Allerdings würde sich das dann sofort ändern, sobald im Rahmen der “eigentlichen” DV keine personenbezogenen Daten mehr verarbeitet würden - oder? Das wäre aber inkonsequent.
Genauso ist es.
Hallo Domasla,
wie siehst du einen ähnlichen Fall: eine Kollegin arbeitet mit einer externen (deutschen) Firma zusammen, die benutzen für ihr Projektmanagement Asana und Trello. Jetzt möchte die Kollegin für sich und ihr Team auch Asana (oder eben Trello) nutzen, aber mangels Budget kostenlose Accounts einrichten. Ich als DSB habe mich auf den Seiten von Asana und Trello umgesehen, und abgesehen von der Speicherung der Nutzernamen tracken die einen ja auch noch. AVVs werden nur für die kostenpflichtigen Accounts angeboten. Entsprechend rate ich von den kostenlosen Accounts ab.
Wie siehst du das?
Danke schon mal
herzlich!
Tja… Zahlen?
Wenn es inhaltlich keine personenbezogenen Daten gibt, sondern nur Nutzungsdaten, könnte man evtl. ohne AVV auskommen. Gibt es aber Personen im Inhalt, dann AVV. (Der allerdings etwas wert sein müsste, d. h. wirklich ohne Tracking. Also kein Google oder so.)
Dann aber sparsam! D. h. keine Nutzung mit Privatgeräten (wo Profile mit Privatnutzung zugekauft /abgeglichen werden); keine umfangreichen Angaben zur Person, sondern höchstens den Namen, evtl. nur Kürzel oder Alias; Tracking so weit wie möglich ausschließen (NoScript, Firewall, Cookies löschen).
Transparenz für die betroffenen Personen (Nutzer), welche Daten bei der Nutzung anfallen, wie sie den Umfang reduzieren sollen, Unterstützung bei der Verschleierung. Evtl. Einwilliung (wo es mit der Freiwilligkeit nicht weit her sein wird, außer sie hatten selbst die Idee, einen bekanntermaßen problematischen Dienst zu nutzen, und reduzieren bewusst ihren Fußabdruck).
Andere Meinungen?
D., dem in solchen Fällen eine Proxy-Lösung am liebsten wäre, die den Dienstleister dumm lässt. Der sich sonst bei eigener Betroffenheit ignorant geben würde und den Dienst nicht nutzt.
Dankeschön! Dann bleibe ich dabei, davon abzuraten, zumal die Kollegin und ihr Team wahrscheinlich auch ihre Privatgeräte nutzen würden.
abgesehen von der Speicherung der Nutzernamen tracken die einen ja auch noch. AVVs werden nur für
Gibt es aber Personen im Inhalt, dann AVV.
Wenn also pbD lediglich für das Log-In verwendet werden und die eigentliche VT in einem Tool nichts mit pbD zu tun hat, ist ein AVV nicht erforderlich, da nicht Kern der VT?
Wenn der Anbieter eigene Zwecke mit den Anmeldedaten verfolgt (AGB und DSE des Anbieters lesen), dann AVV abschließen (um diese eigene Verarbeitung zu unterbinden).
Hab ich das so richtig verstanden?
Cloudbasierte Softwareanbieter sind fast immer Auftragsverarbeiter. Schließlich leiten sie ihre Befugnis zur Verarbeitung der Daten von ihren Kunden ab. Der Softwareanbieter verarbeitet bereite über die Zugriffsdaten in erheblichem Maße personenbezogene Daten (bereites die dynamische IP-Adresse ist ein personenbezogenes Datum nach Auffassung des EuGH in seinem Urteil vom 19.10.2016 – C-582/14)
Es ist zu beachten, dass es nicht nur den Leitfaden der Bayerischen Aufsichtsbehörde gibt. Es gelten weiterhin die gesetzlichen Begriffsdefinitionen in Art. 4 Nr. 7 und 8 DSGVO i.V.m. Art 28 DSGVO. Die nachfolgenden Kriterien können zur Einstufung herangezogen werden:
- Weisungsbefugnis: die Ausführlichkeit der von dem für die Verarbeitung Verantwortlichen erteilten
Weisungen, die den Handlungsspielraum bestimmt, der dem Auftragsverarbeiter
bleibt - Überwachungs- und Kontrollbefugnisse: die Überwachung der Erbringung der Dienstleistung durch den für die Verarbeitung Verantwortlichen. Eine permanente sorgfältige Beaufsichtigung
durch den für die Verarbeitung Verantwortlichen, mit der sichergestellt werden
soll, dass der Auftragsverarbeiter die Weisungen und Vertragsbedingungen genau
beachtet, lässt darauf schließen, dass der für die Verarbeitung Verantwortliche
noch die vollständige und alleinige Kontrolle über die Verarbeitungsvorgänge
ausübt - Eindruck auf die betroffenen Personen (hier die Mitarbeiter): den Eindruck, den der für die Verarbeitung Verantwortliche den betroffenen Personen vermittelt, und die hieraus resultierenden Erwartungen der betroffenen Personen
- Fachkompetenz der Parteien: In manchen Fällen (z.B. bei Anwälten, Wirtschaftsprüfern, Ärzten, etc.) spielen die traditionelle Rolle und die Fachkompetenz des Dienstleisters eine entscheidende Rolle, die die Einstufung des Dienstleisters als für die Verarbeitung Verantwortlicher bedingen
können
was war denn genau der Zweck der Nutzung des Softwaretool zu dem sich die Mitarbeitenden anmeldeten? Erst danach kann doch eine Bewertung stattfinden. Nur die Anmeldung mit Use-ID / Passwort muss noch nicht im Rahmen einer AV erfolgen.
2 „Gefällt mir“
Eigentlich off topic, da dies eine Frage zum Eintrag im Verarbeitungsverzeichnis und nicht zum AVV, dennoch:
Ich würde es schon als zwei verschiedene VT sehen.
- Im Tool selbst die Verarbeitung von personenbezogenen Kundendaten.
- das Einloggen
Warum ich für das Einloggen eine VT sehe: Auch hier findet eine Verarbeitung statt. Und wie Domasla sagte:
Und der Verantwortliche muss doch auch prüfen, ob die Daten der Nutzer/Mitarbeiterdaten so verarbeitet werden dürfen.
Beispiel:
In einem Unternehmen sollen “wild” verschiedene und immer neue Tools eingesetzt werden. Selbstverständlich alles cloudbasiert und mit Account. Wenn man nun für dieses Einloggen keinen VT-Eintrag erstellen würde, würde doch die datenschutzrechtliche Prüfung “hinten runter” fallen, oder?
Muss sich nicht der Verantwortliche schon fragen, ob er das Tool von Anbieter XY wirklich einsetzen will, wenn die Daten seiner Mitarbeiter dann in Land abc übertragen werden? Und wie sollen Auskunftsgesuche von Mitarbeitern beantwortet werden, wenn man nicht weiß, bei welchen Tools der Mitarbeiter überall mit Vorname und Nachname angemeldet war?
Mach doch einen Sammeleintrag für “Sonstige Anmeldungen”. Für jede interne und externe Software, wo der Zweck nur ist, sich anzumelden. Evtl. mit einer Liste, was alles darunter fällt. Der Hauptzweck der Softwarenutzung ist dann im Haupteintrag für diese Tätigkeit abgedeckt; oder nicht, falls sie sonst keine personenbezogenen Daten verarbeitet.
In diesem Eintrag sind dann die Rahmenbedingungen festgelegt, wie Zwecke der Prodokollierung, Verarbeitungsdauer, Informationspflichten usw. Was darüber hinaus geht, bräuchte eine getrennte Betrachtung oder (gerade wenn man nicht weiß, was der Anbieter sont noch…) darf nicht eingesetzt werden, weil es zu heiß ist.
D., der gern alles über einen Kamm scheren würde. Leider sind die Hersteller zu kreativ, so dass es einen sehr großen Kamm bräuchte.