Fast jedes Unternehmen hat täglich mit personenbezogenen Daten zu tun. Diese werden erhoben, gespeichert und verarbeitet. Die DSGVO beinhaltet EU-einheitliche Regeln, die aufgrund der wachsenden Globalisierung dringend notwendig sind. So gelten für Geschäftspartner, Kunden und Lieferanten im In- und Ausland die gleichen Regeln.
Auch Daten von Lieferanten werden vor allem im Einkauf gesammelt und verwendet. Dazu zählen Kontaktdaten, Bestelllisten, Bankverbindungen und Ähnliches. Doch welche Regelungen gelten hier genau? Wie setzen Unternehmen diese am besten um? Und was dürfen Lieferanten umgekehrt eigentlich mit Ihren Daten machen? Wir zeigen Ihnen in diesem Artikel, was Sie beachten müssen.

Sie benötigen individuelle Unterstützung? Unser Team besteht aus Experten aus den Bereichen Datenschutzrecht, IT und Sicherheit. Gerne unterstützen wir Sie bei der Umsetzung datenschutzrechtlicher Vorschriften. Wenden Sie sich für ein unverbindliches Kontaktieren Sie uns direkt an uns.
Das Wichtigste in Kürze
- Ähnlich wie im Umgang mit Kunden müssen auch die personenbezogenen Daten von Lieferanten geschützt werden.
- Bei Nichteinhaltung der Vorgaben der DSGVO drohen Unternehmen hohe Bussgelder: bis zu 20 Millionen Euro oder 2% des Jahresumsatzes können als Strafen verhängt werden.
- Lieferantenaudits sind ein Instrument, um die Auswahl und Beurteilung von Lieferanten zu erleichtern. Dadurch kann der Datenschutz verbessert und sichergestellt werden.
- Wenn Lieferanten auch Auftragsverarbeiter sind, werden zwingend Auftragsverarbeitungsverträge notwendig. Diese regeln, was der Lieferant mit den Daten tun darf. Er ist an diesen Vertrag gebunden und die Einhaltung sollte jährlich geprüft werden.
Datenschutz im Einkauf: Wie personenbezogene Daten zu schützen sind
Wo Waren und Bauteile eingekauft und Lieferungen gemanagt werden, fallen im Regelfall immer personenbezogene Daten an. Seit dem Jahr 2018 gibt es zum Schutz dieser Daten die DSGVO, die den Umgang mit bestimmten Informationen vorschreibt.
Aber nicht erst seit 2018 gibt es Regelungen zum Datenschutz. Die DSGVO vereinheitlicht nationale Regelungen europaweit. Hierzu gibt es jedoch Ausnahmen, sogenannte Öffnungsklauseln.
Die Standardisierung hat insbesondere für multinational agierende Unternehmen den Vorteil, dass für Geschäftspartner, Lieferanten und Kunden, mit denen sie im EU-Ausland interagieren, die gleichen Regelungen bezüglich des Datenschutzes gelten.
So müssen Sie sich beispielsweise keine Gedanken darüber machen, ob Sie die Regelungen des spanischen Rechtes erfüllen (Ausnahme der Öffnungsklauseln z.B. häufig im Arbeitsrecht und Medizinischen Daten), aber auch nicht darüber, ob Ihre Daten in Spanien auch sicher sind.
Was ist Datenschutz?
Datenschutz beschreibt vornehmlich die Sicherheit personenbezogener Daten, damit diese nicht für jedermann in der Öffentlichkeit zugänglich sind. Es besteht eine Rechtsgrundlage um diese Daten zu bearbeiten. Das heisst zum einen, dass nur die minimal benötigte Menge an Daten erhoben werden darf und zum anderen, dass die erhobenen Daten vor dem Zugriff Dritter zu schützen sind.
Im Klartext fordert der Datenschutz,
- Nur die absolut notwendigen Daten zu erheben (Datenminimisierungsprinzip),
- Diese nur für den absolut notwendigen Zeitraum zu speichern,
- Bei allen Daten-Vorgängen die nötigen Sicherheitsmassnahmen zu ergreifen, um die Daten zu schützen.
- Für die Verarbeitung muss eine Rechtsgrundlage bestehen (Vertrag, Einwilligung, berechtigte Interessen etc.)
Zu diesem Zweck gibt es einige Vorgaben, die Unternehmen erfüllen müssen, beispielsweise Datenschutz-Folgeabschätzungen oder einer Verarbeitungsverzeichnisse. Zu diesen Begrifflichkeiten haben wir bereits einige Artikel verfasst, die das jeweilige Thema genau durchleuchten.
Darüber hinaus hat die betroffene Person das Recht, selbst über ihre Daten zu bestimmen (informationelle Selbstbestimmung). Sie können z.B. die Einwilligung zur Verarbeitung jederzeit widerrufen oder eine Auskunft über die gespeicherten Daten anfragen.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich einer bestimmten natürlichen Person zuordnen lassen und Aufschluss über diese Person geben Informationen über die Religion, Gesundheit, Gewerkschaftszugehörigkeit, Sexualität, ethnische Herkunft und politischen Ansichten sind dabei besonders schützenswert.
Aber auch andere personenbezogene Daten unterliegen einem Schutz, dazu zählen bei Lieferanten insbesondere:
- Allgemeine Personendaten (Namen, Geburtsdaten, Telefonnummern, Adressen),
- Kennziffern (Sozialversicherungsnummer, Steuernummer, Personalausweisnummer),
- Bankdaten,
- Online-Daten (Standorte, IP-Adressen, Passwörter),
- Körperliche Merkmale (Hautfarbe, Kleidergrösse, Geschlecht),
- Eigentumsdaten (Grundbucheinträge, Kfz-Kennzeichen etc.)
- Kundendaten (Bestellungen, Kontodaten etc.)
- (Zeugnisse, Urkunden, Zertifikate) und mehr. (Zeugnisse, Urkunden, Zertifikate) und mehr.
Was ist „Privacy by Design“?
Der „Privacy by Design“-Grundsatz beschreibt die Verpflichtung, bei der Entwicklung von Produkten so vorzugehen, dass das Endprodukt möglichst wenige Nutzerdaten erhebt und speichert. Das spielt bei allen Geräten eine Rolle, die Informationen über ihre Nutzer erheben und Daten an den Hersteller übertragen sollen oder müssen.
Sollen sich Produkte durch die Nutzung und Datenerhebung optimieren, benötigen Hersteller meist die Einwilligung der Nutzer. Um den Datenschutz der Kunden zu wahren, sollten Hersteller die Daten so speichern, dass sie sich nicht mehr einer natürlichen Person zuordnen lassen, etwa durch Anonymisieren oder Pseudonymisieren.
Es liegt vielleicht nicht gleich auf der Hand, aber das betrifft auch den Umgang des Einkaufs mit den Bestellungen bei Lieferanten. Denn die Entwickler wie auch der Einkauf müssen darauf achten, Komponenten, Funktionsweisen und dementsprechend auch Lieferanten auszuwählen, die den „Privacy by Design“-Grundsatz berücksichtigen.
Wer ist für den Datenschutz verantwortlich?
Verantwortlich für die Einhaltung gesetzlicher Vorgaben und Grundsätze ist nicht der Lieferant, sondern das Unternehmen selbst. Das gilt auch für das Verbauen der datenschützenden Komponenten. Insbesondere Einkäufer müssen darauf achten, dass Lieferanten - wenn auch nur nach eigenen Angaben - die DSGVO-Anforderungen erfüllen. Das gilt für Hardware-, aber auch für Software-Komponenten.
Der Einkauf sollte zudem gemeinsam mit den Entwicklungsabteilungen, der Produktion und den Datenschutzbeauftragten prüfen, ob die geplanten Datenerhebungen notwendig sind oder minimiert werden können. Dabei sollte auch bedacht werden, dass eine grosse Datenmenge auch bedeutet, dass der Datenschutz nachher aufwendiger und kostenintensiver wird.
Es sollte auch immer geprüft werden, ob andere Dienstleister wie Logistikunternehmen und Cloud-Dienste die Vorgaben der DSGVO erfüllen. Bevor diese also unter Vertrag genommen werden, sollten Einkauf und Datenschutzbeauftragte prüfen, um sicherzustellen, dass alle Regelungen eingehalten werden und neben den betroffenen Personen auch das Unternehmen datenschutzrechtlich abgesichert ist.
Einwilligung der Lieferanten einholen
Personenbezogene Daten sind vielfältig und werden von so gut wie jedem Unternehmen erhoben, insbesondere im Einkauf und bei der Interaktion mit Lieferanten. Bereits eine Unterschrift unter einem Auftrag ist personenbezogen und unterliegt damit dem Datenschutz.
Diese Daten dürfen daher auch grundsätzlich nur für den Zeitraum des Auftrags aufbewahrt werden und dann gemäss der gesetzlichen Aufbewahrungsfristen, danach sind sie zu löschen.
Wenn Daten erhoben werden sollen, etwa weil der Lieferant in die Datenbank eingepflegt werden soll oder, weil es für den Zugang zum Betriebsgelände erforderlich ist, dann muss der Lieferant über die Erhebung der Daten umfassend informiert werden und auch über sein Widerrufsrecht belehrt werden. Dies geschieht meist mit einem Verweis oder anfügen der Datenschutzhinweise an die relevanten Verträge.
Wer die gesetzlichen Pflichten nicht einhält, muss mit hohen Bussgeldern von bis zu 20 Millionen Euro oder 2% des jährlichen Umsatzes rechnen.
Welche Verpflichtungen treffen Unternehmen?
Die Liste an Pflichten für Unternehmen ist lang. Alle detailliert zu erläutern, würde hier zu weit führen. Zu den allgemeinen Pflichten finden Sie ausführliche Beiträge auf unserer Seite. Daher im Folgenden nur zu den wichtigsten Punkten, die in Bezug auf Lieferanten eine Rolle spielen.
Auch Datenerhebungen und -verarbeitungen in Bezug auf Einkauf und Lieferungen müssen im Verarbeitungsverzeichnis (ROPA) erfasst werden. Neben der Tätigkeit muss auch der Zweck und die entsprechenden Ansprechpartner angegeben werden.
Wer Daten in grossem Umfang verarbeitet, muss unter anderem eine Datenschutz-Folgeabschätzung vornehmen, also eine Risikobewertung durchführen, die ermittelt, ob eine Zweck-Mittel-Relation besteht. Nur wenn die Abwägung zwischen den Rechten und Freiheiten der betroffenen Personen und den wirtschaftlichen Interessen des Unternehmens zugunsten des Unternehmens ausfällt, darf diese rechtlich durchgeführt werden.
In Bezug auf alle Verarbeitungen müssen technische und organisatorische Massnahmen in den Unternehmensstrukturen etabliert werden, die personenbezogene Daten bestmöglich schützen und Risiken der Datenverarbeitung minimieren bzw. wenn möglich sogar ganz beseitigen. Das gilt auch für Daten von Lieferanten sowie Daten die zu Lieferanten übertragen werden. Ein hundertprozentiger Schutz ist dabei niemals möglich, Sie sollten sich dem aber annähern.
Für den Fall, dass es zu einem Datenschutzpanne passiert, müssen auch die Lieferanten schnellstmöglich davon unterrichtet werden, wenn ihre Daten betroffen sind. Unternehmen sollten hierfür einen Notfallplan ausarbeiten und integrieren, der im Zweifel automatisiert abgerufen werden kann. Dazu zählt auch das Kontaktieren der zuständigen Aufsichtsbehörde
Unser Team hat bereits tausende ROPAs erstellt und unterstützt Sie gerne dabei. Starten Sie gleich mit dem richtigen Notfallplan durch und kontaktieren Sie unser Team um ein unverbindliches Erstgespräch Mit der Priverion Datenschutz Plattform haben Sie jederzeit alles unter Kontrolle.
BESTELLEN SIE NOCH HEUTE EINE TESTINSTANZ
Testen Sie unsere Lösung
Datenschutzinformation für Lieferanten
Einer der wichtigsten Punkte für Unternehmen und Lieferanten ist die Bereitstellung von Datenschutzhinweisen oder Datenschutzinformation für die Verarbeitung personenbezogener Daten von Lieferantenkontakten.
Hierbei handelt es sich um eine öffentlich zugängliche Information z.B. auf der Webseite, die jederzeit aufgerufen werden kann, um Informationen über den Datenschutz zu erfahren.
Auf dieser Seite finden sich regelmässig folgende Informationen:
- Verantwortlicher für die Verarbeitung: Hier sollten sich Namen, Anschrift und Kontaktdaten in Bezug auf die Abwicklung von Lieferanten und deren Informationen befinden.
- Datenschutzbeauftragte: Hier finden sich die Kontaktdaten des betrieblichen oder externen Datenschutzbeauftragten. Teilweise überschneiden sich die Angaben mit denen des Verantwortlichen, sie sollten dennoch doppelt gelistet werden, um Transparenz zu schaffen.
- Erhebung und Verarbeitung personenbezogener Daten: Hier wird aufgelistet, welche Datenkategorien aus welchen Datenquellen erhoben und gespeichert werden.
- Zweck der Datenverarbeitung und Rechtsgrundlage: Hier findet sich der Zweck der Verarbeitung und der zugehörigen gesetzlichen Vorgaben. Bei Lieferanten werden meist Daten zum Zweck der Anbahnung, Begründung und Abwicklung von Geschäftsbeziehungen erhoben.
- Empfänger der Daten: Hier sind die Empfänger zu kategorisieren und zu benennen. Ggf. werden Daten bei der Verarbeitung an Dritte wie Kunden, Rechtsanwälte, Unterlieferanten, Notare, Behörden, Auditunternehmen, Steuerberater o.ä. weitergegeben. In grossen Unternehmen kann es vorkommen, dass Tochterfirmen Daten an Mutterfirmen oder umgekehrt weitergeben. Auch dies ist zu vermerken.
- Drittstaatenübermittlung: Es ist aufzuführen, ob und in welche Drittstaaten Daten übermittelt werden und an wen genau.
- Speicherdauer: Es ist zu beschreiben, wie lange die Daten gespeichert werden. Hier reicht eine Erklärung, dass die Daten nur für die rechtlich zulässige Dauer gespeichert werden; also nur für die notwendige Dauer, oder wenn Aufbewahrungspflichten dies erfordern.
- Rechte der Betroffenen: Informieren Sie Ihre Lieferanten darüber, dass sie ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch haben.
- Homepagenutzung: Verweisen Sie auf die allgemeinen Datenschutzinformationen der Homepage.
- Informationen zum Widerspruchsrecht: Verpflichtend ist auch eine Aufklärung über das Widerspruchsrecht nach Art. 21 DSGVO.
Im Einzelfall können weitere Hinweise erforderlich oder sinnvoll sein, wie Änderungsklauseln, automatisierte Entscheidungsfindungen oder Bereitstellungsanforderungen.
Was ist ein Lieferantenaudit?
Bei einem Lieferantenaudit handelt es sich um ein Instrument zur Bewertung und Auswahl neuer oder bestehender Lieferanten. Hier werden die Ist-Zustände der Zulieferer mit den Soll-Zuständen verglichen und in verschiedene Kategorien wie Management, Personal, technische Ausstattung etc. unterteilt.
So können Fehler, Lücken und Verbesserungspotenziale gefiltert werden. Ziel eines Lieferantenaudits ist daher meist:
- Bewertung
- Auswahl
- Entwicklung
- Optimierung
- Qualitätssicherung
Achtung: Bei einem solchen Lieferantenaudit werden grosse Mengen an Daten erhoben, die dem Datenschutz unterliegen können. Zur Bewertung müssen schliesslich Daten der Lieferanten und des Unternehmens herangezogen werden.
Wenn für ein solches Audit ein Dienstleister herangezogen wird, ist in diesem Falle darauf zu achten, dass ein Auftragsverarbeitungsvertrag („AV-Vertrag“) aufgesetzt wird, der gewährleistet, dass der externe Dienstleister die Vorgaben der DSGVO erfüllt.
Ein Lieferantenaudit ist sinnvoll, auch in Hinblick auf den Datenschutz. Denn ein solches Audit dient auch dazu, zu evaluieren, ob sich die Lieferanten an die DSGVO halten oder ob hier Verbesserungspotenzial vorhanden ist.
Welche Datenschutz-Pflichten haben Lieferanten?
Auch Lieferanten treffen als Unternehmen selbstverständlich die rechtlichen Verpflichtungen der DSGVO gegenüber ihren Kunden. So dürfen auch Lieferanten personenbezogene Daten ihrer Kunden nur dann speichern, verarbeiten und verwenden, wenn die DSGVO dies gestattet.
Das ist wie immer nur dann der Fall, wenn Erhebung und Verarbeitung der Daten notwendig sind. Die Daten dürfen auch hier nur so lange gespeichert werden, wie die Geschäftsbeziehungen dies erfordern. Es stellt sich also auch für Lieferanten die Frage der Zweck- und Verhältnismässigkeit der Datenerhebung.
Gerade bei Lieferanten stellt sich oft die Frage nach der Weitergabe von Daten. Generell müssen Lieferanten, wie alle Unternehmen, eine Rechtsgrundlage vorweisen können, wenn sie ihre Daten erheben, speichern und verarbeiten.
Auch sonst bleibt festzustellen, dass Lieferanten die gleichen Rechte und Pflichten treffen, wie alle anderen Unternehmen auch. Das ist insbesondere dann relevant, wenn die Grenzen der EU überquert werden. Kunden sollten daher auch darauf bedacht sein, mit Lieferanten zusammenzuarbeiten, die die Grundsätze der DSGVO beachten und einhalten.
Fazit
Grundsätzlich haben Lieferanten die gleichen Rechte und Pflichten aus der DSGVO wie alle anderen Betroffenen und Unternehmen auch. Alle Unternehmen müssen darauf achten, die DSGVO einzuhalten.
Einige der Regelungen der DSGVO sind für die Geschäftsbeziehungen von und zu Lieferanten allerdings besonders wichtig und sollten daher auch besondere Beachtung finden.
Sie haben offene Fragen zum Thema Datenschutz? Unser juristisch sowie technisch ausgebildetes Personal berät Sie umfassend zu allen Fragen des Datenschutzrechts. Wenden Sie sich gern jederzeit an uns. .