EU-DSGVO/GDPR: Risiko und Chance zugleich?

Im Mai 2018 treten mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) beziehungsweise den GDPR-Richtlinien deutlich verschärfte Vorschriften für den Datenschutz in Kraft. Durch ihre Schnittstellen-Position mit vielfältigen Verknüpfungen werden speziell Einkaufs-abteilungen die Auswirkungen deutlich zu spüren bekommen. Doch viele Unternehmen sind noch gänzlich unvorbereitet – angesichts drohender Strafen in Millionenhöhe ein riskantes Spiel.

Praktisch alle Unternehmen sind betroffen

Der 25. Mai 2018 markiert für Unternehmen jeder Größe eine wichtige Zäsur. Denn an diesem Tag tritt mit der General Data Protection Regulation (kurz: GDPR) eine der weltweit bislang wohl umfangreichsten Datenschutzregelungen in Kraft. Bekannt auch als EU-DSGVO (Datenschutz-Grundverordnung), enthalten diese Richtlinien ein Regelwerk für den Umgang mit personenbezogenen Daten.

Betroffen sind nicht nur Unternehmen, die ihren Hauptsitz innerhalb der Europäischen Union haben, sondern grundsätzlich alle Firmen, die Daten von EU-Bürgern verarbeiten. In der Praxis bedeutet dies, dass nahezu alle global agierenden Unternehmen auf die eine oder andere Weise Berührungspunkte zu den DSGVO-Bestimmungen haben.

Vorsicht: Die möglichen Strafen bei Nichtbeachtung sind horrend

Wichtig zu wissen: Bei der EU-DSGVO handelt es sich keinesfalls um eine „Handlungsempfehlung“ oder grobe „Richtlinie“, deren strikte Befolgung oder Nicht-Befolgung den einzelnen Unternehmen selbst überlassen wird. Ganz im Gegenteil: Die möglichen Strafen für Verstöße sind bewusst horrend hoch und abschreckend gewählt, um die Bedeutung der Verordnungen zu unterstreichen. So sind Strafen angekündigt, die sich zwischen 10 und 20 Millionen Euro oder bis zu 2-4 % des Jahresumsatzes (weltweit beziehungsweise Umsatz der gesamten Unternehmensgruppe) bewegen können. Die möglichen Bußgelder sind also als empfindlich bis existenzbedrohend einzustufen.

Vielfach Vertragsanpassungen mit Lieferanten erforderlich

Einkauf und Beschaffung stehen nun einmal mehr auf ganz besondere Weise im Blickfeld, denn in der Regel unterhalten Unternehmen sehr vielfältige Vertragsbeziehungen mit Lieferanten, Zulieferern und Partnern in verschiedenen Ländern. Wer sicherstellen will, dass die Kooperationen DSGVO-konform ausgestaltet sind, der muss seine Vereinbarungen und Arbeitsweisen einer genauen Prüfung unterziehen und gegebenenfalls anpassen. 

Dabei sind die Inhalte so vielfältig, dass es mit Schnellschüssen und kleinen, homöopathischen Retuschen in aller Regel nicht getan ist. Vorgeschrieben wird neben geeigneten technischen Schutzmaßnahmen zum Beispiel ein hoher Grad an Transparenz bei der Nutzung von personenbezogenen Daten, die zudem ausschließlich für den ursprünglich vorgesehenen Zweck genutzt werden dürfen. Unnötige Transfers von Daten sind zu vermeiden – dies gilt in der Praxis insbesondere für den Datenaustausch mit außereuropäischen Ländern, in denen keine vergleichbaren Datenschutzregelungen zur Anwendung kommen. Für Einkäufer könnte sich hier beispielsweise gerade mit Blick auf die Beschaffung in Niedriglohnländern und die wechselseitige Abstimmung mit dortigen Lieferanten die eine oder andere Problematik ergeben. Denn ausdrücklich werden im Rahmen der neuen Verordnung auch Verträge mit Auftragsdatenbearbeitern und Subunternehmern einbezogen.

Umfangreiche Dokumentationspflichten

Damit allein ist es jedoch noch nicht getan: DSGVO/GDPR beinhalten gleichzeitig auch weitreichende Pflichten zur Dokumentation. Das bedeutet: Es genügt nicht nur, die entsprechenden Schritte in die Wege zu leiten und umzusetzen, sondern die Einhaltung des Datenschutzes muss auch lückenlos belegt werden können. Dazu zählen auch Risikoberichte, falls trotz getroffener Maßnahmen Datenschutzprobleme bestehen, sowie Protokolle bei entsprechend meldepflichtigen Vorfällen und Datenschutzverstößen.

Jetzt handeln und zusätzliche Vorteile sichern

Ein weites Feld mit vielen potenziellen Fallstricken also. Für Unternehmen, die vorausschauend planen, bietet sich jetzt allerdings auch noch die Chance, die EU-DSGVO zum Vorteil zu nutzen. Erfahrungsgemäß wird vielen Abteilungen und Firmen die ganze Tragweite der Verordnungen erst mit dem tatsächlichen Inkrafttreten oder dem Bekanntwerden erster Sanktionen wirklich bewusst. Firmen und Einkaufs-Verantwortliche, die jetzt reagieren und die richtigen Weichen stellen, können sich eine optimale Wettbewerbsposition erarbeiten. Zudem besteht die günstige Gelegenheit, Verträge mit Lieferanten im Zuge der DSGVO-Anpassung auch grundsätzlich zu optimieren, für die Zukunft fit zu machen und so doppelt zu profitieren.

Langjährige Erfahrung in der Vertragsanpassung

Efficio bietet Unternehmen, die sich auf die DSGVO-Bestimmungen vorbereiten möchten, umfangreiche Unterstützung an, die von Beratungsleistungen über Workshops bis hin zur konkreten Vertragsanpassung und kompletten Programmen zur Vertragssanierung reicht. Für diese Zwecke haben wir praxisbewährte Instrumente, Prozesse und Methoden entwickelt, die schnelle, gut strukturierte Arbeitsabläufe ermöglichen – eine wichtige Voraussetzung, gerade angesichts des nahenden Stichtags. Unsere Klienten profitieren zu jedem Zeitpunkt von unserer langjährigen Expertise im Bereich der Vertragsanpassung.

Gerne informieren wir Sie im Detail und individuell darüber, wie die Einkaufsberater von Efficio Sie bei der Vorbereitung auf EU-DSGVO/GDPR unterstützen können.

Für weitere Informationen kontaktieren Sie bitte:

Tim von der Decken
Vice President
Efficio GmbH
+49 171 477 3228
tim.vonderdecken@efficioconsulting.com