Unter der neu geschaf­fe­nen Rubrik “Fra­gen & Ant­wor­ten” nimmt das BayL­DA aus­führ­lich Stel­lung zu ver­schie­de­nen Fra­ge­stel­lun­gen des Daten­schut­zes. Um die gege­be­nen Ant­wor­ten ein­zu­ord­nen, wird jede Frage/​Antwort zusätz­lich mit nütz­li­chen Stich­wor­ten und Nor­men ver­se­hen.

Das Bay­ri­sche Lan­des­amt für Daten­schutz­auf­sicht hat sei­ne Rei­he “FAQ zur DS-GVO” um die Beant­wor­tung einer wei­te­ren Pra­xis­fra­ge ergänzt. Die aktu­ell­ste Fra­ge der FAQ-Samm­lung beschäf­tigt sich mit den Art. 4 Nr. 8, 28 DS-GVO. Dar­in ver­sucht das BayL­DA anhand kon­kre­ter Fall­bei­spie­le zu zei­gen, bei wel­cher Art von Daten­ver­ar­bei­tung eine Auf­trags­ver­ar­bei­tung anzu­neh­men ist und wann nicht.

Auf­trags­ver­ar­bei­tung im daten­schutz­recht­li­chen Sin­ne lie­ge nur in Fäl­len vor, in denen eine Stel­le von einer ande­ren Stel­le im Schwer­punkt mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beauf­tragt wer­de, so das BayL­DA. Die Beauf­tra­gung mit fach­li­chen Dienst­lei­stun­gen ande­rer Art, d. h., mit Dienst­lei­stun­gen, bei denen nicht die Daten­ver­ar­bei­tung im Vor­der­grund ste­he bzw. bei denen die Daten­ver­ar­bei­tung nicht zumin­dest einen wich­ti­gen (Kern-)Bestandteil aus­ma­che, stel­le kei­ne Auf­trags­ver­ar­bei­tung im daten­schutz­recht­li­chen Sin­ne dar.

Als Auf­trags­ver­ar­bei­tung im Sin­ne von Art. 4 Nr. 8 DS-GVO wer­den (u.a.) bspw. fol­gen­de Ver­ar­bei­tun­gen gese­hen:

DV-tech­ni­sche Arbei­ten für die Lohn- und Gehalts­ab­rech­nung oder die Finanz­buch­hal­tung durch Rechen­zen­tren,
Out­sour­cing per­so­nen­be­zo­ge­ner Daten­ver­ar­bei­tung im Rah­men von Cloud-Com­pu­ting, ohne dass ein inhalt­li­cher Daten­zu­griff des Cloud-Betrei­bers erfor­der­lich ist,

Kei­ne Auf­trags­ver­ar­bei­tung im Sin­ne von Art. 4 Nr. 8 DS-GVO (son­dern eige­ne Ver­ant­wort­lich­keit) sei (u.a.) z. B. regel­mä­ßig:

 

a) Inan­spruch­nah­me frem­der Fach­lei­stun­gen bei einem eigen­stän­dig Ver­ant­wort­li­chen
• Tätig­kei­ten der Berufs­ge­heim­nis­trä­ger (Steu­er­be­ra­ter, Rechts­an­wäl­te, exter­ne Betriebs­ärz­te, Wirt­schafts­prü­fer),
• Inkas­so­bü­ros mit For­de­rungs­über­tra­gung,
• Bank­in­sti­tu­te für den Geld­trans­fer

b) im Kern kei­ne beauf­trag­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, son­dern der Auf­trags­zie­le auf eine ande­re Tätig­keit:
• vom Ver­mie­ter beauf­trag­te Hand­wer­ker, die dazu die nöti­gen Mie­ter­da­ten erhal­ten,
• Sach­ver­stän­di­ge zur Begut­ach­tung eines Kfz-Scha­dens,
• Per­so­nen­be­för­de­rung, Kran­ken­trans­port­lei­stun­gen

Das BayL­DA weist jedoch dar­auf hin, dass, je nach Sach­ver­halt, vom Ver­ant­wort­li­chen ggfls. Zweck­bin­dung und Ver­trau­lich­keit zu den dabei berühr­ten per­so­nen­be­zo­ge­nen Daten fest­zu­le­gen sein kann.