DSGVO und Einkauf: Schutz für personenbezogene Daten

Grundsätzlich sind alle Daten personenbezogen, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Eine natürliche Person ist jeder Mensch als Träger von bestimmten Rechten und Pflichten.

Die Arten personenbezogener Daten sind zahlreich. Dazu zählen unter anderem

  • allgemeine Personendaten wie Name, Geburtsdatum, Telefonnummer, Anschrift,
  • Kennnummern wie Sozialversicherungsnummer, Personalausweisnummer,
  • Bankdaten wie Kontonummer, Kreditinformationen,
  • Online-Daten wie IP-Adresse, Standortdaten,
  • physische Merkmale wie Geschlecht, Hautfarbe, Kleidergröße,
  • Besitzmerkmale wie Eigentum, Kfz-Kennzeichen, Grundbucheintragungen,
  • Kundendaten wie Bestellungen, Adressdaten, Kontodaten,
  • Werturteile (Zeugnisse) und
  • vieles mehr.

Darüber hinaus existieren besondere personenbezogene Daten, die eines erhöhten Schutzes bedürfen. Dazu zählen Angaben zur ethnischen Herkunft, zu politischen Ansichten, zur religiösen Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualität eines Menschen.

Wann ist laut DSGVO im Einkauf eine Einwilligung beim Kunden einzuholen?

Jeder Einkäufer hat mit oben genannten Daten zu tun. Bereits die Unterschrift, mit der ein Geschäftsführer oder Prokurist eines Lieferanten einen Auftrag bestätigt, ist ein sogenanntes personenbezogenes Datum. Daten wie diese dürfen zwar ohne Einwilligung verarbeitet werden, um den Auftrag abzuwickeln. Sobald der Vertrag erfüllt ist, müssen die Daten aber laut DSGVO grundsätzlich gelöscht werden. Zwar gibt es Ausnahmen, beispielsweise bei gesetzlichen Aufbewahrungspflichten oder um Rechtsansprüche geltend machen zu können, aber nur wenige.

Möchte ein Einkäufer Daten für andere Zwecke als für die unmittelbare Auftragsabwicklung nutzen, beispielsweise um sie in eine Lieferantendatenbank einzupflegen, benötigt er dazu die Einwilligung des Lieferanten. Wichtig: Wer bei Kunden Einwilligungen für die Verarbeitung personenbezogener Daten einholt, muss auf ein jederzeitiges Widerrufsrecht hinweisen. Wer Daten in großem Umfang verarbeitet und dafür besondere Technologien wie Cloud Computing einsetzt, muss außerdem eine Risikobewertung im Rahmen einer Datenschutzfolgenabschätzung abgeben.

Die Auswirkungen der DSGVO auf den Einkauf sollten ernst genommen werden. Die neue Datenschutzgrundverordnung sieht Bußgelder von bis zu 20 Millionen Euro (maximal aber vier Prozent des globalen Umsatzes) vor, wenn Unternehmen personenbezogene Daten nicht wie vorgeschrieben schützen.

Das ist gemäß DSGVO im Einkauf noch zu beachten

Die neue Datenschutzverordnung bringt eine Reihe weiterer Neuerungen mit sich, die Einkäufer kennen und anwenden sollten. Neu ist, dass Unternehmen den Aufsichtsbehörden Datenlecks binnen 72 Stunden melden müssen (Informationspflicht). Außerdem haben alle Unternehmen, die Daten verarbeiten, regelmäßig zu ermitteln, welche Risiken durch Datenverlust entstehen könnten (Datenschutzfolgeabschätzung), und einen Katalog über alle Datenverarbeitungsprozesse zu erstellen (Verarbeitungsverzeichnis). Darüber hinaus gibt es das „Recht auf Vergessenwerden“. Das bedeutet, Personen können verlangen, dass Ihre Daten gelöscht werden, wenn der Zweck der Datenverarbeitung erfüllt ist.

Eine detaillierte Übersicht über alle Anforderungen der neuen DSGVO findet der Einkauf auf der Website des Bundesministeriums für Wirtschaft und Energie.