Wenn Sie ein hohes Niveau an Informationssicherheit bieten wollen oder müssen, darf dieses nicht durch die Auslagerung von Geschäftsprozessen an andere Unternehmen absinken. Das betrifft externe Geschäftspartner, Lieferanten und Dienstleister gleichermaßen. Wir zeigen Ihnen anhand der Sicherheitsnorm ISO 27001 (Annex A, Kapitel 15), wie Sie die Planung, Durchführung und Verbesserung der Verwaltung externer Dienstleister in den Griff bekommen und dadurch ein angemessenes Niveau im Bereich der Informationssicherheit gewährleisten.
Informationssicherheit in Lieferantenbeziehungen (A 15.1)
Welche Anforderungen sind an Lieferanten zu stellen?
Unternehmen müssen an (nahezu) jeden beauftragten Lieferanten oder Leistungserbringer Informationssicherheitsanforderungen stellen. Diese werden immer dann relevant, wenn der Lieferant z.B. Informationen verarbeitet, speichert, weitergibt oder IT-Infrastrukturkomponenten dafür bereitstellt.
Die Anforderungen können Sie im Einzelnen anhand unserer Checkliste für die Prüfung von Auftragsverarbeitern abfragen. Ob bzw. inwiefern der Lieferant die gestellten Anforderungen an die Informationssicherheit erfüllt, hat Einfluss auf die Risikoeinschätzung der ausgelagerten Unterstützungsleistung.
Welche Anforderungen stellt der Datenschutz an Lieferanten?
Mit solchen Lieferanten, die aus datenschutzrechtlicher Betrachtung personenbezogene Daten im Auftrag verarbeiten, sollten Sie zusätzlich Verträge zur Auftragsverarbeitung abschließen und diese auf ihre Datenschutzkonformität prüfen. Wünschenswerte Anpassungen sollen erfolgen; erforderliche Anpassungen müssen erfolgen.
Wir empfehlen grundsätzlich unser eigenes Vertragsmuster in der jeweils aktuellen Version einzusetzen, da dort die aus Auftraggeber-Sicht wesentlichen Grundsätze der Auftragsverarbeitung festgelegt werden. Nicht ausdrücklich vorgesehene Anpassungen sind von der Geschäftsführung zu genehmigen.
Hierbei ist auch zu überprüfen, ob der Lieferant risikoangemessene technische und organisatorische Maßnahmen ergreift, um die Informationssicherheit zu gewährleisten. Diese Anforderung gilt für alle Stellen und alle ggf. eingesetzte Subdienstleister individuell. Es ist nicht ausreichend, wenn lediglich der direkte Vertragspartner oder Hauptdienstleister eine entsprechende Garantie vorweist.
Es sollten Lieferanten innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) bevorzugt werden, da insbesondere die Vergabe von Auftragsverarbeitungen außerhalb dieser Gebiete erfahrungsgemäß einen erheblichen Mehraufwand bedeuten. Z.B. ist der Drittlandtransfer in die USA aktuell datenschutzrechtlich mit einem hohen Risiko verbunden.
Worauf sollte beim Abschluss einer Lieferantenbeziehung noch geachtet werden?
Mit allen Lieferanten müssen Sie Geheimhaltungserklärungen nach aktueller Rechtslage abschließen. Zudem sollte die im Unternehmen geltende IT-Nutzungsrichtlinie, die insbesondere die Handhabung der Betriebsmittel regelt, von den Lieferanten gegengezeichnet werden.
Hierzu und zum Vorliegen eines gültigen datenschutzkonformen Auftragsverarbeitungsvertrags sollte eine Übersicht aller Lieferanten mit dem entsprechenden Vertragsstatus vorliegen. Vertragsänderungen sollten als Change dokumentiert festgehalten sowie auf Informationssicherheits- und Datenschutzebene geprüft werden.
Steuerung der Dienstleistungserbringung von Lieferanten (A 15.2)
Wie können die Anforderungen an den Lieferanten überprüft werden?
Das Datenschutz- und Informationssicherheitsniveau des Lieferanten kann auf verschiedene Weise überprüft werden:
- Selbstauskunft des Lieferanten und Zertifikate: ISO 27001 (z.B. auf Basis von IT-Grundschutz), Zertifizierung nach Art. 42 DSGVO, Datenschutzkonzept
- Fragebogen: Regelfall, da zusätzliche Dokumentation (z.B. von VDA oder NOYB)
- Vor-Ort-Kontrolle: nur im Ausnahmefall und wenn in Anbetracht des Risikos angemessen
Die Prüfung der Geeignetheit des Lieferanten endet nicht mit seiner Beauftragung. Durch die Überwachung und regelmäßige Prüfung des Lieferanten muss sichergestellt werden, dass dieser die datenschutz- und informationssicherheitsrelevanten Pflichten über den gesamten Verarbeitungszeitraum einhält. Für die Auswahl der jeweiligen Prüfungsmethode und Häufigkeit der Prüfung sind das potentielle Risiko für das Unternehmen sowie die vom Dienstleister bereitgestellten Nachweise entscheidend:
- Bei normalem Risiko der Lieferantenbeziehung kann eine Prüfung alle 18 Monate genügen,
- bei hohem Risiko hingegen kann eine Prüfung alle 12 Monate oder noch häufiger erforderlich sein.
- Häufigere Kontrollen sind darüber hinaus insbesondere im Hinblick auf die technischen und organisatorischen Maßnahmen vorzunehmen oder wenn Änderungen im Verarbeitungsprozess erfolgen. Beispielsweise sollte der Zugriff und die Art und Weise, mit der der Lieferant auf Informationen zugreifen kann, streng überwacht und regelmäßig kontrolliert werden.
Welche Konsequenzen hat ein negatives Ergebnis der Lieferantenprüfung?
Soweit ein Lieferant keine ausreichenden Nachweise erbringen konnte oder Zweifel an deren Richtigkeit bestehen, scheidet er grundsätzlich aus dem Auswahlverfahren aus. Eine Weiterführung des Auswahlverfahrens kommt nur in Betracht, soweit besondere Gründe für den Einsatz gerade dieses Lieferanten vorliegen. Die Fortführung des Auswahlverfahrens und das Vorgehen dabei ist mit der Geschäftsführung, dem Fachverantwortlichen und dem Datenschutzbeauftragten abzustimmen.
Fazit: Bei der Informationssicherheit sollten Sie kein Auge zudrücken
Sie sollten die Kontrolle über Ihre Lieferantenauswahl behalten. Ein geregelter Prozess, wonach Sie den Lieferanten anhand vorgegebener Kriterien auswählen, vertraglich verpflichten und regelmäßig dokumentiert überprüfen, wird Ihnen bei der Erfüllung der Informationssicherheit langfristig helfen.
Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Unternehmen und lassen sich zur erfolgreichen Zertifizierung nach ISO 27001 führen!