AVV: Welche Subunternehmer sind in der AVV genehigungspflichtig?

Wir sind Softwarehersteller und bieten (SaaS-Leistungen) Softwaremiete über ein externes Rechenzentrum für unsere Kunden an.

Im AVV Vertrag mit unseren Kunden ist das exterene Rechenzentrum als genehigungspflichtiger weiterer Auftragsverarbeiter angeführt.

Was ist aber mit den anderen Subunternehmern, die gewissermaßen Nebenleistungen erbringen, wobei wir aber einen Zugriff auf personenbezogene Daten des Kunden nicht auschließen können.

Wie ZB.:

  • Buchhaltungssystem mit exterem Speicherort (Rechnungsdaten mit Personendaten)
  • Zeiterfassungssoftware mit Projektzeiterfassung (Mitarbieter des Kunden, Projektdaten, ..)
  • Microsoft O365 (In Teams werden beispielsweise Schulungstermine mit Mitarbeiterdaten gespeichert, in Outlook werden Kontaktdaten gespeichert, ...)
  • IT-Dienstleister (Externe, die uns bei der IT-Sicherheit beraten. Hier kann auch ein Zugriff auf die Daten der Kunden nicht ausgeschlossen werden)

Aktuell haben wir alle Subunternehmer aufgeführt. Ist das so von der DSGVO vorgesehen? Ich hab nichts Gegenteiliges gefunden. Es ist jedoch eine sehr lange Liste, an der sich einige Kunden stoßen.

Könnte man im AVV festlegen, welche Subunternehmer genehigungspflichtig sind. ZB.: auf diese Art:

 

Unterauftragsverhältnisse/Sub

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Softwareanbieter, in der Verwaltungsdaten gespeichert werden, Softwareanbieter in der Projektzeiterfassung gespeichert wird, Buchhaltungssysteme, … . Wartungs- und Prüfleistungen stellen nur dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme im Rechenzentrum Noris … erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

Oder widerspricht das dem Sinn der DSGVO?

Freue mich auf Antworten!

 

AO

Digitale Gästeerfassung:
Professioneller Corona-Check-In mit QR-Code

Friseursalons, Kosmetikstudios, Restaurants oder Bars uä. können Kontaktdaten professionell und DSGVO-konform erfassen.
ANZEIGE

Hallo AO,

für die Fragestellung um das Thema entsprechend einzufangen sollten wir Kontakt aufnehmen.
Wennt Du Bedarf hast, schreibe uns gerne über die E-Mail an: kontakt@rmprivacy.de an.
Wir sortieren es gerne für Dich aus. Dies auch so dass es für Dich im Rahmen bleibt.

Viele Grüße
Gerd Reunert
Cybersecurity Analyst & Datenschutzbeauftragter

Gerd_M_R

Bitte melden Sie sich an, um auf diese Frage zu antworten.