Wenn Ihr Unternehmen eine B2B Software-as-a-Serviceplattform („Plattform“) anbietet, dann ist die Wahrscheinlichkeit hoch, dass ihren Kunden die Möglichkeit gegeben wird, Drittanbieter Services zu integrieren. Dies geschieht häufig über eine technische Schnittstelle („API).
Unserer Erfahrung nach führt die Integration von Drittanbieters Services auf Plattformen oft zu verwirrenden Diskussionen rund um den Datenschutz. Es stellt sich die Frage welche Verträge aus datenschutzrechtlicher Sicht abgeschlossen werden müssen und welche Verantwortlichkeiten bestehen. In den meisten Fällen ist die Bewertung aber rechtlich nicht sonderlich komplex.
Verantwortlicher oder Auftragsverarbeiter?
Bevor wir in die Einzelheiten einsteigen müssen einige Grundbegriffe der DSGVO erklärt werden. Es muss nämlich zunächst festgestellt werden, wer im Rahmen der Nutzung der Plattform Verantwortlicher und wer Auftragsverarbeiter ist.
Verantwortlicher ist nach der DSGVO derjenige der über die Zwecke und Mittel der Verarbeitung entscheidet. Im Falle einer Plattform ist dies in der Regel der Nutzer/Kunde der Plattform. Dieser entscheidet welche Daten er auf der Plattform verarbeitet und (teilweise) wie er die Plattform nutzt.
Ihr Unternehmen als Anbieter der Plattform ist hingegen Auftragsverarbeiter. Sie verarbeiten die Daten ihrer Kunden nur auf deren Weisung hin (dies ist auch entsprechend im Auftragsverarbeitungsvertrag mit ihren Kunden geregelt).
In der praktischen Anwendung dieser Kriterien ist die Bestimmung allerdings nicht immer ganz leicht. Denn wenn Ihre Plattform beispielsweise relativ wenig Gestaltungsmöglichkeiten für ihre Kunden bietet und nur vorgegebene „work flows“ bestehen, liegen sie faktisch wesentlich fest, wie die Daten verarbeitet werden. Daher wird es oftmals für die Rollenbestimmung weniger darauf ankommen wer das „wie“ der Datenverarbeitung regelt, sondern wer die Kontrolle über das "ob“ der Datenverarbeitung hat.
Noch schwieriger wird es eine klare Einordnung vorzunehmen, wenn auf der Plattform verschiedene Verarbeitungstätigkeiten für verschiedene Zwecke durchgeführt werden. In vielen Fällen werden hier – je nach Verarbeitungstätigkeit – wechselnde Rollen eingenommen. Ein Plattformbetreiber kann dann bei einer Verarbeitungstätigkeit Verantwortlicher sein und bei einer anderen Auftragsverarbeiter.
Um nicht den Überblick zu verlieren, hilft es sich die Konstellationen anhand der jeweiligen Geschäftsprozesse zu veranschaulichen. Wenn ein Kunde einen Geschäftsprozess auf Ihrer Plattform „outsourced“ also weiterhin die Steuerung über den Prozess behält, wird Ihr Unternehmen höchstwahrscheinlich als Auftragsverarbeiter einzuordnen sein. Diese Daten wiederum stehen in der Regel im Mittelpunkt, wenn es um Integrationen geht.
Der Regelfall
In dem am häufigsten vorkommenden Szenario wird der Plattform Anbieter als Auftragsverarbeiter für seine Kunden agieren. In dieser Rolle werden Sie ihren Kunden dann auf der Plattform Drittanbieter Integrationen ermöglichen. Als Beispiel könnte hier eine Plattform genannt werden, die eine digitale Finanzbuchhaltung auf einer SaaS-Plattform ermöglicht und über eine API die Möglichkeit bietet, Bankumsätze direkt von Ihrer Hausbank abzurufen.
Letztendlich ist die datenschutzrechtliche Einordnung hier einfach – die verschiedenen Anbieter (nämlich Ihre Plattform und der Drittanbieter) sind jeweils zwei getrennte Auftragsverarbeiter für den gleichen Verantwortlichen (den Nutzer der Plattform). Demnach muss ihr Kunde mit Ihnen und mit seiner Bank jeweils Leistungsverträge und Auftragsverarbeitungsverträge abschließen.
Müssen weitere Verträge abgeschlossen werden?
Aus datenschutzrechtlicher Sicht bedarf es keiner zusätzlichen Verträge. Es kann allerdings Sinn ergeben, dass die jeweiligen Auftragsverarbeitungsverträge einen Passus enthalten, indem das Senden/Empfangen von (personenbezogenen) Daten über die technische Schnittstelle (API) beschrieben wird.
Dies kann übrigens auch in AGB geregelt werden, auf die dann die jeweiligen Auftragsverarbeitungsverträge verweisen können.
Aus wirtschaftlichen und IT-Sicherheitsbedingten Gründen kann es jedoch sinnvoll sein, die Datenübermittlung zwischen den Beteiligten näher zu regeln. Wem gehört das geistige Eigentum an welchen Bestandteilen des technischen Verbundes und wer garantiert jeweils die IT-Sicherheit für welche Bestandteile?
Der integrierte Service ist lediglich ein anderer Auftragsverarbeiter für denselben Verantwortlichen mit unabhängigen Verträgen, die Anweisungen zur Weitergabe von Daten enthalten.
Der Ausnahmefall
Aus unserer Erfahrung gibt es vor allem einen Fall, bei dem es datenschutzrechtlich zu Abweichungen kommt, und zwar in denjenigen Fällen, in denen die technische Einbindung nicht durch direkt zwischen zwei, jeweils über einen AV-Vetrag mit einem Verantwortlichen, Dienstleistern erfolgt , sondern über einen weiteren Dienstleister, der den Datenaustausch ermöglicht (ein Beispiel hierfür ist z.B. Zapier, ein Programm, dass Integration ermöglicht "Integrationsdienst").
In diesem Fall hat der Plattform-Kunde als Verantwortlicher keine direkte vertragliche Beziehung zu dem Integrationsdienst. Insofern kann er auch keine direkten Weisungen im Sinne einer Auftragsverarbeitungsvertrages erteilen. Die einzig in Betracht kommende Lösung ist daher, dass der Integrationsdienst als Unterauftragsverarbeiter in einen AV-Vertrag des Auftragsverarbeiters aufgenommen wird, mit dem der Integrationsdienst einen Leistungs- und AV-Vertrag abgeschlossen hat und der den Datentransfer initiert. In der Praxis könnte dies jeweils für beide Auftragsverarbeiter gelten.
Wenn Sie Fragen rund um Datenschutz und Drittanbieter/API-Integrationen haben, dann kontaktieren Sie uns gerne.