Blog

Geschrieben von

GDPR und Geschäftspartneranalysen

Ende Mai 2018 muss die EU-Datenschutzgrundverordnung von den verpflichteten Unternehmen umgesetzt werden. Dies bedeutet, dass die verpflichteten Unternehmen diese Vorschriften auch im Hinblick auf ihre Geschäftspartner umsetzen müssen. Datenschutz und Datensicherheit im Umgang mit personenbezogenen Daten, die auch im Geschäftsverkehr mit den Geschäftspartnern (third parties) ausgetauscht und transferiert werden, sind unbedingt einzuhalten. Was heisst das konkret? Die Compliance-Anfoderungen der EU-Datenschutzgrundverordnung haben auf die Third Parties eine ausstrahlende Wirkung. Das Unternehmen sollte die Risiken, Kontrollen und das Compliance-Niveau im Hinblick auf Third Parties überwachen. Diagnostizierte Schwachstellen sollten frühzeitig mitigiert werden.

Die Datenschutzgrundverordnung unterscheidet zwischen Datenverantwortlichen und Auftragsdatenverarbeitern. Diese müssen einen Datenschutzbeauftragten ernennen, Verzeichnisse von Verarbeitungstätigkeiten anfertigen, Datenverluste melden und Datenschutz-Folgeabschätzungen durchführen. Außerdem müssen datenschutzrechtliche Anforderungen durch Technikgestaltung und datenschutzfreundliche Voreinstellungen bei neu einzuführenden Tools eingehalten werden (privacy by design and default.)

Im Hinblick auf Third Parties ist hierbei festzuhalten,

  • wo personenbezogene Daten erfasst bzw. weiterverarbeitet werden,
  • welche internen Abteilungen mit Geschäftspartnern zusammenarbeiten,
  • in welchen Geschäftsprozessen diese Daten bearbeitet werden und
  • welche IT-Verfahren dafür verwendet werden.

Das Unternehmen sollte Richtlinien für Geschäftspartner und deren Datenzugang festlegen. Geschäftspartner und deren Daenzugriff lassen sich je nach Datensensibilität in Risikoklassen kategorisieren und durch risikoadäquate Kontrollen überwachen, so dass die Einhaltung der EU-DSGVO sichergestellt wird. Hierbei ist insbesondere die Einhaltung der Betroffenenrechte (z.B. Auskunftrecht, Recht auf Löschung, Recht auf Datenübertragbarkeit…) zu beachten. Die Verträge mit Geschäftspartnern sollten auch im Hinblick auf die Einhaltung der DSGVO angepasst werden. Die Analyse der Datenschutzfolgeabschätzung im Umgang mit Geschäftspartnern kann hierbei schon mal etwas aufwändig werden. Für den Umgang mit Risiken und das Incident-Management bei datenschutzrechtlichen Verletzungen sind Policies zu schreiben. In den Policies können dann Zuständigkeiten, Risikoindikatoren und Eskalationsmechanismen inklusive dem notwendigen Reporting an Aufsichtsbehörden geregelt werden.

Search

[contact-form-7 404 "Not Found"]

Wir nutzen verschiedene Cookies und andere Tracking-Technologien, um unser Internetangebot für unsere Nutzer möglichst attraktiv zu gestalten. Weitere Informationen hierzu finden Sie in unserer Datenschutzerklärung. Mit Klicken (OK) stimmen Sie der Nutzung zu. Datenschutzerklärung

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen