GDPR und Risikomanagement für Drittparteien
Die Allgemeine Datenschutzverordnung (GDPR) ist ein Datenschutzgesetz, das die Verwendung, den Verkehr und den Schutz von Daten regelt, die von Bürgern der Europäischen Union (EU) erhoben werden. Die GDPR gilt für alle Organisationen, die personenbezogene Daten von Personen in Europa erheben, speichern, verarbeiten oder übertragen, unabhängig vom Standort der Organisation. Die DSGVO sieht Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) sowie Schadenersatz für Einzelpersonen vor.
Da Dritte häufig für die Verwaltung personenbezogener Daten im Namen ihrer Kunden verantwortlich sind, müssen Unternehmen besonders sorgfältig darauf achten, dass diese Anbieter und Partner über Datenschutzkontrollen und eine entsprechende Governance verfügen. Dazu gehört die Durchführung von Bewertungen der Datenschutzkontrollen, die Analyse der Ergebnisse auf potenzielle Risiken und die Aufforderung an Dritte, diese Risiken zu beseitigen, um regulatorische, finanzielle und reputationsbezogene Risiken zu vermeiden.
Tatsächlich sind Organisationen nach der DSGVO verpflichtet, Risikobewertungen durchzuführen, um Risiken sowohl innerhalb der Organisation als auch bei Dritten, die Zugang zu personenbezogenen Daten haben, zu ermitteln. In Erwägungsgrund 76 - Risikobewertung heißt es: "Das Risiko sollte auf der Grundlage einer objektiven Bewertung beurteilt werden, mit der festgestellt wird, ob die Datenverarbeitungsvorgänge ein Risiko oder ein hohes Risiko beinhalten.
Relevante Anforderungen
- Datenschutz-Risikobewertungen für alle Dritten, die Zugang zu personenbezogenen Daten haben
- Dokumentierte Nachweise für die Einhaltung der Vorschriften
- Kontinuierliche Überwachung kritischer Cyber-, Geschäfts-, Reputations- und Finanzrisiken Dritter
- Prüfpfad-Funktionen
Erfüllung der GDPR TPRM-Anforderungen
Hier erfahren Sie, wie Prevalent Ihnen dabei helfen kann, die Anforderungen des GDPR-Risikomanagements für Dritte zu erfüllen:
GDPR-Anforderungen
Wie wir helfen
Artikel 24: Verantwortung des für die Verarbeitung Verantwortlichen
Absatz 1
Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten natürlicher Personen trifft der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit dieser Verordnung erfolgt. Diese Maßnahmen sind zu überprüfen und erforderlichenfalls zu aktualisieren.
Artikel 24 verweist zur Orientierung auf zwei Erwägungsgründe:
Erwägungsgrund 76: Risikobewertung
Die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollte unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte auf der Grundlage einer objektiven Bewertung beurteilt werden, mit der festgestellt wird, ob die Datenverarbeitungsvorgänge ein Risiko oder ein hohes Risiko beinhalten.
Erwägungsgrund 77: Leitlinien für die Risikobewertung
Leitlinien für die Durchführung geeigneter Maßnahmen und für den Nachweis der Einhaltung der Vorschriften durch den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter, insbesondere im Hinblick auf die Ermittlung des mit der Verarbeitung verbundenen Risikos, die Bewertung des Risikos in Bezug auf Ursprung, Art, Wahrscheinlichkeit und Schweregrad sowie die Ermittlung bewährter Verfahren zur Risikominderung.
Wenn Dritte als "Auftragsverarbeiter" eingesetzt werden, ist der für die Datenverarbeitung Verantwortliche (Eigentümer) dafür verantwortlich, dass jeder Dritte über angemessene Kontrollen verfügt, um den Schutz und die Sicherheit personenbezogener Daten zu gewährleisten.
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern automatisiert Risikobewertungen von Drittanbietern. Sie bietet Fragebögen, die speziell für die GDPR entwickelt wurden, und bewertet Risiken nach "Wahrscheinlichkeit und Schweregrad", während sie gleichzeitig Abhilfemaßnahmen in Übereinstimmung mit den GDPR-Richtlinien erleichtert. Prevalent bietet eine Bibliothek mit über 750 standardisierten Bewertungsvorlagen - einschließlich der GDPR und anderer datenschutzbezogener Normen - sowie Anpassungsmöglichkeiten und integrierte Workflows.
Darüber hinaus prüft der Controls Validation Service von Prevalent die Antworten von Drittanbietern und die Dokumentation anhand etablierter Testprotokolle, um zu validieren, dass die angegebenen Kontrollen vorhanden sind.
Um die Bewertungen zu beschleunigen, bieten die Vendor Intelligence Networks von Prevalent Zugang zu Tausenden von abgeschlossenen und überprüften Bewertungen, die ständig aktualisiert werden und Nachweise liefern.
Artikel 25: Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Absatz 1
... der für die Verarbeitung Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie z. B. die Pseudonymisierung, ergreift, die darauf abzielen, die Grundsätze des Datenschutzes, wie z. B. die Datenminimierung, wirksam umzusetzen und die erforderlichen Garantien in die Verarbeitung einzubeziehen, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.
Erwägungsgrund 78
Geeignete technische und organisatorische Maßnahmen
Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der für die Verarbeitung Verantwortliche interne Strategien festlegen und Maßnahmen durchführen, die insbesondere den Grundsätzen des Datenschutzes durch Technik und des Datenschutzes durch datenschutzfreundliche Voreinstellungen entsprechen.
Prevalent bietet technisches Fachwissen bei der Gestaltung seiner GDPR-Umfragen und -Kontrollen, um sicherzustellen, dass die erforderlichen Implementierungsdetails nicht übersehen werden. Prevalent hilft Unternehmen dabei, richtig konzipierte Systeme von "aufgeschraubten" Sicherheits- und Datenschutzfunktionen zu unterscheiden, um die vollständige Einhaltung der Vorschriften zu gewährleisten.
Wenn Dritte 4. oder N. Parteien verwenden, um bei der Verarbeitung von Daten zu helfen, bietet Prevalent Transparenz mit einer detaillierten Zuordnung von Beziehungen und Prüfpfaden von Informationsflüssen in einem Lieferanten-Ökosystem.
Artikel 28: Verarbeiter
Absatz 1
Soll die Verarbeitung im Auftrag eines für die Verarbeitung Verantwortlichen erfolgen, so setzt dieser nur Auftragsverarbeiter ein, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung den Anforderungen dieser Verordnung entspricht und der Schutz der Rechte der betroffenen Person gewährleistet ist.
Prevalent bietet Fachleuten aus den Bereichen Sicherheit, Datenschutz und Risikomanagement eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses von Drittanbietern und zur Feststellung der Einhaltung von IT-Sicherheits-, Regulierungs- und Datenschutzanforderungen, einschließlich GDPR. Sie bietet bidirektionale Workflows zur Behebung von Problemen, Live-Berichte und ein benutzerfreundliches Dashboard für mehr Effizienz. Mit klaren Berichts- und Abhilfeanweisungen stellt die Plattform sicher, dass Risiken identifiziert und an die richtigen Kanäle weitergeleitet werden.
Artikel 28: Verarbeiter
Absatz 3
In diesem Vertrag oder sonstigen Rechtsakt wird insbesondere festgelegt, dass der Auftragsverarbeiter:
(f) unterstützt den für die Verarbeitung Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen
Prevalent bietet die branchenweit einzige speziell entwickelte, einheitliche Plattform für das Risikomanagement von Drittanbietern. Die Plattform kombiniert automatische Bewertungen von Drittanbietern und kontinuierliche Überwachung von Bedrohungen, um die Einhaltung von Vorschriften zu vereinfachen, Sicherheitsrisiken zu reduzieren und die Effizienz zu verbessern. Die Plattform bietet Sicherheits- und Compliance-Fachleuten einen 360-Grad-Blick auf die Risiken von Datenverarbeitern. Klare und präzise Berichte, die an bestimmte Vorschriften und Kontrollrahmen, einschließlich GDPR, gebunden sind, sorgen für bessere Transparenz und Entscheidungsfindung.
Die Prevalent-Plattform ermöglicht Vertragsprüfungen und hilft dabei, potenzielle Vertragsverletzungen aufzudecken und die Verhandlungen über Vertragsverlängerungen durch spezielle Vertragsbewertungen zu informieren.
Artikel 28: Verarbeiter
Absatz 3
In diesem Vertrag oder sonstigen Rechtsakt wird insbesondere festgelegt, dass der Auftragsverarbeiter:
(h) dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung stellt, die erforderlich sind, um die Einhaltung der in diesem Artikel festgelegten Verpflichtungen nachzuweisen, und Prüfungen, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen anderen von diesem beauftragten Prüfer zulässt und dazu beiträgt.
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern umfasst ein effektives Berichtswesen zur Erfüllung von Audit- und Compliance-Anforderungen sowie zur Präsentation der Ergebnisse vor dem Vorstand und der Geschäftsleitung. Das gesamte Risikoprofil kann in einer zentralen Live-Berichtskonsole angezeigt werden, und Berichte können heruntergeladen und exportiert werden, um den Konformitätsstatus mit den GDPR-Bestimmungen zu bestimmen. Zu den umfangreichen Berichtsfunktionen gehören Filter und interaktive Diagramme zum Durchklicken. Die Lösung umfasst ein vollständiges Repository aller während des Diligence-Prozesses gesammelten und geprüften Unterlagen.
Prevalent Vendor Threat Monitor (VTM) warnt Unternehmen vor nachteiligen Veränderungen im Geschäft von Drittanbietern und löst gezielte Bewertungen aus, um zwischenzeitliche unmittelbare Risiken anzugehen. Durch frühzeitige Warnungen bleibt mehr Zeit, um auf Vorfälle zu reagieren. Integrierte Abhilfeanleitungen helfen Unternehmen, personenbezogene Daten zu schützen und behördliche Maßnahmen sowie Rufschädigung zu vermeiden.
Artikel 32: Sicherheit der Verarbeitung
Absatz 1
Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter ergreifen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich
(b) die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;
(d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Erwägungsgrund 76: Risikobewertung
Die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollte unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte auf der Grundlage einer objektiven Bewertung beurteilt werden, mit der festgestellt wird, ob die Datenverarbeitungsvorgänge ein Risiko oder ein hohes Risiko beinhalten.
Prevalent bietet Fachleuten aus den Bereichen Sicherheit, Datenschutz und Risikomanagement eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses von Drittanbietern und zur Bestimmung der laufenden Einhaltung von IT-Sicherheits-, Regulierungs- und Datenschutzanforderungen, einschließlich der GDPR. Prevalent verwendet sowohl Standard- als auch benutzerdefinierte Fragebögen, um Beweise zu sammeln, und bietet bidirektionale Abhilfeworkflows, Live-Berichte und ein benutzerfreundliches Dashboard für mehr Effizienz. Mit klaren Berichts- und Abhilfeanweisungen stellt die Plattform sicher, dass Risiken identifiziert und an die richtigen Kanäle weitergeleitet werden.
Artikel 35: Datenschutz-Folgenabschätzung
Absatz 1
Kann eine Verarbeitung, insbesondere unter Einsatz neuer Technologien, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, so führt der für die Verarbeitung Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der geplanten Verarbeitungen für den Schutz personenbezogener Daten durch. Eine einzige Abschätzung kann sich auf eine Reihe ähnlicher Verarbeitungen beziehen, die ähnlich hohe Risiken bergen.
Absatz 7
Die Bewertung muss mindestens Folgendes enthalten:
1) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich des vom für die Verarbeitung Verantwortlichen verfolgten berechtigten Interesses;
2) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen in Bezug auf die Zwecke;
3) eine Bewertung der Risiken für die Rechte und Freiheiten der in Absatz 1 genannten betroffenen Personen; und
4) die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer betroffener Personen.
Mit Prevalent können Sie Datenschutz-Folgenabschätzungen durchführen, um gefährdete Geschäftsdaten und persönlich identifizierbare Informationen (PII) aufzudecken. Analysieren Sie den Ursprung, die Art und den Schweregrad des Risikos und erhalten Sie Anleitungen zur Abhilfe.
Für Unternehmen, die mehr Ressourcen benötigen, können die Prevalent-Experten für Risikobewertungen von Anbietern alles von der Risikoerfassung und -analyse bis hin zur Berichterstattung und dem Management von Abhilfemaßnahmen übernehmen.
Artikel 45: Übertragungen auf der Grundlage einer Angemessenheitsentscheidung
Absatz 1
Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation kann erfolgen, wenn die Kommission entschieden hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren innerhalb dieses Drittlandes oder die internationale Organisation ein angemessenes Schutzniveau gewährleistet.
Absatz 2
Eine solche Übermittlung bedarf keiner besonderen Genehmigung. Bei der Beurteilung der Angemessenheit des Schutzniveaus berücksichtigt die Kommission insbesondere die folgenden Elemente:
- Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten, einschlägige allgemeine und sektorale Rechtsvorschriften, u. a. in den Bereichen öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten.
Prevalent unterstützt die Einhaltung von Umwelt-, Sozial- und Governance-Richtlinien (ESG) mit Funktionen zur Bewertung von Drittanbietern im Hinblick auf eine Reihe von ESG-Themen und korreliert die Ergebnisse mit einer kontinuierlichen externen Überwachung der Praktiken der Anbieter. Dazu gehören der Umgang mit der Umwelt, Vielfalt und Integration, Menschenrechte (z. B. Anti-Sklaverei), Arbeitsnormen, Finanz- und Steuerstrategien und allgemeine operative Transparenz.
Darüber hinaus umfasst Prevalent die Überwachung von Datenschutzverletzungen und bietet Zugriff auf eine Datenbank, die mehr als 10 Jahre Datenverletzungshistorie für Tausende von Unternehmen auf der ganzen Welt enthält. Dazu gehören Arten und Mengen gestohlener Daten, Probleme mit der Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen von Anbietern, die Ihnen dabei helfen, die Lage von Unternehmen zu beurteilen, an die Sie Daten übertragen möchten.
