Anlage D – Rollenabgrenzung
Gültig ab: 30. März 2026
Diese Anlage erläutert, warum die vertraulichen Inhaltsdaten der Nutzer nicht Gegenstand des AVV sind. Sie dient der Transparenz und stellt keine eigenständige vertragliche Regelung dar.
1. Hintergrund
Die DSGVO unterscheidet zwischen dem Verantwortlichen (Art. 4 Nr. 7 DSGVO), der die Zwecke und wesentlichen Mittel der Verarbeitung bestimmt, und dem Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO), der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die Zuordnung richtet sich nach den tatsächlichen Umständen der Verarbeitung, nicht nach der vertraglichen Bezeichnung (vgl. EDPB-Leitlinien 07/2020).
Bei den Diensten von Sapericus fallen zwei klar voneinander getrennte Verarbeitungsbereiche an:
2. Organisations- und Kontodaten (Auftragsverarbeitung)
Für Daten wie Name, E-Mail-Adresse, Mandantenzuordnung und Nutzungsstatistiken ist der Auftraggeber Verantwortlicher. Er bestimmt, welche Personen den Dienst nutzen, und gibt die Stammdaten vor. Sapericus verarbeitet diese Daten auf seine Weisung. Dieser Bereich ist vom AVV erfasst.
3. Vertrauliche Inhaltsdaten (eigene Verantwortlichkeit von Sapericus)
Für die vertraulichen Eingaben der Nutzer innerhalb der Anwendung (Text, Sprache, Audio, Dialogverläufe) bestimmt Sapericus eigenständig die Zwecke und wesentlichen Mittel der Verarbeitung. Die nachfolgende Checkliste zeigt, warum diese Einordnung der tatsächlichen Verarbeitungssituation entspricht.
4. Checkliste: Kriterien der Verantwortlichkeit
Die EDPB-Leitlinien 07/2020 nennen folgende Kriterien zur Bestimmung der Verantwortlichkeit. Die Spalte rechts zeigt, ob Sapericus oder der Auftraggeber das jeweilige Kriterium für die Inhaltsdaten erfüllt.
| Kriterium | Sapericus | Auftraggeber |
|---|---|---|
| Wer bestimmt den Zweck der Verarbeitung? Sapericus erbringt einen KI-gestützten Coaching-Dienst nach eigener fachlicher Methodik. Der Auftraggeber wählt den Dienst aus, bestimmt aber nicht, wie die Inhaltsverarbeitung erfolgt. |
Sapericus | — |
| Wer bestimmt, welche Daten verarbeitet werden? Sapericus legt fest, welche Eingabearten möglich sind (Text, Sprache, Audio) und welche Daten das System entgegennimmt. Der Auftraggeber hat darauf keinen Einfluss. |
Sapericus | — |
| Wer bestimmt die Speicherdauer? Sapericus legt die Lösch- und Aufbewahrungsfristen für Inhaltsdaten eigenständig fest (z. B. automatische Audio-Löschung nach kurzer Frist). Der Auftraggeber kann diese Fristen nicht konfigurieren. |
Sapericus | — |
| Wer bestimmt, wer Zugriff hat? Sapericus legt fest, dass ausschließlich der jeweilige Nutzer selbst Zugriff auf seine Inhaltsdaten hat. Der Auftraggeber hat keinen Zugriff und kann keinen einrichten. |
Sapericus | — |
| Wer bestimmt die Verarbeitungslogik und -methodik? Sapericus wählt eigenständig Modelle, Algorithmen und Coaching-Methodik aus und entwickelt diese laufend weiter – ohne vorherige Abstimmung mit dem Auftraggeber. |
Sapericus | — |
| Gibt es ein direktes Vertragsverhältnis mit den Betroffenen? Nutzer müssen den Nutzungsbedingungen und Datenschutzhinweisen von Sapericus aktiv zustimmen, bevor sie den Dienst nutzen können. |
Sapericus | — |
| Wer bearbeitet Betroffenenanfragen zu Inhaltsdaten? Auskunft, Löschung und Datenportabilität bezüglich der Inhaltsdaten werden von Sapericus direkt gegenüber den Nutzern erfüllt. |
Sapericus | — |
| Erfolgt die Verarbeitung auf Weisung des Auftraggebers? Sapericus erhält keine Weisungen des Auftraggebers zur Verarbeitung der Inhaltsdaten. Systemänderungen erfolgen ohne Kundenfreigabe. |
Nein | Nein |
5. Ergebnis
Da Sapericus für die vertraulichen Inhaltsdaten eigenständig sowohl die Zwecke als auch sämtliche wesentlichen Mittel der Verarbeitung bestimmt, ist Sapericus für diese Verarbeitung Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Die Auftragsverarbeitungsregelungen des AVV (Art. 28 DSGVO) sind auf diese Daten nicht anwendbar.
Für den Auftraggeber bedeutet das: Er trägt für die vertraulichen Inhaltsdaten keine Verantwortlichkeit nach der DSGVO und muss hierfür keine eigenen Pflichten (Auskunft, Löschung, DPIA etc.) erfüllen.