Situation:

Im Zuge der fortschreitenden Digitalisierung unserer Welt kommt dem Schutz der hierdurch generierten und gesammelten Daten zunehmende Bedeutung zu. In diesem Zusammenhang spielt der 25. Mai 2018 eine große Rolle. An diesem Datum tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft und wird den Umgang mit Datensicherheit und der Auskunft gesammelter Daten seitens der Unternehmen radikal verändern.

Viele Unternehmen scheinen die rechtlichen Konsequenzen nicht zu kennen oder als nicht bedrohlich anzusehen und daher auf das Inkrafttreten weder technologisch noch organisatorisch vorbereitet zu sein. Maßnahmen des Datenschutzes sind mit Kosten und Aufwand verbunden, was ein mögliches Indiz dieses Miss-stands sein könnte. Die resultierenden Folgen können jedoch fatal ausfallen und im Falle einer Verurteilung einen hohen wirtschaftlichen Schaden hervorrufen, weshalb die Auswirkungen und notwendigen Maßnahmen für Ihr Unternehmen unbedingt geprüft sein sollten.

Welche Änderungen die neuen Verordnungen für Sie bedeuten, welche wichtige Rolle Einkaufs- und Logistik Management hier spielen können und wie Unternehmen handeln sollten, möchten wir Ihnen im Folgenden aufzeigen.

Das Strafmaß einer Missachtung der EU-DSGVO beträgt im Höchstsatz bis zu 4% des weltweiten Jahresumsatzes und bis zu maximal 20 Millionen Euro.



Veränderungen:

Die EU-DSGVO umfasst insgesamt 99 Artikel, welche „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“ enthalten. Dies soll insbesondere das Recht auf Schutz personenbezogener Daten stärken. Unter diesen versteht die Verordnung „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.“ Aus diesem Schutz der personenbezogenen Daten ergeben sich zahlreiche Pflichten für Unternehmen, welche wir Ihnen auszugsweise darstellen möchten:

99Artikel

zu Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten

72Stunden

Pflicht zur Meldung von Verletzungen des Schutzes an die Aufsichtsbehörde und Benachrichtigung der betroffenen Person

20Mio. €

Maximales Strafmaß bei Nichteinhaltung der vorgegebenen Maßnahmen.

  • Rechtmäßigkeit deren Verarbeitung
  • Eindeutigkeit und Nachweis der Einwilligung hierzu
  • Transparenz, Verständlichkeit und leichte Zugänglichkeit der Übermittlung an Behörden oder die betroffene Person
  • Nachkommen der Informationspflicht bei eigener Erhebung der Daten sowie bei Nutzung von über Dritte bezogenen Daten gegenüber der betroffenen Person
  • Pflicht zur Berichtigung, Einschränkung der Verarbeitung oder Löschung der Daten bei Beanstandung
  • Pflicht zur Sicherstellung einer einfachen Datenübertragbarkeit
  • Erfüllung des Widerspruchsrechts seitens der betroffenen Person
  • Einhaltung der Sicherheitsbestimmung in der Datenverarbeitung und -speicherung
  • Pflicht zur Meldung von Verletzungen des Schutzes binnen 72 Stunden an die Aufsichtsbehörde und Benachrichtigung der betroffenen Person
  • Es gilt die Beweislastumkehr

Werden die geforderten Aktionen nicht eingehalten sieht die EU-DSGVO ein deutlich höheres Strafmaß als bisher vor. So beträgt der veranschlagte Höchstsatz bis zu 4% des weltweiten Jahresumsatzes und bis zu maximal 20 Millionen Euro.



Massnahmen:

Die veränderten Voraussetzungen und damit einhergehenden Sanktionen beedingen ein rasches Handeln der Unternehmen, sollten bisher noch keine Vorkehrungen getroffen worden sein.

Doch welche Maßnahmen sind zu treffen?

Zunächst ist eine detaillierte Prüfung der aktuellen Prozesse zur Datensicherheit erforderlich; sowohl der eigenen als auch der von Dienstleistern, Lieferanten, Partnern etc. Der besondere Fokus ist hier neben den verwendeten Technologien und Software auf Verantwortlichkeiten und Zuständigkeiten zu legen. Intern ist von großer Bedeutung, dass die zuständigen Personen das notwendige Fachwissen mit sich bringen. Trainings, Fort- und Weiterbildungen können an dieser Stelle Abhilfe schaffen. Extern müssen die vorhandenen Verträge geprüft und gegebenenfalls angepasst werden, um Pflichten und Haftungen klar zu definieren.

Um bei Nichteinhaltung das Ziel eines EU-DSGVO konformen Unternehmens zu erreichen, müssen die neuen Prozesse und Zuständigkeiten festgelegt und implementiert werden. Zum einen sind Personalressourcen notwendig, welche die Zuständigkeit der Einhaltung des Datenschutzes übernehmen. Zum anderen bedarf es neben Systemen, die reine Sicherheit der Daten ge-währleisten, auch neuer Systemfunktionalitä-ten, welche jederzeit vollständige Angaben über die Verarbeitung der Daten liefern können.

Der Aufwand notwendiger Vertragsanpassungen durch die EU-DSGVO kann durch erfolgreiche Verbesserungen der Einkaufsverträge finanziert werden

Dem Einkauf kommt die wichtige Bedeutung zu, alle Lieferanten- und Dienstleisterverträge zu evaluieren und entsprechend an die EU-DSGVO anzupassen. Im Zuge dessen bietet sich eine Überprüfung der kompletten Vertragswerke an, um zusätzliche Optimierungsmöglichkeiten auszuschöpfen, beispielsweise Einkaufskonditionen oder Lieferbedingungen. Der Aufwand der Einführung des EU-DSGVO kann so auch als Chance wahrgenommen werden, Einkaufsverträge und deren Konditionen mit zu verbessern und so die notwendige Vertragsumstellung zu finanzieren. Nach erfolgreicher Umsetzung empfiehlt sich die Überwachung und das Management der Verträge in einem geeigneten Contract Management System.

Ebenfalls sollte das Thema hinsichtlich Risiko und Haftung geprüft und gegebenenfalls Absicherungen zum Beispiel durch entsprechende Versicherungen vorgenommen werden. Das neuentstandene Haftungsrisiko decken heutige Versicherungen größtenteils nicht ab und falls doch werden Versicherer das gesteigerte Haftungsrisiko nutzen, um ihre bestehenden Vertragsbedingungen anzupassen. Daher empfiehlt sich eine Prüfung des Versicherungsstatus und gegebenenfalls eine Beratung zur Abwendung erhöhter Konditionen.



Resultate und Unterstützung:

Die Ergebnisse sind schwer zu messen und zu bewerten, da ähnlich zum Risikomanagement die nicht eingetretenen Fälle den Referenzpunkt stellen. Der Erfolg stellt sich als Vermeidung von Sanktionen und Prozesskosten dar, demgegenüber die Kosten der Einführung und Umsetzung stehen. Auch ist die Umsetzung der Verordnungen und die rechtliche Verfolgung und Sanktionierung bei Zuwiderhandlung noch unklar und wird sich erst im Laufe der Zeit herausstellen.

Doch lassen die Deutlichkeit der Verordnung und aktuelle Meinungen in Politik und von juristischer Seite ein strenges Verfolgen der Thematik seitens der Behörden erwarten. Einen Präzedenzfall mit einhergehendem Schaden der Wirtschaftlichkeit einerseits und andererseits der Reputation möchte jedoch kein Unternehmen liefern.

Unsere Kooperation von Experten aus den Bereichen Einkauf, Recht und Versicherung kann die vollständige Abdeckung aller Implikationen der EU-DSGVO aus einer Hand gewährleisten


Um Ihnen eine vollständige Abdeckung aller Implikationen der EU-DSGVO für Ihr Unternehmen anzubieten, können wir Sie gemeinsam mit unseren themenspezialisierten Partnern aus unserem Versicherungsmakler- und Anwaltsnetzwerk in folgenden Punkten unterstützen:

  • Prüfung und Analyse des Status Quo sowie Ableitung von Handlungsmaßnahmen
  • Juristische sowie einkaufsseitige Restrukturierung der Lieferantenverträge und Prüfung Ihrer Prozesse
  • Mitarbeiterschulungen
  • Beratung hinsichtlich versicherungstechnischer Absicherungsmöglichkeiten möglicher Folgewirkungen
  • Juristischer Rat sowie Rechtsvertretung


Ausgehend von einer Prüfung und Analyse können wir so neben Mitarbeiterschulungen, in der juristischen sowie einkaufsseitigen Restrukturierung der Lieferantenverträge und Prüfung Ihrer Prozesse sowie Beratung hinsichtlich der Absicherungsmöglichkeiten für mögliche Folgewirkungen der Nicht-Einhaltung der Verordnung unterstützen.  Die Rechtsexperten aus unserem Anwaltsnetzwerk stehen mit juristischem Rat und möglicher Rechtsvertretung zur Seite, um somit eine vollständige Abdeckung alle Implikationen der EU-DSGVO für Ihr Unternehmen gewährleisten zu können.

Zur Aufklärung hinsichtlich der rechtlichen Anforderungen und möglichen Folgen laden wir Sie gerne zu einem kostenlosen, interaktiven Webinar am 6.2.2018 von 15:00 – 15:45 Uhr zum Thema EU-DSGVO ein. Geführt wird dieses von Dr. Lutz Keppeler (Heuking Kühn Lüer Wojtek).

Bei Interesse am Thema, dem beschriebenen Unterstützungsangebot sowie weiteren Fragen kontaktieren Sie uns gerne unter kontakt@ocmunich.de, unser Team steht Ihnen jederzeit zur Verfügung.