Wenn ein Dienstleister die von Ihnen gewünschte Qualität nicht liefert, beauftragten Sie ihn nicht. Aber wenn er den Datenschutz nicht gewährleistet?
Fehler bei einem Dienstleister können schwerwiegende Auswirkungen auf die eigenen Produkte haben. Das gilt für das Qualitätsmanagement – und auch im Datenschutz. Nicht nur der Einkauf sollte daran denken, sondern jeder einzelne im Unternehmen.
Teile und Schwachstellen zukaufen
Stellen Sie sich vor, ein Bauteil, das von einem Lieferanten geliefert wird, ist fehlerhaft, und es wird trotzdem in die Maschine eingefügt. Die Folge ist, dass die Maschine nun einen Fehler aufweist, der je nach Art des Bauteils dramatische Auswirkungen haben kann. Die Gefahr, über eingekaufte Leistungen und Produkte den eigenen Produkten und Services Schwachstellen und Fehler zuzuführen, besteht in jeder Branche. Deshalb fordern Richtlinien für ein Qualitätsmanagement immer, dass auch die Qualität bei den Zulieferern geprüft und überwacht werden muss. Das Gleiche muss im Datenschutz gelten.
Schlechter Datenschutz in der Dienstleisterkette
Stellt ein Dienstleister oder Lieferant Ihres Unternehmens keinen angemessenen Datenschutz sicher, wirkt sich dies auch auf den Datenschutz in Ihrem Unternehmen aus. Hat der Lieferant Zugang zu Kundendaten Ihres Unternehmens und sorgt selbst nicht für Datensicherheit, kann es passieren, dass ein Datendieb über die Schwachstellen Ihres Lieferanten an die Daten in Ihrem Unternehmen kommt. Oder ein von Ihrem Unternehmen genutztes Softwaremodul, hat eine Schwachstelle. Wenn Sie das Modul nutzen oder in andere Programme Ihres Unternehmens einfügen, lässt sich diese Schwachstelle bei Ihnen selbst ausnutzen. Das ist kein Geheimnis, und trotzdem achten nur wenige Unternehmen darauf, den Datenschutz bei ihren Geschäftspartnern zu hinterfragen zu prüfen, um den eigenen Datenschutz gewährleisten zu können.
Datenschutzaufsichtsbehörden sehen Klärungsbedarf
Datenschutzbehörden wie das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) haben festgestellt, dass Meldungen von Datenschutzverletzungen fast immer das jeweilige Unternehmen selbst als verantwortlich bezeichnen, kaum jedoch einen Geschäftspartner oder Dienstleister. Da nach der Datenschutz-Grundverordnung (DS-GVO) auch Verletzungen der Sicherheit bei Dienstleistern (auch bei weiterer Unterauftragsvergabe) eine Meldeverpflichtung auslöst, stellte sich dem BayLDA die Frage, wieso es kaum Meldungen gibt, die von (internationalen) Dienstleistern ausgelöst werden. Offensichtlich fehlt das Bewusstsein dafür, dass Datenschutzmängel bei Geschäftspartnern den eigenen Datenschutz betreffen. Die Ursachen für eine Datenschutzverletzung werden in der Regel intern gesehen. Das entspricht aber nicht den Tatsachen. Deshalb sollte nicht nur der Einkauf, sondern jeder, der mit Dienstleistern und anderen Geschäftspartnern zu tun hat, daran denken und darauf achten, dass der Datenschutz auch dort stimmen muss, damit der eigene Datenschutz gewährleistet ist.
Kein Generalverdacht, sondern mehr Aufmerksamkeit
Es geht dabei nicht darum, jeden Geschäftspartner als Ursache von Datenschutzmängeln zu betrachten und bei Datenschutz-Problemen die Schuld immer bei anderen zu suchen. Vielmehr geht es darum, beim Datenschutz genau wie bei der Qualität immer die ganze Lieferkette im Auge zu behalten. Beziehungen zu Dienstleistern und Geschäftspartnern verdienen viel Aufmerksamkeit – auch im Sinne des Datenschutzes.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
19. Februar 2019