Kontrolle von Lieferanten und Auftragsverarbeitern – was ist zu beachten?

Viele Unternehmen sind auf die Leistungen von Lieferanten und Dienstleister angewiesen, um ihrem eigentlichen Zweck nachzugehen. Informationssicherheit und DSGVO dürfen bei der Wahl und Kontrolle der Lieferanten nicht außen vor gelassen werden.

Jedes Unternehmen setzt in verschiedenen Unternehmensbereichen auf Lieferanten und Dienstleister. Dabei kann der Grad der Abhängigkeit zu diesen Lieferanten und Dienstleistern für die Informationssicherheit, jedoch auch für die Umsetzung und Erfüllung der Pflichten aus der DSGVO von großer Bedeutung sein. Im Hinblick auf die Kontrolle und Überwachung ergeben sich zwischen Datenschutz und der Informationssicherheit Synergieeffekte. Beide Bereiche fordern die Überwachung und Kontrolle zum Schutz von natürlichen Personen als auch zum Schutz des Unternehmens.

Darüber hinaus kann es weitere gesetzliche Rahmenbedingungen für die Überprüfung von Lieferanten und Dienstleistern geben. Beispielsweise müssen KRITIS-Unternehmen als auch Unternehmen, die der NIS-2-Richtlinie unterliegen, die Sicherheit ihrer Lieferkette betrachten und steuern.

In diesem Blogpost betrachten wir sowohl relevante Aspekte der Informationssicherheit als auch der DSGVO zur Kontrolle von Lieferanten und Dienstleistern.

Weshalb ist die Kontrolle von Lieferanten wichtig?

Lieferanten und Dienstleister können je nach Beauftragung Zugriff auf sensible Unternehmensinformationen erhalten oder verarbeiten personenbezogene Daten im Auftrag. Die DSGVO schreibt die Umsetzung von technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung personenbezogener Daten (Art. 32 DSGVO) vor. Verarbeitet ein Dienstleister im Auftrag personenbezogene Daten, bleibt der Auftraggeber jedoch verantwortliche Stelle und muss sicherstellen, dass ein Auftragnehmer ebenfalls entsprechende Sicherheitsmaßnahmen entsprechend der DSGVO umsetzt. Die Zusicherung für die Umsetzung erfolgt in der Regel durch den Abschluss eines Vertrages zur Auftragsverarbeitung (Art. 28 DSGVO).

Aus dem Blickwinkel der Informationssicherheit ist es wichtig, Risiken im Blick zu behalten und zu bewerten, die sich negativ auf das Unternehmen und dessen Werte auswirken können. Diese Risiken können auch von Lieferanten ausgehen, wenn sich durch deren Tätigkeit eine Auswirkung auf Unternehmenswerte vermuten lässt.

Was muss bei der Kontrolle von Lieferanten beachtet werden?

1. Identifizierung und Kategegorisierung von Lieferanten und Dienstleistern

Erstellen Sie ein Inventar über Lieferanten und Dienstleister, die Zugang bzw. Zugriff auf Informationen oder Systeme des Unternehmens haben oder im Auftrag Daten verarbeiten. Diese sollten nach Kritikalität aus Sicht des Datenschutzes und nach den Schutzzielen des ISMS (Vertraulichkeit, Integrität, Verfügbarkeit) bewertet und kategorisiert werden.

Die Übersicht kann um weitere Überprüfungs- und Überwachungsattribute erweitert werden, beispielsweise:

• Erwartete Qualität und deren Abgleich mit der tatsächlich erbrachten Qualität
• Einhaltung von Gesetzen und Vorschriften
• Soziale Verantwortung oder Nachhaltigkeit, die das beauftragte Unternehmen laut den definierten Anforderungen erfüllen sollte

Die Liste kann beliebig erweitert werden, je nachdem, welche Bedingungen der Dienstleister oder Lieferant neben den Aspekten des Datenschutzes und der Informationssicherheit erfüllen sollte.

2. Vertragliche Regelungen prüfen und Überprüfungsgrundlage festlegen

Besteht zwischen einem Lieferanten und dem Unternehmen ein Service-Level-Agreement (SLA)? Oder wurde womöglich ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO geschlossen? Prüfen Sie die Gegebenheiten und ziehen etwaige vertragliche Lücken nach. Durch den Abschluss entsprechender Verträge kann sich daraus eine Grundlage für die Überprüfung und Kontrolle des Dienstleisters oder Lieferanten ergeben.

3. Durchführung der Kontrolle

Nach der Prüfung der Vertragsmodalitäten und der bestehenden Grundlage für eine Kontrolle sollte zyklisch kontrolliert werden. Idealerweise sollte ein Lieferant oder Dienstleister mindestens einmal im Jahr  geprüft werden.  Die Kontrolle kann sich dabei in unterschiedlicher Weise gestalten:

• Zertifikate über Zertfizierungen (bspw. ISO 27001, TISAX®, SOC2, DORA, bzw. branchenspezifische Zertifikate über die Einhaltung von Datenschutz und Informationssicherheit), unabhängige Prüfberichte, aktuelle Sicherheitskonzepte und/oder Datenschutzleitlinien
• Zusendung eines Fragebogens mit Abfrage relevanter Informationen zur Umsetzung von technischen und organisatorischen Maßnahmen, Informationen zu Subunternehmen und deren Änderungen sowie der Umgang mit Datenschutz- und Sicherheitsvorfällen
• Vor-Ort-Kontrolle der räumlichen Gegebenheiten und der Schutz der personenbezogenen Daten, sowie sensiblen Unternehmensdaten

Die Kontrollmaßnahmen können kombiniert werden oder sich auch über die Jahre hinweg abwechseln. Dabei sollten die Kontrollen nur von fachkundigen Personen durchgeführt werden, wie etwa durch Datenschutzbeauftragte, Informationssicherheitsbeauftragte oder sogar durch eine unabhängig benannte Stelle. Wird festgestellt, dass ein Lieferant oder Dienstleister den Bedingungen nicht (mehr) entspricht, empfehlen wir, diesen nicht erneut zu beauftragen. Durch regelmäßige Kontrollen erhalten Sie einerseits die Möglichkeit, Verträge kontrolliert zu beenden und andererseits Zeit, neue Lieferanten und Dienstleister entsprechend Ihrer Kriterien ausfindig zu machen.

4. Subunternehmen genau betrachten

Nicht selten setzen Dienstleister Subunternehmen ein. Dadurch kann es zur Übermittlung von personenbezogenen Daten oder auch sensiblen Unternehmensdaten an weitere Unternehmen kommen. Hier gilt es genau hinzusehen und zu prüfen, um welche Subunternehmen es sich handelt, ob zwischen Auftragnehmer und Subunternehmen ebenfalls vertragliche Regelungen geschlossen wurden und ob hier ebenfalls zyklische Kontrollen durchgeführt werden. Zudem muss ein Auftragnehmer mit angemessener Frist über den Wechsel eines Subunternehmers informieren. Auch hier ist zu prüfen, ob die Sicherheitsmaßnahmen des beauftragten Unternehmens mit den Zielen des Datenschutzes und der Informationssicherheit vereinbar sind.

5. Umgang mit Vorfällen und Sicherheit in der Lieferkette

Sofern ein Auftragsverarbeiter personenbezogene Daten verarbeitet und es im Rahmen seiner Dienstleistung zu Datenschutzverletzungen kommt, müssen diese unverzüglich an den Auftraggeber gemeldet werden. „Unverzüglich“ ist hierbei das magische Wort. Keine andere Regelung sollte mit einem Auftragsverarbeitungsvertrag aufgeführt werden. Das betroffene Unternehmen muss innerhalb von 72 Stunden eine Meldung bei der für sie zuständigen Aufsichtsbehörde abgeben und ggf. entsprechende Schutzmaßnahmen für die betroffenen Personen ergreifen. Die Bewältigung eines Datenschutzvorfalles kann in Zusammenarbeit zwischen Auftraggeber und Auftragnehmer erfolgen, je nach Situation.

Bei einem Sicherheitsvorfall wird beispielsweise die Vertraulichkeit, Integrität oder Verfügbarkeit des Dienstleisters oder Lieferanten beeinträchtigt, wodurch dies ebenfalls durchschlagende Effekte auf das auftraggebende Unternehmen haben kann. Auch hier muss die Regel des unverzüglichen Meldens umgesetzt werden, wenn ersichtlich ist, dass es sich um einen Sicherheitsvorfall handelt, der Auswirkungen auf die Lieferkette hat. Lieferanten sind daher auch auf den Umgang mit Sicherheitsvorfällen zu prüfen, damit das auftraggebende Unternehmen sicherstellen kann, dass Meldungen strukturiert und sorgfältig bewältigt werden.

6. Lieferanten-Onboarding – die Initialprüfung

Die Festlegung, ob ein Lieferant oder Dienstleister für eine Zusammenarbeit geeignet ist, beginnt jedoch schon vor der Beauftragung. Das beauftragende Unternehmen steht dafür ein, dass ein Dienstleister oder Lieferant „geeignet“ ist und die gesetzlichen Anforderungen erfüllt, als auch den ggf. normativen Anforderungen des Unternehmens entspricht. Aus diesem Grund ist ein dokumentierter und konkret mit Attributen versehender Onboardingprozess notwendig. Die Auswahl kann z.B. mittels Checklisten, der Überprüfung der technischen und organisatorischen Maßnahmen und der vertraglichen Prüfung erfolgen. Das Unternehmen muss zuvor die Lieferantenbedingungen definieren, damit das Ziel einer qualitativ hochwertigen und sicheren Zusammenarbeit erreicht wird.

Zusammenfassung

• Unternehmen müssen einen Überblick über ihre Lieferanten und Dienstleister haben. Dabei müssen die Aspekte des Datenschutzes und der Informationssicherheit berücksichtigt werden, damit ein Unternehmen bei einem Datenschutz- oder Sicherheitsvorfall entsprechend handeln kann
• Grundlage für die Kontrolle sind vertragliche Regelungen und die DSGVO
• Subunternehmen müssen ebenfalls genau betrachtet werden
• Der Umgang mit Datenschutz- oder Sicherheitsvorfälle muss geregelt sein
• Etablierung eines Lieferantenonboardings für die Sicherstellung der Anforderungen aus der DSGVO und festgelegten Kriterien zur Informationssicherheit
• Zyklische Überprüfung mindestens einmal im Jahr umsetzen

Sie haben Fragen oder benötigen Untetstützung bei der Kontrolle Ihrer Lieferanten und Dienstleister? Gerne steht unser Datenschutz-Team Ihnen bei Seite.