08.05.2018 //

EU-DSGVO: Einkauf muss Datensätze prüfen

Unwissen schützt nicht vor Strafe: Sehr hohe Bußgelder drohen, wenn einem Unternehmen Verstöße gegen die neuen Datenschutzbestimmungen nachgewiesen werden. Wobei die Beweislast beim Unternehmen liegt. In der Mai/Juni-Ausgabe der BIP werden wichtige Änderungen plus einer Checkliste vorgestellt.

Foto: Sir_Oliver/Fotolia

Wenn ab dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung (EU-DSGVO) gilt, bekommt der Datenschutz einen deutlich höheren Stellenwert. Auch der Einkauf ist davon betroffen. Die neuen Leitlinien legen für den Umgang mit personenbezogenen Daten nicht nur einen eng definierten Rahmen für die Nutzung fest. Hinzu kommen sehr hohe Bußgelder: Bis zu 20 Millionen Euro oder vier Prozent des weltweiten Unternehmensumsatzes können festgelegt werden.

Was sind personenbezogene Daten?

Die EU-DSGVO regelt, wie Unternehmen ihre personenbezogenen Daten nutzen dürfen. Darunter fallen alle Daten, die sich auf eine natürliche Person beziehen, also beispielsweise Vor- und Nachname, E-Mail-Adresse oder Wohnort. Mitarbeiter von Unternehmen gelten auch als natürliche Personen, so dass deren Daten mit der neuen Verordnung gleichfalls geschützt werden.

Was kommt auf den Einkauf zu?

Der Einkauf mit seinen vielen internen Schnittstellen und zahlreichen Kontakten zu Lieferanten steht vor wichtigen Änderungen. Erweitert werden die Informations- und Meldepflichten. So muss bei einer Datenpanne innerhalb von 72 Stunden die zuständige Behörde, also der Datenschutzbeauftragte des Bundeslandes, eine Meldung erhalten. Wichtig ist, dass Unternehmen bereits intern die Prozesse für solche Fälle geklärt haben.

Dokumentationen sind wichtig für Überprüfungen und Auskunftsansprüche. Denn neu ist die Beweislast-Umkehr: Nicht die anklagende Stelle muss den Verstoß beweisen, sondern der Verantwortliche muss die Einhaltung aller Datenschutzgrundsätze nachweisen können. Im Einkauf sind in erster Linie Verträge über die Auftragsverarbeitung betroffen, also Verträge mit Dienstleistern, die Daten eines auftraggebenden Unternehmens verarbeiten. Jeder einzelne Vertrag, der bereits geschlossen wurde, sowie zukünftige Verträge und die Allgemeinen Geschäftsbedingungen bei den Verträgen zur Auftragsdatenverarbeitung müssen nach den Richtlinien der EU-DSGVO überprüft werden. „Allein die Überprüfung aller Verträge bedeutet einen hohen Mehraufwand im Einkauf“, stellt Noreen Loepke, Leiterin des BME-Competence Center Service Recht, Compliance und Konfliktmanagement fest.

Was geschieht bei internationalen Datentransfers?

Bei einem Datentransfer beispielsweise in die USA ist das europäische Datenschutzniveau über eine Zwei-Stufen-Prüfung sicherzustellen. Wenn der Einkauf IT-Dienstleistungen ausgelagert hat, ist die Frage wichtig, wo die Daten gehostet werden. „Die Office-Version 365 erfordert einen Vertrag zur Auftragsverarbeitung, da hierüber in der Regel personenbezogene Daten in den USA gehostet werden“, erklärt Henrik Skistims, Rechtsanwalt und beratendes Mitglied im BME-Competence Center Service Recht.

Auch wenn Daten intern in einem global aufgestellten Unternehmen weitergegeben werden, ist die Datenhoheit zu klären. Wenn Daten beispielsweise für eine niederländische Mutter erhoben werden, werden ihr die Daten zugeordnet; eine Einwilligung zum Datentransfer ist nicht notwendig. Anders wäre es, wenn die Daten ausschließlich durch die deutsche Tochter erhoben werden. Dann sollte der Einzelfall geprüft werden.

Lesen Sie den ausführlichen Artikel in der Mai/Juni-Ausgabe des BME-Verbandsmagazins BIP-Best in Procurement. Mitglieder erhalten das Magazin im Rahmen ihrer Mitgliedschaft kostenlos.

Save the Date: Der BME schult Einkäufer an drei Terminen im BME-Seminar „Die neue Datenschutzgrundverordnung (EU-DSGVO) – Handlungsempfehlungen für den Einkauf“.

Weiterempfehlen

Weitere Meldungen zu: