Dienstleistungen eines Wachunternehmens als Auftragsverarbeitung
Frage des GDD Erfa-Kreises Würzburg zu den Dienstleistungen eines Wachunternehmens als Auftragsverarbeitung:
Ein Unternehmen (Wachunternehmen) führt die Einlasskontrolle in einem Produktionsunternehmen (Kunde) als externe Dienstleistung durch. Die Mitarbeiter des Wachunternehmens arbeiten auf Systemen des Kunden. Dabei werden einerseits Daten Einlass begehrender Personen mit den im System des Unternehmens gespeicherten Informationen abgeglichen, andererseits auch die Daten neuer Kontakte in das System des Kunden aufgenommen. Die Mitarbeiter müssen die Daten also zur Kenntnis nehmen, um die geschuldete Tätigkeit der Einlasskontrolle durchzuführen. Die Mitarbeiter sind nicht als überlassene Arbeitnehmer tätig, eine Geheimhaltungsvereinbarung ist geschlossen, die Mitarbeiter sind auf den Datenschutz verpflichtet.
- Ist ein AV-Vertrag erforderlich oder liegt eine bloße Nebenleistung vor?
- Ändert sich an der Antwort etwas, wenn die Mitarbeiter des Wachunternehmens streng nach den Vorgaben des Kunden vorgehen oder aber den Datenabgleich unter Berücksichtigung eigener Erfahrungswerte variieren (z. B. Tiefe der Prüfung im Sinne des Abgleichs von im Einzelfall mehr oder weniger Merkmalen?).
Antwort des BayLDA:
Externe Sicherheits-Dienstleister, die an der Pforte Besucher- und Anliefererdaten erheben, sind nach unserer Auffassung grundsätzlich Auftragsverarbeiter (vgl. die von uns veröffentlichte Übersicht zur Abgrenzung zwischen Auftragsverarbeitung und anderen Sachverhalten unter https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf). Dies würden wir in beiden angesprochenen Varianten so sehen, da in beiden Fällen nur das Pro-duktionsunternehmen derjenige ist, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und daher Verantwortlicher ist, nicht hingegen der Dienstleister.
Das könnte Sie auch interessieren
-
KI haftet nicht? – Zurechnung von KI-Falschaussagen
Ob Chatbot, KI-Übersicht oder halluzinierter Suchalgorithmus – drei Gerichtsentscheidungen in Deutschland ziehen eine klare Linie: Wer KI-Systeme im geschäftlichen Umfeld einsetzt, trägt die volle rechtliche Verantwortung für deren Ausgaben. Mit Urteil vom 12. Mai 2026 hat der 4. Zivilsenat des OLG Hamm entschieden, dass ein Unternehmen für irreführende Qualifikationsangaben seines KI-Chatbots wettbewerbsrechtlich haftet. Im konkreten
Mehr erfahren -
Tätigkeitsbericht als Steuerungsinstrument für Datenschutzbeauftragte
Die französische Datenschutzbehörde CNIL hat jüngst eine Empfehlung samt Mustervorlage für den Tätigkeitsbericht des Datenschutzbeauftragten veröffentlicht. Die Empfehlungen decken sich weitgehend mit der deutschen Praxis – mit einer bemerkenswerten Ausnahme. Obwohl weder DS-GVO noch BDSG einen Tätigkeitsbericht für betriebliche Datenschutzbeauftragte vorschreiben, empfiehlt die CNIL diesen als zentrale Best Practice. Das entspricht der gelebten Praxis auch
Mehr erfahren -
Praxisnahe Handreichung zum Datenpannenmanagement
Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –
Mehr erfahren
