Compliance/Umweltregularien

Fallen bei der Beauftragung von Dienstleistern

9. Dezember 2021, 10:22 Uhr | Karin Zühlke
FBDi zu REACh
© Pixabay

Um das Handling von Umweltregularien zu vereinfachen, wird dies gerne an Drittfirmen ausgelagert. Allerdings weist der FBDi dabei auf Fallstricke hin.

Distributoren - oder andere Firmen, die die Zusammenstellung aller erforderlichen Umweltdaten für ihre Produkte nicht selbst übernehmen, sondern diese Aufgabe auslagern sollten nach Ansicht des FBDi - Fachverband Bauelemente Distribution - auf folgendes achten:

1.    NDA - Bei der Übertragung der Lieferantendaten ist zuerst zu überprüfen, ob es eine Geheimhaltungsvereinbarung gibt. Als Bestandteil jeder Vereinbarung ist es untersagt, Informationen jeglicher Art an unbeteiligte Dritte weiterzuleiten, so dass man durch die Weitergabe bereits gegen diese Klausel verstößt. Sollte es unumgänglich sein, diesen Wunsch eines Kunden zu erfüllen, muss das explizit vertraglich geregelt werden, sowohl in punkto Richtung als auch Art und Umfang der Daten. Das bedeutet eine Sondervereinbarung mit allen Lieferanten.

2.    Kontaktdaten - Oft werden der Einfachheit halber mit den Firmendaten zur  Beschaffung der Umweltbescheinigungen auch Ansprechpartner mit eMail-Adressen weitergeleitet. Gerne übersieht man dabei, dass es sich hierbei um personenbezogene Daten handelt, die für den Ablauf einer Geschäftsbeziehung erhoben wurden, und die für diesen Zweck gebunden sind (Art. 6 Absatz 2 der DSGVO). Weil ein Weiterreichen dieser Daten nicht der Zweckmäßigkeit unterliegt, stellt dies einen meldewürdigen Verstoß dar (Art. 77 DSGVO). Die Grundsätze für die Verarbeitung sind in Art. 5 der DSGVO geregelt, und die Rechtmäßigkeit ist in diesem Zusammenhand nicht ersichtlich.

3.    Nationales oder internationales Unternehmen – Bei der Beauftragung externer Firmen für die Beschaffung von Compliance Daten ist im Vorfeld zu prüfen, ob der Auftragsverarbeiter national oder international aufgestellt ist. Handelt es sich um eine global agierende Firma, ist zu hinterfragen, welche Niederlassung Zugriff auf diese Daten hat. Zu prüfen ist insbesondere, ob sich die Niederlassungen in einem nach DSGVO vertrauenswürdigen ‚Drittland‘ befinden. In diesem Drittland muss eine gewisse Rechtsstaatlichkeit gewährt sein, und das Schutzniveau der DSGVO (Art. 45 & 46) entsprechen.
 
Das Fazit des FBDi lautet: Ob und wie weit ein Lieferant den Wünschen seines Kunden in dieser Richtung nachkommt, muss jeder für sich entscheiden. Eine Verpflichtung besteht jedoch nur innerhalb der Lieferkette. Diese bietet die größtmögliche Rechtssicherheit. Eine Mitteilung, dass der Compliance Service im Auftrag des Kunden handelt, ist nicht ausreichend, wenn keine Bestätigung der Überprüfung der oben genannten Punkte aufgeführt wird.
 
 

Anbieter zum Thema

zu Matchmaker+

Verwandte Artikel

FBDi Fachverband Bauelemente Distribution e.V.