AVV-Prüfvermerk LarasDesk-Apps
Transparenzdokument der Verantwortlichen. Stand 2026-05-18.
Zweck dieses Dokuments
Art. 28 DSGVO verpflichtet eine Verantwortliche, mit jedem Auftragsverarbeiter einen schriftlichen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Auftragsverarbeitung liegt vor, wenn ein Dritter personenbezogene Daten weisungsgebunden im Auftrag der Verantwortlichen verarbeitet. Sie liegt nicht vor, wenn der Dritte die Daten als eigene Verantwortliche zu eigenen Zwecken verarbeitet, oder wenn überhaupt keine personenbezogenen Daten an den Dritten gelangen.
Dieser Vermerk dokumentiert für jede LarasDesk-App, welche externen Dienste eingebunden sind, ob daraus eine AVV-Pflicht folgt und wenn nicht, mit welcher Begründung.
App 1: LarasScan
Eingebundene externe Dienste
| Dienst | Anbieter | Funktion |
|---|---|---|
| Google ML Kit Document Scanner | Google LLC | Beleg-Erkennung, on-device |
| Google ML Kit Text Recognition v2 | Google LLC | OCR, on-device |
| Google Play Services | Google LLC | Modul-Bereitstellung, SDK-Diagnose |
Datenfluss
- Belegbilder, OCR-Texte, extrahierte Felder, Hashes: bleiben vollständig auf dem Endgerät. Keine Übertragung an Google oder Dritte.
- ML-Kit-SDK-Diagnostik an Google: Geräte-Informationen, App-Paketname/-Version, API-Konfiguration, Performance-Metriken, Event-Typen (siehe ML Kit Android Data Disclosure). Keine Belegbilder, keine OCR-Texte.
AVV-Bewertung
Ein AVV mit Google für ML Kit ist nicht erforderlich.
Begründung:
- Keine Auftragsverarbeitung von Nutzerinhalten: Google verarbeitet keine personenbezogenen Inhaltsdaten der App-Nutzer. Die Bilder und Texte bleiben on-device.
- SDK-Diagnostik ist eigenverantwortliche Verarbeitung von Google: Die übertragene Diagnostik ist technischer Natur (Geräte/SDK-Telemetrie). Google nutzt sie laut eigener Angabe für Diagnose, Missbrauchsvermeidung und SDK-Verbesserung — also zu eigenen Zwecken. Damit ist Google nicht weisungsgebunden, sondern eigene Verantwortliche im Sinne der DSGVO.
- Google bietet für ML Kit keinen AVV an: Im Gegensatz zu Firebase liegt für das ML-Kit-SDK keine Auftragsverarbeitungs-Vereinbarung vor.
Verbleibende Pflichten ohne AVV
- Transparenz in der Datenschutzerklärung: erfüllt (siehe Datenschutzerklärung LarasScan, Abschnitt 5).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO mit Interessen-Abwägung.
- Drittlandtransfer: USA, abgesichert über den EU-US Data Privacy Framework (DPF, Beschluss (EU) 2023/1795). Google LLC ist DPF-zertifiziert (Eintrag 5780).
Restrisiko
Falls eine Aufsichtsbehörde künftig Joint Controllership für ML-Kit-SDK-Diagnostik annimmt, wäre ein Joint-Controller-Vertrag nach Art. 26 DSGVO erforderlich, den Google für ML Kit nicht bereitstellt. Dieses Risiko gilt für alle App-Anbieter mit ML-Kit-Integration gleichermaßen.
App 2: LarasMemo
Eingebundene externe Dienste
Keine. Die App initiiert aus eigener Initiative keine Netzwerkverbindungen.
Nicht im Geltungsbereich: Capacitor (lokales Framework), MediaRecorder (Browser-API, lokal), IndexedDB (Browser-Datenbank, lokal), Android Share-Sheet (System-Funktion).
AVV-Bewertung
Kein AVV erforderlich. Es gibt keinen Auftragsverarbeiter.
Re-Prüfpunkt
Sobald in einer zukünftigen Version eine externe Datenverarbeitung hinzukommt (z. B. Whisper-Modell-Download über Google CDN, Crash-Reporting, Cloud-Backup, Analytics), ist dieser Vermerk neu zu bewerten.
App 3: LarasCalendar
Eingebundene externe Dienste
Keine. Die App initiiert aus eigener Initiative keine Netzwerkverbindungen.
Nicht im Geltungsbereich: Capacitor, ICS-Parser, Android Share-Sheet.
AVV-Bewertung
Kein AVV erforderlich. Es gibt keinen Auftragsverarbeiter.
Re-Prüfpunkt
Sobald eine Anbindung an einen externen Kalender-Anbieter (Google Calendar, Outlook, iCloud, CalDAV-Server) oder Cloud-Sync implementiert wird, ist dieser Vermerk neu zu bewerten.
Verwandte Konstellationen außerhalb der App-Datenverarbeitung
Geschlossener Beta-Test über Google Group / Google Forms
Für die geschlossenen Testphasen werden E-Mail-Adressen der Tester über ein Google-Formular gesammelt und in einer Google Group verwaltet.
- Rolle: Google agiert hier als Anbieter eines Online-Dienstes. Für die Plattform-Verarbeitung von Google-Konto-Daten ist Google eigene Verantwortliche.
- AVV: Für Google Workspace gibt es ein offizielles Daten-Verarbeitungsabkommen (Google Cloud Data Processing Addendum), das auf den bezahlten Workspace-Konten angewendet wird. Bei kostenlosen privaten Konten ist die Lage unklarer.
- Pragmatische Bewertung: Nutzung durch eine private Owner-Identität ohne Workspace-Tarif. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) durch die Tester. Drittlandtransfer USA abgesichert über DPF.
Hosting der Website
- Hosting-Anbieter: IONOS SE (Deutschland, EU).
- Rolle: Auftragsverarbeiterin für das Hosting.
- AVV: IONOS stellt einen Standard-AVV bereit (IONOS Auftragsverarbeitung).
- Drittlandtransfer: entfällt, Server in der EU.
Zusammenfassung
| App | AVV-Pflicht | Begründung |
|---|---|---|
| LarasScan | nein | Google ML Kit = keine Auftragsverarbeitung von Nutzerinhalten; SDK-Diagnostik = Google als eigene Verantwortliche; DPF + SCC sichern Drittlandtransfer ab |
| LarasMemo | nein | keine externen Datenverarbeiter; vollständig lokal |
| LarasCalendar | nein | keine externen Datenverarbeiter; vollständig lokal |
| (Website-Hosting IONOS) | ja | Standard-AVV von IONOS, liegt vor |
| (Beta-Test Google Group) | unklar — pragmatisch nein bei privatem Konto | Transparenz in der jeweiligen Datenschutzerklärung |
Hinweis
Dieser Vermerk ist eine eigene Bewertung der Verantwortlichen und keine Rechtsberatung. Bei rechtlich strittigen Konstellationen (insbesondere zur Frage Joint Controllership bei Google ML Kit) ist eine anwaltliche Prüfung empfohlen.