Daten­schutz bei Ge­schäfts­part­nern – was ist zu beachten?

Wenn ein Dienst­leis­ter die von Ihnen ge­wünsch­te Qua­li­tät nicht liefert, be­auf­trag­ten Sie ihn nicht. Aber wenn er den Daten­schutz nicht gewährleistet?

Fehler bei einem Dienst­leis­ter können schwer­wie­gen­de Aus­wir­kun­gen auf die eigenen Pro­duk­te haben. Das gilt für das Qualitäts­management – und auch im Daten­schutz. Nicht nur der Einkauf sollte daran denken, sondern jeder ein­zel­ne im Unternehmen.

Teile und Schwach­stel­len zukaufen
Stellen Sie sich vor, ein Bauteil, das von einem Lie­fe­ran­ten ge­lie­fert wird, ist feh­ler­haft, und es wird trotz­dem in die Ma­schi­ne ein­ge­fügt. Die Folge ist, dass die Ma­schi­ne nun einen Fehler auf­weist, der je nach Art des Bau­teils dra­ma­ti­sche Aus­wir­kun­gen haben kann. Die Gefahr, über ein­ge­kauf­te Leis­tun­gen und Pro­duk­te den eigenen Pro­duk­ten und Ser­vices Schwach­stel­len und Fehler zu­zu­füh­ren, besteht in jeder Branche. Deshalb fordern Richt­li­ni­en für ein Qualitäts­management immer, dass auch die Qua­li­tät bei den Zu­lie­fe­rern geprüft und über­wacht werden muss. Das Gleiche muss im Daten­schutz gelten.

Schlech­ter Daten­schutz in der Dienstleisterkette
Stellt ein Dienst­leis­ter oder Lie­fe­rant Ihres Un­ter­neh­mens keinen an­ge­mes­se­nen Daten­schutz sicher, wirkt sich dies auch auf den Daten­schutz in Ihrem Un­ter­neh­men aus. Hat der Lie­fe­rant Zugang zu Kun­den­da­ten Ihres Un­ter­neh­mens und sorgt selbst nicht für Da­ten­si­cher­heit, kann es pas­sie­ren, dass ein Da­ten­dieb über die Schwach­stel­len Ihres Lie­fe­ran­ten an die Daten in Ihrem Un­ter­neh­men kommt. Oder ein von Ihrem Un­ter­neh­men ge­nutz­tes Soft­ware­mo­dul, hat eine Schwach­stel­le. Wenn Sie das Modul nutzen oder in andere Pro­gram­me Ihres Un­ter­neh­mens ein­fü­gen, lässt sich diese Schwach­stel­le bei Ihnen selbst aus­nut­zen. Das ist kein Ge­heim­nis, und trotz­dem achten nur wenige Un­ter­neh­men darauf, den Daten­schutz bei ihren Ge­schäfts­part­nern zu hin­ter­fra­gen zu prüfen, um den eigenen Daten­schutz ge­währ­leis­ten zu können.

Da­ten­schutz­auf­sichts­be­hör­den sehen Klärungsbedarf
Da­ten­schutz­be­hör­den wie das Lan­des­amt für Da­ten­schutz­auf­sicht in Bayern (BayLDA) haben fest­ge­stellt, dass Mel­dun­gen von Da­ten­schutz­ver­let­zun­gen fast immer das je­wei­li­ge Un­ter­neh­men selbst als ver­ant­wort­lich be­zeich­nen, kaum jedoch einen Ge­schäfts­part­ner oder Dienst­leis­ter. Da nach der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) auch Ver­let­zun­gen der Si­cher­heit bei Dienst­leis­tern (auch bei wei­te­rer Un­ter­auf­trags­ver­ga­be) eine Mel­de­ver­pflich­tung auslöst, stellte sich dem BayLDA die Frage, wieso es kaum Mel­dun­gen gibt, die von (in­ter­na­tio­na­len) Dienst­leis­tern aus­ge­löst werden. Of­fen­sicht­lich fehlt das Be­wusst­sein dafür, dass Da­ten­schutz­män­gel bei Ge­schäfts­part­nern den eigenen Daten­schutz be­tref­fen. Die Ur­sa­chen für eine Da­ten­schutz­ver­let­zung werden in der Regel intern gesehen. Das ent­spricht aber nicht den Tat­sa­chen. Deshalb sollte nicht nur der Einkauf, sondern jeder, der mit Dienst­leis­tern und anderen Ge­schäfts­part­nern zu tun hat, daran denken und darauf achten, dass der Daten­schutz auch dort stimmen muss, damit der eigene Daten­schutz ge­währ­leis­tet ist.

Kein Ge­ne­ral­ver­dacht, sondern mehr Aufmerksamkeit
Es geht dabei nicht darum, jeden Ge­schäfts­part­ner als Ursache von Da­ten­schutz­män­geln zu be­trach­ten und bei Da­ten­­­schutz-Pro­­b­le­­men die Schuld immer bei anderen zu suchen. Viel­mehr geht es darum, beim Daten­schutz genau wie bei der Qua­li­tät immer die ganze Lie­fer­ket­te im Auge zu be­hal­ten. Be­zie­hun­gen zu Dienst­leis­tern und Ge­schäfts­part­nern ver­die­nen viel Auf­merk­sam­keit – auch im Sinne des Datenschutzes.

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.

19. Februar 2019