Ist das Auftragsverarbeitung gemäß Art. 28 DSGVO?

Guten Tag zusammen, es gibt Unsicherheiten bei der folgenden Konstellation, deshalb würde ich mich über Einschätzungen dazu freuen:

Ich leite einen online-Workshop (kommerziell) mit 20 Teilnehmern.
Zwischendurch möchte ich über eine Auswahl von Entwürfen online abstimmen lassen.
Ich nutze dazu das Tool “Mentimeter” (https://www.mentimeter.com).

Dort habe ich einen Basic-Account, über den mir die Ergebnisse zugänglich gemacht werden.

Die Abstimmung erfolgt in der Art, dass die Teilnehmer meines Workshops mit dem Smartphone
einen QR-Code scannen
, um dann auf die Umfrage (Webseite) geleitet zu werden.
Ein simples Beispiel für eine Abfrage ist dieses: https://www.menti.com/alv3vk22p3wr
Es funktioniert ohne die Angabe irgendwelcher weiterer Daten.

Unter …privacy (ich darf nur zwei links einstellen…) gibt es Angaben über die Datenverarbeitung
bezüglich der Teilnehmenden, sie heißen dort “Audience”.

Brauche ich einen Auftragsverarbeitungsvertrag mit dem Dienstleister?
Inwieweit müssen die Teilnehmer (Audience) von mir weitergehend informiert werden?
Welche personenbezogenen Daten werden ggf. übertragen?

Viele Grüße,
Oliver

Mindestens die IP-Adresse der Teilnehmer wird wohl im Rahmen des Aufrufs dorthin übertragen (wie bei Google Fonts …).
Also formal wohl Auftragsverarbeitung.

Müsste ich als Veranstalter dann die Teilnehmer der Umfrage auch vorab noch zusätzlich über Details der Verarbeitung informieren oder kann ich davon ausgehen, dass die Infos des Anbieters (Sitz Schweden) ausreichend sind?

“Der Verantwortliche” muss informieren. Also bei Auftragsverarbeitung, wer das in Auftrag gibt. Ohne Auftragsverarbeitung ebenfalls. Es ist u. a. anzugeben, zu welchen Zwecken man die Daten verarbeitet (/vom Auftragnehmer verarbeiten lässt) bzw. wozu die Daten an den Dienst als Dritten übermittelt werden- (Und der eigenständig verantwortliche Dienst dann nochmal aus seiner Sicht extra, was er damit vorhat. Es wird nicht genügen, allein auf die Datenschutzinformation des Dienstes zu verweisen.)

Und die Zwecke wären…?!? - Evtl. nicht nur das Abstimmen, sondern auch, was dort zusätzlich mit den Besucherdaten passieren wird.

Mal sehen… mentimeter.com, menti.com, googletagmanager.com, sentry.io, intercom.io, split.io, ctfassets.net, “…cookies to improve yout experience … By using this site … Learn more /Okay”. - Vielen Dank, das kann ich gleich wieder zuklappen! Als Auftragsverarbeitung ließe es sich nicht leicht verantworten; als Übermittlung an Dritte wohl auch nicht.

D., der sich eingebundene Dienste sonst noch genauer anschaut, um meist festzustellen, dass man sie keinem Kunden in der EU anbieten dürfte.

Hallo zusammen

ich kenne Mentimeter auch… war schon in mehreren Webinaren und ähnlichem die dies einsetzten - um ehrlich zu sein, habe ich NIE eine Info gesehen die mich dort informiert (also in den Präsentationen nicht - auf der Website von Menti dann schon).

Ich denke es ist ja auch freiwillig ob man es nutzt. Also würde es hier wie ein eingebettes Youtube Video sehen das hinter einer Zwei-Klick Lösung liegt. Also ob man die Website aufrufen will (oder eben ein externer Link). Nur durch den QR code zur Umfrage in der PPT wird ja noch nix erfasst.

Nun stellt sich im Nachgang eher die Frage nach Joint Controll - weil AVV ist es weniger da Menti ja keinen Datensatz von mir als Anbieter der Umfrage bekommt - Ich ermögliche eher diese (aber das tue ich auch bei einem einfachen externen Link auf meiner Website - was ja auch keine AVV oder JC ist).

Meine Einschätzung wäre, das es keine AVV ist sondern eher JC. Ja Ich nutze einen externen Dienstleister der Daten zu eigen Zwecken nutzt, ja ohne mich hätten die Daten nicht. Habe ich einen Einfluß auf die Auswertung bei Menti: nein.

Aber ist ein JC bei einem einzelen Training so wichtig oder wäre es einfacher die Umfrage anders zu lösen.

1 „Gefällt mir“

Ich bin nicht sicher, ob man das über JC realisieren kann, es könnte sein, dass das deshalb nicht passt, denn:

Art. 26, Abs. 1:

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. […]

Ich kenne all deren Zwecke ja überhaupt nicht…
Und ich habe so die Vermutung, dass sie dir mir auch nicht unbedingt mitteilen wollen. Diese Vermutung habe ich deshalb, weil für so ein vorgeblich einfaches Geschäftsmodell 42 “Subprocessors” (https://www.mentimeter.com/processors) doch eine ganze Menge sind, auch wenn die nur “case-by-case” genutzt werden.

Für die JC reicht ja schon eine gemeinsame Verarbeitung: Das ganze tracking machen die natürlich in eigener Verantwortung, aber das identifizieren der Nutzer zum Zweck der Auswertung machen sie je nach den tatsächlichen Umständen eben wohl entweder als AV oder JC.

Das müssten die beantworten können und danach weißt du auch, welche Informationspflichten dich treffen…

Da stimme ich dir zu - aber nun denken wir mal an das EuGH Urteil zur FashionID bei Facebook.

Dort wurde ja entschieden, dass es JC ist. Weil wir durch den Betrieb der Fanpage es FB erstermöglichen die Daten zu nutzen. (also sinngemäß). Das FB hier eigene Zwecke hat die sie uns nicht sagen und auch zig Dienstleister ist jedem klar.

Bei Menti könnte man das auch agumentieren… aber das selbe gilt ja im grunde auch wenn ich einen externen link setze - da ermögliche es der Ziel-Seite auch zu tracken.

Ein Link zur z. B. weiteren Information ist ein Link…

Einen externen Dienst aber in eigene Abläufe einzubinden, wie hier in Workshops, und dann die Abstimmungsergebnisse zu nutzen ist gemeinsame Verantwortung. (Oder wenn die Plattform die Daten nicht anderweitig verarbeitet Auftragsverarbeitung.) Die Verantwortung besteht mindestens über die Umfrage /Abstimmung, zu deren Zweck die Nutzer dorthin geschickt werden. Wovon der Workshop-Veranstalter dann nichts mehr hat (Tracking etc.) wäre seine Datenübermitlung zu alleinigen Zwecken der Plattform. Das müsste er aber auch ein bisschen rechtfertigen können. (Rechtmäßigkeit auch dieses Aspekts; dann die anderen Grundsätze; und Art. 25 Datenschutz by Design, indem er Dienste wählt, wo das möglichst nicht passiert.)

D., der Verantwortliche, die komisches Zeug ins Spiel bringen nicht so einfach damit durchkommen lässt, dass sie ihr Primärziel (Abstimmung) rechtlich abhaken.

1 „Gefällt mir“