DSGVO für Einkäufer: Das sollten Sie beachten
Mark Zuckerberg hat nichts gelernt. Ende März versprach der Facebook-Gründer, sein Konzern werde die strengen Datenschutzvorschriften der EU künftig weltweit anwenden. Damals wurde bekannt, dass der – mittlerweile insolvente – Datenbroker Cambridge Analytica Daten von 87 Millionen Facebook-Nutzern missbraucht haben soll, um den Ausgang der Präsidentschaftswahlen in den USA 2016 zu beeinflussen. Nun zieht das soziale Netzwerk die Daten aller Nutzer, die nicht in der EU leben, von Irland auf Server außerhalb der EU um. So will Konzernchef Zuckerberg die ab 25. Mai geltende Datenschutzgrundverordnung (DSGVO) der EU umgehen.
Hohe Bußgelder drohen
Die Vorschrift sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes vor, wenn Unternehmen die personenbezogenen Daten ihrer Mitarbeiter, Kunden oder Lieferanten nicht wie vorgeschrieben schützen. Personenbezogene Daten sind Angaben, die einen Menschen entweder direkt betreffen – etwa sein Name oder seine Adresse – oder Informationen, die sich einer Person eindeutig zuordnen lassen, sobald sie mit anderen Daten kombiniert werden.
Einkäufer müssen personenbezogene Daten schützen
Jeder Einkäufer hat täglich mit derartigen Informationen zu tun. „Die Unterschrift, mit der ein Geschäftsführer oder Prokurist eines Lieferanten einen Auftrag bestätigt, ist ein personenbezogenes Datum“, erklärt Rebekka Weiß, Juristin und Datenschutzfachfrau beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien, Bitkom. „Diese Daten darf ich zwar ohne Einwilligung verarbeiten, um den Vertrag mit dem Zulieferer abzuwickeln“, erklärt der stellvertretende Leiter der Rechtsabteilung beim Verband Deutscher Maschinen- und Anlagenbau (VDMA), Daniel van Geerenstein. „Sobald der Vertrag erfüllt ist, muss ich die Daten aber laut DSGVO grundsätzlich löschen.“ Ausnahmen gibt es nur wenige – etwa gesetzliche Aufbewahrungspflichten, oder um Rechtsansprüche geltend machen zu können.
Weitergabe der Daten nur mit Erlaubnis
Wollen Einkäufer die Informationen dagegen aus anderen Gründen in ihre Lieferantendatenbank einpflegen oder an ihre Marketingabteilung weitergeben, brauchen sie dazu unter Umständen die Einwilligung des Lieferanten. Außerdem dürfen sie die Daten nur so verarbeiten, wie es die DSGVO vorsieht. Das sind:
- Bußgelder: Neu sind Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes – je nachdem, was höher ist.
- Informationspflicht: Neu ist auch, dass Unternehmen den Aufsichtsbehörden Datenlecks binnen 72 Stunden melden müssen. Führt die Panne für Betroffene zu einem „hohen Risiko“, sind auch diese zu informieren.
- Datenschutzfolgeabschätzung: Wer Daten verarbeitet, muss regelmäßig ermitteln, welche Folgen deren Verlust für betroffene Bürger haben kann.
- Verarbeitungsverzeichnis: Unternehmen müssen einen Katalog all ihrer Datenverarbeitungsprozesse erstellen.
- Einwilligungen: Wo nötig müssen Betroffene der Verarbeitung ihrer Daten freiwillig und bewusst zustimmen. Zuvor müssen sie informiert sein, auf welcher Rechtsgrundlage, zu welchem Zweck und für wie lange ihre Daten verarbeitet werden. Daneben sind die vom BDSG geforderten Angaben zu machen.
- Widerruf: Bürger müssen ihre Einwilligung jederzeit grundlos widerrufen können.
- Zweckbindung: Daten dürfen nur zu dem Zweck verarbeitet werden, über den der Bürger informiert ist und dem er zugestimmt hat.
- „Recht auf Vergessenwerden“: Ist der Zweck erfüllt, zu dem Daten verarbeitet wurden oder widerrufen Betroffene ihre Einwilligung, können sie verlangen, dass ihre Daten gelöscht werden.
- Datensparsamkeit: Unternehmen dürfen für ihre Zwecke nur so viele personenbezogene Daten verarbeiten wie unbedingt erforderlich. Sie müssen alle Wege nutzen, um Daten zu anonymisieren.
Privacy by Design – was ist das?
Auch bei der Beschaffung vieler Dienstleistungen sowie Komponenten müssen sich Einkäufer mit der DSGVO auskennen. Denn diese schreibt vor, Produkte so zu entwickeln, dass bei deren Nutzung möglichst wenige Anwenderdaten erhoben und gespeichert werden. Dieser „Privacy by Design“ genannte Grundsatz spielt bei allen Geräten eine Rolle, die Informationen über das Verhalten ihrer Nutzer erheben und über das Internet der Dinge an den Hersteller übertragen. Will dieser seine Produkte und Dienstleistungen mit derartigen Daten optimieren, braucht er dazu die Zustimmung der betroffenen Nutzer.
Idealerweise stellt er zudem sicher, dass sich die Informationen nicht eindeutig einer Person zuordnen lassen. „Dazu kann das Unternehmen Daten beispielsweise anonymisieren oder pseudonymisieren“, erklärt Nicolas Fähnrich, Datenschutzexperte beim Fraunhofer Institut für Arbeitswirtschaft und Organisation (IAO). „Außerdem muss der Lieferant bei der Auslieferung der Komponente sämtliche Funktionen ausgeschaltet haben, die über die grundsätzliche Funktionalität hinausgehen. So kann der Kunde frei entscheiden, ob er seine Daten übertragen will oder nicht“, ergänzt Bitkom-Expertin, Weiß.
Verantwortlichkeit für Einhaltung liegt im Einkauf
Achtung: Die Verantwortung für die Einhaltung dieser Vorgaben trägt das Unternehmen, das die Komponenten in seinen Produkten verbaut – nicht der Lieferant. Einkäufer sollten sich daher von ihren Zulieferern vertraglich versichern lassen, dass diese die Vorgaben der DSGVO einhalten.
Einkäufer sollten außerdem gemeinsam mit ihrer Entwicklungsabteilung, dem Datenschutzbeauftragen und der Produktion prüfen, ob sie wirklich alle Daten brauchen, die sie erheben und speichern, rät Fähnrich vom IAO. „Denn für die DSGVO-konforme Verarbeitung und den entsprechenden Schutz sämtlicher Daten, muss ich künftig unter Umständen einen großen Aufwand betreiben“, warnt der Experte.
Auch Verantwortung für Logistik und Cloudspeicherung
Eng mit dem Datenschutzbeauftragten sollten Einkäufer auch dann zusammenarbeiten, wenn sie Logistikdienstleister und Anbieter von Cloud-Diensten unter Vertrag nehmen. Denn da Spediteure ohne die Adresse des zu beliefernden Kunden nicht tätig werden können, verarbeiten sie personenbezogene Daten im Auftrag des Absenders. Als Auftragsverarbeiter müssen sie die Anforderungen der DSGVO ebenso erfüllen wie das Unternehmen, das sie beauftragt.
Das gilt auch für Cloudanbieter. „Ich kann die neuen Anforderungen der EU an den Datenschutz noch so gut umsetzen. Wenn ich an einen Anbieter gerate, der die DSGVO nicht erfüllt, stehe ich dafür in der Verantwortung“, warnt VDMA-Syndikus van Geerenstein. Denn die DSGVO verpflichtet den Auftraggeber dazu, zu garantieren, dass Dienstleister und Zulieferer das gleiche Datenschutzniveau erfüllen, wie sie selbst. „Wer belegen will, dass er alles dazu erforderliche getan hat, muss mit Cloudanbietern einen Auftragsverarbeitungsvertrag schließen“, empfiehlt Bitkom-Expertin Weiß. „Darin können sie den Dienstleister nachprüfbar dazu verpflichten, das gleiche Schutzniveau einzuhalten, wie sie es in ihrem eigenen Unternehmen geschaffen haben.“
Autor: Gerd Meyring
Bild: Pixabay