Ich habe da eine Frage zum Thema SaaS und AVV. Seht ihr bei einer SaaS- Dienstleistung einen AV-Vertrag wenn die Software an sich sich nicht mit der Verarbeitung pb Daten beschäftigt? Sagen wir ein Design-Tool (CAD oder sowas).
Zwar könnte man sagen, dass der Anbeter ja pb Daten verarbeitet, da ein kundenseitiger Admin zB Rechte/Lizenzen/Zugänge vergibt und ggf. ja auch Logs angefertigt werden.
Wäre das genug um eine AVV zu begründen oder könnte man sich auch/eher darauf berufen, dass die Verarbeitung pb Daten lediglich ein Nebenzweck sei.
Was meint Ihr?
Schöne Grüße aus Bayern
Bei SaaS hat der Betreiber grundsätzlich meist Admin-Rechte. Die Frage ist ähnlich zu beantworten wie im Kurzpapier Nr. 13 zur Auftragsverarbeitung, Abschnitt “Wartung”: kann ein Zugriff auf personenbezogene Daten ausgeschlossen werden?
Ja das ist sicher (mutmaßlich) immer der Fall, mit der Möglichkeit des Zugriffes.
Legt man diesen Maßstab zu Grunde, was auch sinnhaft erscheint, dann ist dies entsprechend der DSK schon relativ klar. Denn schließlich beinhaltet die Bereitstellung in dem Kontext sicherlich irgendwo auch die Wartung. Leuchtet ein. Scheint ja auch keine andere Meinung im Forum zu geben.
