Warum DSGVO-Compliance im Einkauf kein Einmalprojekt ist

Die DSGVO gehört auch 2019 zu den Top-Themen in Unternehmen. Noch im Herbst war jeder zehnte Betrieb laut einer Studie der Unternehmensberatung Capgemini nicht über das Planungsstadium hinausgekommen. Abgeschlossen dürfte der Prozess in den wenigsten Unternehmen sein. Der Einkauf mit seinen vielen Schnittstellen ist in besonderer Weise von den neuen Anforderungen betroffen.

Status quo der DSGVO-Umsetzung

Die Datenschutzgrundverordnung ist mit reichlich Medienwirbel am 25. Mai 2018 verbindlich in Kraft getreten. Nach einer zweijährigen Übergangsfrist, die jedoch viele Unternehmen zu spät zur Umstellung auf die neue Rechtslage genutzt haben. Nur ein Viertel der deutschen Unternehmen hatte im Herbst 2018 alle Anforderungen vollständig umgesetzt. Dabei drohen bei Verstößen empfindliche Strafen: 4 Prozent des weltweiten Unternehmensumsatzes und bis zu 20 Millionen Euro können als Bußgeld festgelegt werden, sollten die Regelungen nicht eingehalten werden.

Der Branchenverband Bitkom erklärt die langsame Umstellung damit, dass vielen Betrieben das Ausmaß der DSGVO erst im Prozess der Prüfung bestehender Systeme deutlich geworden ist. Was auf den ersten Blick wie eine simple Verschärfung des Datenschutzes ausgesehen hat, entpuppte sich als ein weitreichendes Paket neuer Anforderungen zum Umgang mit Daten und Informationen.

Acht von zehn Unternehmen beklagen in einer repräsentativen Bitkom-Befragung Mehraufwand seit Inkrafttreten der DSGVO und zwei Drittel geben an, dass ihre Unternehmensprozesse nun komplizierter geworden sind. Doch großzügig über einige Anforderungen hinwegzugehen und hoffen, dass bestehende Verträge schon passen, ist in diesem Fall ein schlechter Rat.

DSGVO im Einkauf besonders kritisch

Haben Sie die Änderungen der DSGVO in Ihren Einkaufs- und Beschaffungsprozessen nicht systematisch und detailliert integriert, ist die Wahrscheinlichkeit hoch, dass Ihre bisherigen Standards nicht ausreichen, um den neuen Anforderungen zu entsprechen.

Die Arbeit im Einkauf ist daten- und kommunikationsintensiv. Es bestehen sowohl viele Schnittstellen nach außen zu Lieferanten und Geschäftspartnern als auch nach innen zu anderen Abteilungen und ihren Mitarbeitern. In jeder dieser Beziehungen hat die DSGVO neue Informationspflichten und Datenschutzanforderungen bewirkt.

Im Einkauf wird permanent mit personenbezogenen Daten gearbeitet: Ein neuer Lieferant unterschreibt einen Vertrag, ein Prokurist eines Geschäftspartners hinterlässt seine Kontaktdaten für ein Angebot, ein Dienstleister bestätigt per E-Mail eine Bestellung. Immer greift die DSGVO. Vor- und Nachname, E-Mail-Adresse oder Daten, die in Kombination Rückschlüsse auf die Identität der Person zu lassen sind täglich Gegenstand im Einkauf.

Wesentliche Veränderungen

Konsequent umgesetzt, führt die DSGVO zu einer Reihe Veränderungen in den Prozessen der Supply Chain. Die wichtigsten Änderungen ergeben sich aus folgenden Prinzipien:

  • Recht auf Vergessenwerden
  • Informations- und Meldepflicht
  • Dokumentationspflicht
  • Privacy by Design

Recht auf Vergessenwerden

Daten eines Geschäftspartners müssen gelöscht werden, sobald ein Vertrag erfüllt ist. Der Grundsatz der DSGVO gilt, es sei denn, ein Rechtsanspruch soll durchgesetzt werden oder es greifen seltene Ausnahmen wie gesetzliche Aufbewahrungsfristen. Grundsätzlich müssen Sie daher bei Lieferanten die Einwilligung für die Verarbeitung personenbezogener Daten einholen und auf das jederzeitige Widerrufsrecht hinweisen. Denn hier greift das neue Recht auf Vergessenwerden. Personen können verlangen, dass ihre Daten gelöscht werden, wenn der Zweck der Datenverarbeitung erfüllt ist – das gilt für Geschäftspartner wie für Privatpersonen.

Informations- und Meldepflicht

Auch neu ist die Pflicht von Unternehmen, Datenpannen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde, d.h. dem Datenschutzbeauftragten des Bundeslandes, mitzuteilen. Um dieser Pflicht nachzukommen, ist es notwendig, dass Sie für solche Fälle klare Prozesse implementieren. Da Unternehmen sich kontinuierlich in Veränderung befinden, empfiehlt es sich, diese regelmäßig auf Aktualität zu überprüfen.

Grundsätzlich sind Unternehmen, die große Datenmengen mit Technologien wie Cloud-Lösungen verarbeiten, nun verpflichtet, regelmäßig zu ermitteln, welche Risiken bei Datenverlust entstehen (Datenschutzfolgenabschätzung).

Dokumentationspflicht

Die Namen der Bieter für eines Ihrer Großprojekte finden sich im Netz wieder? Die E-Mailadressen Ihrer Lieferanten sind von einem Hackerangriff betroffen? Kommt es zu einem Verstoß gegen den Datenschutz und fordert eine betroffene Person Schadenersatz, zahlt sich die nun verpflichtende Dokumentation für das Unternehmen aus. Denn anders als früher gilt Beweislastumkehr. Ihr Unternehmen ist verantwortlich, die Datenschutzgrundsätze einzuhalten und muss dies nachweisen.

Daher müssen Verarbeitungsverzeichnisse für sämtliche Datenverarbeitungsprozesse angelegt werden. Sie aktuell zu halten, ist ein Mehraufwand, der aber gut investiert ist, wollen Unternehmen unbegründete Ansprüche abwehren.

Privacy by Design

Kauft ein Unternehmen Komponenten bei Lieferanten ein, die in einem Endprodukt verbaut werden, ist seit Inkrafttreten der DSGVO besondere Vorsicht geboten. Die verbauten Komponenten müssen im Auslieferungszustand so konfiguriert sein, dass sie nur ein Minimum an Daten erheben. Dies sicherzustellen, ist allerdings nicht Pflicht des Lieferanten, sondern des Unternehmens. Da es nicht immer möglich ist, die Einstellungen zu überprüfen, sollten sich Einkäufer dies vertraglich zusichern lassen.

Grundsätzlich sollten Einkäufer mit ihren Lieferant Auftragsverarbeitungsverträge abschließen, in denen sie diese verpflichten die gleichen Datenschutzstandards herzustellen wie dies intern geschieht. Nur so können Unternehmen rechtssicher belegen, dass sie alles getan haben, um zu gewährleisten, dass auch ihre Geschäftspartner die Regelungen der DSGVO einhalten.

Prozesse allein reichen nicht

Die DSGVO wurde in der Vergangenheit häufig als einmalige Umstellung kommuniziert. Unternehmen müssten ihre Verträge und ihre Prozesse einmalig anpassen und könnten das Thema dann abhaken. Doch diese Herangehensweise greift zu kurz.

Zunächst müssen Unternehmen tatsächlich alle Datenströme im Einkauf überprüfen, katalogisieren und gegebenenfalls verändern sowie Verträge bewerten und anpassen. Danach gilt es auch die verwendete IT in Frage zu stellen. Denn die Einhaltung aller Anforderungen ist nur möglich, wenn neben der organisatorischen auch die technologische Basis stimmt. Sind Ihre Procurement-Systeme geeignet, die DSGVO-Anforderungen zu erfüllen? Ist die IT-Sicherheit ausreichend?

Nachdem IT-Lösungen und Prozesse auf den aktuellen Stand gebracht sind, fehlt ein wesentlicher Schritt: Unternehmen benötigen ein Controlling, um sicherzugehen, dass die neuen Systeme auch in der Praxis angewendet werden. Denn Unternehmen sind lebendig. Neue Tools, strategische Richtungswechsel und Personalveränderungen können dazu führen, dass Dokumentationen nicht mehr aktuell und definierte Prozesse nicht mehr gelebt werden. Implementieren Sie daher einen übergeordneten, abteilungsübergreifenden Datenschutzplan.

Lassen Sie regelmäßig Berichte anfertigen, um DSGVO-Compliance nicht nur in der Theorie, sondern auch in der Praxis einzuhalten. Dabei bietet sich eine dreiteilige Gliederung des Controllings an:

  1. Betriebliche Maßnahmen: Welche technischen und organisatorischen Maßnahmen zur Einhaltung der DSGVO bestehen?
  2. Drittanbieter-Management: Wie ist sichergestellt, dass Lieferanten und Geschäftspartner die DSGVO einhalten?
  3. Verfahrensweisen: Wie sind die Prozesse gestaltet, die bei Datenschutzverstößen in Kraft treten?

Haben Sie die Prozesse zu Datenschutz und Controlling einmal aufgebaut, ist die Mehrbelastung durch die neuen DSGVO-Anforderungen überschaubar. Doch gewöhnen Sie sich nicht allzu sehr an den neuen Datenschutzalltag. Auf EU-Ebene wird bereits das nächste Regelwerk überarbeitet. Die ePrivacy-Verordnung soll die DSGVO im Bereich der elektronischen Kommunikation ergänzen. Allerdings wird sie vor allem die Marketingabteilungen betreffen und – anders als die DSGVO – den Einkauf nur am Rand berühren.

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt

Geben Sie Ihren Suchbegriff ein.