Die Anforderungen an den Datenschutz in der EU werden immer anspruchsvoller. Mit dem zunehmenden Fokus auf Transparenzpflichten durch die Aufsichtsbehörden rückt die digitale Lieferkette in den Vordergrund.
Besonders seit Oktober 2024 könnten diese Vorgaben zu erheblichen Belastungen für Unternehmen und Organisationen führen.
Was bedeutet die digitale Lieferkette im Datenschutz?
Die digitale Lieferkette beschreibt alle Einzelheiten, die an der Verarbeitung personenbezogener Daten beteiligt sind. Dazu gehören nicht nur die direkten Auftragsverarbeiter, sondern auch sämtliche Unter- und Unter-Unter-Auftragsverarbeiter, die Teil dieser Kette sind. Nach der Datenschutz-Grundverordnung (DSGVO) und den neuesten Stellungnahmen des EU-Datenschutzgremiums (EDPB) ergeben sich daraus umfassende Pflichten:
- Unternehmen müssen eine vollständige und stets aktuelle Liste aller beteiligten Verarbeiter vorlegen können.
- Betroffene Personen müssen über sämtliche Datenempfänger, einschließlich der Unterauftragsverarbeiter, informiert werden – und zwar detailliert und verständlich.
- Verantwortliche müssen sicherstellen, dass alle Mitarbeiter DSGVO-konform arbeiten, auch in Drittstaaten.
Warum wird die digitale Lieferkette zum Problem?
Die Forderungen der Aufsichtsbehörden mögen rechtlich klar und nachvollziehbar sein, sie sind jedoch praktisch schwer umzusetzen. Besonders bei der Nutzung globaler Cloud-Dienste wie Microsoft 365 oder AWS zeigt sich das Problem in aller Schärfe:
- Ein Dienst wie Microsoft 365 arbeitet mit einer Vielzahl von Unterauftragsverarbeitern. Allein die direkten Verarbeiter können über 100 betragen, während die vollständige Kette deutlich länger und intransparent ist.
- Viele Cloud-Anbieter teilen keine Informationen über ihre Unterauftragsverarbeiter mit, etwa der ausreichenden Tätigkeitsbereiche oder Standorte.
- Bei Verarbeitern aus Drittstaaten wie den USA kommt zusätzlich die Frage nach adäquaten Datenschutzgarantien hinzu, was die Komplexität weiter erhöht.
- Die Anbieter holen in der Regel keine Zustimmung zu neuen Unterauftragsverarbeitern ein – und selbst wenn, würde ein Widerspruch faktisch eine Kündigung des Vertrags bedeuten.
- Transparenztexte, die hunderte Seiten umfassen, sind weder für Unternehmen praktikabel noch für betroffene Personen verständlich oder lesenswert.
Herausforderungen für Unternehmen
Die Anforderungen, die sich aus der DSGVO und den jüngsten Interpretationen des EU-Datenschutzgremiums ergeben, sind eine nahezu unlösbare Aufgabe:
- Eine vollständige Liste aller Unter- und Unter-Auftragsverarbeiter zu führen, ist besonders für Unternehmen, die Cloud-Lösungen nutzen, nahezu unmöglich.
- Unvollständige Transparenz gegenüber Betroffenen kann zu Bußgeldern, Schadenersatzforderungen und Reputationsverlust führen.
- Während die rechtlichen Anforderungen maximale Transparenz fordern, bieten die Anbieter oft nicht einmal die notwendigen Informationen, um diese Anforderungen zu erfüllen.
Lösungsansätze und ihre Bewertung
Unternehmen stehen vor der Wahl, wie sie mit diesen Herausforderungen umgehen. Im Wesentlichen gibt es drei mögliche Strategien:
Vollzeitkraft zur Dokumentation und Transparenzpflege einstellen
Dieser Ansatz beinhaltet, eine spezialisierte Person oder ein Team einzurichten, das sich ausschließlich um die Pflege der Dokumentation kümmert und die Transparenztexte für betroffene Personen regelmäßig aktualisiert.
- Unternehmen können zeigen, dass sie sich ernsthaft darauf verlassen, die Anforderungen zu erfüllen.
- Die fehlenden oder unzureichenden Informationen seitens der Dienstleister machen diesen Ansatz oft ineffektiv. Außerdem ist dies ein hoher Kostenfaktor.
Hoher Aufwand bei fraglichem Erfolg. Geeignet für größere Organisationen mit ausreichenden Ressourcen.
Verzicht auf große Cloud-Dienste und eigene Lösungen entwickeln
Dieser Ansatz sieht vor, auf externe Cloud-Dienstleister zu verzichten und stattdessen eine eigene IT-Infrastruktur aufzubauen („Fertigungstiefe erhöht“).
- Unternehmen behalten die vollständige Kontrolle über die Verarbeitung und erfüllen die Transparenzanforderungen leichter.
- Der Aufbau und Betrieb eigener Systeme ist kosten- und ressourcenintensiv. Kleine und mittelständische Unternehmen können dies oft nicht leisten.
Langfristig tragfähig, aber nur für Unternehmen mit hohem Budget realistisch.
Das Risiko eingehen
Einige Unternehmen könnten sich entscheiden, die Anforderungen bewusst nicht vollständig zu erfüllen und die Konsequenzen in Kauf zu nehmen.
- Kein zusätzlicher Aufwand in der Gegenwart.
- Bei Beschwerden oder Audits drohen Bußgelder, Schadenersatzforderungen und ein erheblicher Reputationsverlust. Betroffene könnten mithilfe der Transparenzpflichten auf unvollständige Dokumentationen aufmerksam gemacht werden.
Kurzfristig günstig, langfristig ein Risiko für Finanzen und Reputation.
Zwischen rechtlicher Theorie und praktischer Umsetzung
Die Ansprüche nach einer detaillierten Dokumentation und Transparenz der digitalen Lieferkette sind rechtlich fundiert, aber praktisch kaum umsetzbar. Vor allem die Abhängigkeit von globalen Cloud-Dienstleistern stellt Unternehmen vor nahezu unlösbare Probleme. Gleichzeitig verschärfen die Anforderungen den Konflikt zwischen Datenschutz und wirtschaftlicher Realität.
Handlungsempfehlungen
Für Unternehmen gibt es keine einfache Lösung, doch ein ausgewogener Ansatz könnte helfen:
- Entscheiden Sie sich für Anbieter, die Transparenz bieten und bei der Dokumentation kooperieren.
- Kombinieren Sie Cloud-Dienste mit eigenen Lösungen, um Abhängigkeiten zu reduzieren.
- Kommunizieren Sie offen mit Betroffenen und Aufsichtsbehörden über die praktischen Schwierigkeiten.
- Entwickeln Sie Strategien für den Umgang mit möglichen Datenschutzverletzungen und Bußgeldern.
Die Digitalisierung der Lieferkette bleibt ein zentraler Baustein moderner Unternehmen, doch nur durch vorausschauende Planung und Anpassungsfähigkeit können Organisationen den wachsenden Anforderungen gerecht werden.