Rollenabgrenzung
Dieses Dokument erläutert die datenschutzrechtliche Rollenverteilung zwischen Sapericus und dem Auftraggeber. Es begründet, warum die Inhaltsdaten der Nutzer (Coaching-Dialoge) nicht Gegenstand des Auftragsverarbeitungsvertrags (AVV) sind, und dient der Transparenz gegenüber dem Auftraggeber und dessen Datenschutzbeauftragtem. Es ist kein Bestandteil des AVV.
1. Rechtlicher Rahmen
Die DSGVO unterscheidet in Art. 4 Nr. 7 und Nr. 8 zwischen dem Verantwortlichen (Controller), der über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, und dem Auftragsverarbeiter (Processor), der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Die Zuordnung richtet sich nicht nach der vertraglichen Bezeichnung, sondern nach den tatsächlichen Umständen der jeweiligen Verarbeitung. Das ist der zentrale Grundsatz, den der EDPB in seinen Leitlinien 07/2020 zur Abgrenzung von Controller und Processor aufstellt.
EDPB-Leitlinien 07/2020, Rn. 25: Die Rollen von Controller und Processor müssen auf Grundlage einer konkreten Analyse der tatsächlichen Umstände bestimmt werden und nicht allein auf Grundlage der formalen Bezeichnung in einem Vertrag.
Art. 28 Abs. 10 DSGVO: Verstößt ein Auftragsverarbeiter gegen diese Verordnung, indem er die Zwecke und Mittel der Verarbeitung bestimmt, so gilt er in Bezug auf diese Verarbeitung als Verantwortlicher.
Daraus folgt: Selbst wenn ein Vertrag eine Partei als Auftragsverarbeiter bezeichnet, wird sie kraft Gesetzes zum Verantwortlichen, sobald sie eigenständig über Zwecke und wesentliche Mittel entscheidet. Die vertragliche Etikettierung kann die tatsächliche Rolle nicht überschreiben.
2. Die Unterscheidung: Wesentliche Mittel und nicht-wesentliche Mittel
Ein zentrales Abgrenzungskriterium des EDPB ist die Unterscheidung zwischen wesentlichen Mitteln und nicht-wesentlichen Mitteln der Verarbeitung. Nur wer über die wesentlichen Mittel entscheidet, ist Verantwortlicher.
EDPB-Leitlinien 07/2020, Rn. 40–41: Zu den wesentlichen Mitteln zählen insbesondere: welche Daten verarbeitet werden, wie lange sie gespeichert werden, wer Zugang zu ihnen hat und wessen Daten (welche Kategorien betroffener Personen) betroffen sind. Diese Entscheidungen sind dem Verantwortlichen vorbehalten. Nicht-wesentliche Mittel betreffen dagegen eher die praktische Umsetzung – etwa die Wahl der konkreten Software, der technischen Sicherheitsmaßnahmen oder der internen Organisationsstruktur. Hier hat auch ein Auftragsverarbeiter Spielraum.
Für einen typischen Auftragsverarbeiter gilt nach dem EDPB: Er verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen und darf bei den nicht-wesentlichen Mitteln einen Umsetzungsspielraum haben, aber die grundlegenden Entscheidungen über das Warum und das Was der Verarbeitung trifft der Verantwortliche.
3. Zwei getrennte Verarbeitungsbereiche
Bei den Diensten von Sapericus liegen zwei klar voneinander getrennte Verarbeitungsbereiche vor. Der EDPB stellt ausdrücklich klar, dass die Rollenzuordnung pro Verarbeitungsvorgang erfolgt und dieselbe Stelle für unterschiedliche Verarbeitungen unterschiedliche Rollen einnehmen kann.
EDPB-Leitlinien 07/2020, Rn. 28: Die gleiche Organisation kann gleichzeitig als Verantwortlicher für bestimmte Verarbeitungstätigkeiten und als Auftragsverarbeiter für andere Verarbeitungstätigkeiten handeln. Die Bewertung muss für jeden einzelnen Verarbeitungsvorgang gesondert vorgenommen werden.
| Verarbeitungsbereich | Rolle von Sapericus | Vertragsbasis | Erfasst vom AVV? |
|---|---|---|---|
| Organisations- und Kontodaten (Nutzerverwaltung, Mandantenzuordnung, Lizenzen, Nutzungsstatistiken) | Auftragsverarbeiter | AVV (Art. 28 DSGVO) | Ja |
| Inhaltsdaten der Nutzer (Coaching-Dialoge, Text-, Sprach-, Audio-Eingaben, einschließlich ggf. Gesundheitsdaten) | Eigenständiger Verantwortlicher | Eigene Datenschutzhinweise ggü. Endnutzer | Nein |
| Eigene Betriebsprozesse (Accountverwaltung, Abrechnung, Security-Logs, Abuse-Prevention, Telemetrie) | Eigenständiger Verantwortlicher | Eigene Verantwortlichkeit | Nein |
4. Begründung: Warum Sapericus für die Inhaltsdaten eigenständiger Verantwortlicher ist
Die nachfolgende Prüfung orientiert sich an den offiziellen Kriterien der EDPB-Leitlinien 07/2020 und der DSK-Orientierungshilfe für KI-Anwendungen.
4.1 Sapericus bestimmt die wesentlichen Mittel eigenständig
Der EDPB definiert die wesentlichen Mittel als diejenigen Entscheidungen, die untrennbar mit dem Zweck und dem Umfang der Verarbeitung verbunden sind. Für die Inhaltsdaten der Nutzer liegt die Entscheidungshoheit über sämtliche wesentlichen Mittel bei Sapericus:
| Wesentliches Mittel (EDPB Rn. 40–41) | Entscheidung durch | Erläuterung |
|---|---|---|
| Welche Daten verarbeitet werden | Sapericus | Sapericus legt fest, welche Eingabearten das System entgegennimmt (Text, Sprache, Audio), welche Daten im Coaching-Dialog abgefragt werden und dass auch Gesundheitsdaten typischerweise erhoben werden. Der Auftraggeber hat darauf keinen Einfluss. |
| Wie lange die Daten gespeichert werden | Sapericus | Sapericus bestimmt die Lösch- und Aufbewahrungsfristen für alle Inhaltsdaten eigenständig. Der Auftraggeber kann diese Fristen weder konfigurieren noch per Weisung ändern. |
| Wer Zugang zu den Daten hat | Sapericus | Sapericus legt fest, dass ausschließlich der jeweilige Nutzer selbst Zugriff auf seine Inhaltsdaten hat. Der Auftraggeber hat keinen Zugriff und kann keinen einrichten. Auch die Weiterleitung an Dritte ist von Sapericus ausgeschlossen und nicht vom Auftraggeber steuerbar. |
| Wessen Daten betroffen sind | Sapericus | Sapericus bestimmt die Zulassungskriterien und die Nutzerbeziehung. Die Nutzungsbedingungen und Datenschutzhinweise von Sapericus werden direkt mit dem Endnutzer geschlossen. |
EDPB-Leitlinien 07/2020, Rn. 41: Entscheidungen über die wesentlichen Mittel sind dem Verantwortlichen vorbehalten. Wenn eine Stelle diese Entscheidungen trifft, kann sie für die betreffende Verarbeitung nicht als Auftragsverarbeiter eingestuft werden.
4.2 Keine Weisungsbindung für die Inhaltsverarbeitung
Ein Auftragsverarbeiter handelt definitionsgemäß auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Der EDPB beschreibt den typischen Processor als eine Stelle, die die Weisungen einer anderen Partei bezüglich der Verarbeitung personenbezogener Daten befolgt.
Für die Inhaltsdaten der Nutzer gilt: Sapericus erhält keine Weisungen des Auftraggebers und ist an keine solchen gebunden. Der Auftraggeber kann weder die Verarbeitungslogik, noch die Speicherung, noch den Zugriff auf Inhaltsdaten per Weisung steuern. Es fehlt damit das zentrale Merkmal der Auftragsverarbeitung.
EDPB-Leitlinien 07/2020, Rn. 30: Der Auftragsverarbeiter darf die Daten nur auf Weisung des Verantwortlichen verarbeiten und nicht für eigene Zwecke verwenden. Fehlt eine solche Weisungsbindung und handelt die Stelle autonom, kann sie nicht als Auftragsverarbeiter eingestuft werden.
4.3 Sapericus kann den Kernprozess einseitig ändern
Sapericus wählt eigenständig die KI-Modelle, Algorithmen und die Coaching-Methodik aus und entwickelt diese laufend weiter. Welche Fragen gestellt werden, welche Logik greift und wie der Coaching-Dialog aufgebaut ist, entscheidet Sapericus allein – ohne vorherige Abstimmung mit oder Zustimmung des Auftraggebers. Systemänderungen erfolgen ohne Kundenfreigabe.
Dies entspricht der Definition von Art. 4 Nr. 7 DSGVO: Verantwortlicher ist, wer über die Zwecke und Mittel der Verarbeitung entscheidet.
4.4 Direkte Rechtsbeziehung zum Endnutzer
Nur Sapericus schließt die Datenschutzvereinbarung und die Nutzungsbedingungen direkt mit dem Endnutzer ab. Die Endnutzer müssen diesen aktiv zustimmen, bevor sie den Dienst nutzen können. Der Auftraggeber tritt datenschutzrechtlich gegenüber dem Endnutzer in der Chatverarbeitung nicht in Erscheinung.
EDPB-Leitlinien 07/2020, Rn. 33: Ein Hinweis auf Verantwortlichkeit ist, wenn die Verarbeitung die Beziehung der Stelle zur betroffenen Person betrifft und die Stelle autonom entscheiden kann, wie die personenbezogenen Daten verarbeitet werden.
Auch die Bearbeitung von Betroffenenanfragen (Auskunft, Löschung, Datenportabilität) bezüglich der Inhaltsdaten erfolgt durch Sapericus direkt gegenüber dem Endnutzer. Der Auftraggeber ist daran nicht beteiligt.
4.5 Der Auftraggeber gibt nur einen abstrakten Geschäftszweck vor
Der Auftraggeber bestimmt den allgemeinen Einsatzzweck: Business-Coaching für seine Mitarbeitenden bereitstellen. Das ist ein Beschaffungszweck – der Grund, warum der Kunde den Dienst einkauft – aber keine Weisung im Sinne von Art. 28/29 DSGVO.
EDPB-Leitlinien 07/2020, Rn. 31–32: Der EDPB unterscheidet klar zwischen dem allgemeinen Anlass einer Beauftragung und den konkreten Entscheidungen über das Wie und Warum der Datenverarbeitung. Ein allgemeiner Geschäftszweck allein macht den Auftraggeber nicht zum Verantwortlichen für die konkrete Verarbeitung, wenn alle wesentlichen Entscheidungen beim Dienstleister liegen.
Die konkreten Entscheidungen – was gefragt wird, wie die Daten verarbeitet werden, wie lange sie gespeichert werden, wer Zugriff hat – liegen vollständig bei Sapericus. Der Auftraggeber kann diese nicht per Weisung ändern, ergänzen oder ersetzen.
4.6 Eigene Zwecke von Sapericus bei der Inhaltsdatenverarbeitung
Sapericus verarbeitet die Inhaltsdaten nicht allein zur Erfüllung des gegenüber dem Auftraggeber geschuldeten Coaching-Dienstes, sondern verfolgt damit zugleich eigene, über das Vertragsverhältnis hinausgehende Zwecke. Hierzu zählen insbesondere:
- Missbrauchsschutz: Erkennung und Unterbindung missbräuchlicher Nutzung des Dienstes, etwa bei Manipulationsversuchen, automatisierten Angriffen oder der Umgehung von Nutzungsgrenzen.
- IT-Sicherheit: Schutz der Systemintegrität, Erkennung von Sicherheitsvorfällen und Abwehr von Bedrohungen gegen den laufenden Betrieb.
- Qualitätssicherung: Fachliche Überprüfung und Weiterentwicklung der Coaching-Qualität im Rahmen eines eigenen, vom Auftraggeber unabhängigen Qualitätsmanagements.
Diese Zwecke werden von Sapericus eigenständig festgelegt, dienen eigenen Interessen und sind weder vom Auftraggeber vorgegeben noch durch ihn steuerbar. Sie gehen über den Vertragszweck gegenüber dem Auftraggeber hinaus und sind von diesem unabhängig.
4.7 Art. 28 Abs. 10 DSGVO schließt den Auftragsverarbeiter-Status bei eigener Zweckfestlegung zwingend aus
Die in Abschnitt 4.6 beschriebene eigene Zweckfestlegung ist nicht nur ein Indiz, sondern der gesetzlich ausdrücklich geregelte Ausschlussgrund für eine Einordnung als Auftragsverarbeiter. Art. 28 Abs. 10 DSGVO stellt klar, dass eine Stelle, die selbst über Zwecke und Mittel der Verarbeitung entscheidet, kraft Gesetzes für diese Verarbeitung als Verantwortlicher gilt. Die Norm wirkt insoweit nicht als hilfsweise greifende Auffangregelung, sondern als aktiver gesetzlicher Ausschluss: Wer – wie Sapericus bei den Inhaltsdaten – eigene Zwecke verfolgt, kann für diese Verarbeitung nicht Auftragsverarbeiter sein. Die tatsächliche Rolle kann auch durch abweichende vertragliche Bezeichnung nicht überschrieben werden.
EDPB-Leitlinien 07/2020, Rn. 75: Die bloße Bezeichnung als Auftragsverarbeiter im Vertrag hat keine Bindungswirkung, wenn die tatsächlichen Umstände eine andere Rolle nahelegen. Die Qualifikation hat auf Grundlage der konkreten Tätigkeiten und des tatsächlichen Einflusses auf Zwecke und Mittel zu erfolgen.
4.8 Keine gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO setzt voraus, dass zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Der EDPB betont, dass nicht jede Beteiligung mehrerer Stellen an einer Verarbeitung automatisch zu Joint Controllership führt.
EDPB-Leitlinien 07/2020, Rn. 51–53: Gemeinsame Verantwortlichkeit setzt voraus, dass mehrere Stellen gemeinsam oder durch sich ergänzende Entscheidungen mit spürbarem Einfluss auf Zwecke und Mittel derselben Verarbeitung bestimmen. Es reicht nicht aus, dass mehrere Stellen nur irgendwie an derselben Verarbeitung beteiligt sind.
Für die Inhaltsdaten ergibt die Prüfung: Der Auftraggeber gibt lediglich den abstrakten Beschaffungszweck vor. Die eigentliche Verarbeitung – die Zwecke und sämtliche wesentlichen Mittel – prägt ausschließlich Sapericus. Es fehlt der für Art. 26 DSGVO erforderliche gemeinsame oder konvergierende Einfluss auf Zwecke und Mittel. Daher liegt keine gemeinsame Verantwortlichkeit vor, sondern eine eigenständige Verantwortlichkeit von Sapericus.
5. Zusammenfassung: Kriteriencheckliste
Die nachfolgende Tabelle fasst die Prüfung anhand der EDPB-Kriterien zusammen:
| Kriterium (EDPB-Leitlinien 07/2020) | Sapericus | Auftraggeber |
|---|---|---|
| Wer bestimmt den konkreten Verarbeitungszweck? Sapericus erbringt einen KI-gestützten Coaching-Dienst nach eigener fachlicher Methodik. Der Auftraggeber wählt den Dienst lediglich als Produkt aus. | Sapericus | — |
| Wer bestimmt, welche Daten verarbeitet werden? Sapericus legt fest, welche Eingabearten möglich sind und welche Daten das System abfragt – einschließlich Gesundheitsdaten. Der Auftraggeber hat darauf keinen Einfluss. | Sapericus | — |
| Wer bestimmt die Speicherdauer? Sapericus legt die Lösch- und Aufbewahrungsfristen eigenständig fest. Der Auftraggeber kann diese nicht konfigurieren. | Sapericus | — |
| Wer bestimmt, wer Zugriff hat? Sapericus legt fest, dass ausschließlich der jeweilige Nutzer Zugriff auf seine Inhaltsdaten hat. Der Auftraggeber hat keinen Zugriff. | Sapericus | — |
| Wer bestimmt die Verarbeitungslogik? Sapericus wählt Modelle, Algorithmen und Coaching-Methodik eigenständig und entwickelt diese ohne Kundenzustimmung weiter. | Sapericus | — |
| Gibt es ein direktes Vertragsverhältnis mit den Betroffenen? Nur Sapericus schließt Nutzungsbedingungen und Datenschutzhinweise direkt mit dem Endnutzer. | Sapericus | — |
| Wer bearbeitet Betroffenenanfragen zu Inhaltsdaten? Auskunft, Löschung und Datenportabilität bezüglich der Inhaltsdaten werden von Sapericus direkt erfüllt. | Sapericus | — |
| Erfolgt die Verarbeitung auf Weisung des Auftraggebers? Nein. Der Auftraggeber erteilt keine Weisungen zur Inhaltsverarbeitung. Systemänderungen erfolgen ohne Kundenfreigabe. | Nein | Nein |
| Kann der Auftraggeber die wesentlichen Mittel per Weisung ändern? Nein. Löschfristen, Zugriffsregeln, Datenkategorien und Empfängerkreis sind von Sapericus festgelegt und nicht änderbar. | — | Nein |
6. Ergebnis
Für die Inhaltsdaten der Nutzer (Coaching-Dialoge, Text-, Sprach-, Audio-Eingaben, einschließlich ggf. besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten) ist Sapericus eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
Die Auftragsverarbeitungsregelungen des AVV (Art. 28 DSGVO) sind auf diese Daten nicht anwendbar. Der AVV erfasst ausschließlich die Organisations- und Kontodaten gemäß Anlage A.
Diese Einordnung basiert auf den tatsächlichen Verarbeitungsumständen: Sapericus bestimmt eigenständig sämtliche wesentlichen Mittel, hat die direkte Rechtsbeziehung zum Endnutzer, kann den Kernprozess einseitig ändern und ist an keine Weisungen des Auftraggebers bezüglich der Inhaltsdaten gebunden.
7. Was bedeutet das für den Auftraggeber?
Für den Auftraggeber hat diese Rollenverteilung folgende praktische Konsequenzen:
Keine DSGVO-Pflichten für Inhaltsdaten. Der Auftraggeber trägt für die Inhaltsdaten der Nutzer keine datenschutzrechtliche Verantwortung. Betroffenenanfragen (Auskunft, Löschung, Berichtigung, Datenportabilität) zu Inhaltsdaten werden direkt von Sapericus bearbeitet.
Kein Zugriff auf Inhaltsdaten. Der Auftraggeber hat zu keinem Zeitpunkt Zugriff auf die Inhalte der Coaching-Dialoge seiner Mitarbeitenden und kann einen solchen auch nicht einrichten. Sapericus stellt dem Auftraggeber ausschließlich aggregierte, nicht personenbezogene Nutzungsstatistiken zur Verfügung.
AVV gilt für Organisations- und Kontodaten. Der AVV regelt ausschließlich die weisungsgebundene Verarbeitung von Organisations- und Kontodaten (Namen, E-Mail-Adressen, Mandantenzuordnung, Lizenzdaten) durch Sapericus als Auftragsverarbeiter.
Keine KI-Trainingsnutzung. Die Zusage, dass personenbezogene Daten nicht zum Training von KI-Modellen verwendet werden, ist in Abschnitt 2.3 des AVV zentral geregelt.
8. Referenzierte Rechtsquellen
Die in diesem Dokument zitierten Rechtsquellen und Leitlinien im Überblick:
| Quelle | Relevanz |
|---|---|
| Verordnung (EU) 2016/679 (DSGVO) Art. 4 Nr. 7, Nr. 8; Art. 26; Art. 28; Art. 28 Abs. 10 | Gesetzliche Definition von Controller, Processor, Joint Controller; Auffangnorm bei eigener Zweckfestlegung durch Processor |
| EDPB-Leitlinien 07/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters | Maßgebliche Auslegungsleitlinien zur Rollenabgrenzung; Kriterien für wesentliche Mittel, Weisungsbindung, tatsächliche Umstände |
| DSK-Orientierungshilfe Künstliche Intelligenz und Datenschutz | Deutsche Aufsichtsbehörden zur Rollenverteilung bei KI/LLM-Systemen; Hinweise zur DSFA-Pflicht und Art. 9 DSGVO bei Gesundheitsdaten |