Datenschutz in der Lieferkette - DSGVO und Lieferkette – die Grundlagen

Die Datenschutz-Grundverordnung (DSGVO) betrifft nicht nur Ihr eigenes Unternehmen. Sie gilt auch für alle Partner, mit denen Sie zusammenarbeiten.

Das bedeutet:
Sobald externe Dienstleister personenbezogene Daten verarbeiten, greifen klare gesetzliche Regeln.

Viele Unternehmen wissen zwar, dass die DSGVO wichtig ist – aber nicht genau, wie sie in der Lieferkette anzuwenden ist.

In diesem Beitrag erfahren Sie:

welche Grundprinzipien der DSGVO gelten
welche Rolle Sie als Unternehmen haben
welche Pflichten gegenüber Dienstleistern bestehen
und wie Sie typische Fehler vermeiden

Die Grundprinzipien der DSGVO

Die DSGVO basiert auf mehreren zentralen Grundsätzen. Diese gelten auch in der Lieferkette.

1. Rechtmäßigkeit und Transparenz

Daten dürfen nur verarbeitet werden, wenn es eine rechtliche Grundlage gibt.

Das kann zum Beispiel sein:

Ein Vertrag
Eine Einwilligung
Eine gesetzliche Pflicht

Wichtig:
Die betroffenen Personen müssen wissen, was mit ihren Daten passiert.

2. Zweckbindung

Daten dürfen nur für einen bestimmten Zweck verwendet werden.

Beispiel:
Wenn Sie Daten für eine Bestellung erfassen, dürfen diese nicht einfach für Marketing genutzt werden.

3. Datenminimierung

Es dürfen nur die Daten verarbeitet werden, die wirklich notwendig sind.

Weniger Daten = weniger Risiko

4. Richtigkeit

Daten müssen korrekt und aktuell sein.

5. Speicherbegrenzung

Daten dürfen nicht unbegrenzt gespeichert werden.

6. Integrität und Vertraulichkeit

Daten müssen geschützt werden, z. B. durch:

Verschlüsselung
Zugriffsbeschränkungen
Sicherheitsmaßnahmen

Welche Rolle haben Sie als Unternehmen?

In der DSGVO gibt es zwei wichtige Rollen:

1. Verantwortlicher

Das sind Sie als Unternehmen.

Sie entscheiden:

warum Daten verarbeitet werden
wie Daten verarbeitet werden

Sie tragen die Hauptverantwortung !!!!!

2. Auftragsverarbeiter

Das sind Ihre Dienstleister.

Sie verarbeiten Daten in Ihrem Auftrag, z. B.:

Cloud-Anbieter
IT-Dienstleister
Newsletter-Tools

Sie handeln nach Ihren Vorgaben.

Warum ist die Rollenverteilung so wichtig?

Viele Unternehmen machen hier Fehler.

Die richtige Einordnung entscheidet darüber:

welche Verträge notwendig sind
wer welche Pflichten hat
wer haftet

Praxisbeispiel

Ein Unternehmen nutzt ein CRM-System:

Unternehmen = Verantwortlicher
CRM-Anbieter = Auftragsverarbeiter

Wenn diese Rollen falsch eingeordnet werden, kann das zu DSGVO-Verstößen führen.

Was ist Auftragsverarbeitung?

Von Auftragsverarbeitung spricht man, wenn ein Dienstleister personenbezogene Daten im Auftrag verarbeitet.

Das ist in der Praxis sehr häufig der Fall.

Typische Beispiele

Hosting-Anbieter
Lohnabrechnung
IT-Support
Cloud-Software

Der Auftragsverarbeitungsvertrag (AVV)

Wenn ein Dienstleister Daten verarbeitet, müssen Sie einen AV-Vertrag abschließen.

Dieser ist gesetzlich vorgeschrieben.

Was regelt der AV-Vertrag?

Zweck der Datenverarbeitung
Art der Daten
Sicherheitsmaßnahmen
Rechte und Pflichten beider Parteien
Kontrollrechte

Ohne AV-Vertrag liegt ein DSGVO-Verstoß vor.

Ihre Pflichten gegenüber Dienstleistern

Als Verantwortlicher haben Sie mehrere Pflichten:

1. Auswahl geeigneter Dienstleister

Sie dürfen nur mit Partnern arbeiten, die Datenschutz gewährleisten können.

Prüfen Sie:

Sicherheitsmaßnahmen
Zertifizierungen
Erfahrungen

2. Abschluss von Verträgen

Ein AV-Vertrag ist Pflicht.

3. Kontrolle der Dienstleister

Sie müssen sicherstellen, dass der Dienstleister die Vorgaben einhält.

Das kann erfolgen durch:

Audits
Fragebögen
Nachweise

4. Dokumentation

Alle Prozesse müssen dokumentiert werden.

Beispiel:

Verzeichnis von Verarbeitungstätigkeiten
Verträge
Risikoanalysen

Typische Fehler in der Praxis

Viele Unternehmen machen ähnliche Fehler:

1. Kein AV-Vertrag vorhanden

Ein sehr häufiger und kritischer Fehler.

2. Blindes Vertrauen

Dienstleister werden nicht geprüft.

3. Unklare Zuständigkeiten

Niemand weiß genau, wer verantwortlich ist.

4. Fehlende Dokumentation

Im Fall einer Prüfung fehlen Nachweise.

Datenübermittlung in Drittländer

Ein besonders wichtiges Thema in der Lieferkette ist die Übertragung von Daten ins Ausland.

Das betrifft vor allem Anbieter außerhalb der EU, z. B. in den USA.

Hier gelten besondere Regeln:

Angemessenheitsbeschluss oder
Standardvertragsklauseln

Ohne diese Maßnahmen ist die Datenübertragung unzulässig.

Praxisbeispiel: Typische Konstellation

Ein Unternehmen nutzt:

Google Workspace
ein CRM-System
einen externen IT-Dienstleister

Alle drei Anbieter verarbeiten personenbezogene Daten.

Notwendig sind:

AV-Verträge
Prüfung der Anbieter
ggf. Regelungen für Drittstaaten

Welche Folgen drohen bei Verstößen?

Die DSGVO sieht klare Sanktionen vor:

Bußgelder
Schadenersatzforderungen
Imageverlust
Vertrauensverlust

Gerade bei fehlenden Verträgen reagieren Aufsichtsbehörden sensibel.

Die DSGVO stellt klare Anforderungen an die Zusammenarbeit mit Dienstleistern.

Die wichtigsten Punkte:

Sie bleiben verantwortlich
Dienstleister müssen geprüft werden
AV-Verträge sind Pflicht
Datenschutz muss dokumentiert werden

Wenn Sie diese Grundlagen beachten, sind Sie bereits einen großen Schritt weiter.

Sie möchten sicherstellen, dass Ihre Dienstleister DSGVO-konform arbeiten?
Wir unterstützen Sie bei der Prüfung, Vertragsgestaltung und Umsetzung.

Jetzt Beratung anfragen auf www.datenschutz-prinz.de

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Abonnieren Sie auch gerne unseren Blog für mehr Informationen rund um die Themen Datenschutz, KI, IT-Sicherheit und digitale Awareness.