Vorsicht bei Lieferantenbewertungen und Erhebungsbögen

Vorsicht bei Lieferantenbewertungen und Erhebungsbögen. Was selbst große Konzerne gerne mal falsch machen.

Lieferantenbewertungen kommen ziemlich häufig vor, wenn man bei größeren Firmen gelistet oder von diesen beauftragt werden möchte. Was scheinbar viele Firmen, die solche Erhebungsbogen an ihre zukünftigen Lieferanten verschicken, gerne übersehen, ist, dass die so erhobenen Daten in vielen Fällen dem Anwendungsbereich der DSGVO unterliegen. Das ist spätestens dann der Fall, wenn es um Selbständige, Freelancer oder Einzelgewerbe geht. Auch bei 1-Personen-GmbHs schlägt die Verbindung zur natürlichen Person durch.

So müssen solchen Erhebungsbogen, wenn sie an Selbständige oder Einzelgewerbetreibende verteilt werden sollen, nach den Regel der DSGVO gestaltet sein. Das bedeutet insbesondere, dass eine Datenschutzerklärung nach Art 13 DSGVO beigefügt und darüberhinaus eine enge Zweckbindung der Datenverarbeitung eingehalten werden muss. Weiterhin sollte der Personenkreis, der Zugang zu solchen Daten hat, klein gehalten werden.

Da die Erhebung der Daten nur zu einem kleinen Teil für die Ausführung eines Auftrags notwendig sein dürfte, wird der Verantwortliche wohl auf sein berechtigte Interesse nach Art 6 Abs 1 Lit f DSGVO zurückgreifen müssen. Dabei sollte man darauf achten, dass die geforderten Angaben tatsächlich erforderlich sind, um das berechtigte Interesse zu erfüllen. Eine Informationssammlung nach dem “Jäger und Sammler”-Prinzip scheidet relativ sicher aus.

In größeren arbeitsteiligen Konzernen mit Abteilungen in Drittstaaten muss unbedingt auch auf einen beabsichtigten Datentransfer in Drittstaaten mit oder ohne angemessenes Datenschutzniveau hingewiesen werden.

Sofern die so erhobenen Daten durch Daten Dritter (z.B. Bonitätsauskünfte) angereichert werden sollen, so muss auch darauf in der Datenschutzerklärung eingegangen werden (Art 14 DSGVO)

Ebenso braucht es ein Löschkonzept sowie einen Prozess zur Wahrung der Betroffenenrechte sowie eine Dokumentation des Verfahrens im Verzeichnis der Verfahrenstätigkeiten.

Eine nicht datenschutzkonforme Durchführung der Datenerhebung und Auswertung kann zu entsprechenden Konsequenzen von Schadenersatzansprüchen der Betroffenen bis hin zu Bußgeldern durch Aufsichtsbehörden führen.