Die Cyberbedrohungslage nimmt zu. Die Anforderungen an die Sicherheit und den Datenschutz werden damit sinnvollerweise strenger, was auch die Lieferanten eines Unternehmens betrifft. Doch gerade in der IT sind die Lieferketten oft enorm lang und schwer überblickbar. Wir haben mit Michèle Balthasar, Expertin für Datenschutz und Technologierecht, über die Bedeutung eines strukturierten Lieferantenmanagements und die Herausforderungen, die sich dabei insbesondere im Bereich des Datenschutzes und der Informationssicherheit ergeben, gesprochen.
«Swiss IT Magazine»: Frau Balthasar, weshalb braucht es ein strukturiertes Lieferantenmanagement?
Michèle Balthasar: Unternehmen verlassen sich vermehrt auf externe Partner, sei es für IT-Dienstleistungen, Cloud Computing oder Outsourcing-Geschäftsprozesse. Dabei werden oft sensible Daten weitergegeben oder externe Parteien erhalten Zugriff auf interne Systeme. Die Zusammenarbeit mit externen Dienstleistern birgt dabei zahlreiche Risiken, sei es aus Sicht der Informationssicherheit, des Datenschutzes oder der allgemeinen Compliance-Vorschriften.
Welche Folgen sind zu erwarten, wenn diese Risiken nicht berücksichtigt werden?Häufig werden die Risiken im Dienstleisterumfeld unterschätzt – insbesondere im Hinblick auf die Verfügbarkeit und Integrität von Daten. Dabei zeigt die Praxis, dass Sicherheitsvorfälle bei Dienstleistern oft unmittelbare Auswirkungen auf das beauftragende Unternehmen haben. Ohne klare Prozesse zur Auswahl, Steuerung und Kontrolle der Dienstleister könnten Unternehmen Sicherheitsvorfälle, Datenverluste oder Verstösse gegen regulatorische Vorgaben riskieren.
Was können Schweizer Unternehmen tun, um sich für diese Herausforderungen gut aufzustellen?Gerade mit der zunehmenden Regulierung, wie dem Schweizer Datenschutzgesetz (DSG), ist es für Unternehmen unerlässlich, Transparenz in der Lieferkette zu schaffen und Risiken aktiv zu managen. Ein strukturiertes Lieferantenmanagement stellt sicher, dass die Dienstleister die gleichen Sicherheits- und Datenschutzstandards einhalten wie das Unternehmen selbst. Zudem ermöglicht es Unternehmen, Risiken frühzeitig zu identifizieren und gezielt zu steuern. Darüber hinaus kann ein effektives Lieferantenmanagement auch zur Effizienzsteigerung beitragen, da es hilft, Prozesse zu optimieren und Kosten zu reduzieren.
Welche Herausforderungen sehen Sie dabei speziell im Datenschutz?Datenschutz ist ein wesentlicher Aspekt des Lieferantenmanagements. Eine Verletzung der Sorgfaltspflicht im Zusammenhang mit der Bearbeitung von Personendaten durch externe Dienstleister kann zu datenschutzrechtlichen Sanktionen führen. Mit der Revision des Schweizer Datenschutzgesetzes haben denn auch viele Unternehmen Auftragsbearbeitungsverträge abgeschlossen und technische sowie organisatorische Datensicherheitsmassnahmen vereinbart. Damit ist es jedoch nicht getan. Das Unternehmen muss sicherstellen, dass der Lieferant die Vorgaben auch wirklich einhält. Daneben ist ein weiterer wichtiger Aspekt im Datenschutz, dass das verantwortliche Unternehmen gegebenenfalls verpflichtet ist, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen und hierzu auch auf das Mitwirken des Lieferanten angewiesen ist. Es empfiehlt sich, entsprechende Unterstützungspflichten im Auftragsbearbeitungsvertrag vorzusehen.
In welchen Fällen ist eine solche DSFA nötig?Das Datenschutzgesetz verlangt eine DSFA immer dann, wenn eine Personendatenbearbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Insbesondere wenn Drittanbieter besonders schützenswerte oder grosse Datenmengen bearbeiten oder automatisierte Entscheidungsprozesse, zum Beispiel mit Hilfe von KI, einsetzen, ist die Durchführung einer DSFA erforderlich. Eine DSFA stellt sicher, dass eine strukturierte und methodische Bewertung der Risiken vorgenommen wird und geeignete technische und organisatorische Massnahmen zur Risikominderung implementiert werden.
Die Aufgabe liegt also in den Händen der Unternehmen selbst. Haben Sie Empfehlungen für Prozesse, um da am Ball zu bleiben?Unternehmen sollten vertraglich sicherstellen, dass die vom Lieferanten getroffenen technischen und organisatorischen Massnahmen geeignet sind, die bestehenden Risiken wirksam zu minimieren – mit dem Ziel, das Recht auf informationelle Selbstbestimmung sowie das Recht auf Privatsphäre der betroffenen Person bestmöglich zu schützen. Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko angemessen sein.
Die Realität, besonders in der IT, ist, dass es oft nicht bei einem einzelnen Dienstleister respektive Lieferanten bleibt. Oft sind mehrere Sublieferanten involviert.Genau, in der Praxis setzen viele Dienstleister Subunternehmer ein, die selbst weitere Drittparteien involvieren. Dies führt zu langen Datenbearbeitungsketten, bei denen es schwierig wird, den Überblick zu behalten und sicherzustellen, dass alle Beteiligten die Anforderungen einhalten. Ein weiteres wichtiges Thema ist die IKT-Resilienz. Störungen in der Lieferkette können nicht nur Datenschutzverstösse nach sich ziehen, sondern auch Betriebsunterbrechungen oder Cyberangriffe begünstigen.
Aber wer ist am Schluss verantwortlich, wenn ein Lieferant einen Sublieferanten einsetzt?
Das Unternehmen bleibt für seine ganze Lieferkette verantwortlich. Es muss gewährleisten, dass die Datenschutzvorgaben eingehalten werden, unabhängig davon, ob die Personendaten intern oder durch Dritte bearbeitet werden. Dies erfordert eine konsequente Risikoanalyse und regelmässige Überprüfungen der Lieferanten, um sicherzustellen, dass der Datenschutz auf allen Ebenen gewahrt bleibt.
Eine enorm anspruchsvolle Aufgabe. Wie sollten Unternehmen konkret vorgehen, um Lieferanten zu steuern?
Der erste Schritt ist eine interne Weisung, die klare Regeln für den Umgang mit externen Dienstleistern festlegt. Diese sollte sich an etablierten Standards wie ISO 27001, ISO 27701, ISO 19011 und dem IKT-Minimalstandard 2023 orientieren. Für die Strombranche sind die Minimalstandards seit dem 1. Juli 2024 verpflichtend, für die Gas-Anbieterinnen und -Anbieter werden sie voraussichtlich ab dem 1. Juli 2025 bindend sein. Die Standards bieten aber auch allen anderen Unternehmen und Organisationen eine Hilfestellung zur Verbesserung der eigenen IKT-Resilienz. Weitere branchenspezifische Vorgaben sind ebenfalls zu berücksichtigen: So sind im Banken- und Versicherungsbereich die Vorgaben des FINMA-Rundschreibens betreffend Outsourcing 2018/3 und für Krankenversicherungen die Vorgaben des Kreisschreibens des Bundesamts für Gesundheit (BAG) betreffend Outsourcing zu beachten. Für Elektrizitätsversorgungsunternehmen ist die «Data Policy der Energiebranche» des Verbands Schweizerischer Elektrizitätsunternehmen (VSE) relevant.
Und was soll in einer solchen Weisung geregelt werden?
Eine solche Weisung sollte festlegen, wie Lieferanten ausgewählt, bewertet und regelmässig überprüft werden. Zu den zentralen Elementen gehören die klare Definition der zu erbringenden Dienstleistungen, eine transparente Risikobewertung der Lieferanten und des Schutzbedarfs der Daten, vertragliche Verpflichtungen zur Einhaltung von Datenschutz- und Sicherheitsstandards sowie kontinuierliche Audits und Überprüfungen. Darüber hinaus sollten Unternehmen sicherstellen, dass sie Notfallpläne für den Fall entwickeln, wenn ein Lieferant ausfällt oder seinen Verpflichtungen nicht nachkommt. Ein effektives Eskalationsmanagement kann hier helfen, schnell zu reagieren und Schäden zu minimieren.
Nochmal zum Vertrag: Welche Mindestverpflichtungen sollten in den Verträgen mit Lieferanten enthalten sein?
Ein Vertrag sollte klare Regelungen zur Vertraulichkeit, zu den Verantwortlichkeiten, zur Speicherung und Bearbeitung der Daten, zur Kommunikation bei Sicherheitsvorfällen – inklusive der Meldepflichten – und der Einhaltung internationaler Sicherheitsstandards enthalten. Die vertragliche Einbindung von Sublieferanten muss ebenfalls vorgesehen werden. Zur kontinuierlichen Risikoüberwachung sollten ausserdem angemessene Kontrollrechte vereinbart werden, etwa durch Einsicht in Audit-Reports oder Vor-Ort-Prüfungen. Ist der Lieferant als Auftragsbearbeiter im Sinne des Datenschutzgesetzes tätig, so muss sich der Lieferant überdies verpflichten, erhaltene Personendaten ausschliesslich im erforderlichen Umfang und nur zur Vertragserfüllung zu bearbeiten. Ferner muss er über die eingesetzten Unterauftragsbearbeiter informieren und dem Unternehmen ein dahingehendes Veto-Recht einräumen. Der Dienstleister ist zu verpflichten, das Unternehmen umgehend zu informieren und sofortige Schutzmassnahmen zu ergreifen, wenn es zu einem Vorfall – etwa einem unautorisierten Zugriff oder Datenverlust – kommt.
...und die Beendigung eines Vertrages betreffend?
Auch wenn man bei Vertragsabschluss nicht unmittelbar an das Ende der Zusammenarbeit denkt, sollten auch bereits klare Regelungen für das Vertragsende getroffen werden. Dies umfasst insbesondere Vereinbarungen zur Rückgabe oder sicheren Löschung von Daten, zur Übergabe wichtiger Informationen und zur Sicherstellung der Betriebsfortführung.
Gerade die Bewertung der Lieferanten im Auswahlprozess ist doch in vielen Fällen enorm schwierig. Haben Sie Tipps, wie man in der Praxis seine Lieferanten bewertet?
Viele Unternehmen setzen hierzu strukturierte Prozesse und Checklisten oder Fragekataloge ein. Abhängig vom Schutzbedarf der Daten definieren sie ferner technische und organisatorische Massnahmen, die der Dienstleister vertraglich einzuhalten hat. Unternehmen sollten zudem sicherstellen, dass alle Subunternehmer dokumentiert und in den Prüfprozess einbezogen werden. Ein weiterer wichtiger Punkt ist die geografische Lage des Dienstleisters und die damit verbundenen rechtlichen Rahmenbedingungen. Unternehmen sollten prüfen, ob sich Anbieter in einer Region befinden, die ein angemessenes Datenschutzniveau haben oder ob zusätzliche Massnahmen ergriffen werden müssen, um Datenschutz- und Sicherheitsstandards zu gewährleisten.
Wie regelmässig müssen Lieferanten in der Praxis überprüft werden und wie geht man als Unternehmen dabei am besten vor?
Die Einhaltung vertraglicher Sicherheitsmassnahmen sollte einmal jährlich überprüft werden. Die Kontrollen und Überwachungen umfassen mehrere Schritte, darunter die Definition des Prüfumfangs, die Analyse relevanter Dokumente, gegebenenfalls Vor-Ort-Kontrollen und Interviews mit den Verantwortlichen. Dabei wird geprüft, ob der Lieferant die vereinbarten Standards einhält, welche Massnahmen ergriffen wurden, um Sicherheits- oder Datenschutzrisiken zu minimieren, und ob sich die Risiken verändert haben. Die Ergebnisse sollten dokumentiert und alle erforderlichen Nachbesserungen verbindlich festgelegt werden. Viele Unternehmen führen zusätzlich unangekündigte Stichproben durch, um sicherzustellen, dass Lieferanten die vertraglich vereinbarten Standards auch tatsächlich dauerhaft einhalten.
(win)
