Empfehlung: Was sollte der Einkauf jetzt tun?

  • In Kontakt treten mit dem eigenen Datenschutzbeauftragten:
    Wie sieht das Gesamtkonzept für das Unternehmen aus?
  • Mitarbeiter im Einkauf über die EU-DSGVO informieren
  • Eine Liste aller Speicherorte von personenbezogenen Daten erstellen
  • Gesamtkonzept zur internen und externen Information der Beteiligten erstellen
  • Aktuelle Verträge und Vereinbarungen mit Lieferanten systematisch dokumentieren und sichten
  • Falls Sie keine Datenschutzvereinbarung, aktuelle Zertifikate oder Qualitätssicherungsvereinbarungen mit Lieferanten haben:
    Nutzen Sie die Gelegenheit – aktualisieren Sie alle Vereinbarungen mit Lieferanten
  • In diesem Zusammenhang könnten/sollten auch einige Preise und Konditionen neu verhandelt werden
  • Dokumentation der Datenschutzvereinbarungen:
    Hier sollte über ein Gesamtkonzept zur Speicherung von Lieferantenbezogenen Daten nachgedacht werden; am besten eignet sich ein Lieferantenmanagement-Tool
  • Dezentrale Excel-Listen mit persönlichen Daten:
    Alte Versionen löschen, aktuelle zentral auf einem sicheren Server speichern und so schnell wie möglich in ein dokumentiertes Tool überführen
  • Wichtig im Sinne der EU-DSGVO ist die Dokumentation der Sicherheit, eine Risikoanalyse und schnelles Handeln

Die Uhr tickt! Bis zum 25. Mai müssen die Weichen im Einkauf in Sachen EU-Datenschutz-Grundverordnung gestellt sein: laufende Verträge und Umgang mit personenbezogenen Daten auf Konformität prüfen, Neuverträge entsprechend vorbereiten, Maßnahmen lückenlos belegen.

Die neugefasste EU-Datenschutz-Grundverordnung (EU-DSGVO) gilt für Konzerne ebenso wie für kleine Handwerksbetriebe. Die Übergangsfrist läuft bereits seit zwei Jahren, ab 25. Mai 2018 werden die Vorschriften unwiderruflich „scharf geschaltet“. Alle Datenschutzbehörden in den EU-Staaten können dann bei einem Verstoß hohe Geldbußen verhängen: bis zu vier Prozent des weltweiten Jahresumsatzes oder bis 20 Mio. Euro (Abschreckungswirkung). Wie strikt und ab wann die Vergehen verfolgt werden, ist noch nicht abzusehen. Dennoch sollte man sich auf „Abmahner“ einstellen. Auch Konkurrenten bzw. Wettbewerber werden bei anderen zuweilen nach Lücken suchen und diese „anzeigen“. Datenpannen sind nicht auszuschließen – wenn sich daraus ein Risiko für Betroffene ergibt (davon sollte man im Zweifel immer ausgehen), muss der Vorfall innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Zudem gilt: Sind mindestens zehn Mitarbeiter im Unternehmen ständig mit automatisierter Datenverarbeitung beschäftigt, ist ein Datenschutzbeauftragter an die Landesbehörde zu melden.

Die durch die Verordnung herbeizuführende Transparenz löst erhebliche Dokumentationspflichten aus. Etwa: Fällt die Zweckbindung weg, müssen auch die Daten (nachweislich) gelöscht werden. Das Unternehmen hat bei Beschwerden die Beweispflicht.

Kritisch sind auch Pflichtfelder auf Formularen (Datenminimierung!) und Altdatenbestände. Daten sind grundsätzlich aktuell zu halten, und man hat diese vor unbefugter Nutzung zu schützen. Stichwort: TOMs = Technisch Organisatorische Maßnahmen hinsichtlich Unterauftragnehmern, Trennungsgebot, Verfügbarkeitskontrolle, Eingabekontrolle, Weitergabekontrolle, Zugriffskontrolle und Zutrittskontrolle. Das Unternehmen hat den korrekten Umgang mit Daten nachzuweisen und nicht der Betroffene den Verstoß. Es reicht also nicht, Maßnahmen zu definieren und einzuleiten – darüber hinaus ist die Einhaltung lückenlos zu belegen.

Einkauf und Lieferantenmanagement: Mit Unmanaged Data aufräumen

In Verträgen, Vereinbarungen und Aufträgen mit Lieferanten, Dienstleistern und Partnern des Einkaufs müssen Schutz und Transparenz bei der Nutzung personenbezogener Daten berücksichtigt werden. Das gilt für alle internationalen Vertragsbeziehungen (hier genannt: General Data Protection Regulation, GDPR). Besonders der Datenaustausch mit Dienstleistern, Subunternehmern oder Auftragsdatenverarbeitern ist eine große Herausforderung. Alle laufenden Verträge sind hinsichtlich DSGVO-Konformität zu prüfen. Neuverträge brauchen eine solide Basis (neue Standards für alle Standorte und Fälle!). Unternehmen sollten in diesem Zusammenhang den Einsatz geeigneter Software-Tools für Vertragsmanagement prüfen, um Einheitlichkeit sicherzustellen.

Bei Lieferantenmanagement-Prozessen werden viele personenbezogene Lieferantenkontakte erhoben und gespeichert … etwa in CRM-Datenbanken, digitalen Telefonverzeichnissen, vor allem aber in Unmengen dezentral „geführter“ Excel-Listen bei einzelnen Mitarbeitern und Teams. Auch Video- und Bild-Dateien sind betroffen. Daraus ergibt sich die Pflicht, alle möglichen Datenspeicherorte „aufzuspüren“ und zusammenführen. Mitarbeitern muss eindeutig klar gemacht werden: Die Zeit des individuellen Hortens von Unmanaged Data ist endgültig vorbei; wer dagegen verstößt, hat mit Sanktionen zu rechnen. Das „Recht auf Vergessenwerden“ verpflichtet das Unternehmen, persönliche Daten innerhalb einer Frist „unverzüglich“ zu löschen, beispielsweise wenn diese nicht mehr notwendig sind oder auch wenn der Nutzer dieses fordert. Aufbewahrungsfristen aus anderen gesetzlichen Vorschriften dürfen dabei allerdings nicht außer Acht gelassen werden! In jedem Fall gilt: Sind persönlichen Daten in falsche Hände geraten, müssen betroffene Personen unverzüglich informiert werden (Grund: ernsthafte Bedrohung von Rechten und Freiheiten).


Einfaches Beispiel im Einkauf: Die meisten Unternehmen nutzen externe Druckdienstleister, etwa für den Versand von Weihnachtskarten an Lieferanten. Dem Dienstleister werden hierfür personalisierte Kontaktlisten zur Verfügung gestellt. Gelangen die Daten sicher zum Dienstleister? Sind diese übermittelten Daten dort in „sicheren Händen“? Was passiert intern mit der Datei? Es kommt schließlich nicht selten vor, dass die komplette Liste der Lieferantenkontaktdaten (und andere Daten) aufgrund einer falschen E-Mail-Adresse an die „Öffentlichkeit“ gelangt. Ein Lieferantenmanagement sollte daher nicht nur mehrwertstiftend und fokussiert designt werden, sondern auch die Grundlage für die Einhaltung der EU-Verordnung bilden.

Vertragsmanagement ernst nehmen

Gleiches gilt auch für ein nicht-vorhandenes Vertragsmanagement in Form einer dezentralen elektronischen Ablage. Die DSGVO beinhaltet strengere Anforderungen an rechtsgültige Zustimmungen von Datensubjekten. Besteht bereits eine Datenschutzvereinbarung mit einem Lieferanten, dann kann diese in den meisten Fällen bereits ausreichend sein (muss aber nicht!); besteht keine, dann ist sofortiger Handlungsbedarf gegeben. Und auch hier gelten die strengen Regelungen hinsichtlich der Dokumentation. Kann Ihr Einkauf auf Knopfdruck sagen, wieviel Prozent der Lieferanten heute bereits eine gültige Datenschutzvereinbarung haben? Genau wie bei personenbezogenen Daten ist eine zentrale Archivierung von Verträgen und Vereinbarungen notwendig.

Chance für professionelles Lieferantenmanagement

Im Gegensatz zu einer erfolgreichen Verhandlung mit Kostensenkung für das Unternehmen ist der Effekt eines Lieferantenmanagements nicht immer sofort greifbar. Ein professionelles Management von Lieferanten, von Registrierung bis Ausphasung, hat neben prozessualen Vorteilen vor allem eine sehr hohe Transparenz, eine einheitliche Informationsbasis sowie die Fokussierung auf die besten Lieferanten als Ergebnis. Und hinsichtlich der DSGVO bildet es die Grundlage für die Dokumentation des Datenschutzes. Zentral gespeicherte Daten über Kontaktpersonen, Verträge, Vereinbarungen und sonstige Daten von Lieferanten ermöglichen erst die Einhaltung des Datenschutzes. Und bei einer Ausphasung sind auch gleich die personenbezogenen Daten gelöscht.

Die DSGVO/GDPR ist ein weiterer Argumentationspunkt für die Einführung eines professionellen Lieferantenmanagements.

Mehr zur DSGVO:
Bundesministerium für Wirtschaft und Energie
Checkliste für die Umsetzung in Unternehmen
https://www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/datenschutzgrundverordnung.pdf?__blob=publicationFile&v=16

Die DSGVO
Das Europäische Parlament hat die DSGVO am 14. April 2016 mit breiter Mehrheit angenommen. Sie wird am 25. Mai 2018 nach einer Übergangsphase von zwei Jahren wirksam und bildet den datenschutzrechtlichen Rahmen innerhalb der Europäischen Union.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF

Oliver-KreienbrinkOliver Kreienbrink
Geschäftsführer der VDMG consult GmbH (Oberhausen)
http://vdmg-consult.de/

VDMG ist Spezialist für Lieferantenmanagement und Projekte zur Optimierung des Vertragsmanagements im Einkauf