Nein, dies ist aus den folgenden Gründen nicht nötig:
Die AZUM system AG (AZUM) ist als Datenschutzverantwortlicher («Verantwortlicher» gemäss Art. 4 Nr. 7 DSGVO) einzustufen und nicht als Auftragsdatenverarbeiter («Auftragsverarbeiter» gemäss Art. 4 Nr. 8 DSGVO). Deshalb ist das vertragliche Verhältnis zwischen AZUM und den Endkunden über Allgemeine Geschäftsbedingungen (AGB) und eine Datenschutzerklärung abzubilden und nicht über einen Auftragsdatenverarbeitungsvertrag.
– Gemäss Definition der DSGVO ist der Verantwortliche, derjenige der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Auftragsverarbeiter bearbeitet Daten im Auftrag eines Verantwortlichen. Es geht also darum, wer faktisch die Entscheidung trifft, ob und wie die Bearbeitung der Daten stattfindet.
– Als Betreiber der Applikation und Webseite entscheidet AZUM, ob und wie die Daten der Kunden bearbeitet werden. AZUM definiert in ihren AGB, was ihre Dienstleistung ist. Der Kunde kann nicht bestimmen, wie AZUM die Daten bearbeitet (er kann nur entscheiden, ob er Kunde sein will oder nicht).
– Facebook, Instagram etc. werden alle klar als Datenschutzverantwortliche eingestuft. Im Unterschied dazu sind typischerweise z.B. Cloudanbieter, Anbieter von Serverinfrastruktur etc. als Auftragsverarbeiter eingestuft.
– AZUM ist daher als Verantwortlicher und nicht als Auftragsverarbeiter einzustufen. Entsprechend schliesst AZUM AGBs mit allen Usern ab und ein ADV-Vertrag ist weder nötig noch rechtlich die richtige Abbildung. Im Weiteren muss AZUM in einer Datenschutzerklärung ihren Kunden erklären, welche Daten wie wozu etc. bearbeitet werden.