Hallo zusammen,
ich stehe gerade auf dem Schlauch.
Wenn ein Unternehmen ein Software-Tool einsetzen möchte, bei dem an sich keine personenbezogenen Daten verarbeitet werden, aber die Mitarbeiter, die damit arbeiten, einen Account anlagen müssen, ist dann ein AVV mit dem Unternehmen (bzgl. der Accountdaten der Mitarbeiter) nötig?
Viele Grüße
dedsb
es werden doch personenbezogene Daten verarbeitet: Die Eurer Mitarbeiter.
Stimmt. Selten wird daran gedacht, dass die Nutzer auch Rechte haben. Ebenso Führungskräfte.
Kann passieren, dass der Dienst nicht AV-fähig ist, weil er keinen Vertrag anbietet oder (ich will nicht jedes Wort auf die Datenschutzwaage legen müssen) zu unhaltbaren Bedingungen, mit denen der Verantwortliche seinen Pflichten nicht nachkommen kann. (Hello, Microsoft!)
Dann übermittelt man eben bewusst nur reduzierte Nutzungsdaten auf Basis berechtigter Interesen an den Dienst, der kein Auftragsverarbeiter wird, sondern Dritter bleibt. Z. B. Registrierung möglichst mit Alias bzw. maximal mit Namensangabe, Funktions-Mailadresse statt namentlicher Adresse, keine Nutzung mit Privatgeräten.
Wäre evtl. noch die Drittlandproblematik, die eine Nutzung komplett ausschließt, wenn gar keine “Garantie” nach Art. 44 ff. DSGVO besteht. Standardklauseln ohne zusätzliche Garantien können durchaus “geeignet” sein, wenn es bei der Verarbeitung nicht um viel geht. Gar keine Absicherung funktioniert aber nicht, weil der Verantwortliche irgendwas aus den geetzlichen Möglichkeiten oder eine der Ausnahmen nachzuweisen hat.
D., der lieber Dienste sieht, die sich geschmeidig (kontrollierbar) einfügen lassen. Sonst gibt’s die nicht. (Das halbe Internet gibt’s nicht…)
Vielen Dank für Eure Antworten.
Ich hatte irgendwie den Punkt im Kopf, dass es hier nicht primär um die Verarbeitung der pbD der Mitarbeiter geht, sondern um die übrige Dienstleistung.
Nach Ansicht der Aufsichtsbehörden keine Datenverarbeitung im Auftrag vor, wenn die Hausverwaltung die Adressdaten der Mieter an den Handwerker übermittelt.
Mir ist noch nicht so ganz klar, worin diese Fälle sich unterscheiden. 
Wenn außer den Anmeldedaten keine personenbezogenen Daten verarbeitet werden, handelt es sich nicht um eine Auftragsverarbeitung, da es sich nicht um eine Dienstleistung mit Schwerpunkt der Verarbeitung personenbezogener Daten handelt.
Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, sind keine Auftragsverarbeitungen.
Das sagt zumindest das bayerische Landesamt für Datenschutzaufsicht.
@bdsb Danke, genau das meinte ich.
Also einen AVV benötigt man nicht. Aber die von @Domasla angesprochenen Punkte wir Drittlandsübermittlung und die übrigen Punkte (Rechtsgrundlage, Datenminimierung etc.) muss man trotzdem prüfen, oder?
VG
dedsb
Das eine Thema ist, ob Auftragsverarbeitung vorliegt und als Folge ein Vertrag zu den Punkten in Art. 28 geschlossen werden muss. (Manchmal gemeinsame Verantwortung, manchmal reine Übermittlung, manchmal eine Kombination daraus.)
Oder ob irgendwas (und wenn es “nur” Benutzernamen wären) in Drittländer geht; dann eines der vorgeschriebenen Absicherungsinstrumente, oder eine der Ausnahmen.
D., der sagt, dass es ganz ohne Datenschutz nicht funktioniert. Überall ein Häkchen dran; auch dass etwas nicht zutrifft.
Im Kern andere Tätgkeit: Keine AV
Verarbeitung der Mitarbeiterdaten unterliegt der Verantwortung des Dienstleisters.
Dieser muss dazu eine Datenschutzerklärung abgeben, diese sollte geprüft werden.
Eventuell ist bei Online-Accounts realisierbar, dass gar keine Beschäftigtendaten dabei verwendet werden, sondern z.B. “Funktionsaccounts” mit entsprechenden E-Mail-Adressen…
Genau. Für personalisierte Accounts halte ich Art. 6 Abs. 1 lit. b DSGVO - Vertrag - in der Regel für ausreichend, d. h. die Verwendung eines personalisierten Accounts ist zur Vertragserfüllung erforderlich. Hier kann man streng sein und auf Funktionspostfächern bestehen, das halte ich aber für übertrieben. Sowohl Auftraggeber als auch Auftragnehmer haben ein legitimes Interesse zu wissen, wer die Dienstleistung in Anspruch nimmt. Also braucht man nur für die Accounts keinen AVV.
Natürlich kommt es weiter darauf an, welche freudigen Datenschutzüberraschungen Datenschutzerklärung und AGB bereit halten, die müssen natürlich auch geprüft werden.
Im beruflichen Kontext ist lit. b nicht hilfreich. Die Nutzer schließen den Vertrag ja nicht zu ihrem Privatvergnügen, sondern für ihren Arbeitgeber oder für sonst jemand. Manchmal nicht freiwillig, bzw. jemand meldet sie namentlich mit oder ohne ihrem Wissen an. Die betroffene Person ist also nicht selbst Vertragspartei. Lit.-b-Verträge wären aber mit ihr zu schließen.
Damit schaltet der Erlaubnistatbestand auf lit. f um und es wäre zur Wahrung der Interessen des Arbeitgebers an der Inanspruchnahme des Dienstes erforderlich. (Wenn es die lit.-f-Abwägung schafft; nicht zu viel Schnickschnack…)
D., der oft differenzieren muss, wer für wen…
I.d.R handelt der Handwerker als eigenständiger Verantwortlicher, z.B. plant er seine Termine selbst, arbeitet eigenverantwortlich.
Sie nutzen die pbD also für ihre eigene Leistungserbringung
Nochmal ein anderer Aspekt zu dieser Frage:
Wenn es sich bei puren Anmeldedaten (Username/Passwort) schon um eine Verarbeitung im Sinne der DSGVO handelt mit allen Folgen wie Verarbeitungsverzeichnis etc., dann muss ich ja auch dokumentieren, wie die Sicherheit gewährleistet wird. Da die Nutzung der Anmeldedaten aber ohnehin schon den zweck haben, die Anwendung zu sichern - also Sicherheitsmaßnahmen sind - dann müsste ich hier nun TOMs für TOMs umsetzen und dokumentieren. Und wenn ich dann eine Berechtigungsverwaltung für die Berechtigungsverwaltung mache, habe ich TOMs für TOMs für TOMs etc. etc. etc.
Irgendwie absurd - oder?
Diese gedankliche Verschachtelung hat seine Ursache im falschen Anknüpfungspunkt: “Anmeldedaten” sind keine Verarbeitungstätigkeit (VT) sondern lediglich Kategorien von Daten. Für eine VT braucht es noch einen Verarbeitungszweck. Das dürfte hier die Registrierung/Authentifizierung sein.
Für diese VT muss dann alles dokumentiert werden…
Da stimme ich zu - aber wo steht das? Viele Juristen glauben mir das nicht und wollen eine Quelle sehen. Sie meinen, da sind personenbezogene Daten, die (für die Authentifizierung) “verarbeitet” werden - ergo eine Verarbeitung. Was sagt man denen?
Dazu kann ich nur wärmstens das Werk des Kollegen Roth empfehlen:
Heiko Roth in: Roth, Verzeichnis von Verarbeitungstätigkeiten, 1. Auflage 2023, III. Organisation, Rn. 243 ff.
Quintessenz:
Den besagten Juristen kann man sagen, dass Datenschutz grundsätzlich prozessorientiert ist und Daten als solche keinen Prozess darstellen. Authentifizierung dagegen schon, weshalb diese hier auch der relevante Prozess ist.
Oder eine Analogie aus der Grammatik: planen (als Tätigkeit) und Plan.
D., dem es praktisch egal ist, solange erkannt wird, welche Verarbeitung stattfindet und wie man sie ggf. absichern muss.
Ach, jetzt verstehe ich, wo das Mißverständnis liegt.
Ich hatte geschrieben:
Und das haben hier einige wortwörtlich genommen und gedacht, ich meine tatsächlich nur die Daten.
Sorry für die ungenaue Ausdrucksweise - natürlich meinte ich den Anmeldeprozess in dessen Rahmen diese Daten verarbeitet werden.
Die Frage war also konkret: Muss ich nun zwei Verarbeitungen ins VVT aufnehmen? Eine für die Authentifikation und eine für die “eigentliche” Datenverarbeitung?
Im ersten Fall sind es die Daten der Anwendungs-Nutzer und im zweiten Fall die Daten der Kunden (als Beispiel).
Auch zu dieser Frage kann ich Roth nur empfehlen.
Quintessenz: Wie granular man seine VTs beschreibt, kann man im Rahmen sozusagen des gesunden Menschenverstandes selbst entscheiden.
Man kann mehrere Verarbeitungen zu einer Verarbeitungstätigkeit bündeln, solange sie einem gemeinsamen Zweck dienen. Wichtiger als ob separat oder gebündelt ist mE aber, dass die Verarbeitungen vollständig beschrieben werden. Kann mir nicht vorstellen, dass eine Aufsichtsbehörde dann ernsthaft Bedenken anbringen würde. Und selbst wenn, ließe sich das dann ja problemlos anpassen.
Auch auch Sicht einer Aufsichtsbehörde würde ich hier nur eine VT sehen. Die Authentifizierung ist eher eine Maßnahme zur Gewährleistung von Vertraulichkeit und Integrität für die “eigentliche” DV. Ohne die “eigentliche” DV gäbe es doch gar keinen sinnvollen Zweck für die Authentifizierung.