Startseite » Einkauf »

Es wird ernst mit dem Datenschutz

EU-Datenschutzverordnung
Es wird ernst mit dem Datenschutz

Es wird ernst mit dem Datenschutz
Rechtsanwalt Dr. Alexander Duisberg vom Münchner Büro der Kanzlei Bird&Bird (Bild: Bird&Bird)
Eine neue Verordnung regelt, wie man in Europa zukünftig Daten zu schützen hat. Die Anforderungen, die sich daraus für Logistik und Beschaffung ergeben, sind nicht trivial. Sie betreffen das Verhältnis zu Kunden, Dienstleistern und Mitarbeitern.

Am Freitag, den 25. Mai 2018, beginnt ein neues Datenschutzzeitalter: Ab dann gilt EU-weit die neue Datenschutzgrundverordnung (DS-GVO) und damit ein einheitliches Recht für 28 Länder. Nach jahrelangen Verhandlungen wurde dieses gesetzgeberische Großprojekt 2016 beschlossen. Um sowohl den Mitgliedstaaten Zeit zu geben, ihre nationalen Gesetze anzupassen, als auch der Wirtschaft zu ermöglichen, sich auf das neue Regelwerk einzustellen, galt eine zweijährige Übergangsfrist bis zur Anwendung des neuen Rechts, die nun abläuft.

Viel ist seitdem zu lesen über „Privacy by design“ und „One-Stop-Shop“, über „Marktortprinzip“ und „Recht auf Vergessenwerden“ (siehe Kasten).

Doch den meisten Betrieben ist nicht klar, in welche konkreten Maßnahmen die „Verordnung EU 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ münden soll. Eine Umfrage des Branchenverbandes der deutschen Informations- und Telekommunikationsbranche Bitcom ergab, dass nur rund jedes achte Unternehmen davon ausgeht, bis zum Stichtag die Vorgaben vollständig umgesetzt zu haben. Das verwundert nicht, denn die Umsetzung ist aufwendig und die konkreten Vorgaben, die für Logistik und Beschaffung relevant sind, können auch hier nur angerissen werden.

Da ist zunächst das Stichwort „Auftragsverarbeitung“: Es meint Prozesse, bei denen personenbezogene Daten im Auftrag eines Dritten verarbeitet werden. „Grundsätzlich verarbeiten Logistikunternehmen und Einkaufsabteilungen oft personenbezogene Daten von Mitarbeitern, Kunden oder Lieferanten“, sagt Rechtsanwalt Dr. Alexander Duisberg vom Münchner Büro der Kanzlei Bird&Bird. „Logistikunternehmen sind dabei in der Regel als Auftragsverarbeiter für Verlader tätig.“ Überall, wo personenbezogene Daten weitergegeben werden – an Auftragnehmer, an Subunternehmer, an IT-Dienstleister –, kann eine Auftragsverarbeitung vorliegen. „Zwar stehen deutsche Unternehmen im europäischen Vergleich sehr gut da, weil ADVs schon nach geltendem Recht im Pflichtprogramm waren“, beruhigt Datenschutzexperte Duisberg. Vorhandene ADV-Erklärungen (ADV steht für Auftragsdatenverarbeitung, so der bisherige Begriff) müssen aber aktualisiert und die neuen, strengeren Pflichten aufgeführt werden. Dazu gehören das Tätigwerden nur im Auftrag und auf dokumentierte Weisung des Auftraggebers, konkrete Löschpflichten, technische und organisatorische Schutzmaßnahmen sowie auf Vertraulichkeit verpflichtete Mitarbeiter. Entsprechende Muster finden sich online bei den Branchenverbänden, Handelskammern und Datenschutzämtern.

Dokumentation der Verarbeitung

Stichwort „Verfahrensverzeichnis“: Das Pflichtenheft, das jetzt schon vorgeschrieben ist, wird in Zukunft als „Verzeichnis von Verarbeitungstätigkeiten“ noch wichtiger, wenn sich – wie allgemein erwartet wird – die Kontrollen der Datenschutzbehörden intensivieren. Es soll vor allem Verantwortliche, Prozessschritte, Betroffene sowie Sicherheits- und Löschkonzepte benennen und dokumentieren. Somit bietet es sich an, das Verzeichnis zur Grundlage des gesamten betrieblichen Datenschutzkonzepts zu machen.

Hohe Bußgelder bei Verstößen

Eine ganze Reihe weiterer Neuerungen können bei Logistik und Beschaffung eine Rolle spielen: Wer bei Kunden Einwilligungen für die Verarbeitung personenbezogener Daten eingeholt hat, muss auf ein jederzeitiges Widerrufsrecht hinweisen. Betroffene Personen müssen ausführlich über die rechtlichen Grundlagen der jeweiligen Verarbeitung und ihre Rechte als Betroffene informiert werden. Wer in großem Umfang Daten verarbeitet oder dafür besondere Technologien einsetzt (Beispiel: Cloud-Anbieter), muss eine Risikobewertung im Rahmen einer Datenschutzfolgenabschätzung abgeben oder nachholen. Sicherheitspannen sind innerhalb von 72 Stunden an die zuständige Datenschutzbehörde und unter Umständen auch an die betroffenen Personen zu melden. „Der Aufwand für die Umstellung ist nicht zu unterschätzen“, resümiert Anwalt Duisberg. „Bei Nichteinhaltung drohen drakonische Bußgelder, theoretisch bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, wenn dieser Betrag höher ist, 20 Millionen Euro.“

Verantwortlich für den Datenschutz im Unternehmen, das stellt die Verordnung klar, ist die Geschäftsleitung. Dem Datenschutzbeauftragten wird eher eine Überwachungs- und Kontrollfunktion zugeschrieben. Geschäftsführern, die mit der Umsetzung der DS-GVO noch gar nicht angefangen haben, rät Duisberg: „Priorisieren Sie die wichtigsten Bereiche in einem Projekt und prüfen Sie unbedingt Ihre Website, Ihren Bestand an ADV, die Verwaltung von Kunden-, Lieferanten- und Personaldaten.

Sprechen Sie mit Ihrem Datenschutzbeauftragten und externen Beratern, was Sie noch vor dem 25. Mai 2018 realistisch schaffen können und was danach aufgegriffen werden muss.“ Hilfreiche Dokumente finden sich zum Beispiel auf den Webseiten der Datenschutzbehörden, etwa dem Bayerischen Landesamt für Datenschutzaufsicht unter www.lda.bayern.de

Datenschutz wirkt nicht nur nach außen, sondern muss auch innerbetrieblich umgesetzt werden. Die DS-GVO selbst enthält zwar keine besonderen Regelungen zum Schutz von Beschäftigten. Das neue Bundesdatenschutzgesetz, das parallel zur DS-GVO im Mai 2018 in Kraft tritt, trifft aber spezielle Regelungen für den deutschen Rechtsraum. Bisher wurde die Erhebung, Verwendung, Speicherung und Löschung von persönlichen Daten der Arbeitnehmer in den meisten Betrieben im Rahmen einer IT- oder EDV-Betriebsvereinbarung geregelt. Der Betriebsrat als Organ der Arbeitnehmer schloss diese mit der Geschäftsleitung ab. Doch das neue Recht will mehr, „besondere Maßnahmen zur Wahrung der menschlichen Würde“ beispielsweise (das steht etwa einer heimlichen Videoüberwachung entgegen), zudem eine absolute Transparenz der Datenverarbeitung, verlässliche Datensicherheit und eine konkrete Zweckbindung der erhobenen Beschäftigtendaten. Auf einen ganzen Katalog von Rechten müssen die Arbeitgeber die Arbeitnehmer schon bei Begründung des Arbeitsverhältnisses hinweisen, darunter Auskunftsrechte, Widerrufsrechte, Löschungsrechte. Dies alles sollte in eine neue „Betriebsvereinbarung zum Schutz von Beschäftigtendaten“ einfließen, die die alte IT-Betriebsvereinbarung ablöst oder als Rahmen-Betriebsvereinbarung übergeordnet wird. In diesem Jahr stehen allerdings wieder Betriebsratswahlen an, sodass die Handlungsfähigkeit der Betriebsräte von März bis Ende Mai eingeschränkt sein kann.


Grundbegriffe

Schnell erklärt

  • Marktortprinzip“: Alle Unternehmen, die ihre Dienste auf dem europäischen Markt anbieten, sind unabhängig von ihrem Sitz an die Datenschutz-Grundverordnung gebunden.
  • One-Stop-Shop“: Für grenzüberschreitend tätige Unternehmen ist nur noch eine einzige Aufsichtsbehörde zuständig.
  • Recht auf Vergessenwerden“: Personenbezogene Daten unterliegen weitreichenden Löschpflichten.
  • Privacy by design“: Bereits bei der Entwicklung eines Produktes oder einer Technik muss der Datenschutz berücksichtigt werden. Laut „privacy by default“ muss der Produzent immer die datenschutzfreundlichste Voreinstellung wählen.

Zwar stehen deutsche Unternehmen im europäischen Vergleich sehr gut da […] Vorhandene ADV-Erklärungen müssen aber aktualisiert und die neuen, strengeren Pflichten aufgeführt werden.“
RA Dr. Alexander Duisberg


Anja Falkenstein, Rechtsanwältin, Karlsruhe

Unsere Whitepaper-Empfehlung
Aktuelles Heft
Titelbild Beschaffung aktuell 3
Ausgabe
3.2024
PRINT
ABO

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de