wenn eine Firma im B2B Bereich ihren Kunden einen AVV anbietet und Subunternehmer einsetzt: Muss sie dann wirklich jeden einzelnen Subunternehmer exakt benennen? Bei großen wie Microsoft ist es klar, aber was wenn wechselnde Freelancer eingesetzt werden?
Beispiel: Freelancer A updated als Experte ein produktives System, auf dem Kundendaten liegen, wird aber nur einmalig oder spontan beauftragt. Freelancer B hilft spontan bei weiterführenden Problemen an einem anderen Kundensystem.
Wie wird das in der Praxis gemacht? Reicht es, Kategorien von Subunternehmern (z.B. wechselnde Freelancer) aufzuführen und auf Nachfrage herauszugeben? Ansonsten müsste die Firma bei jedem Freelancer eine Genehmigung einholen - oder bei allgemeiner Genehmigung zumindest informieren, wenn hier ein Wechsel stattfindet.
Gerne einmal Unterscheidung zwischen harter Theorie und Praxis im Unternehmen.
Nicht automatisch Auftagsverarbeiter. Aber Datenempfänger. (Der Datenschutz ist damit nicht abgehakt; es müsste betrachtet werden, wie vertraulich sie mit Daten umgehen; die Übermittlung hin und zurück mit geeigneten Maßnahmen abgesichert.)
D., der bei häufig wechselnden Klein-Empfängern die Kategorie für aureichend hält. Dann bitte nicht als “Freelancer”, sondern mit deren Aufgaben beschrieben.
Warum nicht? Er handelt nach Anweisungen und hat Zugriff als Admin auf personenbezogene Daten, die in den Systemen liegen. Natürlich interessieren die ihn nicht, aber Zugriff benötigt er, um bspw. Updates zu fahren.
Brauche ich, um Updates zu fahren, tatsächlich eine AVV? Schließlich soll sich der Freelancer mit der Software beschäftigen, nicht mit den durch die Software verarbeiteten Daten. Der bloße Kontakt mit personenbezogenen Daten, ohne diese zu verarbeiten, wird von Art. 28 DSGVO m.E. nicht geregelt.
Doch, schon wenn man die Möglichkeit hat, auf personenbezogene Daten zuzugreifen, liegt eine Verarbeitung i. S. d. Art. 4 Nr. 4 vor.
Bei einem Feelancer würde ich aber mit einer Vertraulichkeits-Vereinbarung (NDA) arbeiten. Nur bei einem Unternehmen, das Support leistet, sehe ich eine Auftragsverarbeitung.
Really, Profiling?
Kremer im Heidelberegr Kommentar schließt eine AV bei bloßer technischer Prüfung- oder Wartungsleistung, die üblicherweise ohne Kenntnis personenbezogener Daten möglich ist, aus. Etwas anders ist ein Software-Update doch nicht. Und selbst die Kenntnisnahme bei der Gelegenheit reicht nicht aus, wenn es keine Weisung gibt, irgendetwas mit den personenbezogenen Daten zu machen (Art. 28 Randnummern 86 und 36 im Heidelberger Kommentar, 2. Auflage).
Schön zu sehen, wie es in der Praxis gemacht wird. Ich lese immer wieder, dass schon die Möglichkeit der Verarbeitung ausreiche. Bei einem Systemadmin, der theoretisch auch auf die Datenbank kommen würde, sehe ich direkt eine Verarbeitung. Wir schließen mit alles und jedem einen NDA und AVV ab.
Hier würde ich auch eindeutig - sofern die Grenze zur Auftragsverarbeitung überschritten ist - einfach zu einer Nennung als Kategorie greifen, auch wenns vielleicht nicht absolut sauber ist.
Aber meist - muss man auch sagen - liegt in Wirklichkeit nur eine Scheinselbstständigkeit vor, sodass viele “Freelancer” in Wirklichkeit wie Angestellte zu behandeln sind, aber das nur laut gedacht.
Ich denke - mit Hinblick auf das Kurzpapier 13 (Seite 3) der DSK - ist bei sowas schnell die Grenze zur Auftragsverarbeitung überschritten, da die reine Möglichkeit auf Zugriff ausreicht:
Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung […] und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.
Das findet sich auch noch in 8. der FAQ des LFD Niedersachen.