Namensschilder und Auftragsverarbeitung?
Frage des GDD-Erfa-Kreises Würzburg zur Auftragsverarbeitung:
Unternehmen A beschäftigt Arbeiter, die spezielle Arbeitskleidung tragen. Diese wird von einem Dienstleister B gereinigt. Auf der Arbeitskleidung ist der Name des Arbeiters angebracht. Ist in den folgenden Konstellationen jeweils ein Auftragsverarbeitungsvertrag zu schließen?
a) Der Dienstleister holt die Kleidung bei A, reinigt diese bei sich und bringt diese wieder zu A. Dort sortiert er die Kleidung nach Name in die mit Namen beschrifteten Spinde der
betroffenen Arbeiter.
b) Die betroffenen Arbeiter gehen zu B und werden dort vermessen, um individuell passende Kleidung zu erhalten. Die Vermessungsdaten werden personenbezogen bei B gespeichert. Die Reinigung der Kleidung erfolgt wie bei a).
c) Der Dienstleister holt/ bekommt die Kleidung, reinigt diese und bringt diese nur zum Empfang von A, eine Verteilung an die Arbeiter erfolgt durch B nicht.
Antwort BayLDA:
Siehe hierzu die von uns veröffentlichte Übersicht zur Abgrenzung zwischen Auftragsverarbeitung und anderen Sachverhalten unter https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf. Demnach ist die Reinigung von Berufskleidung mit Namensschildern nicht als Auftragsverarbeitung einzustufen, da es bei dieser Leistung nicht im Kern um eine Verarbeitung personenbezogener Daten geht, sondern um eine Dienstleistung anderer Art (eben Reinigung), und die personenbezogenen Daten hier nur Beiwerk darstellen. Eine Differenzierung nach den Fallgruppen a)-c) sehen wir nicht als sachgerecht an; keiner dieser Fälle stellt Auftragsverarbeitung dar.
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
