Dienstleistungen eines Wachunternehmens als Auftragsverarbeitung
Frage des GDD Erfa-Kreises Würzburg zu den Dienstleistungen eines Wachunternehmens als Auftragsverarbeitung:
Ein Unternehmen (Wachunternehmen) führt die Einlasskontrolle in einem Produktionsunternehmen (Kunde) als externe Dienstleistung durch. Die Mitarbeiter des Wachunternehmens arbeiten auf Systemen des Kunden. Dabei werden einerseits Daten Einlass begehrender Personen mit den im System des Unternehmens gespeicherten Informationen abgeglichen, andererseits auch die Daten neuer Kontakte in das System des Kunden aufgenommen. Die Mitarbeiter müssen die Daten also zur Kenntnis nehmen, um die geschuldete Tätigkeit der Einlasskontrolle durchzuführen. Die Mitarbeiter sind nicht als überlassene Arbeitnehmer tätig, eine Geheimhaltungsvereinbarung ist geschlossen, die Mitarbeiter sind auf den Datenschutz verpflichtet.
- Ist ein AV-Vertrag erforderlich oder liegt eine bloße Nebenleistung vor?
- Ändert sich an der Antwort etwas, wenn die Mitarbeiter des Wachunternehmens streng nach den Vorgaben des Kunden vorgehen oder aber den Datenabgleich unter Berücksichtigung eigener Erfahrungswerte variieren (z. B. Tiefe der Prüfung im Sinne des Abgleichs von im Einzelfall mehr oder weniger Merkmalen?).
Antwort des BayLDA:
Externe Sicherheits-Dienstleister, die an der Pforte Besucher- und Anliefererdaten erheben, sind nach unserer Auffassung grundsätzlich Auftragsverarbeiter (vgl. die von uns veröffentlichte Übersicht zur Abgrenzung zwischen Auftragsverarbeitung und anderen Sachverhalten unter https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf). Dies würden wir in beiden angesprochenen Varianten so sehen, da in beiden Fällen nur das Pro-duktionsunternehmen derjenige ist, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und daher Verantwortlicher ist, nicht hingegen der Dienstleister.
Das könnte Sie auch interessieren
-
Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO
Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.
Mehr erfahren -
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren
