Aktuelles

Stichwort: Compliance Service

17. Dezember 2021

Fallen bei der Beauftragung von Compliance Service (Umwelt Datensammler) durch Kunden / Lieferanten

Thema Regularien – Bildquelle Pixabay

Im Tagesgeschäft der Elektronik spielen Umweltregularien eine immer wichtigere Rolle und stellen nicht nur die Distribution sondern auch andere Unternehmen ent­lang der Supply Chain vor He­raus­for­de­rungen.

Um das Handling zu vereinfachen, werden verschiedene Aufgaben wie die Beschaffung von Umweltbescheinigungen gerne an Dritt­fir­men ausgelagert. Allerdings gibt es hier Fall­stricke, so dass der FBDi empfiehlt, besondere Beachtung auf nachfolgende Punkte zu legen:

  • NDA - Bei der Übertragung der Liefe­ran­ten­da­ten ist zuerst zu überprüfen, ob es eine Geheimhaltungsvereinbarung gibt. Als Bestandteil jeder Vereinbarung ist es untersagt, Informationen jeglicher Art an unbeteiligte Dritte weiterzuleiten, so dass man durch die Weitergabe bereits gegen diese Klausel verstößt. Sollte es un­um­gäng­lich sein, diesen Wunsch eines Kunden zu erfüllen, muss das explizit ver­traglich geregelt werden, sowohl in punkto Richtung als auch Art und Um­fang der Daten. Das bedeutet eine Son­der­ver­einbarung mit allen Lie­fe­ranten.

  • Kontaktdaten - Oft werden der Ein­fach­heit halber mit den Firmendaten zur Beschaffung der Um­welt­be­schei­ni­gun­gen auch Ansprech­partner mit eMail-Adres­sen weitergeleitet. Gerne übersieht man dabei, dass es sich hierbei um personen­be­ogene Daten handelt, die für den Ablauf einer Geschäftsbeziehung erhoben wurden, und die für diesen Zweck gebunden sind (Art. 6 Absatz 2 der DSGVO). Weil ein Weiterreichen dieser Daten nicht der Zweckmäßigkeit unter­liegt, stellt dies einen melde­wür­di­gen Verstoß dar (Art. 77 DSGVO). Die Grund­sätze für die Verarbeitung sind in Art. 5 der DSGVO geregelt, und die Recht­mä­ßig­keit ist in diesem Zusam­men­hang nicht ersichtlich.

  • Nationales oder internationales Unternehmen – Bei der Beauftragung externer Firmen für die Beschaffung von Compliance Daten ist im Vorfeld zu prüfen, ob der Auftrags­ver­ar­beiter national oder international aufgestellt ist. Handelt es sich um eine global agierende Firma, ist zu hinterfragen, welche Nie­der­las­sung Zugriff auf diese Daten hat. Zu prüfen ist insbesondere, ob sich die Nieder­las­sun­gen in einem nach DSGVO vertrauenswürdigen ‚Drittland‘ befinden. In diesem Drittland muss eine gewisse Rechtsstaatlichkeit gewährt sein, und das Schutzniveau der DSGVO (Art. 45 & 46) entsprechen.

Das Fazit des FBDi lautet also: Ob und wie weit ein Lieferant den Wünschen seines Kun­den in dieser Richtung nachkommt, muss jeder für sich entscheiden.

Eine Verpflichtung besteht jedoch nur innerhalb der Lieferkette. Diese bietet die größt­mög­liche Rechtssicherheit. Eine Mit­tei­lung, dass der Compliance Service im Auftrag des Kunden handelt, ist nicht aus­rei­chend, wenn keine Bestätigung der Überprüfung der oben genannten Punkte aufgeführt wird.

 

zurück