Was Einkäufer über das Thema Datenschutz wissen sollten

Auftragsdatenverarbeitung durch Dienstleister

Soll eine Dienstleistung eingekauft werden, ist das Thema Datenschutz immer ein wesentlicher Punkt. Doch besonders wichtig wird es, wenn es sich um eine Auftragsdatenverarbeitung handelt, wenn also personenbezogene Daten zur Bearbeitung an einen Anbieter weitergegeben werden. Hier ist es nicht nur empfohlen, sondern laut § 11 des Bundesdatenschutzgesetzes gesetzlich gefordert, eine sorgfältige Auswahl zu treffen, den Anbieter auf Einhaltung der Datenschutzpflichten zu überprüfen und einen entsprechenden Vertrag abzuschließen. 

Vielen Unternehmen fehlt jedoch das Bewusstsein dafür, dass die Daten in ihrem Besitz die Bedeutung beziehungsweise den Wert von Kronjuwelen haben. Die Ergebnisse des Datenschutzindikators (DSI) von TÜV SÜD und der Ludwig-Maximilians-Universität (LMU) München zeigen, dass nur 42 Prozent der befragten Betriebe tatsächlich Verträge zur Auftragsdatenverarbeitung mit ihren Auftragnehmern geschlossen haben. Noch weniger – nur 23 Prozent – prüfen regelmäßig die Einhaltung der Datenschutzpflichten ihrer Dienstleister und dokumentieren das Ergebnis in regelmäßigen Abständen. 

Unternehmen drohen hohe Bußgelder

Wer in diesen Bereichen nicht gut aufgestellt ist, kann nicht einschätzen, ob die Daten beim Dienstleister wirklich gut aufgehoben sind. Das stellt ein erhebliches Risiko dar und kann ernste Konsequenzen für das Unternehmen haben. Abgesehen davon, dass bei einem Vorfall das Image stark geschädigt wird, kann es auch durch Kontrollen zu empfindlichen finanziellen Schäden kommen. Denn ist kein Vertrag zur Auftragsdatenverarbeitung vorhanden oder dieser nicht korrekt beziehungsweise nicht vollständig abgeschlossen, kann ein Bußgeld in Höhe von bis zu 50.000 Euro fällig werden. Um das Unternehmen also vor größeren Schäden zu bewahren, sollte schon der Einkäufer bei der Auswahl des Dienstleisters auf den Datenschutz achten. 

Internet der Dinge – Produkte mit Netzwerkverbindung

Nicht nur bei Dienstleistern ist der Datenschutz ein entscheidender Aspekt. Da wir uns immer stärker im Internet der Dinge – also der intelligenten Vernetzung von Gegenständen mit dem Internet – bewegen, haben mehr und mehr Produkte eine Netzwerkanbindung und übertragen Daten. 

Hier stellt sich die Frage, wie die gewünschten Produkte konfiguriert und ausgestattet sind. Lassen sie sich wirklich ohne Bedenken in die Fertigung einbinden oder besteht das Risiko, dass hier eine gefährliche Sicherheitslücke entsteht, über die Hacker eindringen und Schaden anrichten können? Aus diesen Fragen heraus sollte bereits beim Einkauf auf die Datensicherheit geachtet werden. 

Datenrisiken durch Cloud-Anbieter

Einen weiteren Bereich, bei dem Einkäufer zu wenig an das Thema Sicherheit denken, bilden Software-Produkte, die über das Internet erreichbar sind und sich in der Cloud befinden. Früher wurde jede Software als Paket gekauft und lokal installiert. In der heutigen Zeit der Digitalisierung wird mehr und mehr Software as a Service (SaaS) betrieben. Dabei greift der Nutzer auf Lösungen zu, die bei Drittanbietern und oft auch in der Cloud hinterlegt sind. Das spart zwar Speicherplatz und Kosten für Hardware, birgt aber neue Risiken. Daher muss sich der Einkäufer auch hier die Frage stellen: Wie sind die Lösungen abgesichert? Liegen meine Daten sicher in der Cloud

Bei diesen Dienstleistern ist es ebenfalls in den meisten Fällen erforderlich, einen Vertrag entsprechend dem der Auftragsdatenverarbeitung abzuschließen. Klarheit bringt auch ein Penetrationstest, mit dem Schwachstellen der IT für Angriffe von außen festgestellt werden und der in Abstimmung mit dem Software-Anbieter durch entsprechende IT-Sicherheitsspezialisten durchgeführt werden kann. Viele Anbieter sind in diesem Bereich proaktiv und stellen auf Nachfrage entsprechende Prüfberichte oder Zertifikate zur Verfügung. 

E-Procurement – sicher einkaufen

Im B2B-Bereich sind bekanntermaßen immer mehr E-Procurement-Lösungen im Einsatz. Bestellungen können so über Electronic Data Exchange (EDE)-Systeme oder eigene Online-Procurement-Lösungen der Unternehmen abgewickelt werden. Daran sind die einzelnen Händler angebunden. Es gibt sogar bereits Systeme, die automatisch Bestellungen anstoßen, wenn Bestände fast aufgebraucht sind. Hier gilt dasselbe wie für Online-Lösungen von Software: Sie müssen sicher sein und die übermittelten Daten vor unbefugtem Zugriff schützen. 

Bevor die Wahl für ein solches System getroffen wird, ist genau zu prüfen, ob diese Voraussetzungen erfüllt sind. Es bietet sich auch hier an, einen Penetrationstest durch einen unabhängigen Dritten durchführen zu lassen. Nutzen Unternehmen das System eines anderen Anbieters, empfiehlt es sich auch hier, auf Zertifikate oder Prüfungen zu bestehen, um die Vertraulichkeit, Verfügbarkeit und Integrität der hinterlegten Daten sicherzustellen. 

Bei Unsicherheit: Experten fragen!

Wer sich nicht sicher ist, ob die eigenen Datenschutzmaßnahmen oder die eines relevanten Dienstleisters ausreichend sind oder ein gewünschtes Produkt den Anforderungen genügt, sollte sich an die betrieblichen Datenschutzbeauftragten wenden. Sie sind die Experten in diesem Bereich und können beratend zur Seite stehen. Gibt es kein ausreichendes Know-how im eigenen Betrieb, können auch externe Experten etwa von TÜV SÜD zurate gezogen werden. 

Wer selbst einen Eindruck gewinnen möchte, wie das eigene Unternehmen in Sachen Datenschutz aufgestellt ist, kann am TÜV SÜD Datenschutzindikator teilnehmen. Die Bewertungen der Antworten sind um hilfreiche Tipps ergänzt, und Sie können bei einem schlechten Ergebnis gleich sehen, wie es besser gemacht werden kann.