Die für den Betrieb der Software erforderliche Server-Infrastruktur („Hosting“) wird in der Praxis sehr häufig durch amerikanische Konzerne bereitgestellt, die als Unterauftragnehmer des Plattform-Providers fungieren. Die international führenden Unternehmen kommen dabei allesamt aus den USA (z.B. Amazon Web Services, Google Cloud Platform, Microsoft Azure) und bieten ihre Leistungen meist über Niederlassungen in Europa an. Mir sind bislang jedenfalls keine europäischen Hosting-Provider bekannt, die preislich oder technisch mit den großen amerikanischen Hosting-Providern mithalten könnten.

Europäische Unternehmen, die die besagten US-Hosting-Provider nutzen, sehen sich häufig gegenüber Kunden und Behörden mit der Frage konfrontiert, ob ihre Services datenschutzkonform nutzbar sind. 

Denn mitunter wird davon ausgegangen, dass eine solche Nutzung immer mit einem Drittlandtransfer von personenbezogenen Daten (in die USA) einhergeht. Zur Erinnerung, eine Übermittlung von personenbezogenen Daten ist nach dem sog. Schrems II Urteil des Europäischen Gerichtshofes („EuGH“) nur unter strengen Voraussetzungen möglich, die etwaige Zugriffsrechte durch amerikanische Geheimdienste berücksichtigen, die durch den EuGH als nicht mit dem europäischen Datenschutzrecht vereinbar angesehen werden.

Bereits in der Übermittlung von Daten an die europäische Entität (z.B. „Amazon Web Services EMEA SARL, Avenue John F. Kennedy 38, 1855 Luxembourg“) eines amerikanischen Mutterunternehmens (z.B. „Amazon.com, Inc., 410 Terry Ave N, Seattle 98109, WA, USA“), sahen einige Behörden eine Datenübermittlung in die USA als gegeben an. 

Denn die amerikanische Muttergesellschaft, die die europäische Entität beherrscht, könne (bzw. müsse) nach anwendbaren US-Gesetzen die europäische Entität zur Herausgabe von Daten verpflichten. Allein ein solcher potenzieller Zugriff wurde bereits als Übermittlung in die USA bewertet.

Dies wiederum würde bedeuten, dass die strengen Vorgaben für Drittlandtransfers nach der DSGVO greifen würden. Hierfür wäre nach dem Urteil des EuGH (Schrems II) und den Umsetzungsleitlinien des europäischen Datenschutzausschusses neben dem Abschluss von Standardvertragsklauseln ein sog. Transfer Impact Assessment durchzuführen (oftmals mit dem Ergebnis, dass eine Übermittlung datenschutzrechtlich unzulässig gewesen wäre). 

Im Ergebnis bedeutete dies häufig, dass ein vermeintlicher Datentransfer in die USA nur schwer datenschutzkonform durchgeführt werden konnte. Die unsichere Rechtslage riefs teils erhebliche Unsicherheit bei potenziellen Kunden hervor, die zum Teil davon ausgingen, dass ein Datentransfer an ein großes US-Techunternehmen datenschutzrechtlich immer unzulässig sei. 

Das Ergebnis dieser strengen Auslegung mündete häufig in dem faktischen Zwang, auf einen europäischen Hosting-Anbieter zurückzugreifen, um datenschutzkonform zu handeln. Als Konsequenz hatte dies jedoch für EU-Unternehmen einen Wettbewerbsnachteil gegenüber der internationalen Konkurrenz zur Folge. Denn auf der Basis dieser Datenschutzanforderungen müssten europäische Unternehmen weniger performantere EU-Hosting-Anbieter zu höheren Preisen in Anspruch nehmen und hätten dies letztlich auch an die eigenen Kunden weiterzugeben. Dies würde sich dann nachteilig auf die Preis- und Produktqualität auswirken, wodurch EU-Anbieter im internationalen Wettbewerb zurückfallen würden.

Bisherige Ansicht: Theoretische Zugriffsmöglichkeit = Datentransfer

Europäische Unternehmen können nun allerdings aufatmen. **Soweit Daten an ein EU-Tochterunternehmen (sei es „Google Irland“, „Amazon Luxembourg“, oder „Microsoft Irland“) übermittelt werden, liegt allein dadurch noch kein Drittlandtransfer in die USA vor.** Die Quintessenz der Rechtsauffassung ist dabei, dass ein rein hypothetischer Zugriff dem Wortlaut nach keine „Übermittlung durch Offenlegung“, im Sinne des Art. 44 ff. DSGVO, darstellt.

Diese Auffassung hat nun jedenfalls die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK-Datenschutzkonferenz) in Ihrem Beschluss vom 31.01.2023 (abrufbar [hier](https://www.datenschutzkonferenz-online.de/media/dskb/20230206_DSK_Beschluss_Extraterritoriale_Zugriffe.pdf)) und auch die Vergabekammer des Bundeskartellamtes vertreten (abrufbar [hier](https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Vergaberecht/2023/VK2-114-22.pdf?__blob=publicationFile&v=2)). [Aber Achtung: Sowohl Vergabekammer als auch Datenschutzkonferenz sind keine Gerichte, sodass ihre Entscheidungen keine Rechtskraft entfalten.]

Sowohl die DSK als auch das Bundeskartellamt vertreten nunmehr die Ansicht, dass allein die Beherrschung durch ein amerikanisches Mutterunternehmen nicht zu einem Drittlandtransfer nach den Art. 44 ff. DSGVO führt. Dies bedeutet, dass auch kein Transfer Impact Assessment durchzuführen ist und der Datentransfer regelmäßig als rein innereuropäisch und damit „sicher“ einzustufen ist.

Europäische Unternehmen die entsprechende Unterauftragnehmer nutzen, können nun getrost auf die Entscheidung der Datenschutzkonferenz und der Vergabekammer des Bundeskartellamtes verweisen.

Aktuelle Ansicht: Hypothetischer Zugriff = Kein Drittlandtransfer

Der Vollständigkeit halber sei noch erwähnt, dass nach Ansicht der DSK allerdings die Möglichkeit des Zugriffs durch öffentliche Stellen im Rahmen der allgemeinen Zuverlässigkeitsprüfung nach Art. 28 Abs. 1 DSGVO zu berücksichtigen ist. 

In diesem Rahmen ist die abstrakte Gefahr von möglichen Zugriffen zu bewerten und hierbei (unter anderem) auch die extraterritoriale Anwendbarkeit des Drittland-Rechts, das Risiko von Anweisungen von Drittland-Muttergesellschaften sowie geeignete technische und organisatorische Maßnahmen zur Verhinderung von Zugriffen heranzuziehen. Solange die EU-Kommission noch keinen Angemessenheitsbeschluss erlassen hat, müssen Unternehmen an die Sorgfalt der Zuverlässigkeitsprüfung besonders hohe Anforderungen stellen.

Durch die aktuelle Stellungnahme (Opinion 5/2023) des Europäischen Datenschutzausschusses (EDSA) ist ein Angemessenheitsbeschluss der Europäischen Kommission zum EU-US-Datenschutzrahmen (EU-U.S. Data Privacy Framework) allerdings wieder in greifbare Nähe gerückt worden. Der EDSA hatte sich grundsätzlich positiv zum Entwurf des Angemessenheitsbeschlusses der EU-Kommission geäußert, äußerte gleichzeitig aber auch Bedenken und bittet um Klarstellung zu mehreren Punkten. Soweit der Angemessenheitsbeschluss erlassen wird, dürfen Unternehmen personenbezogene Daten ohne besondere Einschränkungen in die USA übermitteln, da das Datenschutzniveau der USA damit dem der EU entspricht. 

Zu beachten ist weiterhin, dass bei einer Weitergabe von Daten an EU-Tochterunternehmen ein Drittlandtransfer auch dadurch eintreten kann, dass dieses wiederum Unterauftragnehmer aus Drittländern einschaltet (z.T. kann dies aber ausgeschlossen werden in dem nur „regional services“ beschränkt auf EMEA genutzt werden). Eine genaue rechtliche Prüfung des jeweiligen Verarbeitungssituation ist daher anzuraten.

Wir empfehlen zudem zu prüfen, ob der abgeschlossene Auftragsverarbeitungsvertrag (EN: Data Processing Agreement) mit dem Hosting-Provider aktuell ist. Hierbei ist darauf zu achten, dass sich das DPA auch auf den richtigen Service bezieht.

Dies lässt sich oft schon durch eine Google-Recherche überprüfen (z.B. „Microsoft aktuelles Data Processing Agreement“) und sollte ansonsten bei dem Hosting-Dienstleister angefragt werden. Üblicherweise können Anfragen über die Datenschutz-E-Mail-Adresse erfolgen, die meist in den Datenschutzerklärungen zu finden sind.

Das Data Processing Agreement sollte eigenständig auf Wirksamkeit und Passgenauigkeit überprüft werden und – jedenfalls im Zusammenhang mit anderen Vertragsteilen – eine EU-Gesellschaft als Vertragspartner enthalten. Zum Teil stellen die Anbieter die aktuellen DPAs über ihre Admin-Konsole zum Download bereit.


Worauf zu achten ist

Datenverarbeitung durch US-Cloud-Anbieter in Europa ist datenschutzrechtlich möglich

Data processing by US cloud providers in Europe is possible under data protection law

ChatGPT ist ein sog. Chatbot. Ein Chatbot ist eine textbasierte Anwendung, die es Menschen ermöglicht über eine technische Schnittstelle (API) mit technischen Systemen zu chatten. Dies ist für Unternehmen von besonderer Relevanz und ein maßgeblicher Faktor für gesteigerte Effizienz und Qualität.

Das Besondere an ChatGPT ist, dass er auf Basis künstlicher Intelligenz funktioniert, d.h. er verwendet maschinelles Lernen, um selbständig Antworten auf Benutzerfragen zu generieren. Dies bringt ihn im Vergleich zu bspw. regelbasierten Chatbots auf ein ganz neues Level der Usability. 

Was ist ChatGPT und was erklärt den Hype darum?

Da im Rahmen der Nutzung von Chatbots personenbezogene Daten verarbeitet werden können, sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten.

Die Pflicht, dass personenbezogene Daten DSGVO-konform verarbeitet werden, trifft in erster Linie den Verantwortlichen. Verantwortlicher im Sinne der DSGVO ist derjenige, der über Zwecke und Mittel der Verarbeitung entscheidet. Konkret heißt das, dass ein Unternehmen die Entscheidungshoheit darüber hat, warum und wie ChatGPT für seine Interessen genutzt wird.

###### Zweckbindung

Vor dem Hintergrund der Zweckbindung ist es problematisch, dass ChatGPT die personenbezogenen Daten in der Regel nicht nur zu dem vom Verantwortlichen festgelegten Zweck, sondern auch für andere eigene Zwecke nutzen will, so zu Beispiel für das Anlernen der künstlichen Intelligenz.

Dies ist für den Verantwortlichen beim Abschluss eines Auftragsverarbeitungsvertrages eine derzeit nur schwer lösbare Herausforderung, da die Daten in diesem Rahmen nur für seine eigenen Zwecken weisungsgebunden verarbeitet werden dürfen. 

Sofern die Daten auch für andere Zwecke verarbeitet werden sollen, muss eine geeignete Rechtsgrundlage diese Verarbeitung legitimieren. 

###### Trennung der Daten

In diesem Zusammenhang sollte mittels technischer und organisatorischer Maßnahmen verhindert werden, dass Daten aus verschiedenen Quellen zusammengeführt werden. Dieses Risiko könnte theoretisch bestehen, wenn ein Kunde eines Verantwortlichen ChatGPT nutzt und aufgrund seiner Anfrage Informationen eines anderen Kunden erhält. 


###### Speicherbegrenzung

OpenAI gibt in seinen FAQ an, nicht in der Lage zu sein, bestimmte sog. Prompts (Texteingaben zum Abruf von Information) aus der Nutzung von ChatGPT zu löschen. Gerade wenn diese Prompts einen Personenbezug aufweisen, ist dieser Umstand nicht mit der DSGVO vereinbar. Die Löschung personenbezogener Daten ist nicht nur ein Recht der betroffenen Person, sondern auch Grundsatz der DSGVO personenbezogene Daten zu löschen, sobald der Zweck der Datenverarbeitung erreicht ist. Ist daher nicht gewährleistet, dass die von ChatGPT verarbeiteten Daten keinen Personenbezug mehr haben, ist die Nutzung mit Vorsicht zu genießen.

###### Datenschutzfolgenabschätzung

Da es sich bei KI-basierten Chatbots wie ChatGPT allgemein um eine neuartige Technologie handelt, wird deren Verwendung in der Regel die Durchführung einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO erforderlich machen.

Die Aufsichtsbehörden des Bundes und der Länder haben darüber hinaus bereits in einer sog. Positivliste bestimmte Anwendungsgebiete festgelegt, für die eine Datenschutzfolgenabschätzung zwingend notwendig ist. Dies betrifft beispielsweise die Nutzung von KI im Rahmen des Kundensupports. 

Wie eine Datenschutzfolgenabschätzung durchzuführen ist, ist nicht in der DSGVO nicht geregelt. Es gibt allerdings Leitlinien und Online-Tools deutscher sowie europäischer Datenschutzgremien, die der Verantwortliche zu Hilfe nehmen kann. 


###### Für Auftragsverarbeiter

Verwenden Unternehmen als Auftragsverarbeiter ChatGPT und verarbeiten damit personenbezogene Daten für ihre Kunden, sind die oben genannten Problemfelder gleichermaßen relevant. Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen weisungsgebunden und letztlich als sein verlängerter Arm verpflichtet, ihn bei der Einhaltung der DSGVO zu unterstützen.

Datenschutzrechtliche Problemfelder bei der Nutzung von ChatGPT

Die geplante KI-Verordnung wird das Inverkehrbringen und den Einsatz künstlicher Intelligenz innerhalb Europas einheitlich regulieren. Neben den Chancen, die der Einsatz von künstlicher Intelligenz bietet, sollen in dem neuen EU-Gesetz die damit einhergehenden Risiken adressiert werden. Es ist daher zu erwarten, dass mit Inkrafttreten der KI-Verordnung Anbieter und Nutzer von KI-Systemen wie ChatGPT u.a. hinsichtlich der oben genannten Aspekte konkreter in die Pflicht genommen werden.

Wenn Sie Fragen rund um Datenschutz und der Einbindung von ChatGPT oder vergleichbare Anwendungen haben, dann kontaktieren Sie uns gerne.

(Dieser Beitrag wurde nicht mithilfe von ChatGPT geschrieben. 😉)


Auswirkungen der kommenden KI-Verordnung auf die Nutzung von ChatGPT

DSGVO und ChatGPT

GDPR and ChatGPT

Bei der Inanspruchnahme der meisten SaaS-Lösungen werden personenbezogene Daten von Mitarbeitern und/oder Endkunden („Daten“) verarbeitet. Diese dürfen in den meisten Fällen (die Ausnahmen werden in Teil 3 der Serie besprochen) nur nach Weisung des Verantwortlichen und im Rahmen eines Auftragsverarbeitungsvertrages („AV-Vertrag“) verarbeiten werden.

Vereinfacht dargestellt, wird es für Kunden von SaaS-Lösungen darum gehen sicherzustellen, dass ein AV-Vertrag vorliegt, der den gesetzlichen Anforderungen entspricht, und dass "angemessene" Sicherheitsmaßnahmen vorliegen, die sicherstellen, dass Daten ausreichend geschützt sind. Viele Unternehmen werden sich hier richtigerweise ein eigenes Bild machen wollen. Denn, die Pauschal-Aussage, dass die DSGVO eingehalten wird und wohlmöglich ein schickes Fantasieabzeichen auf der Landing Page, mögen für das Marketing ganz nett sein, aber im Grunde genommen bedeutet das für die meisten potenziellen Kunden absolut gar nichts. Es hat keinerlei Bedeutung. Das zeigt sich insbesondere, wenn an größere Organisationen verkauft wird. Es gibt Zertifizierungen, die mehr Gewicht haben (z.B. ISO 27001), weil dafür unabhängige Akkreditierungsstellen bürgen. Offizielle Zertifizierungen im Bereich Datenschutz sind aber derzeit noch meist in der Entwicklung. Unterm Strich wird deine Organisation sie wahrscheinlich (jetzt) nicht haben und eure Unterauftragsverarbeiter auch nicht. 

Je eher man begreift, dass Interessenten in vielen Fällen umfassendere Antworten erwarten und sich nicht auf pauschale Aussagen verlassen, und je eher aussagekräftige Unterlagen zur Verfügung gestellt werden können, desto schneller kann das Geschäft abgeschlossen werden.


Verstehen warum Interessenten Fragen stellen und „DSGVO-Konform“-Labels vergessen

AV-Verträge sind rein rechtlich gesehen recht „dumme“ Verträge (dies gilt nicht für die wichtige inhaltliche Beschreibung von durchgeführten Verarbeitungen), da der gesetzlich geforderte Inhalt bereits in Art. 28 DSGVO („Art. 28“) festgelegt ist. Daher ist jede Minute, die mit der Aushandlung von rechtlichen Regelungen in AV-Verträgen verbracht wird, unserer Meinung nach verschwendete Zeit. 

In der Praxis ist die Nutzung von EU-Standardvertragsklauseln („EU SCC“) eine sehr effektive Lösung. EU SCC sind eine Vertragsvorlage, die von der Europäischen Kommission genehmigt wurde. Es ist untersagt, den Kerntext zu ändern (bei den Anhängen gibt es etwas Spielraum). Aus diesem Grund sollte kein Interessent etwas an dem Vertrag auszusetzen haben.

Wichtig: EU-SCCs sind nicht zu verwechseln mit SCCs für Überweisungen in Drittländer. Es handelt sich um zwei verschiedene Dinge.

Eine Vorlage kann hier heruntergeladen werden:

[https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_de](https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_de)


AV-Vertrag vereinfachen 

Wer keine EU SCCs verwenden möchte oder wenn ein Interessent auf die Verwendung seines eigenen AV-Vertrags besteht, sollten dem Sales-Team nützliche Informationen an die Hand gegeben werden, um Unabhängigkeit und Geschwindigkeit zu fördern. 

Der Ausgangspunkt eines FAQ sollte eine Liste der gesetzlichen Anforderungen von Artikel 28 enthalten. Unserer Meinung nach sollte man der Einfachheit und Schnelligkeit halber alles aus einem AV-Vertrag streichen, was nicht gesetzlich vorgeschrieben ist. Dies gilt insbesondere für Bestimmungen über Haftung und Schadensersatz oder Gerichtsstand (beides sollte eher in den Leistungsverträgen geregelt werden).

Es sollte außerdem darauf Acht gegeben werden, Informationen dort bereitzustellen, wo sie wirklich wichtig sind. Nach unserer Erfahrung gibt es zwei Bereiche, die häufig (und am heftigsten) Gegenstand von Diskussionen und Verhandlungen sind.

###### Hinzuziehen oder Ersetzen von Unterauftragsverarbeitern

Art. 28 sieht zwei Möglichkeiten für die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern vor: eine vorherige gesonderte oder allgemeine schriftliche Zustimmung. Für letztere ist eine vorherige Benachrichtigung und das Einräumen eines Rechts auf Widerspruch Bedingung. Es ist wichtig zu verstehen, dass beide Optionen spätere Kunden in die Lage versetzen, der Hinzuziehung oder dem Austausch von Unterauftragnehmern zu widersprechen, während die Option, eine vorherige Zustimmung zu verlangen, den Geschäftsbetrieb erheblich beeinträchtigen kann. Im Grunde müsste eure Gesellschaft von jedem Kunden eine vorherige Zustimmung einholen, bevor irgendwelche Infrastrukturänderungen vorgenommen werden könnten. Wenn nur ein Kunde sich nicht rührt, kann das den gesamten Prozess blockieren. Selbst wenn ein Interessent sagt, es sei sein Standardverfahren, eine vorherige Zustimmung zu verlangen, sollte hier hart verhandelt werden. Wenn die Problematik wie oben beschrieben verläuft, lenkt die Gegenseite zu einem sehr hohen Prozentsatz ein. 

###### Prüfungsrechte

Art. 28 verlangt vom Auftragsverarbeiter, dass er alle Informationen zur Verfügung stellt, die für den Nachweis der Einhaltung von [Art. 28] erforderlich sind und dass er Audits, einschließlich Inspektionen, zulässt und dazu beiträgt. Da dies Potential hat viel Zeit und Ressourcen in Anspruch zu nehmen, wird häufig versucht, diese Pflichten zu begrenzen oder auszuschließen. Klar, wenn eine beträchtliche Anzahl von Kunden anfängt, Inspektionen vor Ort durchführen zu wollen, kann das erhebliche Auswirkungen auf den Betrieb haben. Allerdings sind Auftragsverarbeiter gesetzlich verpflichtet, zu diesen Prüfungen beizutragen und sie zuzulassen und es ist sehr fragwürdig, ob Einschränkungen oder Ausschlüsse vor Gericht Bestand haben. Was allerdings unseren Erfahrungen nach so gut wie sicher ist: Solche Klauseln treffen auf Widerstand und erzeugen Verhandlungen. 

Im Ergebnis kann man entweder weitere Verhandlungen führen und damit den Verkaufszyklus in die Länge ziehen (was auch Ressourcen bindet) oder man kann in den sauren Apfel beißen und Fragebögen beantworten oder an Vor-Ort-Prüfungen teilnehmen. Ich würde ich mich immer für Letzteres entscheiden. Vor-Ort-Audits für Cloud-lastig arbeitende Unternehmen sind unserer Erfahrung nach recht selten (was gibt es da wirklich zu sehen?) und die Ressourcen für Fragebögen können durch eine bessere Dokumentation geschont werden.
Die nächsten Teile dieser Serie werden sich mit internationalen Datenübertragungen, der Unterscheidung zwischen einem Auftragsverarbeiter und einem für die Verarbeitung Verantwortlichen und der Sicherheitsdokumentation, den so genannten "technischen und organisatorischen Maßnahmen" oder "TOM", befassen. Diesbezüglich sollten relevante Informationen zu diesen Themen in das Sales-FAQ aufgenommen werden.

Teil 2 folgt.


Aussagekräftiges Sales-FAQ erstellen

Förderung der Selbstständigkeit des Sales-Teams bei DSGVO-Fragen

Empowering Sales to deal with GDPR Questions

Bevor wir in die Einzelheiten einsteigen müssen einige Grundbegriffe der DSGVO erklärt werden. Es muss nämlich zunächst festgestellt werden, wer im Rahmen der Nutzung der Plattform Verantwortlicher und wer Auftragsverarbeiter ist.

Verantwortlicher ist nach der DSGVO derjenige der über die Zwecke und Mittel der Verarbeitung entscheidet. Im Falle einer Plattform ist dies in der Regel der Nutzer/Kunde der Plattform. Dieser entscheidet welche Daten er auf der Plattform verarbeitet und (teilweise) wie er die Plattform nutzt.

Ihr Unternehmen als Anbieter der Plattform ist hingegen Auftragsverarbeiter. Sie verarbeiten die Daten ihrer Kunden nur auf deren Weisung hin (dies ist auch entsprechend im Auftragsverarbeitungsvertrag mit ihren Kunden geregelt). 

In der praktischen Anwendung dieser Kriterien ist die Bestimmung allerdings nicht immer ganz leicht. Denn wenn Ihre Plattform beispielsweise relativ wenig Gestaltungsmöglichkeiten für ihre Kunden bietet und nur vorgegebene „work flows“ bestehen, liegen sie faktisch wesentlich fest, wie die Daten verarbeitet werden. Daher wird es oftmals für die Rollenbestimmung weniger darauf ankommen wer das „wie“ der Datenverarbeitung regelt, sondern wer die Kontrolle über das "ob“ der Datenverarbeitung hat. 

Noch schwieriger wird es eine klare Einordnung vorzunehmen, wenn auf der Plattform verschiedene Verarbeitungstätigkeiten für verschiedene Zwecke durchgeführt werden. In vielen Fällen werden hier – je nach Verarbeitungstätigkeit – wechselnde Rollen eingenommen. Ein Plattformbetreiber kann dann bei einer Verarbeitungstätigkeit Verantwortlicher sein und bei einer anderen Auftragsverarbeiter. 

Um nicht den Überblick zu verlieren, hilft es sich die Konstellationen anhand der jeweiligen Geschäftsprozesse zu veranschaulichen. Wenn ein Kunde einen Geschäftsprozess auf Ihrer Plattform „outsourced“ also weiterhin die Steuerung über den Prozess behält, wird Ihr Unternehmen höchstwahrscheinlich als Auftragsverarbeiter einzuordnen sein. Diese Daten wiederum stehen in der Regel im Mittelpunkt, wenn es um Integrationen geht.

Verantwortlicher oder Auftragsverarbeiter?

In dem am häufigsten vorkommenden Szenario wird der Plattform Anbieter als Auftragsverarbeiter für seine Kunden agieren. In dieser Rolle werden Sie ihren Kunden dann auf der Plattform Drittanbieter Integrationen ermöglichen. Als Beispiel könnte hier eine Plattform genannt werden, die eine digitale Finanzbuchhaltung auf einer SaaS-Plattform ermöglicht und über eine API die Möglichkeit bietet, Bankumsätze direkt von Ihrer Hausbank abzurufen.

Letztendlich ist die datenschutzrechtliche Einordnung hier einfach – die verschiedenen Anbieter (nämlich Ihre Plattform und der Drittanbieter) sind jeweils zwei getrennte Auftragsverarbeiter für den gleichen Verantwortlichen (den Nutzer der Plattform). Demnach muss ihr Kunde mit Ihnen und mit seiner Bank jeweils Leistungsverträge und Auftragsverarbeitungsverträge abschließen.

Der Regelfall

Aus datenschutzrechtlicher Sicht bedarf es keiner zusätzlichen Verträge. Es kann allerdings Sinn ergeben, dass die jeweiligen Auftragsverarbeitungsverträge einen Passus enthalten, indem das Senden/Empfangen von (personenbezogenen) Daten über die technische Schnittstelle (API) beschrieben wird.

Dies kann übrigens auch in AGB geregelt werden, auf die dann die jeweiligen Auftragsverarbeitungsverträge verweisen können. 

Aus wirtschaftlichen und IT-Sicherheitsbedingten Gründen kann es jedoch sinnvoll sein, die Datenübermittlung zwischen den Beteiligten näher zu regeln. Wem gehört das geistige Eigentum an welchen Bestandteilen des technischen Verbundes und wer garantiert jeweils die IT-Sicherheit für welche Bestandteile?

![B2B SaaS Integrations & GDPR](https://a.storyblok.com/f/183108/2460x1686/a7263b7ea8/b2b-saas-integrations-de-simpliant-insights.jpg "Der integrierte Service ist lediglich ein anderer Auftragsverarbeiter für denselben Verantwortlichen mit unabhängigen Verträgen, die Anweisungen zur Weitergabe von Daten enthalten.")

Müssen weitere Verträge abgeschlossen werden?

Aus unserer Erfahrung gibt es vor allem einen Fall, bei dem es datenschutzrechtlich zu Abweichungen kommt, und zwar in denjenigen Fällen, in denen die technische Einbindung nicht durch direkt zwischen zwei, jeweils über einen AV-Vetrag mit einem Verantwortlichen, Dienstleistern erfolgt , sondern über einen weiteren Dienstleister, der den Datenaustausch ermöglicht (ein Beispiel hierfür ist z.B. Zapier, ein Programm, dass Integration ermöglicht "Integrationsdienst").

In diesem Fall hat der Plattform-Kunde als Verantwortlicher keine direkte vertragliche Beziehung zu dem Integrationsdienst. Insofern kann er auch keine direkten Weisungen im Sinne einer Auftragsverarbeitungsvertrages erteilen. Die einzig in Betracht kommende Lösung ist daher, dass der Integrationsdienst als Unterauftragsverarbeiter in einen AV-Vertrag des Auftragsverarbeiters aufgenommen wird, mit dem der Integrationsdienst einen Leistungs- und AV-Vertrag abgeschlossen hat und der den Datentransfer initiert. In der Praxis könnte dies jeweils für beide Auftragsverarbeiter gelten. 

Wenn Sie Fragen rund um Datenschutz und Drittanbieter/API-Integrationen haben, dann kontaktieren Sie uns gerne.

Insights

Datenverarbeitung durch US-Cloud-Anbieter in Europa ist datenschutzrechtlich möglich

DSGVO und ChatGPT

Förderung der Selbstständigkeit des Sales-Teams bei DSGVO-Fragen