Hallo zusammen , ich habe eine anfrage der QM bezüglich eines “Quality Assurence Plan” mit einem Kunden. Der Kunde ist in Indien und er möchte bei uns einen Audit machen für diese Audit sollen Verantwortlichen ihre Namen und ihren Qualifikation (Ausbildung / Studium Grad ) angeben und ihre Berufserfahrung in diesem Bereich , Ihre Rolle im Unternehmen . Könne diese Informationen weitergegeben werden , Indien hat keine DSGVO Abkommen mit Europa (kein Angemessenheitsbeschluss mit der EU) Wie könnte man das regeln mit dem Kunden, welche Daten dürften übermittelt werden und was müssten wir dafür tun. bitte um eure Meinung , Danke.
Na ja, Art. 44 ff. DSGVO…
Also z. B. Standardvertragsklauseln Controller - Controller.
Und zusätzlich natürlich Datenminimierung usw., z. B . keine Zeugnisse, sondern nur Familienname, abgekürzter Vorname, Qualifikation und Grad (nicht Freitext, sondern aus einer grob gerasterten Auswahl), statt Datum nur Jahr, usw.
D., der Machbarkeit sieht. Berechtigtes Interesse, solange man’s nicht übertreibt.
1 „Gefällt mir“
Wie Domasla schon erwähnt hat bleibt nur ein SCC Modul ! (Controller-Controller).
Ich frage mich aber welchem Zweck die Angabe eines Namens dienen soll. Ich würde meinem Verantwortlichen ersteinmal dazu raten konkret nach zu Fragen in wie weit der Name Einfluss auf die Qualität nehmen kann. Das wäre mein Ansatz zur Datenminimierung.
Das käme genaugenommen einer Verhaltenskontrolle von Mitarbeitern sehr nahe.
VG
Thomas
Die Qualifikation des eingesetzten Personals könnte ein Qualitätskriterium sein. (Wobei zukünftige Personalwechsel nicht ignoriert werden sollten, wo noch nicht feststeht, wer eingestellt wird, und welche Qualifikation die genau mitbringen.)
Das kann so weit gehen, dass anonymisierten Angaben des Lieferanten nicht geglaubt wird und sie Zeugnisse sehen wollen.
Im übernächsten Schritt: Dass (frühere) Privatadressen, Geburtsdatum usw. im Zeugnis nicht geschwärzt werden sollen.
“Audit” heipt ja “Sehen”. (Ja, ich weiß, Hören.) Was sich nicht konkret nachweisen lässt, kann man nicht gelten lassen.
D., der große Herausforderungen erwartet, dem Kunden im Drittland beizubringen, dass Datenschutzgrundsätze (und in diesem Fall konkrete Vorschriften Art. 44 ff.) einzuhalten sind. Wer das demonstriert, kann prinzipiell auch Kundenanforderungen erfüllen (Systemaudit).