[DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO müssen Organisationen nicht nur ihre eigenen Prozesse überwachen, sondern auch sicherstellen, dass Lieferanten personenbezogene Daten – etwa von Kunden, Mitarbeitern und potenziellen Kunden – angemessen schützen.
In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms zur Förderung der DSGVO-Compliance vorgestellt.
Die Durchführung einer Risikobewertung von Lieferanten ist der neunte Schritt. Wenn Sie mehr über die ersten acht Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.
Das Lieferantenrisiko unter der DSGVO
Die Risikobewertung von Lieferanten ist Teil der Datenschutz-Folgenabschätzung. Die meisten Organisationen prüfen zwar umfassend ihre internen Prozesse und Systeme, vergessen dabei allerdings außenstehende Parteien wie Lieferanten und Serviceprovider. Das Risikomanagement von Lieferanten ist eine echte Herausforderung, da die Kontrolle nicht direkt beim Unternehmen liegt. Allerdings sieht die DSGVO eindeutig vor, dass sowohl der Verantwortliche (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über Zwecke und Mittel bei der Verarbeitung personenbezogener Daten entscheidet) als auch der Auftragsverarbeiter (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitet) sich darum kümmern.
Artikel 28.1 der DSGVO befasst sich mit Drittverarbeitern von Informationen und deren Verpflichtungen. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen eingesetzt werden, um die Anforderungen der DSGVO zu erfüllen.
In Artikel 28.2 heißt es außerdem, dass der Auftragsverarbeiter keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nehmen darf.
Verletzt ein Lieferant die Datenschutzvorgaben für personenbezogene Daten, drohen ihm hohe Geldstrafen von 20 Millionen € oder 4 Prozent seines Umsatzes – je nachdem, welcher Betrag höher ist. Aus diesem Grund ist eine umfassende Bewertung des Lieferantenrisikos entscheidend für die DSGVO-Compliance.
Durchführung einer Risikobewertung von Lieferanten
Das Data-Governance-Team muss sicherstellen, dass die Rechts- und Compliance-Abteilung vor der Weitergabe personenbezogener Daten an Lieferanten eine entsprechende Risikobewertung genehmigt. Für diese Bewertung reicht es allerdings nicht aus, einfach nur ein Umfrageformular mit ein paar Checkboxen zu versenden. Eine typische Risikobewertung von Lieferanten umfasst die folgenden Schritte:
- Identifizierung von Lieferanten — Viele Organisationen führen keine Lieferantenliste. Angesichts der Anzahl von Drittanbieter-Apps, die heute genutzt werden, sollten Unternehmen zunächst ihre Lieferanten in einem geeigneten System erfassen.
- Prüfung von Verträgen — Die Rechts- und Compliance-Abteilung sollte sich bestehende Verträge anschauen und prüfen, wie sie sich so modifizieren lassen, dass Lieferanten gezwungen sind, die DSGVO-Vorgaben einzuhalten. Um diesen Prozess zu beschleunigen, sollten Vertragsvorlagen entworfen werden.
- Identifizierung der Zulieferer von Lieferanten — Lieferanten sollten personenbezogene Daten ohne das Wissen der Organisation nicht weitergeben. Wenn der Lieferant personenbezogene Daten weiteren Auftragsverarbeitern zur Verfügung stellt, muss die Rechts- und Compliance-Abteilung auch für diese Auftragsverarbeiter die Durchführung von Risikobewertungen genehmigen.
- Vorbereitung von Readiness-Check-Fragebögen — Mithilfe von Fragebögen kann man herausfinden, wie gut Lieferanten ihrer Einschätzung nach auf die DSGVO vorbereitet sind. Die Antworten bieten oft Aufschluss darüber, ob die Daten gefährdet sind oder nicht.
- Audits vor Ort — Durch die Durchführung von Audits vor Ort lässt sich feststellen, ob die Antworten der Umfrage den realen Gegebenheiten entsprechen. Diese Audits können in regelmäßigen Zeitabständen durchgeführt werden, um sicherzustellen, dass der Lieferant jederzeit gut vorbereitet ist.
- Go-/No-go-Entscheidung — Am Ende der Bewertung muss das Data-Governance-Team – wenn es potenzielle Risiken feststellt – prüfen, ob der Maßnahmenplan des Lieferanten zur Einhaltung der DSGVO-Vorgaben gut genug ist, um die Zusammenarbeit fortzuführen.
Durchführung einer Risikobewertung von Lieferanten mithilfe von Talend
Risikobewertungen von Lieferanten sind zeitaufwendig, sodass manuelle Prozesse auf lange Sicht eher ungeeignet sind. Mithilfe von Tools kann man nicht nur den Prozess beschleunigen, sondern auch aussagekräftige Kennzahlen für die Analyse gewinnen. Zudem lassen sich aus den Ergebnissen der Bewertung Lösungen ableiten und in die Systeme integrieren.
Mit den Talend-Technologien lassen sich Risikobewertungen von Lieferanten in Situationen durchführen, in denen Daten dieser Lieferanten gesammelt oder diesen zur Verfügung gestellt werden. Die Talend-Tools gehen über die Bewertungsphase hinaus und setzen DSGVO-Kontrollen für den Austausch von Daten täglich und automatisiert um. Mit Talend Data Quality kann man Kontrollen innerhalb eines Datenintegrationsflows einbetten, während man mit Talend Data Stewardship die Zuständigkeit für Data-Stewardship-Aktivitäten auf den Lieferanten übertragen kann.
Die nächsten Schritte für die Risikobewertung von Lieferanten
Die Risikobewertung von Lieferanten ist kein einmaliger Prozess. Das Governance-Team muss sich kontinuierlich damit befassen und Ressourcen, Dokumente und Systeme entsprechend den jeweils neuen Ergebnissen aktualisieren. Darüber hinaus sollten sich Organisationen weniger isolieren und stattdessen intensiver mit ihren Lieferanten kommunizieren.
Der nächste Schritt in unserem umfassenden 16-stufigen Plan für die DSGVO-Compliance ist die Verbesserung der Datenqualität.
← Schritt 8 | Schritt 10 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung