INFORMATIONEN

Konformität von Drittanbietern und DSGVO

Drittanbieter sind ein bedeutender Vorteil für ein wachsendes Unternehmen – Outsourcing ermöglicht es Unternehmen, kosteneffektiv Fachwissen zu erwerben.

Die Inanspruchnahme von Dritten setzt die Unternehmen jedoch im aktuellen Umfeld der Datenschutzproblematik regulatorischen und rufschädigenden Risiken aus. Die damit verbundene Gefahr einer Datenschutzverletzung macht die Sorgfaltspflicht gegenüber Dritten für jedes Unternehmen wichtig, das mit personenbezogenen Daten zu tun hat.

In diesem Artikel werden wir uns mit den folgenden Fragen befassen:

267. Wie Verstöße Dritter den Ruf bedrohen

268. Risiko für Dritte im Zusammenhang mit der Datenschutz-Grundverordnung

269. Die Methode des Risikomanagements für die Einhaltung der Vorschriften durch Dritte

Datenschutzverletzungen und Reputationsschäden

Die Verletzung von Daten durch Dritte stellt ein ernsthaftes Risiko für die Integrität eines Unternehmens dar. Dies zeigen die Ergebnisse einer Umfrage unter 7.500 Kunden in Frankreich, Deutschland, Italien, dem Vereinigten Königreich und den Vereinigten Staaten:

  • 69 % der Kunden gaben an, dass sie „ein Unternehmen boykottiert haben oder boykottieren würden, das einen Mangel an Integrität beim Schutz von Kundendaten aufweist“;
  • 62 % der Kunden gaben an, dass das Unternehmen als der für die Datenverarbeitung Verantwortliche dafür verantwortlich gemacht würde und nicht der Dritte, wenn ihre Daten kompromittiert würden.
  • Die Schädigung des Rufs durch Datenschutzverletzungen durch Dritte hat oft finanzielle Folgen. Der „2019 Cost of a Data Breach Report“ von IBM hat ergeben, dass die damit verbundenen Kosten um 280.000 £ steigen, wenn ein Drittanbieter eine Datenschutzverletzung verursacht. Die Cloud-Migration birgt übrigens ein ähnliches finanzielles Risiko und kostet schätzungsweise 226.000 GBP.

    DSGVO und Management von Risiken Dritter

    Der für die Verarbeitung Verantwortliche ist nach der Datenschutz-Grundverordnung für die Einhaltung der Vorschriften und die Konformität seines Datenverarbeiters verantwortlich. In Outsourcing-Situationen ist die dritte Partei der Verarbeiter der Ergebnisse.

    Die Höhe des Risikos, das ein Drittunternehmen offen lässt, hängt von vielen Variablen ab.

    Sie umfassen:

  • Sensibilität gegenüber persönlichen Informationen;
  • Die Menge der verarbeiteten Daten;
  • Die Rechtfertigung für die Verarbeitung personenbezogener Daten;
  • Verarbeitung personenbezogener Daten auf innovative Weise oder unter Verwendung moderner Technologien.
  • Auf folgende Weise können Unternehmen ihr Risiko minimieren:

  • Sicherstellen, dass das Unternehmen die DSGVO einhält;
  • Gründliche Überprüfung aller Drittanbieter und Mitarbeiter;
  • Unterzeichnung von Datenverarbeitungsverträgen mit jedem Partner eines Dritten, der personenbezogene Daten verarbeitet (eine Anforderung der Datenschutzgrundverordnung);
  • Regelmäßige Überprüfung der Zugangskontrollen von Dritten;
  • Aufnahme von Mechanismen für das Risikomanagement in die Verträge;
  • Mechanismus zur Verwaltung von Compliance-Risiken durch Dritte.
  • Laut einer Umfrage von Soha Systems spielt bei 63 % aller Datenschutzverletzungen das Versagen Dritter eine Rolle. Da so viel auf dem Spiel steht, ist es notwendig, ein Risikomanagementsystem einzubauen, um eine transparente Umsetzung der Risikobewertung zu gewährleisten.

    Schritt 1: Das Management entwickelt Strategien für den Umgang mit Beziehungen zu Dritten.

    Schritt 2: Sorgfaltspflicht und Auswahl von Drittparteien

    Vor der Auswahl und dem Abschluss von Verträgen oder Partnerschaften führt das Unternehmen eine Due-Diligence-Prüfung aller potenziellen Dritten durch.

    Schritt 3: Vertragsverhandlungen

    Bis zur Ausführung prüft die Verwaltung die Verträge oder lässt sie von einem Rechtsberater prüfen.

    Schritt 4: Fortgesetzte Überwachung

    Das Management überprüft regelmäßig die Partnerschaften mit Dritten.

    Schritt 5: Vorbereitung der Beendigung und des Notfalls

    Für den Fall, dass ein Vertrag nicht eingehalten oder gekündigt wird, verfügt das Management über angemessene Notfallpläne, in denen die zu ergreifenden Maßnahmen festgelegt sind.

    Entlarvung von 5 gängigen DSGVO-Mythen

    Auch zwei Jahre nach der Umsetzung der Datenschutz-Grundverordnung ist das EU-Datenschutzgesetz noch immer von vielen Missverständnissen und Spekulationen umgeben. Obwohl die meisten von uns das

    mehr »