Auftragsverarbeitung nach der DS-GVO – Abgrenzung der Verarbeitungstätigkeiten

/in /von

Unter der neu geschaffenen Rubrik „Fragen & Antworten“ nimmt das BayLDA ausführlich Stellung zu verschiedenen Fragestellungen des Datenschutzes. Um die gegebenen Antworten einzuordnen, wird jede Frage/Antwort zusätzlich mit nützlichen Stichworten und Normen versehen.

Das Bayrische Landesamt für Datenschutzaufsicht hat seine Reihe „FAQ zur DS-GVO“ um die Beantwortung einer weiteren Praxisfrage ergänzt. Die aktuellste Frage der FAQ-Sammlung beschäftigt sich mit den Art. 4 Nr. 8, 28 DS-GVO. Darin versucht das BayLDA anhand konkreter Fallbeispiele zu zeigen, bei welcher Art von Datenverarbeitung eine Auftragsverarbeitung anzunehmen ist und wann nicht.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liege nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werde, so das BayLDA. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund stehe bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmache, stelle keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Als Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO werden (u.a.) bspw. folgende Verarbeitungen gesehen:

DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,

Keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO (sondern eigene Verantwortlichkeit) sei (u.a.) z. B. regelmäßig:

 

a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen
• Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Bankinstitute für den Geldtransfer

b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftragsziele auf eine andere Tätigkeit:
• vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten,
• Sachverständige zur Begutachtung eines Kfz-Schadens,
• Personenbeförderung, Krankentransportleistungen

Das BayLDA weist jedoch darauf hin, dass, je nach Sachverhalt, vom Verantwortlichen ggfls. Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen sein kann.