Seiten

Montag, 11. März 2019

Datenschutz & Informationssicherheit bei Geschäftspartnern: Worauf kommt es an?

Fehler bei einem Zulieferer können schwerwiegende Auswirkungen auf die eigenen Produkte haben. Das gilt nicht nur für das Qualitätsmanagement, sondern auch in Bezug auf Datenschutz & Informationssicherheit. Nicht nur der Einkauf sollte daran denken, sondern jeder einzelne Mitarbeiter im Unternehmen.


Teile und Schwachstellen zukaufen


Stellen Sie sich vor, ein Bauteil, das von einem Zulieferer stammt, ist fehlerhaft, und es wird trotzdem in das neue Fahrzeug eingefügt. Die Folge ist, dass das Fahrzeug nun einen Fehler aufweist, der je nach Art des Bauteils dramatische Auswirkungen haben kann. Denken Sie nur einmal an ein Bauteil wie einen Bremsklotz. Der zugekaufte Fehler kann Menschenleben bedrohen.

Datenschutz & Informationssicherheit in der Lieferkette

Die Gefahr, über eingekaufte Leistungen und Produkte den eigenen Produkten und Services Schwachstellen und Fehler zuzuführen, besteht in jeder Branche. Deshalb fordern Richtlinien für ein Qualitätsmanagement immer, dass auch die Qualität bei den Zulieferern geprüft und überwacht werden muss. Das Gleiche muss für Datenschutz & Informationssicherheit gelten.

Mängel bei Datenschutz & Informationssicherheit in der Lieferkette


Stellt ein Dienstleister oder Lieferant Ihres Unternehmens Datenschutz & Informationssicherheit nicht angemessen sicher, wirkt sich dies auch auf den Datenschutz in Ihrem Unternehmen aus. Hat der Lieferant Zugang zu den Kundendaten Ihres Unternehmens und sorgt selbst nicht für Datenschutz & Informationssicherheit, kann es passieren, dass ein Datendieb über die Schwachstellen Ihres Lieferanten an die Daten in Ihrem Unternehmen kommt.

Oder ein Softwaremodul, das Ihr Unternehmen nutzt, hat eine kritische Schwachstelle. Wenn Sie das Modul nutzen oder in andere Programme Ihres Unternehmens einfügen, dann lässt sich diese Schwachstelle bei Ihnen selbst ausnutzen. Eigentlich ist dies kein Geheimnis, und trotzdem achten zu wenige Unternehmen darauf, Datenschutz & Informationssicherheit bei ihren Geschäftspartnern zu hinterfragen, um selbst Datenschutz & Informationssicherheit angemessen gewährleisten zu können.

Datenschutz-Aufsichtsbehörden sehen Klärungsbedarf


Datenschutz-Aufsichtsbehörden wie das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) haben festgestellt, dass Meldungen von Datenschutzverletzungen fast immer das jeweilige Unternehmen selbst als verantwortlich bezeichnen, kaum jedoch einen Geschäftspartner oder Dienstleister.

Da nach der EU-Datenschutzgrundverordnung (EU-DSGVO) auch Verletzungen der Sicherheit bei Dienstleistern (sogar bei weiterer Unterauftragsvergabe) eine Meldeverpflichtung auslöst, stellte sich dem BayLDA die Frage, wieso es kaum Meldungen gibt, die von (internationalen) Dienstleistern ausgelöst werden. Offensichtlich fehlt das Bewusstsein dafür, dass Datenschutzmängel bei Geschäftspartnern den eigenen Datenschutz betreffen.

Ursachen für Verletzungen im Bereich Datenschutz & Informationssicherheit werden fast immer nur intern gesehen. Das entspricht aber absolut nicht den Tatsachen! Deshalb sollte nicht nur der Einkauf, sondern jeder, der mit Dienstleistern und anderen Geschäftspartnern zu tun hat, daran denken, dass Datenschutz & Informationssicherheit auch dort stimmen müssen, damit Datenschutz & Informationssicherheit im eigenen Unternehmen gewährleistet sind.

Kein Generalverdacht, sondern mehr Aufmerksamkeit


Es geht dabei nicht darum, jeden Geschäftspartner als Ursache von Mängeln im Bereich Datenschutz & Informationssicherheit zu betrachten und bei Problemen die Schuld immer bei anderen zu suchen. Vielmehr geht es darum, Datenschutz & Informationssicherheit genau wie bei der Qualität immer die ganze Lieferkette im Auge zu behalten. Beziehungen zu Dienstleistern und Geschäftspartnern verdienen viel Aufmerksamkeit – auch im Sinne von Datenschutz & Informationssicherheit.

Ein kurzes Quiz zum Thema gefällig?


Frage 1: Probleme im Bereich Datenschutz & Informationssicherheit sind anders als Qualitätsmängel. Fehler im Bereich Datenschutz & Informationssicherheit pflanzen sich nicht fort. Stimmt das?

  1. Nein, Schwachstellen bei Datenschutz & Informationssicherheit eines Partnerunternehmens können den eigenen Datenschutz und die eigene Informationssicherheit bedrohen.
  2. Ja, wer selbst im Bereich Datenschutz & Informationssicherheit gut aufgestellt ist, muss die Fehler der Lieferanten nicht fürchten.
Lösung: Die Antwort 1. ist richtig. Doch obwohl es selbstverständlich sein sollte, dass sich Probleme im Bereich Datenschutz & Informationssicherheit über die Lieferkette hinweg ausbreiten können, achten viele Unternehmen zu wenig auf das Datenschutzniveau der Geschäftspartner.

Frage 2: Jeder ist für seinen Datenschutz und seine Informationssicherheit selbst verantwortlich. Stimmt das?

  1. Ja, das stimmt, deshalb gibt es z.B. eine verantwortliche Stelle für den Datenschutz in jedem Unternehmen.
  2. Nein, zusätzlich ist man auch verantwortlich dafür, nur mit solchen Dienstleistern zusammenzuarbeiten, die ein angemessenes Niveau in den Bereichen Datenschutz und Informationssicherheit haben (Auftragsverarbeitung).
Lösung: Die Antworten 1. und 2. sind gemeinsam richtig, die Antwort 1 ist falsch, wenn man sie allein stehen lässt. Die EU-DSGVO kennt neben der Verantwortung auch die gemeinsame Verantwortung und die Beschränkung auf solche Dienstleister für eine Auftragsverarbeitung, die einen angemessenen Datenschutz nachweisen können. Unter einer gemeinsamen Verantwortlichkeit versteht man: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten fest, so sind sie gemeinsam Verantwortliche. Dies kann in einer Kooperation entlang der Lieferkette schnell der Fall sein.

Fragen / Anregungen


Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.