• grundsätzliche Frage zu einer mandantenfähigen Software

    • Ein IT-Unternehmen stellt eine Software (IT-System) zur Verfügung.
    • Dieses IT-System wird von mehreren Dienstleistungsunternehmen genutzt, die ihren Kunden gleichartige Dienstleistungen anbieten.
    • Jedes dieser Dienstleistungsunternehmen ist ein eigenständiger Mandant des IT-Systems und verwaltet darin eigenständig seine Kundendaten.
    • Ausweislich der Produktbeschreibung des IT-Systems hat das IT-Unternehmen keinen Zugriff auf Daten in den Mandantenbereichen und kann sich ohne Mitwirkung des Mandanten auch keinen Zugriff verschaffen.
    • Allerdings kann laut Produktbeschreibung nur das IT-Unternehmen neue Mandanten anlegen und bestehende Mandanten umbenennen oder löschen.
    • Dienstleistungsunternehmen A und Dienstleistungsunternehmen B haben vereinbart, dass B die Kunden von A übernimmt. Das ist im Verhältnis zu den Kunden datenschutzrechtlich alles "sauber".
    • B hat das IT-Unternehmen aufgefordert, die Kundendaten des Mandanten A in den Mandanten B zu migrieren.
    • Das IT-Unternehmen hat B aufgefordert, "der Datenmitgration zuzustimmen".


    Frage: Müssen dazu üblicherweise die Kundendaten aus A kopiert, zwischengespeichert und dann in B eingefügt werden, also bildlich gesprochen Cop&Paste mit "Zwischenablage"? Oder wird der Mandant A mit B "verschmolzen", also quasi der Speicherbereich von A nach B "umadressiert", so dass keine Zwischenspeicherung in einem Speicherbereich stattfindet, auf den das IT-Unternehmen Zugriff hat oder auf den A und B Zugriff haben?
    ----------
    #ehrenamt #macht #freizeit #sinnvoll

    • ein klares Jein

      Das hängt von der Implementierung der Software ab.

      Fall A: eine Datenbank. Die Mandanten hängen als Datensatz in einer Tabelle jeweils mit einer eindeutigen ID. Die Datensätze des Mandanten sind alle mit dieser ID gekennzeichnet. Wechsel von A zu B werden die IDs des Mandanten A mit der des Mandanten B versehen.

      Fall B: die Mandanten liegen in einer DB. Die Mandantendaten liegen in einer DB des Mandanten. Dann müssen die Daten aus der DB des Mandanten A in die DB des Mandanten B kopiert werden.
      Das kann auf DB Ebene passieren, dass kann auf API Ebene passieren...wer weiß

      Fall C: komplett getrennte Installationen. Getrennte Rechner. Grundsätzlich wie Fall B aber mit Netzwerkstack oder Datenträger dazwischen.

      Fall D:....

      Fall E:.....

      lass dir das von dem IT Unternehmen erklären, wie das geregelt ist.

      Letztendlich gibt es für sowas NDAs und ADVs. Sofern du am Rechner sitzt hast du immer in einer Art Zugriff auf die Daten.

    • Es gibt da kein üblicherweise.

      Welche Möglichkeiten es im Einzelnen gibt, hängt davon ab wie die Struktur der Daten, also das Datenmodell, ist.

      "Copy & Paste", wie du es nennst, kann man machen, wenn sich an den Daten zukünftig nichts mehr ändert, ansonsten bietet sich ein Sync an.

      "Ausweislich der Produktbeschreibung des IT-Systems hat das IT-Unternehmen keinen Zugriff auf Daten ..."

      Wenn das so ist, was ich kaum glauben kann, dann müssen die Daten in der/den Datenbank(en) individuell, also pro Kunde, verschlüsselt sein. Dann wird das ziemlich aufwendig, Daten anderen zur Verfügung zu stellen, weil man die Schlüssel/Passwörter tauschen müsste.

      • API bauen...

        aber dann hast du ein MitM Problem.
        Haste sowieso. "Kein Zugriff auf Daten" ist sowieso eine Blase. Aber dafür gibt es normalerweise entsprechende Vereinbarungen.