Fehler bei einem Zulieferer können schwerwiegende Auswirkungen auf die eigenen Produkte haben. Das gilt nicht nur für das Qualitätsmanagement, sondern auch im Datenschutz. Nicht nur der Einkauf sollte daran denken, sondern jeder einzelne im Unternehmen.
Teile und Schwachstellen zukaufen
Stellen Sie sich vor, ein Bauteil, das von einem Zulieferer stammt, ist fehlerhaft, und es wird trotzdem in das neue Fahrzeug eingefügt. Die Folge ist, dass das Fahrzeug nun einen Fehler aufweist, der je nach Art des Bauteils dramatische Auswirkungen haben kann. Denken Sie nur einmal an ein Bauteil wie einen Bremsklotz. Der zugekaufte Fehler kann Menschenleben bedrohen.
Die Gefahr, über eingekaufte Leistungen und Produkte den eigenen Produkten und Services Schwachstellen und Fehler zuzuführen, besteht in jeder Branche. Deshalb fordern Richtlinien für ein Qualitätsmanagement immer, dass auch die Qualität bei den Zulieferern geprüft und überwacht werden muss. Das Gleiche muss im Datenschutz gelten.
Schlechter Datenschutz in der Lieferkette
Stellt ein Dienstleister oder Lieferant Ihres Unternehmens keinen angemessenen Datenschutz sicher, wirkt sich dies auch auf den Datenschutz in Ihrem Unternehmen aus. Hat der Lieferant Zugang zu den Kundendaten Ihres Unternehmens und sorgt selbst nicht für Datensicherheit, kann es passieren, dass ein Datendieb über die Schwachstellen Ihres Lieferanten an die Daten in Ihrem Unternehmen kommt.
Oder ein Softwaremodul, das Ihr Unternehmen nutzt, hat eine kritische Schwachstelle. Wenn Sie das Modul nutzen oder in andere Programme Ihres Unternehmens einfügen, dann lässt sich diese Schwachstelle bei Ihnen selbst ausnutzen. Eigentlich ist dies kein Geheimnis, und trotzdem achten zu wenige Unternehmen darauf, den Datenschutz bei ihren Geschäftspartnern zu hinterfragen, um den eigenen Datenschutz gewährleisten zu können.
Aufsichtsbehörde sieht Klärungsbedarf
Datenschutzbehörden wie das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) haben festgestellt, dass Meldungen von Datenschutzverletzungen fast immer das jeweilige Unternehmen selbst als verantwortlich bezeichnen, kaum jedoch einen Geschäftspartner oder Dienstleister.
Da nach der Datenschutz-Grundverordnung (DSGVO) auch Verletzungen der Sicherheit bei Dienstleistern (sogar bei weiterer Unterauftragsvergabe) eine Meldeverpflichtung auslöst, stellte sich dem BayLDA die Frage, wieso es kaum Meldungen gibt, die von (internationalen) Dienstleistern ausgelöst werden. Offensichtlich fehlt das Bewusstsein dafür, dass Datenschutzmängel bei Geschäftspartnern den eigenen Datenschutz betreffen. Die Ursachen für eine Datenschutzverletzung werden fast nur intern gesehen. Das entspricht aber nicht den Tatsachen. Deshalb sollte nicht nur der Einkauf, sondern jeder, der mit Dienstleistern und anderen Geschäftspartnern zu tun hat, daran denken, dass der Datenschutz auch dort stimmen muss, damit der eigene Datenschutz gewährleistet ist.
Kein Generalverdacht, sondern mehr Aufmerksamkeit
Es geht dabei nicht darum, jeden Geschäftspartner als Ursache von Datenschutzmängeln zu betrachten und bei Datenschutz-Problemen die Schuld immer bei anderen zu suchen. Vielmehr geht es darum, beim Datenschutz genau wie bei der Qualität immer die ganze Lieferkette im Auge zu behalten. Beziehungen zu Dienstleistern und Geschäftspartnern verdienen viel Aufmerksamkeit – auch im Sinne des Datenschutzes.