Durchführung einer Risikobewertung von Lieferanten [DSGVO-Schritt 9]

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO müssen Organisationen nicht nur ihre eigenen Prozesse überwachen, sondern auch sicherstellen, dass Lieferanten personenbezogene Daten – etwa von Kunden, Mitarbeitern und potenziellen Kunden – angemessen schützen.

In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms zur Förderung der DSGVO-Compliance vorgestellt.

Die Durchführung einer Risikobewertung von Lieferanten ist der neunte Schritt. Wenn Sie mehr über die ersten acht Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.

Laden Sie Durchführung einer Risikobewertung von Lieferanten [DSGVO-Schritt 9] jetzt herunter.
Weitere Informationen

Das Lieferantenrisiko unter der DSGVO

Die Risikobewertung von Lieferanten ist Teil der Datenschutz-Folgenabschätzung. Die meisten Organisationen prüfen zwar umfassend ihre internen Prozesse und Systeme, vergessen dabei allerdings außenstehende Parteien wie Lieferanten und Serviceprovider.
 
Das Risikomanagement von Lieferanten ist eine echte Herausforderung, da die Kontrolle nicht direkt beim Unternehmen liegt. Allerdings sieht die DSGVO eindeutig vor, dass sowohl der Verantwortliche (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über Zwecke und Mittel bei der Verarbeitung personenbezogener Daten entscheidet) als auch der Auftragsverarbeiter (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitet) sich darum kümmern.

Artikel 28.1 der DSGVO befasst sich mit Drittverarbeitern von Informationen und deren Verpflichtungen. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen eingesetzt werden, um die Anforderungen der DSGVO zu erfüllen.

In Artikel 28.2 heißt es außerdem, dass der Auftragsverarbeiter keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nehmen darf.

Verletzt ein Lieferant die Datenschutzvorgaben für personenbezogene Daten, drohen ihm hohe Geldstrafen von 20 Millionen € oder 4 Prozent seines Umsatzes – je nachdem, welcher Betrag höher ist. Aus diesem Grund ist eine umfassende Bewertung des Lieferantenrisikos entscheidend für die DSGVO-Compliance.

Durchführung einer Risikobewertung von Lieferanten

Das Data-Governance-Team muss sicherstellen, dass die Rechts- und Compliance-Abteilung vor der Weitergabe personenbezogener Daten an Lieferanten eine entsprechende Risikobewertung genehmigt. Für diese Bewertung reicht es allerdings nicht aus, einfach nur ein Umfrageformular mit ein paar Checkboxen zu versenden.
 
Eine typische Risikobewertung von Lieferanten umfasst die folgenden Schritte:
  1. Identifizierung von Lieferanten — Viele Organisationen führen keine Lieferantenliste. Angesichts der Anzahl von Drittanbieter-Apps, die heute genutzt werden, sollten Unternehmen zunächst ihre Lieferanten in einem geeigneten System erfassen.
  2. Prüfung von Verträgen — Die Rechts- und Compliance-Abteilung sollte sich bestehende Verträge anschauen und prüfen, wie sie sich so modifizieren lassen, dass Lieferanten gezwungen sind, die DSGVO-Vorgaben einzuhalten. Um diesen Prozess zu beschleunigen, sollten Vertragsvorlagen entworfen werden.
  3. Identifizierung der Zulieferer von Lieferanten — Lieferanten sollten personenbezogene Daten ohne das Wissen der Organisation nicht weitergeben. Wenn der Lieferant personenbezogene Daten weiteren Auftragsverarbeitern zur Verfügung stellt, muss die Rechts- und Compliance-Abteilung auch für diese Auftragsverarbeiter die Durchführung von Risikobewertungen genehmigen.
  4. Vorbereitung von Readiness-Check-Fragebögen — Mithilfe von Fragebögen kann man herausfinden, wie gut Lieferanten ihrer Einschätzung nach auf die DSGVO vorbereitet sind. Die Antworten bieten oft Aufschluss darüber, ob die Daten gefährdet sind oder nicht.
  5. Audits vor Ort — Durch die Durchführung von Audits vor Ort lässt sich feststellen, ob die Antworten der Umfrage den realen Gegebenheiten entsprechen. Diese Audits können in regelmäßigen Zeitabständen durchgeführt werden, um sicherzustellen, dass der Lieferant jederzeit gut vorbereitet ist.
  6. Go-/No-go-Entscheidung — Am Ende der Bewertung muss das Data-Governance-Team – wenn es potenzielle Risiken feststellt – prüfen, ob der Maßnahmenplan des Lieferanten zur Einhaltung der DSGVO-Vorgaben gut genug ist, um die Zusammenarbeit fortzuführen.

Durchführung einer Risikobewertung von Lieferanten mithilfe von Talend

Risikobewertungen von Lieferanten sind zeitaufwendig, sodass manuelle Prozesse auf lange Sicht eher ungeeignet sind. Mithilfe von Tools kann man nicht nur den Prozess beschleunigen, sondern auch aussagekräftige Kennzahlen für die Analyse gewinnen. Zudem lassen sich aus den Ergebnissen der Bewertung Lösungen ableiten und in die Systeme integrieren.

Mit den Talend-Technologien lassen sich Risikobewertungen von Lieferanten in Situationen durchführen, in denen Daten dieser Lieferanten gesammelt oder diesen zur Verfügung gestellt werden. Die Talend-Tools gehen über die Bewertungsphase hinaus und setzen DSGVO-Kontrollen für den Austausch von Daten täglich und automatisiert um. Mit Talend Data Quality kann man Kontrollen innerhalb eines Datenintegrationsflows einbetten, während man mit Talend Data Stewardship die Zuständigkeit für Data-Stewardship-Aktivitäten auf den Lieferanten übertragen kann.

Die nächsten Schritte für die Risikobewertung von Lieferanten

Die Risikobewertung von Lieferanten ist kein einmaliger Prozess. Das Governance-Team muss sich kontinuierlich damit befassen und Ressourcen, Dokumente und Systeme entsprechend den jeweils neuen Ergebnissen aktualisieren. Darüber hinaus sollten sich Organisationen weniger isolieren und stattdessen intensiver mit ihren Lieferanten kommunizieren.

Der nächste Schritt in unserem umfassenden 16-stufigen Plan für die DSGVO-Compliance ist die Verbesserung der Datenqualität.

Um mehr darüber zu erfahren und alle 16 Schritte kennenzulernen, sollten Sie sich das On-Demand-Webinar Practical Steps to GDPR Compliance anschauen. Im Video geht es u. a. um Themen wie die Entwicklung von Standards und Kontrollen, die Identifizierung von Dateninhabern und kritischen Datenelementen und die Datenherkunft – um nur einige zu nennen.

     

| Zuletzt aktualisiert: February 3rd, 2020

Die beliebtesten Ressourcen

Sie sind sich immer noch nicht ganz sicher, wo Sie beginnen sollen?