AVV notwendig bei Account

dedsb · 14. August 2024 um 11:41

Hallo zusammen,

ich stehe gerade auf dem Schlauch.
Wenn ein Unternehmen ein Software-Tool einsetzen möchte, bei dem an sich keine personenbezogenen Daten verarbeitet werden, aber die Mitarbeiter, die damit arbeiten, einen Account anlagen müssen, ist dann ein AVV mit dem Unternehmen (bzgl. der Accountdaten der Mitarbeiter) nötig?

Viele Grüße
dedsb

Thomas · 14. August 2024 um 12:39

es werden doch personenbezogene Daten verarbeitet: Die Eurer Mitarbeiter.

Domasla · 14. August 2024 um 14:46

Stimmt. Selten wird daran gedacht, dass die Nutzer auch Rechte haben. Ebenso Führungskräfte.

Kann passieren, dass der Dienst nicht AV-fähig ist, weil er keinen Vertrag anbietet oder (ich will nicht jedes Wort auf die Datenschutzwaage legen müssen) zu unhaltbaren Bedingungen, mit denen der Verantwortliche seinen Pflichten nicht nachkommen kann. (Hello, Microsoft!)

Dann übermittelt man eben bewusst nur reduzierte Nutzungsdaten auf Basis berechtigter Interesen an den Dienst, der kein Auftragsverarbeiter wird, sondern Dritter bleibt. Z. B. Registrierung möglichst mit Alias bzw. maximal mit Namensangabe, Funktions-Mailadresse statt namentlicher Adresse, keine Nutzung mit Privatgeräten.

Wäre evtl. noch die Drittlandproblematik, die eine Nutzung komplett ausschließt, wenn gar keine “Garantie” nach Art. 44 ff. DSGVO besteht. Standardklauseln ohne zusätzliche Garantien können durchaus “geeignet” sein, wenn es bei der Verarbeitung nicht um viel geht. Gar keine Absicherung funktioniert aber nicht, weil der Verantwortliche irgendwas aus den geetzlichen Möglichkeiten oder eine der Ausnahmen nachzuweisen hat.

D., der lieber Dienste sieht, die sich geschmeidig (kontrollierbar) einfügen lassen. Sonst gibt’s die nicht. (Das halbe Internet gibt’s nicht…)

dedsb · 14. August 2024 um 15:39

Vielen Dank für Eure Antworten.

Ich hatte irgendwie den Punkt im Kopf, dass es hier nicht primär um die Verarbeitung der pbD der Mitarbeiter geht, sondern um die übrige Dienstleistung.
Nach Ansicht der Aufsichtsbehörden keine Datenverarbeitung im Auftrag vor, wenn die Hausverwaltung die Adressdaten der Mieter an den Handwerker übermittelt.

Mir ist noch nicht so ganz klar, worin diese Fälle sich unterscheiden.

bdsb · 14. August 2024 um 19:15

Wenn außer den Anmeldedaten keine personenbezogenen Daten verarbeitet werden, handelt es sich nicht um eine Auftragsverarbeitung, da es sich nicht um eine Dienstleistung mit Schwerpunkt der Verarbeitung personenbezogener Daten handelt.
Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, sind keine Auftragsverarbeitungen.
Das sagt zumindest das bayerische Landesamt für Datenschutzaufsicht.

dedsb · 15. August 2024 um 07:07

@bdsb Danke, genau das meinte ich.

Also einen AVV benötigt man nicht. Aber die von @Domasla angesprochenen Punkte wir Drittlandsübermittlung und die übrigen Punkte (Rechtsgrundlage, Datenminimierung etc.) muss man trotzdem prüfen, oder?

VG
dedsb

Domasla · 15. August 2024 um 07:59

Das eine Thema ist, ob Auftragsverarbeitung vorliegt und als Folge ein Vertrag zu den Punkten in Art. 28 geschlossen werden muss. (Manchmal gemeinsame Verantwortung, manchmal reine Übermittlung, manchmal eine Kombination daraus.)

Oder ob irgendwas (und wenn es “nur” Benutzernamen wären) in Drittländer geht; dann eines der vorgeschriebenen Absicherungsinstrumente, oder eine der Ausnahmen.

D., der sagt, dass es ganz ohne Datenschutz nicht funktioniert. Überall ein Häkchen dran; auch dass etwas nicht zutrifft.

l.huesker · 16. August 2024 um 12:54

Im Kern andere Tätgkeit: Keine AV
Verarbeitung der Mitarbeiterdaten unterliegt der Verantwortung des Dienstleisters.
Dieser muss dazu eine Datenschutzerklärung abgeben, diese sollte geprüft werden.

Beabel · 19. August 2024 um 11:28

Eventuell ist bei Online-Accounts realisierbar, dass gar keine Beschäftigtendaten dabei verwendet werden, sondern z.B. “Funktionsaccounts” mit entsprechenden E-Mail-Adressen…

DSBjoern · 21. August 2024 um 06:03

Genau. Für personalisierte Accounts halte ich Art. 6 Abs. 1 lit. b DSGVO - Vertrag - in der Regel für ausreichend, d. h. die Verwendung eines personalisierten Accounts ist zur Vertragserfüllung erforderlich. Hier kann man streng sein und auf Funktionspostfächern bestehen, das halte ich aber für übertrieben. Sowohl Auftraggeber als auch Auftragnehmer haben ein legitimes Interesse zu wissen, wer die Dienstleistung in Anspruch nimmt. Also braucht man nur für die Accounts keinen AVV.
Natürlich kommt es weiter darauf an, welche freudigen Datenschutzüberraschungen Datenschutzerklärung und AGB bereit halten, die müssen natürlich auch geprüft werden.

Domasla · 21. August 2024 um 06:56

Im beruflichen Kontext ist lit. b nicht hilfreich. Die Nutzer schließen den Vertrag ja nicht zu ihrem Privatvergnügen, sondern für ihren Arbeitgeber oder für sonst jemand. Manchmal nicht freiwillig, bzw. jemand meldet sie namentlich mit oder ohne ihrem Wissen an. Die betroffene Person ist also nicht selbst Vertragspartei. Lit.-b-Verträge wären aber mit ihr zu schließen.

Damit schaltet der Erlaubnistatbestand auf lit. f um und es wäre zur Wahrung der Interessen des Arbeitgebers an der Inanspruchnahme des Dienstes erforderlich. (Wenn es die lit.-f-Abwägung schafft; nicht zu viel Schnickschnack…)

D., der oft differenzieren muss, wer für wen…