandes; App stellt unternehmensbezogene Angebote an; Unternehmen bieten ihren Content an; App-Nutzung ist freiwillig - Unternehmen übermitteln/bekommen keine Benutzerinformationen → App-Entwickler = Datenschutzrechtlicher Auftragnehmer (Auftragsverarbeitung nach Art. 28 DSGVO)
-
App wird im Namen des Unternehmerverbandes in den App-Stores angeboten → Unternehmerverband = Datenschutzrechtlicher Auftraggeber (Auftragsverarbeitung nach Art. 28 DSGVO)
Soweit so gut. Nun will der Unternehmerverband mit den angeschlossenen Unternehmen eine zusätzliche Auftragsverarbeitung nach Art. 28 DSGVO abschließen , da ja personenbezogene Daten des Beschäftigten der Unternehmen verarbeitet werden würden. Die Unternehmen erhalten jedoch weiterhin keine personenbezogenen Daten ihrer Beschäftigten (Auftraggeber = Unternehmen, Auftragnehmer = Unternehmensverband - in App-Store bleibt der Unternehmerverband weiterhin Anbieter).
Ich bin zum Einen der Meinung, dass die zusätzliche Auftragsverarbeitung nach Art. 28 DSGVO zwischen den Unternehmen und Unternehmensverband datenschutzrechtlich nicht erforderlich ist, da keine personenbezogene Daten für die App durch die Unternehmen verarbeitet werden.
Zum Anderen würde ggf. das einzelne Unternehmen für die App-Stores Anbieter werden, da in den App-Stores die datenschutzrechtliche verantwortliche Stelle angegeben werden muss (z.B. für die Umsetzung der Betroffenenrechte).