Von wegen Nebensache – Wenn Datenschutz zentrale Geschäftsgrundlage wird

veröffentlicht am 23. Juni 2021

Die Themen Datenschutz und IT-Sicherheit halten europäische Unternehmen seit mindestens drei Jahren auf Trapp: die vielfältigen Anforderungen zur Dokumentation, Durchleuchtung und Anpassung von Prozessen, Neuregelung und Ausbau von Sicherheitsvorgaben und immer wieder Schulungen der Mitarbeiter. Nicht selten steht die Frage im Raum, ob und wann sich dieser Aufwand überhaupt lohnen wird.

Gerade für IT-nahe, digitalisierte oder transformierte Unternehmen liegt die Antwort auf der Hand: sofort! In vielen Branchen ist es schon länger üblich, dass Auftraggeber regelmäßig und intensiv kontrollieren lassen, ob ihre Partner wirklich ihre Hausaufgaben gemacht haben und die aktuellen Herausforderungen ernst nehmen. Dann heißt es manchmal: kein Nachweis – kein Auftrag!

Lieferketten in Sachen IT-Sicherheit und Datenschutz

Jeder IT-Verantwortliche kann ein Lied davon singen, was es in der heutigen Zeit heißt, IT-Sicherheit zunächst innerhalb einer Organisation aufzubauen und auf einem hohen Stand zu halten. Nicht nur die Corona-Einflüsse haben gezeigt, wie schnell und vielfältig neue Technologien und Geräte neue Zugänge notwendig machen und damit Lücken in die Brandmauern der IT reißen können. Die Vernetzung der Lieferketten für Waren und Daten schafft hoch-komplexe Strukturen und verdeutlicht Abhängigkeiten sowohl im physischen Transport als auch im sicheren Austausch von Daten. Der Einkauf bei zertifizierten Unternehmen ist für Waren und Dienstleistungen Standard, die Fokussierung auf die Sicherheit der Datenverarbeitung und des Umgangs mit Daten (ob personenbezogen oder als Geschäftsgeheimnis) wird jedoch eine immer größere Rolle spielen.

Zu groß sind die eigenen Ausfall-Risiken oder Image-Schäden am Markt, wenn selbst kleine Datenpannen oder sogar die Infiltrierung von Malware durch einen Lieferanten in die Öffentlichkeit gelangen.

Nicht nur die Branchen, die per se mit Vertraulichkeit werben (Banken, Versicherungen, Medizin), sondern auch IT-Provider und Software-Häuser prüfen ihre Dienstleister daher regelmäßig / jährlich im Rahmen von sogenannten „Supplier Security Privacy Checks / Audits / Assurances”, also etwa „Lieferanten Sicherheits- und Datenschutz Prüfungen” (kurz als „SSPA”). Sie werden in den Service-Verträgen als fester Bestandteil vorgegeben und sind vom Dienstleister selbstständig und termingerecht vorzulegen – meist auch auf eigene Kosten.

Auch wenn die Aufbereitung und Nachweisführung vom Service-Partner als sog. Self-Assessment weitgehend in Eigenregie organisiert werden kann, besteht die Auflage, die Inhalte und Prozesse durch neutrale, externe Prüfer bestätigt zu bekommen. Es liegt auf der Hand, dass diese Funktion durch IT- und Datenschutz-Auditoren effizient(er) erreichbar sind. Deren Expertise ist natürlich auch für die Auftraggeber nachzuweisen.

Im Zentrum der SSPA-Analysen steht ein dezidierter Prüfkatalog, entweder mit Themen- und Branchenbezug oder – bei größeren Auftraggebern – eigenen Aufgabengabenlisten, die jährlich angepasst werden und so rollierend eigene Schwerpunkte vorgeben. Für die Auftraggeber stehen dabei Ziele wie die eigene Compliance und IT-Sicherheit, aber auch die plausible Compliance der „Mitspieler” und deren belastbare Vorarbeit im Vordergrund.

Schlechte Ergebnisse mindern die erreichten Punkte und können vglw. schnell zum Verlust des Lieferanten-Status führen.

Wie kommen die dazu? Dürfen die das?

Im Normalfall sind die Grundlagen im Leistungsvertrag „eingepreist” und legitimiert. Sie sind sogar regelmäßig für zertifizierungsgebundene Unternehmen unverzichtbar. Aber auch sonstige Unternehmen sollten sich daran erinnern, dass z.B. in der DSGVO beim Austausch von personenbezogenen Daten mittels Auftragsverarbeitungsvertrag nach Art. 28 DSGVO nicht nur die Möglichkeit solcher Kontrollen vorgesehen ist, sondern auch deren Umsetzung und entsprechende Nachweise – wenigstens in Stichproben – auch eingefordert werden. Zugegeben, die wenigsten Auftraggeber haben dies bisher in Angriff genommen.
Spätestens mit dem (leider absehbaren) Risiko, dass einer Ihrer vor- oder nachgelagerten Partner Opfer einer Cyber-Attacke wird, wird deren Fremdschaden schnell zu Ihrem eigenen Brandherd. Je größer die Abhängigkeit in den (Daten-) Prozessen zu gewichten ist, desto wichtiger sind eigene Kontrollen der Sicherheitsvorkehrungen beim Partner-Unternehmen. Denn bereits im Falle einer vermuteten und erst recht bei einer „durchschlagenden” Datenpanne muss die Meldekette binnen 72 Stunden eine Meldung an die Datenschutzbehörde sicherstellen (Art. 33 DSGVO).

Wie sehen diese Checks aus? Wie kann ich ein gutes Ergebnis erreichen?

Wer etwa im Rahmen der Jahresabschlussprüfungen oder in speziellen Datenschutz-Audits bereits eigene Erfahrungen gesammelt hat, etwa mit der Prüfhilfe des IDW PH 9.860.1 zur „Prüfung der Grundsätze, Verfahren und Maßnahmen nach der DSGVO und dem BDSG neu” oder der IDW PS 330, hat schon eine recht gute Vorstellung von diesen Programm-Inhalten.

Zeitlich-organisatorisch unterteilen sich die Checks in mindestens 4 Phasen wie folgt:

Bereitstellung der Prüf-Unterlagen und Definition der aktuellen Parameter bzw. Schwerpunkte
Einstufung der wesentlichen Indikatoren und Risikotreibern des Services (z.B. Standorte, Vernetzung, Verantwortlichkeiten / Abhängigkeiten, IT-Basis und Leistungsfähigkeit / Niveaustufen, organisatorische Zuverlässigkeit)
Umsetzung der Prüfung mit jeweiligen Nachweisen, etwa zum Datenschutz, IT-Sicherheit, IT-Infrastrukturen, Prüfung der Dokumentationsbasis und der Wirksamkeit der Umsetzung mit externen Partnern
Prüfung der eingereichten Nachweise, anschließende Bewertung und Rückmeldung der Status-Ampel grün oder rot.

Für den Abschluss der Checks und Bewertungen stehen dann Fristen zwischen 4 und 12 Wochen im Raum. Auch hier sind bereits Ähnlichkeiten mit Prüfanforderungen der Datenschutzbehörden zu erkennen. Die Auftraggeber hinterlegen zusätzlich ein Bewertungssystem, das spezifische Risikoaspekte der Organisation oder der Zusammenarbeit individuell gewichtet. So können für einige Bereiche Zertifizierungen nach ISO 27001 oder bei Zahlungssystemen z.B. PCI-DSS-Nachweise („PCI Security Standards Control”) veranschlagt werden, andere erreichte Branchenstandards können die positiven Aussagen ggf. flankieren oder Prüfungsbereiche verschlanken. Gleiches gilt für externe Zertifikate der involvierten Sub-Unternehmen, da diese oft als „importierte” Risikoträger eingestuft werden.

Natürlich können diese „Vorleistungen” dabei helfen, die bisweilen 20 und 30 Seiten langen Prüf- und Checklisten mit bereits ausgearbeiteten Themen zeitlich und qualitativ zu unterstützen. Gerade mit der intelligenten Verknüpfung vorhandener Ressourcen und Audits können die Prüflinge zusätzlich Zeit und Geld einsparen.

Immer größere Bedeutung erlangt der Umfang der Cloud-basierten Services, die zunächst die Auswahl leistungsfähiger und sicherer Provider erfordert, aber zusätzlich auch eine Vielzahl von nicht trivialen Hürden hinsichtlich der Compliance auf den Tisch bringt. Die technisch sichere Verbindung und der Betrieb der Standorte auf der Erde und in der Wolke im Sinne der IT-Sicherheit ist für die Auftraggeber mindestens genauso wichtig wie die juristischen „Randbedingungen“ in den Lizenzen und Auftragsverarbeitungsverträgen.

Zusätzliche Anforderungen, die mit dem sog. Schrems II-Urteil des EUGH seit dem 16.07.2020 aufgeworfen wurden, spielen hier ebenso eine wichtige Rolle wie die hoffentlich aktuelle und schlüssige Dokumentation der Prozesse und Verarbeitungstätigkeiten, die von der DSGVO seit 3 Jahren vorausgesetzt werden.

Plan – Do – Check – Win

Spätestens bei diesen Analysen trennt sich die Spreu vom Weizen, also ob die bisherigen Unterlagen eher als Haben-müssen-Placebo geführt oder aus eigenem Sicherheitsinteresse entwickelt und gelebt werden. Für die Placebo-Protagonisten ist eine hinreichende Aufarbeitung dann nur selten in den vorgegebenen Fristen darstellbar und würde den vielleicht sicher geglaubten Auftrag wieder weiter in die Zukunft schieben.

Unternehmen, die für sich selbst und ihre Kunden ein hohes Niveau an (Daten-) Sicherheit anstreben, schaffen damit die Basis für Vertrauen und eine kontinuierliche, zuverlässige Zusammenarbeit.
Aus dem Plan-Do-Check-Act-Zyklus der DSGVO wird so ein Win-Win-Nutzen für alle Beteiligten.

Fazit

Bitte beachten Sie:

Prüfungen von Daten- und Sicherheits-sensiblen Auftraggebern werden zu einem immer wichtigeren Baustein, um die Sicherheit des Leistungsaustausches und die Stabilität der eigenen IT-Landschaft auf einem hohen Niveau zu halten und Vertrauen zu erhalten.
Unternehmen, für die der Austausch personenbezogener Daten oder vertraulicher Geschäftsdaten („Geschäftsgeheimnisse“) ein wichtige Rolle spielt, sind auf jeden Fall schon im Hinblick auf die Art. 24, 28, 29 und 32 DSGVO verpflichtet, sich vom angemessenen, vertragskonformen Sicherheitsniveau der Auftragnehmer auch zu überzeugen und ggf. Nachweise für Prüfung und (positive) Ergebnisse vorlegen zu können.
Dies gilt umso mehr, wenn bereits Anzeichen für Defizite erkennbar werden. Aber auch der sichtbare „Gang in die Cloud“ ist ein sinnvoller Ansatz, die vorhandenen Verträge und Sicherheitsaspekte (wieder) genauer zu hinterfragen.
Bestandene SSPA-Prüfungen sind wichtige Bausteine, die die professionelle und hochwertige Ausrichtung des Managements und der ganzen Organisation untermauern können. Sie zahlen an mehreren Stellen auf deren Kompetenz in Sachen Risikomanagement und Zuverlässigkeit des IKS ein.
Nutzen Sie vorhandene Audit-Modelle, um sich rechtzeitig in eine nachhaltige Pole-Position gegenüber Ihren Auftraggebern und Partnern zu bringen.
Im internationalen Kontext Ihrer Organisation sind immer auch länderspezifische Anforderungen zu beachten.

Aufträge mit der DSGVO oder trotz der DSGVO an Land ziehen? Potentielle Auftraggeber prüfen ihre Partner zunehmend in sog. SSPA-Lieferanten-Audits, weil sie nur mit den Besten in Sachen IT-Sicherheit und Datenschutz das Vertrauen ihrer Kunden erhalten können. Chance und Scheitern liegen dicht beieinander. Mit nachweisbarer Qualität gewinnen Sie auch in Sachen Datenschutz einmal mehr Pluspunkte.

Melden Sie sich bei uns wenn Sie noch offene Fragen zum Thema haben.

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *	**
Frage *	*

Datenschutzerklärung *

Ich stimme der Nutzung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung ausdrücklich zu.

*
Einwilligung

Ja, ich möchte von Rödl & Partner* per E-Mail über weitere Neuigkeiten und Veranstaltungen rund um das Thema Digital GRC informiert werden.

Ja, ich möchte von Rödl & Partner* per E-Mail außerdem darüber hinaus über Neuigkeiten und Veranstaltungen rund um die Themen Recht, Steuern und Wirtschaft informiert werden.

Helfen Sie uns, Spam zu bekämpfen.