Ich bin Leiter eines technischen Supports bei einem Software-Hersteller. Für die Annahme von Anrufen unserer Kunden setzen wir derzeit ausschließlich eigene Mitarbeiter/innen ein. Mit unseren Kunden sind AVVs geschlossen, die namentlich alle für uns tätigen Dienstleister, Partner, Konzerntöchter usw. beinhalten. Nun wird es für einige Monat zur Überbrückung eines kurzfristigen Ausfalls von Mitarbeiter/innen dieser Telefonannahme doch notwendig sein, ein externes Call-Center einzubinden, welches lediglich die Kontaktdaten des Anrufers entgegennehmen und ans uns weitergeben soll. Meine veranlasste Prüfung auf Machbarkeit und Einschätzung unseres DSBs und auch der Legal-Abteilung brachte als Ergebnis, dass wir keine weiteren Dienstleister beauftragen können, da dieser in den bestehenden AVVs nicht enthalten ist und man diese mit den Bestandskunden nicht nochmals verhandeln möchte/wird…
Wie sieht dies in der Praxis aus? Ist dies tatsächlich so schwer, neue Dienstleister zu beauftragen? Muss dann jeweils (mit mehreren hundert Kunden)neue/geänderte AVV mit Kunden abgeschlossen werden? Wäre Sub-Contracting in der Form möglich, dass man einen in der AVV enthalten Dienstleister beauftragt, diese Telefonannahme zu übernehmen; in dem Wissen, dass er sich dann entsprechenden Dienstleistern bedient? Wie sorgt man aber schon jetzt in AVVs vor, damit so etwas dann bei konkretem Bedarf möglich ist?
nein es sollte nicht so schwer sein und ist eigentlich ein Standart Fall (also bei uns).
Wichtig ist das in den aktuellen Verträgen erstmal drin steht es werden SubUnternehmer eingebunden. Dies scheint ja der Fall zu sein.
Die DSGVO sieht dann vor, dass wenn Subunternehmer generell erlaubt sind, diese genehmigt werden müssen (bzw. Widerspruchsmöglichkeit), also genannt werden. Diese Nennung kann im Vertrag erfolgen (so wie es bei den jetzt schon eingebunden) der Fall ist. Oder aber wenn es zu einer Änderung kommt, dann muss man dem Kunden die Möglichkeit geben den neuen Dienstleister zu widersprechen und wenn er das nicht tut ist er genehmigt.
Wir machen das daher wie folgt, wenn es zu einer Änderung kommt (also ein neuer eingesetzt wird) schreiben wir eine Mail an den betroffen Kunden. Wir planen ab dem DD.MM.YYYY die Firma/die Person XYZ für den Zweck ABC einzusetzen. Sollten sie damit nicht einverstanden sein melden sie sich bitte bis Ende dieser Woche"
Bisher ist mir kein Fall bekannt wo der Kunde widersprochen hat.
In euren Verträgen / AVV könnte aber auch drin stehn, dass nur diese genannten Dienstleister möglich sind, und keine weiteren eingebunden werden dürfen (Auch nicht nach Rücksprache oder Genehmigung). Wenn es so ist, habt ihr keine andere Möglichkeit als der Neuverhandlung. Aber ehrlich gesagt sind dann eure Verträge schon nicht die besten
Das sehe ich auch so. In einem unserer Verträge findet sich diese Formulierung:
(3) Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu
verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der
Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B. Telekommunikationsleistungen,
Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der
Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten
des Auftraggebers auch bei fremdvergebenen Nebenleistungen angemessene und gesetzeskonforme
vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
Eventuell findet sich eine solche Regelung doch in eurem Vertrag? Falls nicht, dann würde ich eine solche Regelung an geeigneter Stelle anregen. Gerade in deinem Fall vereinfacht diese Formulierung die Auftragserfüllung.
Vielen Dank, joeDS und anabanana für die Antworten!
Genau diese Formulierung, wie von anabanana geschrieben, steht in unserer Muster-AVVV. Dann muss ich nochmals bei Legal nachhaken, warum sie dann denken, dass ich kein Call-Center beauftragen kann.
Nebensächlich muss nicht immer nebensächlich bleiben. Wenn nebensächliche Dienstleister ausdrücklich /tatsächlich (auch) mit der Verarbeitung der personenbezogenen Daten beauftragt sind. Also z. B. nicht nur Datenträger zu transportieren oder sie mit Strom zu versorgen, sondern sie aktiv zu bearbeiten, Daten im Hinblick auf ihren Inhalt zu analysieren oder zu konvertieren, wird es zur Auftragsverarbeitung.
Bei den anderen Situationen muss irgendwie ausgeschlossen werden
D., der solchen Vertragsklauseln nie richtig traut, weil Art. 4 und 28 diese Ausnahmen nicht nennen.
…habe nun gerade auch Rückmeldung von Legal bekommen, dass die involvierte Rechtsanwaltskanzlei die Einbindung des Call-Centers mit Wissen um den Passus zu den Nebenleistungen als nicht zulässig erachtet hat. Es ist eben keine Nebenleistung, wird argumentiert; dies entspricht der Argumentation von Domasla…
Die Formulierung steht zB im Muster der GDD und entspringt wohl praktischen Überlegungen (wir nutzen sie auch). Dennoch kann man die DS-GVO nicht einfach wegdefinieren - da hat Domasla recht, nur gibt er/sie Beispiele, die eben keine Nebenleistungen mehr sind.
Ich würde mir mal ansehen, was denn Gegenstand der AVV ist und warum sie abgeschlossen wurde. Wegen ‘Support zu Software’ könnte es sein, das ein AVV abgeschlossen wird, weil ein Zugriff auf p.b. Daten durch den Support nicht ausgeschlossen werden kann. Das ist die Haltung der Aufsichtbehörden, die aber nicht unstrittig ist (und auch so nicht in der DS-GVO zu finden ist, das stammt aus dem alten BDSG).
Das würde ich als Kriterium nehmen: was nimmt denn das Call Center Inbound entgegen, was macht es? Ich kann mir schwer vorstellen, dass dort bereits ein Support angesiedelt ist, der eine AV macht (ohne Einarbeitung und nur einige Monate?).
Damit räumt man vermutlich den Einwand ab, es würde bereits eine AV zum Kundenvertrag erfolgen.
Und es gibt immer noch die Möglichkeit einer Anfrage/Beratung zur Klärung bei den Aufsichten.
Im schlimmsten Fall kann man auch den Weg einer Arbeitnehmerüberlassung wählen.
Ich sag immer: “Die Guten bieten Auftragsverarbeitung mit an.” Auch ohne dass die Kunden danach fragen.
Sie beugen damit auch in Grenzbereichen dem Dilemma vor, für etwas verantwortlich zu sein (und die Rechtmäßigkeit usw. nicht hinzubekommen), weil sie überraschend mit pbDaten zu tun haben, oder weil einzelne Kunden nicht an Auftragsverarbeitung denken, bzw. nicht rechtzeitig das Handtuch über vorhandene Daten werfen.
Die Auftragsverarbeitung würde greifen, wenn man beim Erbringen der Leistung doch mal mit pbDaten in Berührung kommt. Wenn nicht, ruhen die darin vereinbarten Pflichten. Wenn was Ausführlicheres nötig ist, kann man kundenspezifische Zusatzvereinbarungen treffen bzw. sich Weisungen erteilen lassen, wofür der Rahmen ja schon vertraglich vorbereitet wäre.
D., Erfinder der Rettungsdecke (für Vertraulichkeit), der immer sagt, dass die guten Dienstleister ein Minimum an Auftragsverarbeitung ungefragt in ihre Verträge einbauen.
Hallo haderner. Es ist genau so, wie von Dir beschrieben. Es ist ein Software-Support, bei dem es auch Zugriff auf pBDaten bei Kunden kommt. Deshalb die AVVs mit den Kunden. Und bereits bei der telefonischen Entgegennahme der Kundenanrufe entstehen auch solche pbDaten, die dann das externe Call-Center einfach erfassen und per Mail an uns weitergeben soll. Das externe Call-Center bekommt aber keinen Zugriff unser CRM-System oder andere Systeme. Es soll einfach die unseren Kunden bekannte Telefonnummer auf dieses Call-Center umgeleitet werden. Und diese informieren uns bei Kundenanruf per Mail und geben die Kontaktdaten dann weiter. Dies wird als Verarbeitung von pbDaten angesehen, die dann wohl nicht als Nebenleistung angesehen werden kann.
Hansen, auch wenn Du leider nicht genau sagst, welche Daten das sind: das ist keine Verarbeitung für den Kundenvertrag, das ist nicht der Zweck und Bestandteil der Leistung ggü dem Kunden.
Es sind p.b. Daten, die begleitend für die noch folgende Erfüllung des Kundenvertrags anfallen.
Du kannst das sicher mit Deiner Aufsichtbehörde klären.
Hallo haderner, konkret würde durch das Call-Center bei Anruf des Kunden nur erfragt werden:
Firmenbezeichnung
Name des Anrufers
Kontaktdaten für Rückruf oder Mail
kurze Beschreibung des Problems und deren Dringlichkeit
Diese Daten würden uns dann vom Call-Center per Mail übermittelt werden, damit dann der technische Helpdesk die Fallbearbeitung vornehmen kann. Falls von Relevanz: Das Ganze im B2B-Bereich; also keine privaten Konsumenten. Und in der Regel haben wir bereits diese Daten. Es geht nur um die Entgegennahme der Anfrage/Problemmeldung des Kunden und der Daten zur richtigen Zuordnung im CRM-System.
Das ist mal wieder der typische Fall, bei dem sich deutsche Gründlichkeit in einem sinnverdrehenden Klein-klein verliert. Die Grundfrage ist doch, worum es beim Datenschutz geht? Werden hier persönliche Daten missbräuchlich verwendet? Die Antwort lautet doch nein, denn die Verarbeitung ist durch Art. 6 (1) a) und/oder b) gedeckt und die Betroffenen gem. Art. 13 informiert.
Zweck jedes AVV ist, missbräuchliche Verwendung bei Auftragsverarbeitung zu verhindern (Art.28 (1)).
Nach Deiner Darstellung werden die Daten also nur erfasst und weitergegeben und nicht gespeichert. Damit ist dieser schritt zwar wesentliche für Eure Vertragserfüllung gegenüber dem Kunden, aber keine Hauptleistung, da die Daten vom AV nicht gespeichert oder gar sonstig verarbeitet werden.
Anders wäre es z.B., wenn der AV die bei ihm anfallenden Daten auf Häufigkeit und Dauer der Anrufe je Anrufer auswerten würde und Euch diese Auswertung zurückgäbe. Die reine Erfassung und Weitergabe zur Bearbeitung durch den Auttraggeber ist nach unserer Auffassung eine eindeutige Nebenleistung mit geringem und vertraglich wie ggf. technisch ausschließbarem Risiko für die missbräuchliche Verwendung der Daten.
Hallo bjf,! Danke für Deine Darstellung/Interpretation! Im letzten Satz Deines Kommentars schreibst Du “…nach unserer Auffassung…” Wer ist “unser”? Mir geht es dabei um ein mögliches Zitieren gegenüber unserer Legal-Abteilung. Meine interne Darstellung als Nebenleistung wurde mit dem Hinweis, dass die für die Prüfung des Sachverhalts beauftragte Kanzlei dies eben nicht als Nebenleistung sieht, zurückgewiesen. Vielen Dank für eine Antwort, wenn notwendig/gewünscht (und technisch möglich?), als PN. Danke!
Unsere Auffassung ist die derzeit den Mitgliedern gegenüber von unseren Spezialisten vertretene Linie zum Abfassen eines AVV, also die Auffassung der Genossenschaft als verlängerte Werkbank der Mitglieder. Bei uns sind mehrere DSB (noch zertifiziert nach Vor-DSGVO-Zeit) tätig.
Wir haben übrigens ein ähnliches Problem in Bezug auf Schulsoftware in SaaS-Form diskutiert. Insofern ist diese Haltung aktuell. Dabei zeigte sich z.B. bei einem Anbieter, dass der AVV nicht zwingend verlässlich ist, denn dort wurde ein RZ-Betrieb in Deutschland vereinbart, aber der Serverstandort zeigte einen Standort in den USA an. Also immer aufpassen, dass die Regeln des AVV auch kontrolliert und durchgesetzt werden, sonst kann es böse enden. Das meinte ich z.B. mit technisch ausschließbarem Risiko, das u.U. die Bereitstellung eigener Hardware/RZ-Infrastruktur mit einschließen sollte.
Hallo bjf. Vielen Dank für die Präzisierung, die ich selber gut nachvollziehen kann. Die von unserer Rechtsabteilung beauftragte und auf Datenschutz-Themen spezialisierte Kanzlei kommt (aber) unter anderem zu dieser Einschätzung:
“…
Vorliegend werden die Zwecke der Verarbeitung ausschließlich von >“UNS”< bestimmt. Die Datenverarbeitung soll zu dem Zweck erfolgen, bestimmte Support-Dienstleistungen erbringen zu können. Die Mittel der Verarbeitung werden ebenfalls weitgehend von >“UNS”< bestimmt, da die Abläufe, Entscheidungskompetenz und eingesetzten Mittel ebenfalls von >“UNS”< bestimmt werden. Nach den vorliegenden Informationen ist davon auszugehen, dass >“CALL-CENTER”< ein klar definierter Gesprächsleitfaden vorgelegt wird und>“CALL-CENTER”< keine eigene Entscheidungskompetenz in Bezug auf die Gesprächsführung zukommt. Mit Blick auf die von >“CALL-CENTER”< eingesetzten Mittel verbleibt >“CALL-CENTER”< zwar eine gewisse Restentscheidungskompetenz, diese beschränkt sich nach jedoch darauf, selbst über die eingesetzte IT entscheiden zu können. Diese entspricht der weitgehend von den Aufsichtsbehörden und in der Literatur vertretenen Auffassung, wonach es sich bei Call-Center Anbietern ohne wesentliche eigene Entscheidungsspielräume regelmäßig um Auftragsverarbeiter handelt (Siehe dazu Datenschutzkonferenz, Kurzpapier Nr. 13 - Auftragsverarbeitung, Art. 28 DSGVO, 16.01.2018; Voigt/v. d. Bussche, in: Bussche v.d./Voigt, Konzerndatenschutz 2. Auflage 2019, Kap. 4 B. I. Rn. 29 ff.; Artikel 29 Datenschutzgruppe, Stellungn. 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, S. 27; Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 28, Rn. 29).
…”
Dies deute ich dann so, dass es nicht nur darum geht, welche Dienstleistung erbracht wird, sondern wie dies durch den beauftragten Dienstleister gemacht wird, nämlich dann auch mit eigenen Datenverarbeitungssystemen…
Ich bin hier auch hin und her gerissen zwischen dem Anerkennen, dass diese Problematik so ernst genommen wird und dem Umstand, dass man nicht einfach auf Dienstleister für einfache Hilfstätigkeiten zurückgreifen kann., was auch positive Effekte für unsere Kunden hätte.
Naja, das sind 2 Themen: das Call-Center macht AV für die Firma, ja, mag sein.
Aber macht die Firma dabei AV für den Kunden? Ich denke: nein (beim oben genannten Datenumfang). Das ist unabhängig davon, ob dazu ein Call-Center als externer Dienstleister eingesetzt wird oder ob es die eigene Tel-Zentrale intern macht.
