Big Data im Einkauf: Das neue Gesetz
Publiziert am
Mit den sich ständig weiterentwickelnden Informationstechnologien wächst das Datenaufkommen kontinuierlich an. Es sind jedoch nicht die Datenmengen an sich, die von Bedeutung sind. Von Interesse für Organisationen ist vielmehr der Nutzen, der daraus gezogen werden kann. Unternehmenserfolg wird vermehrt davon abhängen, ob und wie gezielt Datenmengen analysiert, Informationen daraus generiert und verwertet werden können.
Allerdings sind bei der Nutzung und Bearbeitung von personenbezogenen Daten rechtliche Vorgaben zu berücksichtigen. Wer auf dem Markt wettbewerbsfähig bleiben will, hat die Einhaltung des Datenschutzes sicherzustellen und die Informations- und Kommunikationstechnologie zu beachten – eine,
angesichts der Digitalisierung und der zunehmenden Regulierung, komplexe und fortwährende Aufgabe.
Datenaustausch in der Lieferkette
Im internationalen Beschaffungswesen kommt es regelmässig zum Austausch personenbezogener Daten, beispielsweise Adressdaten, Daten von Kunden und Zulieferern. Diese ermöglichen einzeln oder in Kombi-nation eine eindeutige Identifizierung einer natürlichen Person.
Bei einem Datentransfer an eine Drittpartei muss also geprüft werden, ob die weitergegebenen persönlichen Daten ausreichen, um eine natürliche Person eindeutig zu identifizieren. Ist dies der Fall, so sind eine Reihe von datenschutzrechtlichen Aspekten zu beachten.
Sofern personenbezogene Daten an eine Drittpartei übertragen werden, muss vertraglich sichergestellt werden, dass auch diese die einschlägigen Datenschutzvorschriften berücksichtigt. Abhängig davon, ob die
Drittpartei ein sogenannter Auftragsbearbeiter ist oder ein gemeinsamer Verantwort-
licher, gelten unterschiedliche Standards. £Dadurch soll sichergestellt werden, dass die datenschutzrechtlichen Verpflichtungen in der Lieferkette weitergegeben werden.
Insbesondere die folgenden Kriterien deuten kumulativ auf ein Auftragsbearbeitungsverhältnis hin:
- Bestehen eines rechtlichen Auftragsverhältnisses.
- Die Art und der Zweck der Bearbeitung sind im Auftrag (Service Level Agreement) eindeutig festgelegt.
- Die beauftragte Drittpartei handelt weisungsgebunden und ist nicht unabhängig.
- Entscheidungen werden ausschliesslich vom für die Verarbeitung Verantwortlichen getätigt.
- Anweisungen können nur einseitig erfolgen: Der Verantwortliche kann fachliche, organisatorische und technische Anweisungen wie zum Beispiel Datenschutzmassnahmen erteilen.
- Der Auftragsbearbeiter darf nur Daten verwenden, die ihm vom Verantwortlichen zur Verfügung gestellt wurden.
- Jeglicher Kontakt zu betroffenen Personen erfolgt nur über den Verantwortlichen: Der Auftragsbearbeiter steht in keiner direkten Beziehung zu den betroffenen Personen.
Im Vergleich zur Auftragsverarbeitung entsteht eine gemeinsame Verantwortlichkeit dann, wenn beide Parteien den Zweck und die Art der Bearbeitung festlegen. Des Weiteren ist die Drittpartei unabhängig, sie erbringt selbstständig geistige und kreative Lösungen. Es herrscht somit ein gleichberechtigtes Verhältnis. Ausserdem treten beide unabhängig voneinander gegenüber betroffenen Personen als Verantwortliche auf.
In der Praxis ist nicht immer eindeutig zu beantworten, ob eine Auftragsbearbeitung oder eine gemeinsame Verantwortlichkeit vorliegen. Es macht Sinn, frühzeitig eine Übersicht all jener Vertragsverhältnisse zu erstellen, innerhalb deren personenbezogene Daten ausgetauscht werden beziehungsweise wo deren Bearbeitung für die Erbringung der Dienstleistung erforderlich ist. Unter Umständen müssen diese Verträge datenschutzrechtlich ergänzt werden.
Datentransfer
Im internationalen Beschaffungswesen werden personenbezogene Daten oftmals über Landesgrenzen hinweg transferiert. Sofern das Rechtssystem im Ausland keinen äquivalenten Schutz bietet, sind zusätzliche Schutzmassnahmen erforderlich (wie zum Beispiel Standardvertragsklauseln).
Sofern der Einsatz von Standardvertragsklauseln erforderlich ist, ist zu beachten, dass seit dem 27. September bei Neuverträgen die neuen Standardvertragsklauseln der EU verwendet werden, angepasst um die jeweiligen Anforderungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Für bestehende Verträge gilt eine Übergangsfrist bis zum 1. Januar 2023 (sofern sich die Datenbearbeitung und der Vertrag in der Zwischenzeit nicht wesentlich verändern).
Künftig stellt der Bundesrat fest, ob die Gesetzgebung des Drittlandes einen angemessenen Datenschutz gewährleistet. Unabhängig von der Angemessenheitsentscheidung verlangt das nDSG eine Angabe des Exportlandes in der Datenschutzerklärung.
Zu beachten ist, dass seit dem 8. September 2020 das «Swiss-US Privacy Shield» keinen ausreichenden Datenschutz mehr bietet. Der EDÖB ist mit diesem Entscheid dem Europäischen Gerichtshof gleichgezogen. Dies impliziert, dass ein Datentransfer in die USA nicht vorbehaltlos möglich ist.
Datenschutz-Folgenabschätzung
Grundsätzlich muss der für die Verarbeitung Verantwortliche eine Datenschutz-Folgenabschätzung vorgängig vollziehen, wenn die Datenverarbeitung in einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen resultieren könnte. Falls sich durch die Folgenabschätzung ergibt, dass die Bearbeitung ein hohes Risiko zur Folge hat, muss der EDÖB konsultiert werden, sofern kein Datenschutzberater bestellt wurde.
Der Verantwortliche muss dem EDÖB, falls ein hohes Risiko für die Persönlichkeit oder die Grundrechte besteht, so rasch als möglich eine Datenschutzverletzung melden. In der Meldung müssen die Art und die Folgen der Verletzung als auch Gegenmassnahmen genannt werden. Eine Benachrichtigung der betroffenen Personen ist nur notwendig, wenn es zu ihrem Schutz erforderlich ist oder wenn der EDÖB dies verlangt.
Durch das neue Datenschutzgesetz kommen auf Unternehmen eine Reihe von neuen Aufgaben zu, die zu berücksichtigen sind. Das nDSG bringt somit zahlreiche Veränderungen mit sich, die auch im Beschaffungswesen relevant sind. Setzen Sie sich also bereits heute mit den Anforderungen auseinander, die das neue Datenschutzgesetz stellt, und nehmen Sie die erforderlichen Anpassungen an die Hand. Dies insbesondere aufgrund der Tatsache, dass keine Übergangsfristen vorgesehen sind.
Philipp Rosenauer
Philipp Rosenauer ist Director bei PwC Legal Schweiz. Er berät seit mehreren Jahren Unternehmen in datenschutzrechtlichen Fragestellungen und unterstützt diese bei der Implementierung der neuen Anforderungen.