Wir sind ein kleines Softwareunternehmen, das eine Software (eine iOS- und Android-Anwendung) für unsere Kunden bereitstellt. Dieser Kunde wird selbst als Datenverantwortlicher behandelt und wir sind daher der Datenverarbeiter, daher benötigen wir eine DPA (AVV) (Data Processing Agreement) mit unseren Kunden. In dieser DPA muss ich angeben, welche Daten wir verarbeiten und welche anderen Datenverarbeiter wir verwenden. Unsere App verwendet ein Backend, das nicht intern gehostet wird, daher haben wir eine DPA mit unserem Hoster abgeschlossen und erwähnen ihn in unserer DPA mit unseren Kunden. Jetzt stehen wir vor dem “Problem”, dass Push-Tokens als Identifikator behandelt werden, und in unserem Fall enthalten die Push-Nachrichten selbst persönliche Informationen. Diese Daten (sogar nur der Push-Token) werden natürlich mit Apple und Google geteilt, weil unsere App sonst keine Push-Benachrichtigungen haben könnte. Muss ich Apple/Google als “Unterauftragsverarbeiter” in meiner DPA angeben? Bei Google weiß ich, dass es sehr schwierig ist, eine DPA mit ihnen zu bekommen, besonders als sehr kleines Start-Up. Wenn ich die Push-Dienste von ihnen nutze, teile ich Benutzerdaten mit ihnen und ich brauche eine DPA mit ihnen, oder? Aber warum ist diese Frage nie aufgetaucht? Was übersehe ich? Kann ich einfach in meiner DPA Google in Co erwähnen und als "Datensicherheitsvereinbarung" die allgemeien Datenschutzrichtlinien von Google etc. nutzen? Etwas anderes gibt es ja nicht!
3von30Weitere Vorschläge anzeigen