Datenschutzverletzungen in der Lieferkette
Drittparteien und Datenschutz: Wer trägt die Verantwortung? Das Outsourcing von Geschäftsprozessen ist in der Unternehmenspraxis fest etabliert. Neben den Effizienzsteigerungen birgt dieses Vorgehen jedoch auch Risiken, insbesondere im Hinblick auf mögliche Datenschutzverletzungen durch externe Dienstleister. Wer trägt die Verantwortung, wenn Kundendaten bei einem Dienstleister kompromittiert werden? Diese Frage ist im Ernstfall von grosser Bedeutung.
Ein klares Rollenverständnis ist zentral für den Umgang mit Datenschutzverstössen. Entscheidend ist, ob ein Dritter als Verantwortlicher oder Auftragsbearbeiter agiert: Verantwortliche bestimmen Zweck und Mittel der Datenverarbeitung, Auftragsbearbeiter handeln nach Anweisung. Der Verantwortliche ist für Meldungen an die zuständige Datenschutzbehörde (in der Schweiz: EDÖB) sowie an die betroffenen Personen verantwortlich. Der Dienstleister ist in diesem Szenario lediglich dazu verpflichtet, die Datenschutzverletzung unverzüglich zu melden, um dem Auftraggeber die Einhaltung seiner Pflichten zu ermöglichen. Handelt es sich hingegen um einen alleinigen Verantwortlichen, obliegt dem Dritten die alleinige Erfüllung der gesetzlichen Meldepflichten. In diesem Fall hat das eigene Unternehmen in der Regel keine eigenen Meldepflichten gegenüber der Behörde oder den betroffenen Personen. Es ist jedoch von zentraler Bedeutung, die Zuständigkeiten im Vorfeld zu klären. Entscheidend ist dabei nicht der Vertrag, sondern wie die Zusammenarbeit tatsächlich ausgestaltet und gelebt wird.
Eine rein reaktive Herangehensweise bei Datenschutzverletzungen erweist sich oft als fatal. Unternehmen sind daher gut beraten, proaktiv ein umfassendes Konzept für den Krisenfall zu entwickeln. Dies beinhaltet klar definierte interne Prozesse und die Bildung eines interdisziplinären Teams. Die Komplexität und Grösse des Unternehmens bestimmen dabei die Anzahl der einzubeziehenden Personen und Fachbereiche. In der Regel sind verschiedene Rollen beteiligt, darunter der Datenschutzbeauftragte (DPO), der die datenschutzrechtliche Situation beurteilt, sowie der CISO beziehungsweise die IT-Sicherheit, die technische Vorfälle analysieren. Darüber hinaus werden in der Regel die Bereiche Recht, Compliance und Kommunikation einbezogen.
Aus Sicht der Datenschutzbehörden steht das Risiko für die Betroffenen im Vordergrund. Der Massstab für eine Meldepflicht ist stets ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen, wobei Behörden dazu neigen, diese Hürde eher niedrig anzusetzen. Daher sollten Unternehmen bereits bei kleinen Vorfällen eine sorgfältige Risikobewertung durchführen und dokumentieren.
Eine frühzeitige und präzise Klärung der Verhältnisse zu externen Dienstleistern sowie eine vorausschauende Vorbereitung auf den Ernstfall sind daher nicht Kür, sondern Pflicht. Nur so können Unternehmen im Ernstfall schnell und rechtskonform agieren.