Mehr Daten bedeuten mehr Verantwortung. Unternehmen, die personenbezogene Daten erheben, verarbeiten, übermitteln oder speichern, stehen heute im Epizentrum eines sich rasch wandelnden Umfelds. Der Druck, personenbezogene Daten richtig zu verarbeiten und zu schützen, kommt von allen Seiten. 

In vielen Ländern wurden die Datenschutz- und Sicherheitsvorschriften verschärft und in den USA sorgen sich 86 % der Kunden zunehmend um den Datenschutz. „Das Bewusstsein der Öffentlichkeit für den potenziellen Schaden, der durch den Missbrauch oder die Zweckentfremdung ihrer Daten entstehen kann, war noch nie so groß wie heute“, sagt Chris Paterson, Director of Strategy, Third-Party Management bei OneTrust.   

Datenschutz und Datensicherheit in internen Systemen zu gewährleisten, ist an sich schon eine Herausforderung. Doch was passiert, wenn die Daten nicht mehr in der eigenen Hand sind? Im Durchschnitt arbeiten Unternehmen mit 10 verschiedenen Drittanbietern zusammen - und mit jedem Drittanbieter bestehen 60- bis 90-mal so viele indirekte Beziehungen zu weiteren Anbietern. 

Das ist jede Menge Anbieter. Aber ganz gleich, wer über Ihre Daten verfügt - jeder Vorfall bleibt letztlich in der Verantwortung Ihres Unternehmens. 

Sich ändernde Datenschutz- und Sicherheitsvorschriften und die Art und Weise, wie Daten während des Lebenszyklus des Drittparteienmanagements (Third-Party Management, TPM) fließen, erfordern eine kontinuierliche Überwachung und Kontrolle. Wie können Sie sicherstellen, dass Ihr Unternehmen geschützt und gesetzeskonform bleibt?

OneTrust Third-Party Management verfolgt einen datenzentrierten und risikobasierten Ansatz, um die Transparenz in Ihrer gesamten Lieferkette zu erhöhen. 
 

Integration von Datenschutz und Sicherheit

Mittlerweile gibt es Hunderte von Regularien, die Unternehmen beim richtigen Umgang mit Daten helfen sollen - und fast alle enthalten auch Hinweise zum Umgang mit Drittanbietern.

„Keines dieser Rahmenwerke konzentriert sich ausschließlich auf die internen Abläufe eines Unternehmens“, erklärt Paterson. „Sie verlangen von jedem Unternehmen, das dem Rahmenwerk unterliegt, diese Standards und Erwartungen direkt auf seine Drittanbieter zu übertragen.“ 

Und das gilt nicht nur für die Datensicherheit. Ein erhebliches Datenschutzrisiko besteht auch immer dann, wenn personenbezogene Daten von Drittanbietern erhoben, übermittelt, verarbeitet oder gespeichert werden. 

Erfolgreiche Compliance erfordert daher ein sensibles Gleichgewicht zwischen Informationssicherheits- und Datenschutzstandards. Die beiden folgenden Rahmenwerke wurden vor Kurzem aktualisiert, um sowohl den Sicherheits- als auch den Datenschutzrisiken Rechnung zu tragen:

• ISO 27000-Reihe: ISO 27001 wurde im Oktober 2005 als erster Standard der ISO 27000-Reihe zur Zertifizierung der Informationssicherheitsrichtlinien von Unternehmen eingeführt. ISO 27701 wurde 14 Jahre später, im August 2019, veröffentlicht. Der Schwerpunkt lag auf dem Datenschutz und der Harmonisierung anerkannter Informationssicherheitsstandards.
    
• NIST-Standards: Das NIST Cybersecurity Framework wurde erstmals im Februar 2014 in Form einer Reihe von Richtlinien, Best Practices und Standards vorgestellt, um Unternehmen bei der Bewältigung und Minimierung von Cybersicherheitsrisiken zu unterstützen. Das NIST Privacy Framework, das sechs Jahre später im Januar 2020 eingeführt wurde, ist ein ergänzendes Rahmenwerk, das sich speziell auf das Management von Datenschutzrisiken konzentriert.  

Phase 1: Aufnahme 

In der ersten Phase liegt der Schwerpunkt auf der Zentralisierung der Erfassung aller Drittanbieterinformationen, wodurch mehrfache Zugangspunkte und potenzielle Schwachstellen in der Folge beseitigt werden. 

Die Zentralisierung kann über ein einziges Self-Service-Portal erfolgen, über das Mitarbeiter die Aufnahme von Drittanbietern oder anderen Parteien beantragen können, oder als Teil eines Vertragslebenszyklusmanagement- oder Ressourcenplanungs-Tools.

Ein Self-Service-Aufnahmeverfahren verschafft Unternehmen einen Vorsprung bei der Erfassung wichtiger Drittanbieterinformationen, einschließlich Datenschutzzertifizierungen, Art und Umfang der Zusammenarbeit und Datentypen. Auf diese Weise können Drittanbieter von Anfang an nach ihrem inhärenten Risiko für das Unternehmen eingestuft und priorisiert werden. 
 

Phase 2: Screeing

In der zweiten Phase werden Due-Diligence-Prüfungen bei potenziellen Drittanbietern durchgeführt. Dabei sollten u.a. folgende Fragen gestellt werden:

• Wie stellen wir sicher, dass der potenzielle Drittanbieter nicht politisch exponiert ist? 
  
  
• Wie stellen wir sicher, dass er nicht in Geldwäsche, Korruption oder Bestechung verwickelt ist? 

Um diese Fragen zu beantworten und riskante Geschäftsbeziehungen zu vermeiden, überprüfen Unternehmen Drittanbieter in der Regel anhand von Sanktionslisten, Beobachtungslisten und sogar Medienquellen.

In den meisten Fällen geht TPRM über Datenschutz und Datensicherheit hinaus. Es ist wichtig, auch alle anderen Arten von Risiken zu berücksichtigen, wie z. B. in Bezug auf Compliance, Ethik, ESG, Geopolitik usw., die sich auf Ihre Geschäftstätigkeit auswirken könnten. 

Ziel dieses Schrittes ist es, alle mit dem Drittanbieter verbundenen Risiken zu identifizieren und, falls sich Ihr Unternehmen für eine Zusammenarbeit entscheidet, einen geeigneten Ansatz zur Bewertung und Minderung dieser Risiken zu entwickeln.

Phase 3: Bewertung

Im TPM-Lebenszyklus erfordert die Bewertungsphase den höchsten zeitlichen und ressourcenintensivsten Aufwand. In dieser Phase kann eine Kombination aus Risikomanagement, Datenschutzbewertungen und weiteren Compliance-Aspekten erfolgen, um eine ganzheitlichere Bewertung zu ermöglichen. 

Optimieren Sie Ihre Bewertungen mithilfe spezieller Tools mit integrierten Vorlagen für verschiedene Risikobereiche wie Datenschutz, Cyberrisiken und vieles mehr. 

Darüber hinaus können Sie über unsere Third-Party Risk Exchange validierte Informationen abrufen, um die Richtigkeit der von Drittanbietern bereitgestellten Informationen zu überprüfen.  
 

Phase 4: Überprüfung

Im nächsten Schritt sollten alle in den vorangegangenen Phasen gesammelten Informationen und Erkenntnisse über den Drittanbieter überprüft werden.  

Angenommen, ein Drittanbieter, der einer Überprüfung unterzogen werden soll, verfügt über eine ausgereifte Sicherheitsstrategie, hat jedoch gerade erst mit der Entwicklung seines Datenschutzprogramms begonnen. Es besteht die Möglichkeit, dass er nicht definieren kann, von wem er Daten erhebt, welche Datenelemente erhoben werden und zu welchem Zweck die Daten verarbeitet werden. Dies kann ein erhebliches Datenschutzrisiko für Ihr Unternehmen darstellen. 

Basierend auf diesen Erkenntnissen können die Stakeholder nun einen Risikoscore und eine Kritikalitätsstufe festlegen und den besten Ansatz für die Zusammenarbeit mit der Drittpartei bestimmen. 

Phase 5: Überwachung 

Da sich das Risikoumfeld und der Leistungsumfang von Drittanbietern ständig wandeln, ist eine kontinuierliche Überwachung für eine gesunden Geschäftsbeziehung unerlässlich.

Eine effektive Überwachung von Drittanbietern umfasst in der Regel folgende Schritte:   

• Bewertung spezifischer Risikobereiche
  
  
• Definition eines empfohlenen Bewertungsintervalls
  
  
• Festlegung der Inhalte des Fragebogens, der an jeden Drittanbieter geschickt wird (basierend auf den spezifischen Geschäftsbereichen und der Sicherheits- und Datenschutz-Compliance). 

Paterson erklärt: „In dieser Phase haben viele Unternehmen die Möglichkeit, ihre Effizienz zu steigern - und zwar durch eine automatisierte, kontinuierliche Überwachung von Drittanbietern.“

5 Tipps zur Minimierung des Risikos durch Drittanbieter 

Während Ihr Unternehmen sein Netzwerk von Drittanbietern weiter ausbaut, ist es notwendig, einen zuverlässigen Prozess zu etablieren, um Risiken zu identifizieren und die Verwundbarkeit in allen Bereichen zu reduzieren.

Es folgen bewährte Tipps, um die Einhaltung der Datenschutz- und Sicherheitsvorschriften in jeder Phase des TPM-Lebenszyklus zu gewährleisten:

Tipp 1: Verschaffen Sie sich einen Überblick, wohin Ihre Daten gelangen 

In manchen Unternehmen werden Hunderte oder Tausende von Drittanbietern verwaltet. Wenn es um personenbezogene Daten geht, reicht es jedoch nicht aus, nur die Prozesse der Drittanbieter im Auge zu behalten. Sie müssen auch verfolgen, wie die Daten vom Drittanbieter zum Viertanbieter, zum n-ten Anbieter usw. gelangen.  

Um einen vollständigen Überblick über den Weg Ihrer Daten zu erhalten, sollten Sie potenzielle Drittanbieter direkt über deren Drittanbieter befragen. Dies ist insbesondere in den folgenden Fällen wichtig: 

• Grenzüberschreitende Datentransfers, die oft zusätzliche Compliance-Anforderungen mit sich bringen
  
  
• Drittanbieter, die eine breite Palette von Dienstleistungen anbieten, da jede Dienstleistung unterschiedliche Arten von Daten umfassen kann
  
  
• Ergänzungen oder Änderungen des Leistungsumfangs von Drittanbietern, die eine Aktualisierung von Verträgen und Bewertungen erforderlich machen

Erstellen Sie ein Modell, das Ihren Teams hilft, jeden Schritt zu visualisieren, den Ihre Daten auf dem Weg von einem Anbieter zum anderen durchlaufen (siehe unten).

Tipp 4: Bereiten Sie sich auf das Unerwartete vor  

Einer der häufigsten Fehler beim Management von Drittanbietern besteht darin, dass die meisten Ressourcen für die Evaluierung und das Onboarding aufgewendet werden, während das kontinuierliche Management vernachlässigt wird. Dabei ist das Management die längste Phase im Drittanbieter-Lebenszyklus und entscheidend für die langfristige Risikominderung. 

Bereiten Sie Ihr Unternehmen auf das Unerwartete vor, indem Sie die Verteidigungsfähigkeit in Zusammenarbeit mit Ihren Drittanbietern ausbauen. Dies kann eine Vielzahl von Aktivitäten umfassen: 

• Organisation aller Daten in einem zentralen Verzeichnis, sodass Datenschutz-, Sicherheits- und Drittanbieterteams auf alle relevanten Informationen zugreifen können
  
  
• Koordination zwischen den Stakeholdern aller Teams, um Informationen auszutauschen, die dazu beitragen können, die gemeinsamen Ziele besser zu erreichen
  
  
• Durchführung einer Planspielübung mit kritischen Drittanbietern, um zu erfahren, was passieren würde, wenn sie von einer Verletzung betroffen wären
  
  
• Überprüfung potenzieller Änderungen, die sich auf die Risikoexposition Ihres Unternehmens auswirken könnten, und kontinuierliche Optimierung der etablierten TPM-Praktiken

Wie bei jedem Routineprozess kann Automatisierung wesentlich dazu beitragen, Abläufe zu optimieren und unnötigen manuellen Aufwand zu reduzieren. In jeder Phase des TPM-Lebenszyklus bestehen Möglichkeiten zur Automatisierung: 

• Aufnahme: Automatisieren Sie die Datenerfassung über ein Self-Service-Portal, über das Teams neue Dienste von Drittanbietern anfordern oder Details zu bestehenden Diensten von Drittanbietern einsehen können.
  
  
• Screening: Nutzen Sie die Automatisierung, um eine initiale Due-Diligence-Prüfung durchzuführen, Drittanbieter anhand von Sanktions- und Beobachtungslisten zu überprüfen und Datenanalysen für jeden potenziellen Drittanbieter durchzuführen.
  
  
• Bewertung: Implementieren Sie Workflow-Intelligenz, um automatisch Lücken oder Risiken zu identifizieren, angemessene Reaktionen auf Basis der erhaltenen Daten auszulösen und Daten zur Entscheidungsfindung zu erheben.
  
  
• Überprüfung: Erstellen Sie automatisch Aufgaben und weisen Sie diese zuständigen Teams zu, um auf der Grundlage von Fragebogenantworten und anderen erhobenen Daten Prüfungen von Drittanbietern durchzuführen.
  
  
• Überwachung: Implementieren Sie automatisierte Bedrohungserkennungs- und Warnsysteme, die Teams über Probleme oder Änderungen im Risikoprofil von Drittanbietern informieren.
  
  
• Analyse: Verwenden Sie Datenanalysetools, um Trends bei Drittanbietern automatisch zu erkennen und Berichte und Risikoanalysen für Stakeholder zu erstellen.

Priorisieren Sie den Datenschutz beim Drittparteienmanagement

Da Unternehmen immer mehr auf Drittanbieter zurückgreifen - und damit ihre Daten- und Risikoexposition insgesamt erhöhen - ist es umso wichtiger, dass Datenschutz- und TPM-Teams zusammenarbeiten. Datenschutzteams bieten eine zusätzliche Ebene des Datenschutzes, die den bestehenden Fokus des TPM auf Risiken, Vorschriften und Sicherheitskontrollen ergänzt.

Die oben aufgeführten Tipps können Ihnen dabei helfen, Ihre Teams in jeder Phase des TPM-Lebenszyklus zu koordinieren. Ein integriertes Datenschutz- und TPM-Programm zentralisiert alle Daten von Drittanbietern und nutzt die Automatisierung, um Prozesse zu optimieren, die Compliance zu erleichtern, Vertrauen zu schaffen und Datenintegrität zu gewährleisten.

Reduzieren Sie Risiken, schaffen Sie Vertrauen und verbessern Sie die Widerstandsfähigkeit Ihres Unternehmens, indem Sie das Drittparteienmanagement in den Bereichen Datenschutz, Sicherheit, Ethik und ESG vereinheitlichen. Fordern Sie noch heute eine Demo an.