Datenschutz in der Lieferkette - DSGVO und Lieferkette – die Grundlagen

Die Datenschutz-Grundverordnung (DSGVO) betrifft nicht nur Ihr eigenes Unternehmen. Sie gilt auch für alle Partner, mit denen Sie zusammenarbeiten.

Das bedeutet:
Sobald externe Dienstleister personenbezogene Daten verarbeiten, greifen klare gesetzliche Regeln.

Viele Unternehmen wissen zwar, dass die DSGVO wichtig ist – aber nicht genau, wie sie in der Lieferkette anzuwenden ist.

In diesem Beitrag erfahren Sie:

  • welche Grundprinzipien der DSGVO gelten
  • welche Rolle Sie als Unternehmen haben
  • welche Pflichten gegenüber Dienstleistern bestehen
  • und wie Sie typische Fehler vermeiden

Die Grundprinzipien der DSGVO

Die DSGVO basiert auf mehreren zentralen Grundsätzen. Diese gelten auch in der Lieferkette.

1. Rechtmäßigkeit und Transparenz

Daten dürfen nur verarbeitet werden, wenn es eine rechtliche Grundlage gibt.

Das kann zum Beispiel sein:

  • Ein Vertrag
  • Eine Einwilligung
  • Eine gesetzliche Pflicht

Wichtig:
Die betroffenen Personen müssen wissen, was mit ihren Daten passiert.

2. Zweckbindung

Daten dürfen nur für einen bestimmten Zweck verwendet werden.

Beispiel:
Wenn Sie Daten für eine Bestellung erfassen, dürfen diese nicht einfach für Marketing genutzt werden.

3. Datenminimierung

Es dürfen nur die Daten verarbeitet werden, die wirklich notwendig sind.

Weniger Daten = weniger Risiko

4. Richtigkeit

Daten müssen korrekt und aktuell sein.

5. Speicherbegrenzung

Daten dürfen nicht unbegrenzt gespeichert werden.

6. Integrität und Vertraulichkeit

Daten müssen geschützt werden, z. B. durch:

  • Verschlüsselung
  • Zugriffsbeschränkungen
  • Sicherheitsmaßnahmen

Welche Rolle haben Sie als Unternehmen?

In der DSGVO gibt es zwei wichtige Rollen:

1. Verantwortlicher

Das sind Sie als Unternehmen.

Sie entscheiden:

  • warum Daten verarbeitet werden
  • wie Daten verarbeitet werden

Sie tragen die Hauptverantwortung !!!!!

2. Auftragsverarbeiter

Das sind Ihre Dienstleister.

Sie verarbeiten Daten in Ihrem Auftrag, z. B.:

  • Cloud-Anbieter
  • IT-Dienstleister
  • Newsletter-Tools

Sie handeln nach Ihren Vorgaben.

Warum ist die Rollenverteilung so wichtig?

Viele Unternehmen machen hier Fehler.

Die richtige Einordnung entscheidet darüber:

  • welche Verträge notwendig sind
  • wer welche Pflichten hat
  • wer haftet

Praxisbeispiel

Ein Unternehmen nutzt ein CRM-System:

  • Unternehmen = Verantwortlicher
  • CRM-Anbieter = Auftragsverarbeiter

Wenn diese Rollen falsch eingeordnet werden, kann das zu DSGVO-Verstößen führen.

Was ist Auftragsverarbeitung?

Von Auftragsverarbeitung spricht man, wenn ein Dienstleister personenbezogene Daten im Auftrag verarbeitet.

Das ist in der Praxis sehr häufig der Fall.

Typische Beispiele
  • Hosting-Anbieter
  • Lohnabrechnung
  • IT-Support
  • Cloud-Software
Der Auftragsverarbeitungsvertrag (AVV)

Wenn ein Dienstleister Daten verarbeitet, müssen Sie einen AV-Vertrag abschließen.

Dieser ist gesetzlich vorgeschrieben.

Was regelt der AV-Vertrag?
  • Zweck der Datenverarbeitung
  • Art der Daten
  • Sicherheitsmaßnahmen
  • Rechte und Pflichten beider Parteien
  • Kontrollrechte

 Ohne AV-Vertrag liegt ein DSGVO-Verstoß vor.

Ihre Pflichten gegenüber Dienstleistern

Als Verantwortlicher haben Sie mehrere Pflichten:

1. Auswahl geeigneter Dienstleister

Sie dürfen nur mit Partnern arbeiten, die Datenschutz gewährleisten können.

Prüfen Sie:

  • Sicherheitsmaßnahmen
  • Zertifizierungen
  • Erfahrungen

2. Abschluss von Verträgen

Ein AV-Vertrag ist Pflicht.

3. Kontrolle der Dienstleister

Sie müssen sicherstellen, dass der Dienstleister die Vorgaben einhält.

Das kann erfolgen durch:

  • Audits
  • Fragebögen
  • Nachweise

4. Dokumentation

Alle Prozesse müssen dokumentiert werden.

Beispiel:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Verträge
  • Risikoanalysen

Typische Fehler in der Praxis

Viele Unternehmen machen ähnliche Fehler:

1. Kein AV-Vertrag vorhanden

Ein sehr häufiger und kritischer Fehler.

2. Blindes Vertrauen

Dienstleister werden nicht geprüft.

3. Unklare Zuständigkeiten

Niemand weiß genau, wer verantwortlich ist.

4. Fehlende Dokumentation

Im Fall einer Prüfung fehlen Nachweise.

Datenübermittlung in Drittländer

Ein besonders wichtiges Thema in der Lieferkette ist die Übertragung von Daten ins Ausland.

Das betrifft vor allem Anbieter außerhalb der EU, z. B. in den USA.

Hier gelten besondere Regeln:
  • Angemessenheitsbeschluss oder
  • Standardvertragsklauseln

Ohne diese Maßnahmen ist die Datenübertragung unzulässig.

Praxisbeispiel: Typische Konstellation

Ein Unternehmen nutzt:

  • Google Workspace
  • ein CRM-System
  • einen externen IT-Dienstleister

Alle drei Anbieter verarbeiten personenbezogene Daten.

Notwendig sind:

  • AV-Verträge
  • Prüfung der Anbieter
  • ggf. Regelungen für Drittstaaten

Welche Folgen drohen bei Verstößen?

Die DSGVO sieht klare Sanktionen vor:

  • Bußgelder
  • Schadenersatzforderungen
  • Imageverlust
  • Vertrauensverlust

Gerade bei fehlenden Verträgen reagieren Aufsichtsbehörden sensibel.

Die DSGVO stellt klare Anforderungen an die Zusammenarbeit mit Dienstleistern.

Die wichtigsten Punkte:

  • Sie bleiben verantwortlich
  • Dienstleister müssen geprüft werden
  • AV-Verträge sind Pflicht
  • Datenschutz muss dokumentiert werden

Wenn Sie diese Grundlagen beachten, sind Sie bereits einen großen Schritt weiter.

Sie möchten sicherstellen, dass Ihre Dienstleister DSGVO-konform arbeiten?
Wir unterstützen Sie bei der Prüfung, Vertragsgestaltung und Umsetzung.

Jetzt Beratung anfragen auf www.datenschutz-prinz.de

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Abonnieren Sie auch gerne unseren Blog für mehr Informationen rund um die Themen Datenschutz, KI, IT-Sicherheit und digitale Awareness.


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Dokumente richtig schwärzen – typische Fehler und ...
Datenschutz endet mit dem Tod? – Gericht schafft K...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.