Begründen Personenbezogene Zugangsdaten (k)eine Auftragsverarbeitung?

Hallo,

mein erster Post in diesem Forum und ich hoffe durch eure Antworten etwas Klarheit über einen Punkt zu erhalten, der mich schon eine Weile umtreibt.

Wir hatten eine Diskussion ob und inwieweit die Einbindung eines Dienstleisters, der eine IT-Leistung im Bereich SaaS erbringt, nicht in jedem Fall eine Auftragsverarbeitung dasrtellen müsste.

Konkret ging es um die Frage bei folgendem Szenario:
Ein Dienstleister bietet Werkzeuge zur Datenanalyse als SaaS an.

Ein Unternehmen (Kunde) möchte diesen Dienstleister zur Analyse und Auswertung nicht-personenbezogener Daten nutzen. Dementsprechend wäre die eigentliche Datenverarbeitung des Kunden beim Dienstleister doch nicht datenschutzrelevant.

Allerdings sollen die Analysen und Auswertungen von verschiedenen Mitarbeitern des Kunden durchgfeührt werden, die dafür alle einen personenbezogenen Nutzeraccount vom Kunden beim Dienstleister erstellt bekommen.

Dementsprechend würde der Dienstleister ja nun personenbezogene Daten der MItarbeiter des Kundens verarbeiten.
Wie gestaltet sich in einem solchen Fall die datenschutzrechtliche Verantwortlichkeit?
Die Übermittlung der personenbezogenen Daten der MItarbeiter des Kunden an den Dienstleister stellt eine Verarbeitung in der Verantwortung des Kunden dar.
Wie sieht es mit der weiteren Verarbeitung dieser Daten beim Dienstleister aus?

Ist dass dann eine Auftragsverarbeitung? Gemeinsame Verantwortlichkeit?

Wie grenzt man das hier ab und worauf (gesetzliche Regelung, Leitline, Kurzpapier etc.) kann man die
Einschätzung dannargumentativ stützen.
Ich habe dazu irgendwie nicht die passende Festlegung bzw. Veröffentlichung ausfindig machen können (oder diese übersehen).

Wie schätzt Ihr das ein und wie begründet sich eure Einschätzung.

Viele Grüße
Sandra

Da muss man mal etwas sortieren.
Es werden keine persönlichen Daten Dritter (also von Kunden-Externen) verarbeitet.
Es wird ein Account beim Dienstleister eingerichtet für Mitarbeiter. Kann die Namensvergabe mit Pseudonym geschehen (also kein Klarname übermittelt)? In diesem Fall ist das keine Auftragsverarbeitung.
Andernfalls geht es zunächst um die Rechtmäßigkeit. Da der Account zur Erfüllung einer betrieblichen Aufgabe dient, kommen DSGVO Art. 6(1) lit. b und f in Frage, also die vertragliche Verpflichtung und das berechtigte Interesse. Hier muss abgesichert werden, dass diese Daten nicht weitergegeben oder missbräuchlich genutzt werden. Und dafür ist ein Auftragsverarbeitungsvertrag da. Vergleichbar grundsätzlich mit dem Lohnbüro, nur dass die einen größeren Datenumfang bekommen.
So mal als erste Einschätzung… Andere Meinungen vor allem von Juristen wären da sicher interessant.

Wieso sind diese Daten zur Analyse/Auswertung keine p.b. Daten - bist Du sicher?

Ansonsten gibt es den Begriff “begleitender Natur”, wie etwa Ansprechpartner o.ä. bei Aufträgen, Rechnungen.

Ich will es auch mal versuchen, aufzudröseln:

Wenn Gegenstand dieser Dienstleistung nicht die Verarbeitung personenbezogener (pb) Daten ist, dann findet keine Auftragsverarbeitung statt. Obwohl es gut möglich ist, dass pb Daten übermittelt werden (z.B. wie von Dir erwähnt die Daten der Bearbeitenden). Da greift dann durchaus die DSGVO, aber es ist halt keine AV.

In der Rechtsgrundlage pflichte ich hier @bjf bei: DSGVO Art. 6(1) lit. b und f - wobei ich als DSB meinen Kunden immer empfehle wo immer möglich nicht-personenbezogene Accounts zu nutzen (=Minimierung der verarbeiteten pb Daten) … Seitengedanke: hierbei sollte dann geprüft und dokumentiert werden, ob die Accounts dann pseudonym oder anonym sind.
Überdies muss beim Dienstleister geprüft werden, welche Daten geloggt werden. Auch Daten wie Zugriffszeiten, zugreifende Computer etc. usw. können Personenbezug haben. Hierüber müssen die benutzenden Mitarbeiterinnen und Mitarbeiter informiert werden (aber nicht einwilligen). Mir fällt hier als Beispiel die MS365-Cloud ein, die in der Voreinstellung umfangreich Verhaltensdaten der verarbeitenden Beschäftigten loggt, was stetiger Quell großer Freude nicht nur für DSB, sondern auch für Betriebsräte ist.

Also sage ich: weder noch, sondern ggf. für die Vertragserfüllung notwendige Verarbeitung “begleitender Natur”, was dann mit dem Beschäftigtendatenschutz (also Art. 88 DSGVO und §26 BDSG)

Die DSK hat in einem Kurzpapier zur AV ein paar Beispiele, was ist AV und was nicht. Das Papier ist gerade in Überarbeitung, was sich aber nicht auf die Gültigkeit dieser Aussage auswirken sollte: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf. In den Beispielen für AV geht es regelmäßig um Dienstleistungen mit direktem Bezug zur Verarbeitung pb Daten.

Darf ich mal direkt nachfragen: worauf bezieht sich das?
Meine Verwirrung: im 2. Absatz schreibst Du, dass es keine AV ist und hier unten führst Du diese Folgerung nach der Fokussierung auf die Accountdaten der Beschäftigten ein.

Wenn die Identität des Mitarbeiters durch Anonymisierung (teilweise auch schon Pseudonymisierung) für den externen Dienstleister nicht ersichtlich ist oder werden kann, dann liegt keine “Auftragsbearbeitung personenbezogener Daten” vor, da logischerweise der Personenbezug fehlt. Es ist eben Auftragsverarbeitung ohne pbD.
Anders die Verarbeitung mit Klarnamen. Hier ist die vollständige Bedingung erfüllt. Daran ändern auch die Art. 88 DSGVO und §26 BDSG nichts, da diese nur die Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen als Bezug haben. Gibt er die Daten aus welchem Grund auch immer außer Haus, liegt nach unserer Auffassung Auftragsverarbeitung vor. Folgerichtig muss der Verantwortliche auch hier für die notwendigen Schutzmechanismen zur Einhaltung der diversen gesetzlichen Grundlagen vom Arbeitsrecht bis zur DSGVO sorgen. Dies entfällt regelmäßig nur bei Berufsgeheimnisträgern, die den Schutz qua institutionem sicherstellen.

Hmm. Mit haderners Ein-Satz-Antworten kann ich immer noch nicht mithalten…

Mir fällt es schwer, eine “begleitende Natur” oder ein “unvermeidliches Beiwerk” zu sehen, wenn anhand der Account- und Log-Daten (mit IP-Adressen?) eine Überwachung und/oder Kontrolle der Beschäftigten möglich ist. Das birgt einen etwas anderen Umfang als eine bloße Rechnungserstellung oder das Bedrucken von T-Shirts.

§26 BDSG kann der Kunde für die eigene Verarbeitung anwenden, nicht aber der Dienstleister im Rahmen seiner Verarbeitung. Da die Verarbeitung beim Dienstleister nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich ist (wie zB eine Entgeldabrechnung), fände eine Zweckänderung statt. Sofern sich die Beschäftigten selbstständig registrieren, werden die Beschäftigtendaten jedoch nicht durch den Kunden an den Dienstleister übermittelt. Etwas anderes wäre es, wenn der Kunde dem Dienstleister eine Liste mit zuständigen Mitarbeitern zur Account-Erstellung übermitteln würde. Dann wären wir bei der Zweckänderung, von der die einen sagen “möglich, wenn berechtigtes Interesse gem. Art.6 Abs.1 lit.f”, während die anderen sagen “ausgeschlossen, berechtigtes Interesse wegen schutzwürdiger Interessen nicht anwendbar” und für die DSK muss “ein innerer Zusammenhang zum Beschäftigtenverhältnis im weitesten Sinne bestehen” sowie die §§23, 24 BDSG beachtet werden (Kurzpapier 14).

Der Kunde beauftragt in dem Sinne keine Datenverarbeitung. Man könnte aber anhand des Beispiels “Wartung und Fernzugriffe” aus dem Kurzpapier 13 eine ADV konstruieren: Die Accounts beim Dienstleister dienen der (technischen) Umsetzung von Auswertungen des Kunden und der Dienstleister muss sicherstellen, dass diese Accounts funktionieren. Genau dafür muss er sie warten. Das passiert nicht in den Systemen des Kunden (wie im Beispiel genannt), sondern in den Systemen des Dienstleisters. Die Daten aber sind die der Beschäftigten des Kunden. Folglich findet eine Auftragsverarbeitung dieser Daten im Rahmen der Wartung und der Sicherstellung des Betriebs beim Dienstleister statt. Durch die Brust ins Auge.

Orientiert man sich an der BAG-Entscheidung zur Nutzung einer Signaturkarte (10 AZR 270/12), ist der Dienstleister der Verantwortliche für die Verarbeitung. Eine gesetzliche Verpflichtung, die eine Verarbeitung von pb Daten erfordert und eine Alleinverantwortlichkeit begründet, existiert hier allerdings nicht (wie Signaturgesetz, steuerliche Verpflichtungen, Krankenversicherung etc.). Mit Blick auf die EuGH-Entscheidung zu den Fanpages (C‑210/16) lässt sich ebenfalls feststellen, dass der Dienstleister über die Zwecke und Mittel bestimmt. Allerdings stellt der EuGH fest, dass bei einer gemeinsamen Verantwortlichkeit keine gleichwertige Verantwortlichkeit bestehen muss (auch EDSA “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”). Bestimmt nun der Kunde, welche Analysen und Auswertungen mit den Accounts erstellt werden, bestimmt er auch Zweck und Mittel - nämlich die Art und Weise der Nutzung der angebotenen Dienstleistung durch die Beschäftigten. Eine zusätzliche Frage wäre die zu Auswertungsmöglichkeiten der Nutzungsdaten durch den Kunden.

Für die Beschäftigten besteht kein Anlass, einen Account beim Dienstleister zu eröffnen, denn dessen Vertrag besteht mit dem Kunden und nicht mit den Beschäftigten. Eine evtl. Erforderlichkeit ihre pb Daten zu verarbeiten, entsteht also erst aus dem Vertrag zwischen Arbeitgeber und Dienstleister. Die Verarbeitung resultiert somit aus dem berechtigten Interesse des Arbeitgebers am Vertragsverhältnis mit dem Dienstleister und aus der anschließenden Vertragserfüllung, die ohne Beschäftigtendaten nicht möglich ist. Das spräche gegen eine Alleinverantwortung des Dienstleisters, denn diese würde ohne das Vertragsverhältnis gar nicht existieren. Aus dieser Sicht und vor dem Hintergrund der Fürsorgepflicht des Arbeitgebers tendiere ich zur oben angrissenen gemeinsamen Verantwortlichkeit. Als Initiator der Verarbeitung ist der Arbeitgeber nach meiner Ansicht dafür verantwortlich, dass diese Daten überhaupt erst verarbeitet werden. Folglich muss er bei der Nutzung der Dienstleistung in irgendeiner Weise sicherstellen, dass die Beschäftigtendaten im Sinne ihrer Beschäftigung geschützt sind. Eine dementsprechende Vereinbarung zwischen Kunde und Dienstleister kann dies zumindest theoretisch bewerkstelligen.

Sitzt der Dienstleister in einem Drittstaat, muss das schutzwürdige Interesse noch einmal anders gewichtet werden.

Mal aus der Praxis betrachtet: hat bisher jemand schon irgendwo mal einen JC-Vertrag für den reinen Zugang zu einem System gesehen?

Ich habe im Beck’schen Handbuch für Online-Formulare IT- und Datenrecht (Nägele, Thomas/Apel, Simon, 7. Edition, München 2021, Bearbeiterin: Anke Hofmann, SZA Schilling Zutt & Anschütz Rechtsanwaltsgesellschaft mbH) nachgesehen. Ein Auftragsverarbeitungsvertrag wird dort eingeleitet mit:

§ 1 Gegenstand/Umfang der Beauftragung

(1) Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend “Auftraggeberdaten”) erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DS-GVO verarbeitet.

Demnach meine Einschätzung: Ja, ein AVV muss wohl in @Sandra s Fall abgeschlossen werden.

Ich tue mich mit dem Fall auch schwer und sehe da eher keine AVV.

Der Gedanke dabei beruht auf folgendem Beispiel: Ein Mieter meldet Probleme in seiner Wohnung dem Hausmeister, Hausverwaltung. Diese beauftragt den Handwerker die Reperatur durchzuführen. Dafür braucht der Handwerker den Namen des Mieters. Die Daten des Mieters sind aber nicht der Hauptzweck - daher kein AVV.

Im Beispiel hier sehe ich es ähnlich. Im Projekt sind Accounts der Mitarbeiter notwendig, diese sind aber nicht Hauptzweck des Auftrags, sondern Mittel zum Zweck. daher keine AVV.

@anzolino - Deinen gut nachvollziehbaren Ausführungen will ich entgegenhalten: der Auftragnehmer handelt als eigenständiger Verantwortlicher. Damit ist er selbstverständlich auch für entsprechend sichere Verarbeitung verantwortlich und gegenüber seinem Auftraggeber informationspflichtig, wie er mit den pb Daten umgeht, die er verarbeiten muss, damit das System für seine Dienstleistung funktioniert. Der Auftraggeber ist wiederum seinen nutzenden Beschäftigten auskunftspflichtig. Und das alles gedeckt durch §26 BDSG.
Eine Verarbeitung in Joint Controllership sehe ich hier auch nicht, denn der Auftraggeber verarbeitet vermutlich selbst die Account- und Loggingdaten nicht und hat wohl auch keinen Zugang dazu.

Ich würde hier eher der Frage nachgehen: wodurch ist denn die Verarbeitung der pb Daten der Bediener des Systems begründet. Wenn es für die Funktion unabdingbar ist: ok. Wenn es verzichtbar ist: nicht machen - und dann ist jegliche Frage der DSGVO hier keine Frage mehr. Ähnlich würde ich auch beim Mieterbeispiel von @joeDS so sagen: der Hausmeister braucht nichtmal den Namen des Mieters, sondern die Adresse, Haus- und Wohnungsnummer - wenngleich auch das personen-beziehbare Daten sind.
Und das alles in die Dokumentation.

Die Tatsache, dass das nicht wirklich anonym, sondern pseudonym ist halte ich hier in (nahezu spontanter) Abwägung für unkritisch, weil der Dienstleister nicht weiß, wer mit welchem Account gearbeitet hat und der Auftraggeber keinen Zugriff auf die Log-Daten haben dürfte (der Auftraggeber könnte wohl durchaus ent-pseudonymisieren).

Das sehen wir ganz anders. Beim Handwerker wird der Name und die Anschrift bekannt gegeben und ein Besuch findet statt. Eine dauerhafte und regelmässige und vor allem elektronische Datenverarbeitung findet nicht statt und es ist auch nicht der Hauptzweck. Da benötigt man keinen AVV, außer man will mit Kanonen auf Spatzen schießen.
bei einer elektronischen Verarbeitung bei einem Dienstleister, der auch sonst sehr viel elektronisch verarbeitet, liegt die Sache ganz anders. Die Datenübermittlung ist nicht der Hauptzweck, aber durch die Art der Übermittlung und die elektronische Überwachungsmöglichkeit muss hier sichergestellt werden. dass diese eben nicht erfolgt. Und damit ist ein AVV zwingend. Das ist vergleichbar mit einem Dienstleister, der z.B. einen Newsletterdienst betreibt. Der bekommt auch nur die Emailadressen und Namen elektronisch, braucht aber einen AVV.

Soweit stimme ich @bjf zu.

Ich sehe es immer noch nicht als AVV. Sorry. Mal ein anderes Beispiel: Ein B2B Unternhmen z.B. Werbeagentur etc. arbeitet mit Kunden zusammen. Wenn die Agentur nun Analytics Daten auswertet oder Newsletter verschickt ist es klar eine AVV. Keine Frage.
Wenn aber nun nur Designentwürfe oder andere Produkte geliefert werden, sehe ich keine AVV.
In beiden Konstellationen sitzen die Mitarbeiter der Agentur auch in Meetings/Calls mit dem Auftraggeber und kennen diese bzw. schreiben sich Mails zu Abstimmungen etc. Diese Daten der Mitarbeiter (auf Seiten Agentur und Kunde) ist doch keine JC oder AVV. Diese Daten müssen ausgetauscht werden damit man den Auftrag ausführen kann und sind eben nicht Zweck des Auftrags - wie auch beim Handwerker. Also ja sie verarbeiten gegenseitig pbD (eben die der Ansprechpartner). Aber die Agentur wird vom Kunden nicht beauftragt die Miterarbeiterdaten der Kollegen zu verarbeiten.
Die Frage ist so meine ich es auch in einer Handreichung der DSK oder sowas gelesen zu haben. Was ist der Hauptzweck des Auftrags bzw. kann beim Hauptzweck etwas nicht ausgeschlossen werden. Das man bei einer Zusammenarbeit erfährt das der Kollege im Design Max Mustermann und die Projektmanagerin Erika Beispiel heißt ist durch die Vertragserfüllung gedeckt und keine AVV.
Trotzdem sollte klar sein das die Werbeagentur sorgsam mit den Kontaktdaten der Mitarbeiter des Kunden umgeht.

Als Hinweis noch die Nr 4 der FAQ aus Niedersachsen: https://lfd.niedersachsen.de/startseite/infothek/faqs_zur_ds_gvo/faq-auftragsverarbeitung-189637.html#Frage_4

Was bedeutet Hauptvertrag in diesem Kommentar? Die Beauftragung mit der Verarbeitung von pb Daten oder die eigentliche Dienstleistung? Bei Plath ist der Hauptvertrag die Beauftragung mit der Verarbeitung von pb Daten, ein Untervertrag wird mit weiteren Auftragnehmern abgeschlossen (DSGVO/BDSG Kommentar, 3.Auflage, Art.28 Rn 19 ff). Petri schreibt im Simitis nur von “Vertrag” (Art.26 Rn.49 ff), ebenso Wedde in “EU-DSGVO und BDSG”, Art.26 Rn.51 ff. Alle drei meinen die “normale” Vereinbarung zur Auftragsverarbeitung.

Wenn aber die Beauftragung - die Dienstleistung an sich - eine Auswertung nicht-personenbezogener Daten beinhaltet und die Verwendung von pb Daten dabei nur das notwendige Mittel zum eigentlichen Zweck ist (Logins/Accounts), sollte man warum eine Auftragsverarbeitung anstreben? Eine Verarbeitung von pb Daten wird doch gar nicht beauftragt und eine ADV erfordert nicht nur wesentlich mehr als ein Stück Papier, sie sieht die Verantwortung allein beim Auftraggeber (Entscheidung über Zweck und Mittel, Weisungsgebundenheit, Garantien usw.) - gegenüber einem SaaS-Anbieter, also Cloud-Computing mit so ziemlich allem Ungewissen, das es in der Rechnerei gibt, inkl. Unterauftragnehmer(?).

Wenn der Dienstleister als eigenständiger Verantwortlicher handelt, ist er kein Auftragnehmer im Sinne der DSGVO. Er wäre, wie alle Verantwortlichen, allein den Beschäftigten gegenüber informationspflichtig, denn sie sind die Betroffenen. Auskünfte zu deren Daten an den Kunden, der dann auch kein Auftraggeber im Sinne der DSGVO ist, stellte eine Übermittlung dar, die einer Rechtsgrundlage bedarf. Welche wäre das? Das berechtigte Interesse dürfte wegen der Überwachungsmöglichkeiten geringer gewichtet sein als das schutzwürdige Interesse. Es gibt keine Vereinbarung zur Verarbeitung von pb Daten, also gibt es auch keinen Vertrag, der erfüllt werden müsste. Eine rechtliche Verpflichtung oder Einwilligung sehe ich ebenso wenig. Der Kunde als Verantwortlicher dürfte demnach überhaupt keine Kenntnis über die Verarbeitung der nutzenden Beschäftigten erlangen. Was soll er beauskunften? Bei zwei alleinverantwortlichen Stellen gestaltet sich das Konstrukt mE schwieriger als bei einer gemeinsamen Verantwortlichkeit, bei der ein Arbeitgeber evtl. Möglichkeiten zur Einwirkung hat.

Und als Beschäftigter würde ich mich überhaupt nicht beim Dienstleister registrieren wollen. Wozu auch? Als Person habe ich mit diesem gar nichts zu tun. Es geht also nur über eine arbeitsrechtliche Verpflichtung zur Erfüllung der Aufgaben. Womit ich wieder beim Arbeitgeber als Initiator der Verarbeitung bin.

Die Infopflichten für die Mitarbeiter denen kann man schon nachkommen.
Ob die Beschäfftigten mit dem Kunden zu tun haben oder nicht, kommt denke ich auf die Firma an. Wenn ich eine große Fabrik habe, hat der Arbeiter am Fließband natürlich kaum oder keinen Kundenkontakt.
Bei einer kleinen Agentur oder Beratungsunternehmen wo der Austausch und Zusammenarbeit wichtig sind, sieht das sicher anders aus.

Der Kunde ist der Arbeitgeber.

Vllt. können wir noch ein paar Details präzisieren, um zu einer Bewertung zu kommen?

Welcher Umfang personenbezogener Daten muss denn für so einen Account erfasst werden? Denn, Datenschutz muss man vom Betroffenen her denken…
a) Reicht eine Email-Adresse? Wenn ja - dann bitte geschäftliche Email-Adresse beim Unternehmen. Das ist zumindestens mal ein schwaches Pseudonym, das den Inhaber zwar als “Rollenträger” in diesem Unternehmen identifiziert, nicht aber als Privatperson bzw. als persönlich Betroffenen.
b) Sind weitere Identifikationsdaten für Zwecke der “Ersatz-Identifizierung” erforderlich? Warum? Und, sind dies ebenfalls geschäftliche Daten des “Rollenträgers” wie Geschäftsadresse, Büro-Telefonnummer?

Im Idealfall sind Accountname und Passwort die einzigen erforderlichen Daten …

Benötigt das Unternehmen eine zusätzliche rechtliche Grundlage dafür, die geschäftlichen Identifikationsdaten seiner “Rollenträger” zu nutzen und ggf. auch zweckgebunden zu übermitteln? Wobei der Zweck hier natürlich nicht beliebig sein kann, sondern z.B. die Verwendung eines Arbeitsmittels zur Erfüllung einer Aufgabe im Beschäftigtenverhältnis herbeizuführen.
Wie steht es denn z.B. um die Pflichtinhalte im E-Mail-Footer im geschäftlichen E-Mail-Verkehr? Sind das andere als die, welche ich in so einem Account verarbeitet würden?

Wie ist der Betroffenenhorizont? Ist der Account-Inhaber persönlich von der Verarbeitung der Accountdaten durch den SaaS-Anbieter betroffen, oder als “Rollenträger” des Unternehmens, für das er die Software bedient? Hier spielen die vorherien Fragen rein…

Was kann und soll ein AVV leisten?
Zuerstmal dehnt der AVV die Verantwortung des Unternehmens auf die Verarbeitung des Anbieters aus. Kann und will das Unternehmen sowas? Kann sich der Anbieter hier überhaupt der Verantwortlichkeit eines anderen (Kunden) unterwerfen, oder ist die sichere und zweckgebundene Verarbeitung der Accountdaten nicht ureigenste Aufgabe des Anbieters, für die nur er selbst die Mittel bestimmen kann?
Was sollte ein AVV denn in dieser Situation regeln - die Tatsache, dass KEIN Verarbeitungsauftrag besteht, welcher die Accountdaten als Verarbeitungsziel hätte?
Ich denke, dass es Kerninhalt jedes Leistungsvertrages ist festzuschreiben, was der Anbieter tun oder lassen soll. Es bedarf wohl keines AVV, der zusätzlich festschreibt, dass das Unternehmen dem Anbieter keinen Verarbeitungsauftrag erteilt hat, oder?

Natürlich habe ich die passenden Antworten auf vorgenannte Fragen unterstellt. Niemals sollte ein Unternehmen versuchen, hiermit Software einsetzen zu wollen, welche die Übermittlung der privaten Daten der Mitarbeiter erfordern würde Das würde die Betrachtung schon an der ersten Frage umkehren.

Handelt es sich tatsächlich um SaaS, das heißt der Auftragnehmer betreibt die IT-/Datenverarbeitungs-Lösung für den Auftraggeber, so sind alle begleitenden Tätigkeiten, wie Wartung-/Support-/Betrieb, User-Management mMn dem Auftraggeber zuzuordnen. Sie sind nicht Beiwerk sondern integraler Bestandteil der Leistung und erforderlich um diese IT-Lösung für die Zwecke des Auftraggebers zu betreiben → hier eher AVV Hier steht die Datenverabeitung im Vordergrund… Ich könnte zudem sinnvoll in gewissen Rahmen Weisungen zur Verarbeitung erteilen.

Anders sehen würde ich das erst mit bspw. Online-Datenbanken wie beck.online, denn hier stehen die Inhalte im Vordergrund, d.h. User-Management, Log-Files und Co. würde ich dem Anbieter der Leistung zuordnen. Dieser würde hier wohl kaum Weisungen entgegennehmen.

So zumindest meine Einordnung. Wesentlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet. Und ja, auch das kann man links oder rechtsherum auslegen… Bin aber mit meiner Abgrenzung bisher ganz gut gefahren.

Ich wäre hier vorsichtig. Der Betrieb einer IT-Plattform ist vielleicht mit Pseudonymen möglich, aber sobald Support damit verknüpft ist, war es das ganz schnell mit der möglichen Anonymität der Betroffenen. Spätestens dann erlangt der Auftragnehmer mit legalen Mitteln Kenntnis von Realnamen.

Auch ein sicherer Betrieb wird regelmäßig erfordern, dass man mit “Account-inhabern” spricht…