Verpassen Sie keine wichtigen News aus der Zertifizierwelt
Verpassen Sie keine wichtigen News aus der Zertifizierwelt
In Zeiten vernetzter Produkte und Services betrifft Datenschutz alle Abteilungen eines Unternehmens – nicht zuletzt drohen bei entsprechenden Vorfällen empfindliche Geldstrafen und Imageverlust. TÜV SÜD erklärt, was Einkäufer zu diesem Thema wissen müssen.
Der Gewinn liegt im Einkauf: Getreu dieser Maxime liefern sich Einkäufer seit Generationen harte Preisverhandlungen mit ihren Zuliefern. In der globalisierten und zunehmend vernetzten Welt gewinnen aber auch die Aspekte Produktverfügbarkeit und -qualität sowie die Zuverlässigkeit des Anbieters an Gewicht. In diesem Zusammenhang spielt gerade der Datenschutz eine oft unterschätzte Rolle. Wie sicher sind die im Rahmen der Geschäftsabwicklung ausgetauschten Daten und Informationen? Einkäufer sollten hier bei der Auswahl ihres Lieferanten die Latte hoch legen – sowohl im Interesse ihres Unternehmens als auch der Unternehmenskunden. Dies betrifft die Beschaffung von Produkten und Dienstleistungen gleichermaßen.
Immer mehr Produkte verfügen inzwischen über eine Netzwerkanbindung und übertragen Daten an andere Geräte – Stichwort „Internet der Dinge“. Bei der Beschaffung solcher Produkte sollte der Einkauf gründlich prüfen, ob die Datensicherheit gewährleistet ist: Wie sind sie ausgestattet und konfiguriert? Ähnliches gilt für Maschinen, die im Rahmen von Industrie-4.0-Projekten direkt an die Unternehmens-IT angebunden werden und helfen, die Produktion zu automatisieren. Lassen sich diese wirklich bedenkenlos in die Fertigung einbinden oder besteht das Risiko, dass hier eine Sicherheitslücke entsteht, über die Hacker eindringen und Schaden anrichten können?
Oft auf die leichte Schulter genommen wird das Thema Sicherheit beim Einkauf von Software-Produkten, die sich in der Cloud befinden und per Webanbindung genutzt werden. Während früher jede Software gekauft und „on-premise“, also auf lokalen Unternehmensrechnern, installiert wurde, fällt heute immer öfter die Entscheidung für Software-as-a-Service (SaaS). Der Nutzer greift dabei auf Lösungen zu, die bei Drittanbietern hinterlegt sind. Hier muss der Einkäufer ganz besonders darauf schauen, wie diese abgesichert sind und wo die Unternehmensdaten gespeichert sind. Dabei spielt insbesondere der Standort des Cloud-Anbieters und seiner Rechenzentren eine Rolle.
Bei der Zusammenarbeit mit Cloud-Anbietern ist es – wie beim Einkauf bestimmter Dienstleistungen – zumeist erforderlich, einen Vertrag zur Auftragsdatenverarbeitung gemäß § 11 des Bundesdatenschutzgesetzes abzuschließen. Der Gesetzgeber fordert dies, sobald personenbezogene Daten zur Bearbeitung an den Dienstleister weitergegeben werden. In solchen Fällen trägt der Einkäufer eine besondere Verantwortung bei der Auswahl des entsprechenden Serviceanbieters. Denn der Auftraggeber der Auftragsdatenverarbeitung ist per Gesetz dazu verpflichtet, seinen Anbieter sorgfältig auszuwählen, ihn auf Einhaltung der Datenschutzpflichten zu überprüfen und eine entsprechende Vereinbarung abzuschließen. Auf Anfrage können einige Anbieter entsprechende Prüfberichte oder Zertifikate bereits vorlegen.
Andernfalls ist nicht nur schwer abzuschätzen, ob die Daten des Unternehmens beim Dienstleister wirklich gut aufgehoben sind – es drohen auch ernsthafte Konsequenzen. Stellt sich bei einer Kontrolle heraus, dass keine Vereinbarung zur Auftragsdatenverarbeitung vorhanden oder diese nicht korrekt beziehungsweise nicht vollständig abgeschlossen ist, kann ein Bußgeld in Höhe von bis zu 50.000 Euro fällig werden – ein empfindlicher finanzieller Schaden. Zudem bedeutet ein entsprechender Vorfall oft einen Imageverlust für das gesamte Unternehmen.
Alarmierend ist, wie wenig Bewusstsein viele Unternehmen dafür haben, dass die Daten in ihrem Besitz so wertvoll wie Kronjuwelen sind. So ergab der Datenschutzindikator (DSI) von TÜV SÜD und der Ludwig-Maximilians-Universität (LMU) München, dass nur 42 Prozent der befragten Betriebe tatsächlich Verträge zur Auftragsdatenverarbeitung mit ihren Auftragnehmern geschlossen haben. Noch weniger – nur 23 Prozent – prüfen und dokumentieren in regelmäßigen Abständen, ob ihre Dienstleister die Datenschutzpflichten einhalten.
Vor allem im B2B-Umfeld nutzt der Einkauf Lösungen, über die Daten elektronisch ausgetauscht werden, beim sogenannten E-Procurement. Dabei werden Händler über Electronic-Data-Interchange-(EDI)-Systeme oder eigene Online-Procurement-Lösungen direkt ans Unternehmen angebunden. So ist es möglich, unternehmensübergreifende Beschaffungsprozesse zu automatisieren und Bestellungen besonders effizient abzuwickeln. Einige Systeme stoßen Bestellungen automatisch an, wenn die Lagerbestände fast aufgebraucht sind. Auch hier gilt: Die übermittelten Daten müssen jederzeit vor unbefugtem Zugriff geschützt sein.
Bei der Auswahl einer E-Procurement-Lösung sind daher dieselben Maßstäbe wie bei Cloud-Software anzusetzen: Wer ein Fremd-System nutzt, sollte von seinem Anbieter Zertifikate und Prüfungen einfordern, um die Vertraulichkeit, Verfügbarkeit und Integrität der hinterlegten Daten sicherzustellen.
Wer auf Nummer sicher gehen möchte, kann einen Penetrationstest durch einen unabhängigen Dritten durchführen lassen. Dieser gibt Aufschluss darüber, wie sicher die auf externen Rechnern gespeicherten Daten tatsächlich sind – ganz gleich ob eine Auftragsdatenverarbeitung vorliegt oder SaaS genutzt wird. IT-Sicherheitsspezialisten führen solche Penetrationstests in Abstimmung mit dem Software-Anbieter durch und überprüfen die IT auf Schwachstellen für Angriffe von außen.
Fragen dazu, ob die eigenen Datenschutzmaßnahmen oder die eines Dienstleisters ausreichend sind beziehungsweise ob ein gewünschtes Produkt den Anforderungen genügt, kann in der Regel der betriebliche Datenschutzbeauftragte beantworten. Er steht allen Abteilungen beratend zur Seite. Verfügt das eigene Unternehmen über kein ausreichendes Know-how in dem Bereich, können auch externe Experten etwa von TÜV SÜD zurate gezogen werden.
Übrigens: Einen Eindruck darüber, wie das eigene Unternehmen in Sachen Datenschutz aufgestellt ist, vermittelt der TÜV SÜD Datenschutzindikator schnell und kostenfrei. Die im Selbsttest beantworteten Fragen werden gleich im Anschluss bewertet. Gezielte Tipps helfen dabei, etwaige Schwachstellen auszumerzen.
Weiterführende Links:
Penetrationstests durch TÜV SÜD
TÜV SÜD Datenschutzindikator
TÜV SÜD Experte: Rainer Seidlitz, Datenschutzexperte bei der TÜV SÜD Sec-IT GmbH