Die Datenschutz-Grundverordnung (DSGVO) wurde ursprünglich im Mai 2018 verabschiedet und ist ein Datenschutzgesetz, das die Verwendung, den Transfer und den Schutz von Daten regelt, die über Bürger der Europäischen Union (EU) erhoben werden. Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von Personen in Europa erheben, speichern, verarbeiten oder übertragen, unabhängig vom Standort der Organisation.
Warum das Risikomanagement von Drittanbietern in der DSGVO wichtig ist
Da Dritte häufig für die Verwaltung personenbezogener Daten im Namen ihrer Kunden verantwortlich sind, müssen Unternehmen besonders sorgfältig darauf achten, dass diese Anbieter und Partner über Datenschutzkontrollen und eine entsprechende Governance verfügen. Dazu gehört die Durchführung von Bewertungen der Datenschutzkontrollen, die Analyse der Ergebnisse auf potenzielle Risiken und die Aufforderung an Dritte, diese Risiken zu beseitigen, um regulatorische, finanzielle und reputationsbezogene Risiken zu vermeiden.
Die EU setzt die DSGVO aggressiv durch und verhängt mehrere bemerkenswerte Sanktionen gegen Unternehmen, bei denen es zu Verstößen durch Dritte gekommen ist, darunter:
- Die luxemburgische Regulierungsbehörde hat Amazon wegen Verstoßes gegen die DSGVO mit einer Geldstra fe von 746 Millionen Euro belegt und behauptet, dass das Werbesystem von Amazon nicht auf „freier Einwilligung” basiere.
- Anfang 2021 verhängte die französische Datenschutzbehörde gegen einen nicht namentlich genannten Datenverantwortlichen eine Geldstrafe in Höhe von 150.000 Euro und gegen dessen externen Datenverantwortlichen eine Geldstrafe in Höhe von 75.000 Euro, weil sie keine angemessenen Sicherheitsmaßnahmen umgesetzt hatten.
- Die Datenschutzbehörde Hamburg hat gegen den Bekleidungshändler H&M eine Geldstrafe von über 35 Millionen Euro wegen einer zu weitreichenden „Überwachung mehrerer hundert Mitarbeiter” verhängt.
- Google wurde von den französischen Datenschutzbehörden wegen „mangelnder Transparenz, unzureichender Informationen und fehlender gültiger Einwilligung hinsichtlich der Personalisierung von Anzeigen“ mit einer Geld strafe von 50 Millionen Euro belegt.
- Das britische Information Commissioner's Office verhängte 2018 eine Geldstrafe in Höhe von 20 Millionen Pfund gegen British Airways, weil das Unternehmen die persönlichen und finanziellen Daten
von 400.000 Kunden nicht ausreichend geschützt hatte.
Dieser Beitrag fasst zusammen, warum Unternehmen sich mit der DSGVO befassen sollten und wie sie ihre internen Prozesse und Beziehungen zu Dritten anhand der Anforderungen der DSGVO bewerten können.
Risikobewertungen durch Dritte sind gemäß DSGVO erforderlich
Um sich vor Risiken zu schützen, sind Organisationen gemäß der DSGVO verpflichtet, Risikobewertungen durchzuführen, um Risiken sowohl innerhalb der Organisation als auch bei Dritten, die Zugang zu personenbezogenen Daten haben, zu identifizieren. In Erwägungsgrund 76
– Risikobewertung – heißt es:„Das Risiko sollte auf der Grundlage einer objektiven Bewertung beurteilt werden, anhand derer festgestellt wird, ob die Datenverarbeitungsvorgänge ein Risiko oder ein hohes Risiko beinhalten.“
Organisationen, die den Bestimmungen der DSGVO unterliegen, müssen sicherstellen, dass sie und ihre Drittanbieter die Privatsphäre aller erhobenen und/oder verarbeiteten personenbezogenen Daten schützen. Dies bedeutet, dass die Risiken jedes einzelnen Drittanbieters gründlich bewertet und geeignete Kontrollen zur Risikominderung eingerichtet werden müssen.
Checkliste: DSGVO-Anforderungen für die Bewertung der Kontrollen von Datenverarbeitern
Die DSGVO besteht aus zwei Komponenten: 99 Artikeln und 173 Erwägungsgründen. Die Artikel beschreiben die gesetzlichen Anforderungen, die Organisationen erfüllen müssen, um die Einhaltung der Vorschriften nachzuweisen. Die Erwägungsgründe liefern ergänzende Informationen zu den Artikeln. In der folgenden Tabelle sind die Artikel und Erwägungsgründe zusammengefasst, die für die Risikobewertung und -beratung durch Dritte relevant sind. Eine vollständige Übersicht über die Anforderungen der DSGVO finden Sie in der Compliance-Checkliste, die Sie herunterladen können.
| GDPR-Anforderungen | Was es bedeutet |
|---|---|
| Artikel 24: Verantwortung des für die Verarbeitung Verantwortlichen
Absatz 1 Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten natürlicher Personen trifft der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit dieser Verordnung erfolgt. Diese Maßnahmen sind zu überprüfen und erforderlichenfalls zu aktualisieren. Artikel 24 verweist zur Orientierung auf zwei Erwägungsgründe: Erwägungsgrund 76: Risikobewertung Die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollte unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte auf der Grundlage einer objektiven Bewertung beurteilt werden, mit der festgestellt wird, ob die Datenverarbeitungsvorgänge ein Risiko oder ein hohes Risiko beinhalten. Erwägungsgrund 77: Leitlinien für die Risikobewertung Leitlinien für die Durchführung geeigneter Maßnahmen und für den Nachweis der Einhaltung der Vorschriften durch den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter, insbesondere im Hinblick auf die Ermittlung des mit der Verarbeitung verbundenen Risikos, die Bewertung des Risikos in Bezug auf Ursprung, Art, Wahrscheinlichkeit und Schweregrad sowie die Ermittlung bewährter Verfahren zur Risikominderung. |
Wenn Dritte als "Auftragsverarbeiter" eingesetzt werden, ist der für die Datenverarbeitung Verantwortliche (Eigentümer) dafür verantwortlich, dass jeder Dritte über angemessene Kontrollen verfügt, um den Schutz und die Sicherheit personenbezogener Daten zu gewährleisten.
Der Versuch, Bewertungen durch Dritte mithilfe manueller Fragebögen und Tabellenkalkulationen durchzuführen, ist inkonsistent und nicht skalierbar. Im Falle einer Prüfung kann es schwierig sein, „nachzuweisen, dass die Verarbeitung in Übereinstimmung mit der DSGVO erfolgt“. Manuelle Bewertungen können dazu führen, dass Anforderungen übersehen und Antworten unzureichend oder unvollständig gegeben werden. Um die Anforderungen der DSGVO zu erfüllen, müssen Bewertungen objektiv und die Bewertungen konsistent sein. |
| Artikel 25: Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Absatz 1 ... der für die Verarbeitung Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie z. B. die Pseudonymisierung, ergreift, die darauf abzielen, die Grundsätze des Datenschutzes, wie z. B. die Datenminimierung, wirksam umzusetzen und die erforderlichen Garantien in die Verarbeitung einzubeziehen, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen. Erwägungsgrund 78 Geeignete technische und organisatorische Maßnahmen |
Die Einhaltung der DSGVO erfordert ein tiefgreifendes technisches Verständnis der Datenverarbeitung, Datenverwaltung und Kontrollen. Während sich die meisten Risikobewertungsumfragen auf allgemeine Kontrollen und Richtlinien konzentrieren, verlangt die DSGVO eine besondere Behandlung personenbezogener Daten, einschließlich Pseudonymisierung, Datenminimierung und (gemäß Erwägungsgrund 78) Datenschutz „von Anfang an und standardmäßig“. |
| Artikel 28: Verarbeiter
Absatz 1 Soll die Verarbeitung im Auftrag eines für die Verarbeitung Verantwortlichen erfolgen, so setzt dieser nur Auftragsverarbeiter ein, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung den Anforderungen dieser Verordnung entspricht und der Schutz der Rechte der betroffenen Person gewährleistet ist. |
Organisationen arbeiten häufig mit Dutzenden von Dritten zusammen, die Zugriff auf personenbezogene Daten haben, die unter die DSGVO fallen. Beispiele hierfür sind Werbepartner, Datenverarbeiter (einschließlich Cloud-Anwendungen) und Cloud-Hosting-Anbieter.
Die Einhaltung der DSGVO erfordert mehr als nur einfache Lieferantenvereinbarungen. Es erfordert ein Verständnis dafür, wie Daten verwendet werden, wie sie übertragen werden, sowie den Nachweis spezifischer Kontrollen zum Schutz personenbezogener Daten. |
| Artikel 28: Verarbeiter
Absatz 3 In diesem Vertrag oder sonstigen Rechtsakt wird insbesondere festgelegt, dass der Auftragsverarbeiter: (f) unterstützt den für die Verarbeitung Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen |
Die Artikel 32 bis 36 enthalten die Anforderungen für eine Datenschutz-Folgenabschätzung sowie für die kontinuierliche Überwachung kritischer Datenverarbeiter (Dritte). Jede Beziehung zu einem Datenverarbeiter „muss durch einen Vertrag oder einen anderen Rechtsakt geregelt werden“, der den Datenverarbeiter zum Schutz personenbezogener Daten verpflichtet. Die erforderliche Risikobewertung dient dazu, Risiken für personenbezogene Daten zu identifizieren und sicherzustellen, dass der Datenverarbeiter über angemessene Kontrollen verfügt. |
| Artikel 28: Verarbeiter
Absatz 3 In diesem Vertrag oder sonstigen Rechtsakt wird insbesondere festgelegt, dass der Auftragsverarbeiter: (h) dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung stellt, die erforderlich sind, um die Einhaltung der in diesem Artikel festgelegten Verpflichtungen nachzuweisen, und Prüfungen, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen anderen von diesem beauftragten Prüfer zulässt und dazu beiträgt. |
Stellen Sie sicher, dass Sie ein vollständiges Archiv aller während des Due-Diligence-Prozesses gesammelten und geprüften Unterlagen führen. |
| Artikel 32: Sicherheit der Verarbeitung
Absatz 1 Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter ergreifen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich (b) die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten; (d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Erwägungsgrund 76: Risikobewertung Die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollte unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte auf der Grundlage einer objektiven Bewertung beurteilt werden, mit der festgestellt wird, ob die Datenverarbeitungsvorgänge ein Risiko oder ein hohes Risiko beinhalten. |
Während Bewertungen oft als eine einmalige Maßnahme angesehen werden, verlangen die DSGVO und andere regulatorische Standards eine kontinuierliche Einhaltung der Vorschriften. Die Verwaltung einer einzelnen Compliance-Prüfung kann mit manuellen Prozessen eine Herausforderung sein. Noch schwieriger ist es, zu wissen, wann die Umstände eine regelmäßige Aktualisierung bei Dutzenden oder Hunderten von Dritten auf der ganzen Welt erforderlich machen. |
| Artikel 35: Datenschutz-Folgenabschätzung
Absatz 1 Kann eine Verarbeitung, insbesondere unter Einsatz neuer Technologien, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, so führt der für die Verarbeitung Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der geplanten Verarbeitungen für den Schutz personenbezogener Daten durch. Eine einzige Abschätzung kann sich auf eine Reihe ähnlicher Verarbeitungen beziehen, die ähnlich hohe Risiken bergen. Absatz 7 Die Bewertung muss mindestens Folgendes enthalten: 1) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich des vom für die Verarbeitung Verantwortlichen verfolgten berechtigten Interesses; 2) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen in Bezug auf die Zwecke; 3) eine Bewertung der Risiken für die Rechte und Freiheiten der in Absatz 1 genannten betroffenen Personen; und 4) die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer betroffener Personen. |
Die Technologie entwickelt sich täglich weiter und neue Dienstleistungsangebote können einen Mehrwert für Unternehmen bieten. Die DSGVO stellt klar, dass Unternehmen vor der Einführung neuer Verfahren zur Verarbeitung personenbezogener Daten die Auswirkungen dieser Verfahren auf die Daten bewerten müssen. |
| Artikel 45: Übertragungen auf der Grundlage einer Angemessenheitsentscheidung
Absatz 1 Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation kann erfolgen, wenn die Kommission entschieden hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren innerhalb dieses Drittlandes oder die internationale Organisation ein angemessenes Schutzniveau gewährleistet. Absatz 2 Eine solche Übermittlung bedarf keiner besonderen Genehmigung. Bei der Beurteilung der Angemessenheit des Schutzniveaus berücksichtigt die Kommission insbesondere die folgenden Elemente: - Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten, einschlägige allgemeine und sektorale Rechtsvorschriften, u. a. in den Bereichen öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten. |
Vorstände, Investoren und Kunden möchten zunehmend sicherstellen, dass Unternehmen und ihre Partner und Lieferanten gemeinsame Werte und Verpflichtungen teilen. Die DSGVO greift dies in Artikel 45 auf und verlangt, dass bei der Übermittlung personenbezogener Daten die Menschenrechte und die Rechtsstaatlichkeit berücksichtigt werden. |
Wie Prevalent dabei hilft, die Anforderungen der DSGVO hinsichtlich Risiken durch Dritte zu erfüllen
Die Risikomanagementplattform von Prevalent für Dritte umfasst integrierte Funktionen zur Bewertung interner und externer Risiken für Verbraucherdaten, zur Automatisierung der Behebung von Mängeln und zur Berichterstattung an Aufsichtsbehörden über den Fortschritt. Prevalent:
- Bietet einen spezifischen DSGVO-Fragebogen auf der Plattform an, in dem der Anbieter zu seinen technischen und organisatorischen Maßnahmen zum Schutz der Rechte der betroffenen Person gemäß Artikel 28 Absatz 1 befragt wird.
- Bietet Datenverantwortlichen einen 360-Grad-Überblick über die Risiken von Datenverarbeitern durch klare und prägnante Berichte über Kontrollversagen sowie empfohlene Abhilfemaßnahmen gemäß Artikel 28 Absatz 3.
- Zentralisiert das Risikoprofil eines Datenverarbeiters und ermöglicht so eine gründliche Prüfung der vom Datenverantwortlichen gemäß Artikel 28 Absatz 3 vorgeschriebenen Prozesse.
- Führt fortlaufende regelmäßige oder sekundäre Bewertungen durch, um die vom Datenverarbeiter getroffenen technischen und organisatorischen Maßnahmen kontinuierlich zu überwachen und ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, z. B. durch regelmäßige Tests, Bewertungen und Evaluierungen der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Artikel 32 Absatz 1.
Weitere Informationen darüber, wie Prevalent Unternehmen dabei helfen kann, ihre Datenschutzkontrollen für Dritte zu bewerten, um die Anforderungen der DSGVO zu erfüllen, finden Sie in der Checkliste zur DSGVO-Konformität für Dritte oder fordern Sie noch heute eine Demo an. Um zu erfahren, wie das Risikomanagement für Dritte auf mehr als 20 andere Vorschriften angewendet wird, laden Sie das Handbuch zur Einhaltung von Vorschriften im Risikomanagement für Dritte herunter.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
