Datenschutz und TPRM: 5 bewährte Praktiken

Erfahren Sie, wie Sie die Komplexität des Schutzes von PII, PHI und anderen sensiblen Daten in der sich entwickelnden Landschaft der Beziehungen zu Dritten meistern können.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Januar 9, 2024 9 min gelesen

Daten gehören zu den wertvollsten Vermögenswerten Ihres Unternehmens - und zu denjenigen, die am ehesten gestohlen werden können. Sie werden oft als "digitales Gold" bezeichnet, aber im Gegensatz zu physischem Gold liegt ihr Wert in ihrer Nutzung. Jede Interaktion, insbesondere durch Dritte und Dritte, erhöht jedoch die Anfälligkeit Ihrer Daten für Diebstahl und unbefugten Zugriff.

Beim Schutz von Daten geht es nicht nur um die Wahrung von Betriebsgeheimnissen, sondern auch um die Wahrung der Privatsphäre derjenigen, die Ihnen ihre Daten anvertrauen. Doch je weiter die Daten entlang der Wertschöpfungskette wandern und sich damit von Ihrem Unternehmen entfernen, desto schwieriger wird es, ihre Privatsphäre zu schützen.

Dieser Blog befasst sich mit den Herausforderungen des Datenschutzes und bietet 5 praktische Lösungen zum Schutz sensibler Daten in der komplexen Welt der Beziehungen zu Dritten.

Navigieren durch die Herausforderungen des Datenschutzes für Drittparteien

Vielen Unternehmen fehlt der Überblick über den Verbleib ihrer sensiblen Daten, sobald sie ihre Systeme verlassen haben. Zulieferer, Auftragnehmer und Geschäftspartner sowie deren ausgedehnte Netzwerke können Ihre internen oder Kundendaten ohne Ihr Wissen verarbeiten oder weitergeben, was deren Sicherheit gefährden kann.

Dritte, vierte und n-te Parteien spielen eine entscheidende Rolle in verschiedenen Unternehmensfunktionen, von der Zahlungsabwicklung bis hin zur Lieferung von Aufträgen und der Verbesserung von Dienstleistungen durch APIs. Gemeinsam ist ihnen, dass sie auf Daten angewiesen sind, was eine Herausforderung für ein effektives Risikomanagement darstellt.

Um sich in dieser komplexen Landschaft zurechtzufinden, muss Ihr Unternehmen ein Netz von Erwartungen, Anforderungen und Beschränkungen inmitten einer Vielzahl von Technologien entwirren, die kontinuierliche Datenströme erzeugen.

Zu den wichtigsten Herausforderungen gehören:

1. Wuchernde Verordnungen

Die Sicherstellung des Schutzes sensibler Daten durch Dritte ist eine der Hauptanforderungen vieler globaler Datenschutzgesetze. Da 80 % der Länder Gesetze ausarbeiten oder erlassen, einschließlich der einzigartigen bundesstaatlichen Vorschriften in den USA, sehen sich Unternehmen mit einer komplexen Rechtslandschaft konfrontiert. Um die Vorschriften effektiv einzuhalten, müssen Unternehmen informiert bleiben und sich in diesem komplizierten Labyrinth von gesetzlichen Anforderungen geschickt zurechtfinden. Detaillierte Einblicke in spezifische Vorschriften und Rahmenwerke finden Sie in unserem umfassenden Leitfaden zur Einhaltung von TPRM.

2. Erwartungen von Verbrauchern und Aktionären

Seit der Allgemeinen Erklärung der Menschenrechte der Vereinten Nationen von 1948 ist der Schutz der Privatsphäre als ein grundlegendes Menschenrecht anerkannt. Laut der TPRM-Umfrage von Prevalent äußert sich ein Drittel der Risikomanagement-Teams besorgt über den Umgang mit dem Datenschutz und der Sicherheit von Dritten. Unternehmen müssen sich mit diesen Bedenken auseinandersetzen, da 63 % unsicher sind, ob sie die vorgeschriebenen Offenlegungspflichten einhalten können, und die Hälfte nicht über die notwendigen Überwachungsinstrumente für den Fall einer Datenschutzverletzung verfügt. Die Erfüllung dieser Erwartungen ist entscheidend für den Aufbau von Vertrauen und die Einhaltung von Vorschriften.

3. Überholte Prozesse

Trotz verfügbarer Technologien, die Aufgaben automatisieren, Zeit sparen und das Risikobewusstsein verbessern können, verfolgt ein großer Teil der Unternehmen weiterhin einen manuellen Ansatz für das Risikomanagement von Drittanbietern (TPRM). Der Rückgriff auf Tabellenkalkulationen und E-Mail-Kommunikation behindert die effiziente Verfolgung und Verwaltung von Lieferanten, Anbietern und Partnern. Unternehmen müssen auf automatisierte TPRM-Technologien umsteigen, um Prozesse zu rationalisieren, die Effizienz zu steigern und effektiv auf die dynamische Landschaft des Datenschutzes für Dritte zu reagieren.

5 Best Practices für den Umgang mit Datenschutzrisiken von Dritten

Wenn das Management von Datenrisiken Dritter einfach wäre, würde es jeder machen. Doch viele Unternehmen wissen, dass sie nicht alles implementiert haben, was sie zur Überwachung und Verwaltung von Sicherheitsrisiken Dritter benötigen. Bei spezifischen Risiken wie dem Datenschutz kann die Situation noch schlimmer sein. Wie bei der Cybersicherheit versagen die Unternehmen oft, weil sie sich nicht um die Grundlagen gekümmert haben.

Im Folgenden finden Sie die besten Praktiken, die wir empfehlen:

1. Rechenschaftspflicht einführen

Klarheit bei der Verantwortlichkeit für das Datenrisikomanagement von Drittanbietern ist entscheidend. Eine Studie von Forrester Research hat ergeben, dass selbst Unternehmen, die auf die Risiken von Anbietern und Zulieferern achten, oft keine solide TPRM-Governance oder -Verantwortung haben. Das Fehlen einer designierten Partei, die die Risiken von Drittanbietern beaufsichtigt, kann zu schwachen Kontrollen oder einem völligen Fehlen derselben führen. Ziehen Sie die Bildung eines funktionsübergreifenden Datenschutzteams in Betracht, dem Vertreter der Rechtsabteilung, der IT-Sicherheit, der Innenrevision und des Lieferantenmanagements angehören, um die Verantwortlichkeit, die Festlegung von Richtlinien und die Verpflichtung zum Datenschutz zu fördern.

2. An einem Rahmenwerk ausrichten

Die Vorschriften legen fest, was getan werden muss, aber nicht unbedingt, wie es getan werden soll. Diese Komplexität verstärkt sich noch, wenn man es mit zahlreichen Anbietern an verschiedenen Standorten zu tun hat, für die jeweils eigene Gesetze gelten. Die Einführung eines geeigneten Rahmens für das Risikomanagement von Drittanbietern (TPRM), der auf Ihre Branche und Ihre Anforderungen zugeschnitten ist, leitet den Prozess mit bewährten Verfahren. Dies gewährleistet die Einhaltung von Gesetzen bei gleichzeitiger Wahrung der Datensicherheit. Rahmenwerke wie das Shared Assessments TPRM Framework, NIST 800-161, NIST CSF v.2.0 Draft, ISO 27001 und ISO 27036 bieten umfassende Anleitungen.

3. Wachsamkeit und Sorgfalt während des gesamten Lebenszyklus der Drittpartei

Datenrisiken bestehen während der gesamten Beziehung eines Unternehmens zu Drittanbietern und reichen über die Prüfung der Einhaltung der Vorschriften und die Kündigung hinaus. Wachsamer Schutz ist von Anfang an bis zur Dateneliminierung unerlässlich und umfasst mehrere wichtige Phasen:

Beschaffung und Auswahl

  • Schauen Sie sich potenzielle Dritte bereits in den ersten Phasen genau an.
  • Geben Sie dem Datenschutz in Ihrer Angebotsanfrage (Request for Proposal, RFP), Ihrer Informationsanfrage (Request for Information, RFI) oder einer anderen Art von Anfrage den Vorrang und betonen Sie strenge Kontrollen.
  • Überprüfen Sie die Angaben der Anbieter anhand externer Quellen und bewerten Sie den finanziellen Status, den Ruf und Sicherheitsverstöße.
  • Fordern Sie vor Vertragsabschluss Nachweise für Sicherheitsmaßnahmen an, z. B. die Einhaltung von Sicherheitsrahmen, Auditberichte und eine potenzielle Sicherheitsbewertung durch eine objektive Partei.

Aufnahme und Onboarding

  • Verankerung von Datenschutzkontrollen in Verträgen mit Anbietern, in denen die Anforderungen klar festgelegt sind.
  • Festlegung von Protokollen für die gemeinsame Nutzung von Daten, die eine Benachrichtigung bei der Weitergabe von Daten an Dritte gewährleisten.
  • Durchführung einer Due Diligence Aufgabenwie zum Beispiel:
    • Bewertung der Sicherheitskontrollen von Anbietern anhand von Industrierahmenwerken, z. B. von NIST und ISO
    • Überwachung von Cyberrisiken, Datenschutzverletzungen, finanziellen Problemen, Rechtsverstößen, negativen Medienberichten und anderen Risiken für die Öffentlichkeit
    • Identifizierung potenzieller Risiken von Dritt- und Viertanbietern , die während der Beschaffung und Auswahl nicht offensichtlich waren
    • Erkennung von Reputations- und Compliance-Risiken in der erweiterten Lieferkette des Anbieters
    • Zertifizierung, dass die Anbieter die "Flow-Down"-Konformitätsanforderungen gemäß GDPR, CMMC, HIPAA und anderen Vorschriften erfüllt haben.

Inhärentes Risiko Scoring

  • Bewerten Sie die inhärenten Risiken der Anbieter unter Berücksichtigung der finanziellen Lage, der Sicherheitspraktiken und früherer Verstöße.
  • Verwendung von Fragebögen und Überwachung für die interne Risikobewertung, Einstufung von Anbietern auf der Grundlage des inhärenten Risikos.
  • Erstellen Sie eine Matrix, die Wahrscheinlichkeit und Auswirkungen kombiniert, um Anbieter effizient zu bewerten und zu priorisieren.

Regelmäßige Risikobewertung durch Dritte

  • Durchführung regelmäßiger, eingehender Risikobewertungen für Lieferanten mit höheren Risiken.
  • Analysieren Sie Datenschutzkontrollen, bewerten Sie die Einhaltung von Vorschriften und ermitteln Sie Risiken, die mit der Risikotoleranz übereinstimmen.
  • Quantifizierung der Risiken auf der Grundlage der potenziellen organisatorischen Kosten und Gewährleistung einer kontinuierlichen Bewertung.

Kontinuierliche Risikoüberwachung

  • Implementieren Sie eine automatisierte, kontinuierliche Überwachung, um aufkommende Datenschutzrisiken zu erkennen und die Antworten der Anbieter zu überprüfen.
  • Überprüfen Sie die Cybersicherheitslage, die Geschäftsethik, den finanziellen Status und den geopolitischen Kontext, um eine kontinuierliche Wachsamkeit zu gewährleisten.
  • Anpassung an sich ändernde Verkäuferpraktiken durch regelmäßige Risikobewertungen.

SLA und Leistungsmanagement

  • Gewährleistung der kontinuierlichen Einhaltung der in den Verträgen mit Anbietern und Zulieferern festgelegten Datenschutzanforderungen.
  • Bewerten Sie regelmäßig die Leistung des Anbieters, nicht nur bei der Erneuerung, um einheitliche Datenschutzstandards zu gewährleisten.

Offboarding und Beendigung

  • Entziehen Sie dem Anbieter bei Vertragsabschluss den Zugang zu den Systemen, insbesondere zu denen, die sensible Daten speichern.
  • Überprüfen Sie die vollständige Löschung der Daten aus den Systemen der Anbieter, um die Risiken wirksam zu mindern.
  • Bewältigung von Datenschutzrisiken bei der Einstellung und Beendigung des Arbeitsverhältnisses, was von vielen Unternehmen häufig übersehen wird.

Durch die Anwendung dieser Praktiken in jeder Phase können Unternehmen ein robustes und effizientes Risikomanagementprogramm für Drittanbieter einrichten, das Daten schützt und den Datenschutz während der gesamten Lieferantenbeziehung aufrechterhält.

4. Restrisiko nicht übersehen

Restrisiken bestehen auch dann noch, wenn die Anbieter die erforderlichen Maßnahmen umgesetzt haben. Das Verständnis der Risikotoleranz Ihres Unternehmens ist für ein effektives Management von Restrisiken unerlässlich. Um Restrisiken zu kompensieren, kann es erforderlich sein, von den Anbietern zusätzliche Kontrollen zu verlangen, insbesondere für hochsensible Daten. ISO 27001 betont die kontinuierliche Überwachung, um Restrisiken effektiv anzugehen und zu verwalten.

5. Relevante und wirksame Berichte erstellen

Die Dokumentation aller Aktivitäten des Anbieters im Bereich des Datenschutzrisikomanagements ist für die Einhaltung der Vorschriften und als Nachweis für Audits von entscheidender Bedeutung. Die Berichte sollten die Einhaltung der Datenschutzgesetze nachweisen, Abhilfemaßnahmen aufzeigen und den Anforderungen der verschiedenen Interessengruppen gerecht werden, darunter Compliance-Teams, Sicherheitsteams, Führungskräfte, Anbieter und der Vorstand. Die Verwendung einer Risikomanagementlösung eines Drittanbieters rationalisiert die Berichterstattung und stimmt sie mit GRC- und Unternehmens-Risikomanagementsystemen ab.

Die Übernahme dieser 5 Best Practices bildet eine solide Grundlage für einen umfassenden Schutz der Daten Dritter. In einer sich ständig weiterentwickelnden Landschaft gewährleistet ein proaktiver Ansatz die Sicherheit und den Schutz Ihrer Daten im komplexen Netz der Beziehungen zu Dritten.

Wie Prevalent helfen kann

Prevalent bietet eine einzige Plattform für das Risikomanagement von Drittanbietern, die von Teams im gesamten Unternehmen genutzt werden kann, um bei Datenschutzrisiken von Drittanbietern zusammenzuarbeiten. Die Prevalent TPRM-Plattform:

  • Verschafft Transparenz darüber, wo sich Daten befinden, wie sie fließen und wer Zugriff darauf hat
  • Beschleunigt die Identifizierung und Behebung von Risiken und mindert so die Kosten und den Schaden für den guten Ruf.
  • Erstellung gezielter Berichte für Aufsichtsbehörden, Anbieter und interne Interessengruppen zur Zusammenarbeit bei der Risikominderung
  • Integration mit anderen Prozessen zum Risikomanagement von Lieferanten für ein zentralisiertes Risikomanagement für Dritte

Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihrem Unternehmen helfen kann, Datenschutzrisiken Dritter zu erkennen, zu verwalten und zu reduzieren, laden Sie das Whitepaper herunter oder kontaktieren Sie uns noch heute für eine Demo.

Arten von Datenschutzrisiken durch Dritte

Große Unternehmen setzen fortschrittliche Technologien zum Schutz ihrer Systeme, Netzwerke und Daten ein, so dass es für Cyberkriminelle schwierig ist, über herkömmliche Kanäle in sie einzudringen. Diese Unternehmen dürfen jedoch nicht selbstgefällig werden; böswillige Akteure suchen ständig nach alternativen Einstiegspunkten. Anstatt die Versuche aufzugeben, auf wertvolle Daten zuzugreifen, nehmen Cyberkriminelle kleinere Unternehmen ins Visier - Geschäftspartner der dritten, vierten und x-ten Partei.

Diese kleineren Unternehmen, die über Verbindungen und Zugang zu begehrten Daten verfügen, werden bei einem Einbruch zu potenziellen Einfallstoren. Es ist alarmierend, dass fast die Hälfte aller Cyberangriffe auf kleinere Unternehmen abzielen. In dem Maße, wie globale Unternehmen und Volkswirtschaften ihre Dienste und Daten digitalisieren und integrieren, steigen der Einsatz und die Wahrscheinlichkeit von Sicherheitsverletzungen.

Das Fehlen eines umfassenden Überblicks über das umfangreiche Netzwerk von Organisationen in Ihrem Lieferanten- und Zulieferer-Ökosystem erschwert das Verständnis des Datenflusses, seines Verbleibs und des Schutzniveaus, das er genießt. Daher ist es nicht überraschend, dass immer mehr öffentlichkeitswirksame Datenschutzverletzungen durch Schwachstellen bei Drittanbietern verursacht werden.

Zunehmender Druck zur Einhaltung des erweiterten Datenschutzes

In einer Zeit, in der Datenschutzverletzungen oft auf Schwachstellen bei Dritten zurückgeführt werden, ist ein solides Risikomanagement für Dritte notwendig und strategisch wichtig. Das Unternehmen, das Daten sammelt, ist für deren Schutz verantwortlich, wie in einer zunehmenden Anzahl von Vorschriften betont wird. Unternehmen müssen sicherstellen, dass ihre Anbieter und Partner robuste Datenschutzrichtlinien und -kontrollen einhalten und diese Anforderungen auch auf ihre Partner ausdehnen.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.