wir betrachten folgendes Szenario: ein IT-Service Provider stellt seinen Kunden eine bei ihm gehostete Webanwendung zur Verfügung. Dort geben sowohl die Kunden Vorgangs-Daten ein als auch deren Zulieferer, die von ihnen zu dieser Anwendung eingeladen wurden. Diese Daten beinhalten u.a. auch personenbezogene Daten der Beteiligten (Name, Mail, Tel.).
Der Service Provider hat eine AVV mit den Kunden und eine allgemeine Datenschutzerklärung für die Zulieferer erstellt.
Der Service Provider benötigt unter folgenden Umständen Zugriff auf diese Daten:
Wenn der Kunde einen Supportfall meldet. Hier übernimmt der SP mittels Administration die Kunden-Kennung, um den Supportfall nachzuvollziehen und evtl. Korrektur-Maßnahmen durchführen zu können.
Für die Weiterentwicklung der Anwendung, Hier wird mittels DB-Kopien in die Entwicklungsumgebungen die Entwicklungs- und Qualitätssicherungs-Prozesse abgehandelt.
Kann ein AV-Vertrag zwischen SP und Kunde diese Zwecke so allgemein freigeben, oder muss für jeden einzelnen Fall die Freigabe auf die Kundendaten gewährt werden?
Ist es zulässig, dass der SP im Namen des Kunden die Zulieferer via Datenschutzerklärung aufklärt?
Wie detailliert muss der Zweck der Datenverarbeitung formuliert werden? Genügt eine allgemeine Beschreibung, wie ‚ein Zugriff auf die gespeicherten Daten ist für Support-, Entwicklungs- und Qualitätssicherungszwecke notwendig‘.
Kann ein AV-Vertrag zwischen SP und Kunde diese Zwecke so allgemein freigeben, oder muss für jeden einzelnen Fall die Freigabe auf die Kundendaten gewährt werden?
Etwas genauer kann man es vllt formulieren, aber für jeden Fall einzeln sehe ich als übertrieben an, dann kommt noch eine neue Konstellation und man muss den ganzen AV neu machen. Es sollte so genau wie möglich sein ohne extrem detaliert zu sein. Auf den zweck bezogen und der ist ja Support-anfragen zu beantworten.
Wie detailliert muss der Zweck der Datenverarbeitung formuliert werden?
Er muss so formuliert werden, dass objektiv nachvollzogen werden kann für was die Daten benötigt werden und warum alle diese Daten nötig sind. Also man muss nicht zu tief gehen aber eben so das es verständlich ist. JA das ist ein schmaler Grad aber es geht.
Genügt eine allgemeine Beschreibung, wie ‚ein Zugriff auf die gespeicherten Daten ist für Support-, Entwicklungs- und Qualitätssicherungszwecke notwendig‘.
Ich würde es noch etwas genauer schreiben, da die Formulierung mir etwas zu allgemein wäre. Was für Support ist gemeint, Welche QA und DEV (Frontend, Backend, Konzeptanalysen, AB-Tests etc.)
Der Kunde meldet einen Supportfall! Kann er dann nicht gleich informiert werden und zustimmen, dass zur Lösung der Support (nur in diesem Fall, oder?) die Kunden-Kennung übernimmt und sich später auch mit einer Lösung (und einem Änderungsprotokoll) abmeldet.
[Mich zwickt es immer, wenn ein Dritter eine Kennung / Zugang übernimmt]