DSGVO Europa

Die DSGVO und ihre Bedeutung für Food- & Handelsunternehmen

Das Thema Datenschutz ist in Deutschland zurzeit allgegenwärtig. Dies liegt unter anderem an der neuen Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt. Aber auch zuvor zählte Deutschland zu den Ländern mit den strengsten Auflagen, wenn es um den Schutz personenbezogener Daten geht. Dennoch ersetzt die neue DSGVO das bestehende Bundesdatenschutzgesetz vollumfänglich – und dies in ganz Europa.

Die neuen Richtlinien sind bindend für alle, auch für Unternehmen aus den Bereichen Food und Handel, die Daten von EU-Bürgern nutzen und diese verarbeiten oder speichern. Grundsätzlich gibt es keine Unterscheidung zwischen den Branchen – es sind alle Unternehmen betroffen, die personenbezogene Daten verarbeiten. Jedoch existieren Abstufungen für zum Beispiel Unternehmen, die weniger als 250 Mitarbeiter beschäftigen.

Überblick über die Lieferkette entscheidet

Vielen Handelsunternehmen ist nicht bewusst, dass bestimmte Prozesse und Datenübertragungen innerhalb der Lieferkette überarbeitet werden müssen. Zum Beispiel bilden einige Logistik- und Handelsunternehmen nicht die gesamte Lieferkette ab. Häufig gibt es verschiedene Sub-Unternehmen, die Aufgaben in Bereichen wie Transport oder Lagerung übernehmen.

Die verschiedenen Unternehmen arbeiten heutzutage oft mit Schnittstellen zwischen den jeweiligen Softwarelösungen und (externen) Organisationseinheiten, so dass jederzeit alle beteiligten Unternehmen einen Überblick über die Lieferkette und den aktuellen Status der Ware haben. Diese Daten erhalten in vielen Fällen jedoch auch personenbezogene Daten, unter anderem die Adresse des Kunden, Ansprechpartner beim Sub-Unternehmer oder auch den Namen des Lieferanten/Fahrers. Oft werden die Daten auch in Form von E-Mails ausgetauscht – auch hier gelten künftig spezielle Aufbewahrungs- und/oder Löschvorschriften.

Logistik- und Handelsunternehmen sollten den Austausch von Daten mit Sub-Unternehmen und Schnittstellen überprüfen.

Welche Prozesse angepasst werden müssen, hängt von den individuellen Vorgängen der Unternehmen ab. In jedem Fall ist eine ausführliche Recherche der Richtlinien anhand verlässlicher Quellen unabdingbar. Die Annahme, dass kleinere Unternehmen weniger stark betroffen sind als Konzerne, ist in den meisten Fällen falsch. Gleichzeitig sollte sich jedes Unternehmen darüber im Klaren sein, dass es sich nicht um eine einmalige Umsetzung zum 25. Mai handelt.

Der Umgang mit personenbezogenen Daten sollte regelmäßig überprüft werden – es handelt sich also um einen kontinuierlichen Arbeitsprozess.

Ein konkretes Beispiel ist § 15 Abs. 1 DSGVO, nachdem Betroffene das Recht haben zu erfragen, ob und welche personenbezogenen Daten verarbeitet werden. Bei der Umsetzung dieser Richtlinie kann z.B. eine Software helfen, mit der ein vollständiges Reporting einschließlich aller Stamm- und Bewegungsdaten erstellt werden kann. Dies schließt auch Drittlösungen ein, die mit dem System verbunden sind, beispielsweise Add-Ons oder angebundene Cloud-Services (auch Mail-Programme, CRM-Systeme oder andere Systeme sind davon betroffen).

Besonderheiten bei der Nutzung von Cloud-Diensten

Cloud-Lösungen sind heute ein fester Bestandteil der IT-Infrastruktur. Auch für die personenbezogenen Daten, die in einer Cloud gespeichert sind, gelten ab dem 25. Mai strenge Vorgaben für eine Auftragsverarbeitung. Jedoch sollte auch bedacht werden, dass die DSGVO viele Aspekte beinhaltet, die auch vorher bereits im Datenschutzrecht enthalten waren.

Der Umgang mit Daten in der Cloud in Bezug auf die neuen Regelungen ist ein besonderer Fall. Auch wenn die gesamte IT-Struktur aus einer Cloud bezogen wird oder virtuelle Maschinen zum Einsatz kommen, kann die Verantwortung für die Daten nicht vollständig an einen Drittanbieter abgetreten werden. Der Auftraggeber der Datenverarbeitung, also das Unternehmen, der Freiberufler oder die Organisation, die Daten in der Cloud speichern lassen, dürfen sich nicht einfach auf ihre Cloud-Dienstleister und dessen Datenschutzanspruch verlassen.

Dabei entsteht ein grundsätzliches Problem: Für viele Auftraggeber ist es schwierig, sich ein genaues Bild von den tatsächlich bei ihrem Dienstleister vorhandenen technischen und organisatorischen Schutzmaßnahmen (sog. TOMs) zu machen. Deswegen sieht die DSGVO eine verstärkte Nutzung von Zertifikaten vor, die dann beispielsweise andere Nachweise zu den technischen und organisatorischen Sicherheitsvorkehrungen der Cloud-Dienstleister ersetzen (sog. Konformitätserklärungen).

Ein klares Hauptaugenmerk der neuen DSGVO ist die Dokumentations- und Informationspflicht. Unternehmen, die die Dienste von Cloud-Anbietern nutzen, müssen zunächst mit dem Dienstleister gemeinsame Compliance-Regeln abstimmen. Aus Sicht eines Unternehmens ist es sinnvoll, die Regeln und Änderungen vertraglich festzuschreiben.

 

Sie interessieren sich für die Digitalisierung am Arbeitsplatz? Informieren Sie sich in unserem Beitrag Studie zum digitalen Arbeitsplatz: 3 Empfehlungen für Ihre Wettbewerbsfähigkeit.

Jetzt lesen

 

Hinweis: Die Datenschutz-Grundverordnung ist ein komplexes Thema. In vielen Bereichen sehen Rechtsexperten Interpretationsbedarf hinsichtlich der konkreten Auslegung im Unternehmensalltag. Die in diesem Beitrag dargestellten Informationen sind allgemeiner Art und stellen keine Rechtsberatung dar. Bitte konsultieren Sie zur Lösung von konkreten Rechtsfällen einen IT-Fachanwalt oder Ihren Datenschutzbeauftragten.

Fotos: pixabay.com/europe, pixabay.com/truck