Hallo zusammen,
uns steht ein Lieferantenaudit durch einen chinesischen Kunden bevor. Eine Anforderung ist, dass Auditmeetings aufgezeichnet werden müssen.
Wir überlegen, dass wir vor den Meetings eine Einwilligung der betroffenen Mitarbeiter einholen. Aber was macht man, wenn ein Mitarbeiter seine Einwilligung widerruft? Die Aufzeichnungen liegen beim Kunden, da einen Löschanspruch durchzusetzen sehe ich als schwierig bis unmöglich an.
Wie löst Ihr diese Thematik?
Woher stammt die Anforderung denn?
Denn die Einwilligung ist ja quasi der Ausweg wenn keine andere Rechtsgrundlagen greifen können.
Und wenn man sich wirklich nur auf die Einwilligung abstellen kann, dann wird man bei der verweigerten oder widerrufenen Einwilligung löschen müssen.
Vom Kunden - wer Geschäfte machen will, muss sich diesen Audits unterwerfen.
Art. 6 Abs. 1 f ist meines Wissens bei Videoaufzeichnung nicht anwendbar. Evtl. könnte man sich auf Art. 6 Abs. 1 b im Sinne der vorvertraglichen Maßnahmen berufen - ob man damit aber bei einer Aufsichtsbehörde auf Gegenliebe stößt?
Die Frage nach der verweigerten oder widerrufenen Einwilligung ist m.E. nur ein Teil des Problems. Ich hätte mit Blick auf den Kontext des Beschäftigungsverhältnisses bereits Bedenken, überhaupt die Freiwilligkeit einer erteilten Einwilligung zu bejahen.
Klar, Datenschutz und Privatsphäre sind in China ein anderes Thema. Wer aber als Auftragnehmer im Geltungsbereich der DSGVO Geschäfte mit chinesischen Auftraggebern machen will kommt trotzdem nicht daran vorbei, die hier geltenden Gesetze zu beachten. Im Zweifelsfall muss man dann dem Kunden auch klar machen, dass seine Wünsche hier nicht vollständig umsetzbar sind. Und die Erforderlichkeit zur Durchführung eines Audits alle Meetings per Video mitschneiden zu müssen, ist für mich nicht erkennbar.
Wenn Ihr dem Kunden die Aufzeichnungen auch noch mitgebt und diese in China gespeichert werden, liegt m.E. zusätzlich auch noch eine Übermittlung in ein Drittland vor. Auch hier müsstet Ihr dafür sorgen, dass das Datenschutzniveau entsprechend eingehalten wird. Dafür kann man zwar Verträge abschließen, aber solches Papier ist dann in China auch sehr geduldig…
Du bringst die richtigen Argumente - da wir mit unseren Überlegungen aber bereits bei den Problemen rund um eine Einwilligung stehen, haben wir uns um die Drittlandübertragung bzw. Aufbewahrungsfristen nach dem Audit noch nicht gekümmert. Es bringt nichts, wenn wir bereits am ersten Schritt aus Datenschutz Sicht scheitern.
Die Einhaltung der geltenden lokalen Gesetze steht intern außer Frage. Problematisch ist, dass die Gegenseite den Standpunkt “friß oder stirb” vertritt - den zweiten Lösungsweg muss man sich halt leisten können.
Wir gehen davon aus, dass wir nicht die einzigen Betroffenen sind und suchen daher nach Ansätzen wie andere dieses Thema angehen / lösen.
Den Kunden darauf hinweisen, dass mit dem Erhalt der Aufzeichnungen auch sie dem europäischen Datenschutzrecht unterliegen und die Zulässigkeit und weitere Pflichten zu erfüllen haben. (Mit dem Risiko, an einem europäischen Flughafen eine Taschenpfändung über 20 Millionen EUR verpasst zu bekommen…) Ihr kümmert euch darum, indem ihr ihnen eine datenschutzkonforme Lösung vorschlagt.
Dann wäre der nächste Schritt, es so hinzuzkriegen, wie es auch für euch OK wäre.
D., der nur so meint…
Volle Zustimmung - auch eine chinesische Firma hat sich hier an hiesiges Recht zu halten. Tut sie dies nicht, gilt “stirb” - und zwar für die Aktivitäten des chinessichen Unternehmens. Die “Macht des Geldes” muss weniger wichtig sein, wenn wir unsere Werte nicht verraten wollen. Und seien wir ehrlich: genau das will der Chinese - um es mal platt auszudrücken. Das Problem ist prinzipieller Art.
Also macht es datenschutzkonform oder lasst es bleiben.
(just my two cents….)