ich stehe vor einer Frage bezüglich des Datenschutzes und hoffe, dass mir hier jemand weiterhelfen kann. Angenommen, eine Werbeagentur erstellt Webseiten für ihre Kunden und nutzt dafür verschiedene Kollaborationstools, die nicht unmittelbar die Webseite selbst betreffen, z. B. Projektmanagement- oder Kommunikationstools, über die auch mit personenbezogenen Daten gearbeitet wird.
Meine Frage ist: Ab wann liegt in einem solchen Szenario eine Verarbeitung personenbezogener Daten vor? Sind bereits die reinen Kommunikations- und Projektmanagementaktivitäten als solche anzusehen, oder ist dies erst der Fall, wenn konkret personenbezogene Daten im Zusammenhang mit den erstellten Webseiten verarbeitet werden?
Des Weiteren interessiert mich, ob es dann notwendig ist, diese Subunternehmer in den Auftragsverarbeitungsvertrag (AVV) aufzunehmen. Müssen alle Subunternehmer, die von der Werbeagentur für die Erstellung der Webseiten oder für die Nutzung der genannten Kollaborationstools eingesetzt werden, im AVV erfasst werden, auch wenn ihre Tätigkeiten nicht direkt die Verarbeitung personenbezogener Daten betreffen?
Es ist klar, dass etwa Hosting Provider oder extern geladene Schriften, deren Dienste z.B. ebenfalls die IP-Adresse speichern, als Subunternehmer vom Kunden genehmigt werden müssen, aber wie sieht es dann bei Diensten wie MS Teams oder Task-Management aus?
Über eure Einschätzungen und Erfahrungen zu diesem Thema würde ich mich sehr freuen.
Nehmen wir an, die Werbeagentur aus dem Beispiel benutzt ein Kommunikationstool X. Solange X auf den Rechnern der Werbeagentur installiert ist, gibt es keine Data Prozessoren. Die Agentur ist Data Controller.
Wenn aber X eine “Cloud-Lösung” ist und eben auf dem Server eines anderen Unternehmens installiert ist, dann ist dieses Unternehmen ein Data Prozessor.
So die vereinfachte Antwort, weil es auch um Details gehen kann ob es sich um Private Cloud oder Public Cloud handelt und wer den Zugang zum Server hat auf dem X installiert ist.
Danke das hilft schon weiter. Da die gängigen Tools heutzutage zum großen Teil Cloud Lösungen sind und als Web App genutzt werden, bin ich eher von diesem Fall ausgegangen.
Ja, deshalb sind so gut wie immer Klimmzüge nötig. Und wenn’s nur um Nutzungsdaten geht. (Benutzerkonten, wer wann was macht…) Sind Beschäftigtendaten; sind zu schützen.
D., der in solchen Fällen Dienstleister erwartet, die wissen, wass (alle) ihre Kunden brauchen, und einen passenden Auftragsverarbeitungsvertrag automatisch zu den AGB nehmen. (Und die hoffentlich nichts für eigene Zwecke abschöpfen. Hallo, Google, hallo, Microsoft, hallo, Meta, hallo, Adobe…)
Es ist aber auch nur dann ein relevanter Sub-Dienstleister, wenn der auch die Daten des Kunden verarbeitet. Wenn man intern Teams verwendet und damit nur die „eigenen“ (der Mitarbeiter) Daten verarbeitet, dann ist das natürlich nicht relevant.
Wie @bdsb schon richtig erläutert, muss man immer darauf achten, welche Kundendaten ggf. auch durch einen Sub-Dienstleister verarbeitet werden. Aus diesem Grund achte ich eigentlich auch immer darauf, dass in den AVV bzgl. der Regelungen zu Unterauftragsverhältnissen eine Klausel im nachstehenden Sinne aufgenommen wird:
Unterauftragsverhältnisse im Sinne dieser Klausel betreffen die Erbringung der Hauptleistung aus dem Hauptvertrag durch einen weiteren Auftragsverarbeiter für den Auftragnehmer zu Gunsten des Auftraggebers. Dazu gehören nicht Nebenleistungen, die der Auftragnehmer zur Erfüllung seiner vertraglichen Pflichten in Anspruch nimmt, wie Telekommunikations- und Postdienstleistungen, ein externes Sekretariat oder die Wartung der Anlagen, sofern hierbei durch den Dienstleister ein Zugriff auf bzw. die Kenntnisnahme von personenbezogenen Daten der Auftraggeber ausgeschlossen werden kann.
Dies hilft in meinen Augen ein wenig bei der Abgrenzung, ob ein für die Relation Verantwortlicher (Kunde) und Auftragsverarbeiter (Dienstleister) relevantes Unterauftragsverhältnis vorliegt oder nicht.
Ich habe in meinem Verarbeitungsverzeichnis eine zusätzliche Betroffenengruppe “Daten von Auftraggebern im Rahmen von AV” angelegt und wähle die immer dann aus, wenn bei einer Verarbeitung auch die Daten von Kunden relevant sind. So kann ich die Liste der Sub-Dienstleister dann jeweils automatisch und aktuell generieren, wenn sie benötigt wird. Und das geht ganz ohne KI.
