Hinweis: Mit Aktivierung des Videos wird YouTube im erweiterten Datenschutzmodus abgespielt. Mit der Aktivierung stimmen Sie den Datenschutzbestimmungen von YouTube und den Datenschutzbestimmungen der Mammut Aktenvernichtung zu.
Datenschutz bei Drittanbietern
So schützen Unternehmen sensible Kundendaten
Die Zusammenarbeit mit Drittanbietern ist für viele Unternehmen unverzichtbar, doch sie birgt auch Risiken für den Datenschutz.
Gerade bei der Weitergabe sensibler Kundendaten müssen Verantwortliche sicherstellen, dass alle gesetzlichen Anforderungen eingehalten und die Daten bestmöglich geschützt werden.
Effektive Maßnahmen und klare Vorgaben sind der Schlüssel, um sich juristisch abzusichern und vor Rufschädigung zu schützen.
Transkript des Videos:
Ein Mammut-Datenvernichtung-Kunde fragt: „Welche Datenschutzmaßnahmen sollten wir umsetzen, wenn Drittanbieter Zugang zu unseren Kundendaten erhalten, und wie können wir uns absichern, dass diese Anbieter datenschutzkonform handeln?„
Mein Name ist Aaron Nourbakhsh, und ich bin Datenschutzberater seit dem Jahre 2018.
Erstmal möchte ich herausstellen, wie wichtig es ist, dass Sie sich diese Frage stellen, denn wenn Ihre Kundendaten plötzlich offengelegt sind, wie es z. B. bei einem großen Autoverleiher vor einigen Jahren passiert ist, dann kann das große Reputationsschäden hervorrufen.
Andererseits kann es natürlich auch einfach sein, dass Sie ein Bußgeld von einer Datenschutzaufsichtsbehörde erhalten. Auch das kann sehr teuer werden.
Dementsprechend sollten Sie sich immer fragen: Wie kann ich so wenige Daten wie möglich an Dritte oder Dienstleister übermitteln?
Das ist schon mal die erste Faustregel.
In welchen Fällen kann es vorkommen, dass wir Daten mit einem Dritten, einem Dienstleister teilen?
Ganz klassische Fälle sind z. B. die IT-Systemwartung, ein Consultant, der Zugriff auf Ihre CRM-Daten oder Ihr ERP-System möchte, oder auch eine PR-Agentur, die für Sie die Kommunikation mit Ihren Kunden übernimmt.
Einen Fall möchte ich hier noch kurz herausstellen. Das ist nämlich, wenn Sie mit einem anderen Unternehmen sagen: „Hey, wir haben ähnliche Kunden, und du kannst meine Kunden meinetwegen anschreiben oder mit meinen Kundendaten gewisse Zwecke verfolgen und ich mit deinen …„, dann ist das eine sogenannte gemeinsame Verantwortlichkeit.
Das kommt nicht so häufig vor, aber ich möchte es gesagt haben. Da müssen Sie einen Vertrag eingehen, der entsprechend Artikel 26 DSGVO gestaltet sein muss, und darin regeln Sie, wer was mit den Daten des anderen Unternehmens machen darf.
Ich möchte mich eher auf etwas anderes konzentrieren, nämlich auf den Auftragsverarbeitungsvertrag. Der häufigere Fall ist also die Auftragsverarbeitung – die Beispiele, die ich gerade genannt habe: z. B. eine PR-Agentur, die Ihre Kundendaten für Sie verarbeitet, oder aber auch der Consultant, der auf Ihre Systeme zugreift, und zuletzt IT-Dienstleister, die gewisse Systemeinstellungen oder Wartungen bei Ihnen durchführen.
Wichtig ist zunächst – und das ist der allerbeste Schutz: Geben Sie immer nur die Daten frei, die der Dritte oder Dienstleister wirklich benötigt, um seiner Aufgabe nachzukommen.
Dann haben wir eine gesetzliche Pflicht gemäß Artikel 28 DSGVO, einen sogenannten Auftragsverarbeitungsvertrag einzugehen.
Darin ist geregelt, was der Dienstleister mit Ihren Daten machen darf bzw. was er nicht machen darf. Das ist nämlich gesetzlich sehr streng geregelt, und darin sichert der Dienstleister auch sogenannte technische und organisatorische Maßnahmen zu.
Das heißt, wie schützt er Ihre Kundendaten eigentlich? Und daraus können Sie schon ableiten, wie sicher dieses Thema eigentlich ist.
Wenn Sie sagen, das reicht mir noch nicht ganz, dann können Sie zusätzliche Dokumentationen anfordern, wie z. B. Verarbeitungsverzeichnisse, Löschroutinen oder Löschdokumentationen, die der Dienstleister hoffentlich führt. Oder Sie lassen sich das Datenschutzmanagementsystem dieses Dienstleisters erklären.
Und so sehen Sie eben, ob in der Organisation eine gewisse Sensibilität für Datenschutz herrscht.
Die dritte Maßnahme – und das ist Ihnen immer gesetzlich zugesichert – ist, dass Sie vor Ort Audits durchführen können, um den Dienstleister auf Herz und Nieren zu prüfen, ob er Ihre Kundendaten pfleglich behandelt.
Das ist besonders relevant. Stellen Sie sich z. B. vor, Sie haben Patientendaten und müssen sich wirklich sicher sein, dass die Vertraulichkeit gewahrt ist. Dann ist es angemessen, auf jeden Fall auch mal in regelmäßigen Abständen den Dienstleister zu besuchen.
Zusammenfassend können wir also sehen: Je nach Sensibilität der Daten gibt es verschiedene Stufen, wie tief wir prüfen können und wie sehr wir die Daumenschrauben bei unserem Dienstleister anlegen können. Sich zu vergewissern, dass dieser Wert auf Datenschutz legt, ist immer gut.
Ich hoffe, dass Sie jetzt einen guten Überblick darüber gewonnen haben, wie Sie Ihre personenbezogenen Daten – insbesondere Ihre Kundendaten – auch bei der Preisgabe gegenüber Dritten schützen können.
Wenn Sie weitere Fragen haben, melden Sie sich gern bei mir.
Mein Name ist Aaron Nourbakhsh. Herzlichen Dank!
Ihr Team Datenschutz
Unsere Datenschutzexperten beantworten Ihre Fragen und bieten Ihnen bei Bedarf umfassende Unterstützung rund um den Schutz Ihrer Daten. Mit langjähriger Erfahrung, klarem Blick auf aktuelle Entwicklungen und fundiertem Fachwissen entwickeln sie maßgeschneiderte Lösungen, die genau auf Ihre Bedürfnisse zugeschnitten sind.
Thomas Rosin
Bad Schwartau
Berater für Datenschutz und Informationssicherheit
Melodie Lange
Ingolstadt
Beraterin für Datenschutz und Informationssicherheit
Christian Schröder
Oberhausen b. München
Berater für Datenschutz und Informationssicherheit
Aaron Nourbakhsh
Hannover
Berater für Datenschutz und Informationssicherheit