Datenschutzrisiken beim Outsourcing minimieren

Die Mindestanforderungen an das Risikomanagement (MaRisk) sind Vorgaben für Kreditinstitute. Sie fordern Prozesse, um die Risikotragfähigkeit von Banken sicherzustellen. Dazu gehört, die Risiken bei Auslagerungen zu betrachten.

Nach § 25b Kreditwesengesetz (KWG) sollen Institute unabhängig von der jeweiligen Art einer Auslagerung angemessene Vorkehrungen treffen, um Risiken in diesen Bereichen zu vermeiden. Das umfasst auch Datenschutzrisiken.

Umfangreiche Risikoanalysen

Bei wesentlichen Auslagerungen müssen Banken daher umfangreiche Risikoanalysen in Bezug auf die Auslagerungen durchführen. Ihre Ergebnisse sind in die Risikosteuerung der Bank einzubeziehen.

Im neuesten Entwurf der MaRisk sind die Anforderungen aus den Guidelines der Europäischen Bankenaufsicht (EBA) eingeflossen. Zuvor hatte die EBA Leitlinien zu Auslagerungen erlassen. In diesem Zusammenhang stellt sich die Frage, wie sich Datenschutzrisiken ermitteln, messen und bewerten lassen.

In drei Stufen vorgehen

Das Vorgehen gliedert sich in drei Stufen:

Vorgehen zur Ermittlung und Bewertung von Datenschutzrisiken bei Auslagerungen

1. Stufe: Datenschutzrelevanz ermitteln

Die im Finanzsektor übliche Differenzierung bei Verträgen mit Dritten in Auslagerungen (wesentlich/nicht wesentlich) und sonstige (IT-)Fremdbezüge hat zunächst keine Datenschutzrelevanz. Wenn Sie als DSB den Datenschutzbezug beim Einsatz von Externen prüfen, sind – nicht nur im Finanzsektor – die Fragestellungen aus der folgenden Grafik relevant. Sie führen zu verschiedenen Fallkonstellationen.

Datenschutzrelevanz bei Auslagerungen ermitteln

Ist geklärt, ob der externe Dienstleister personenbezogene Daten verarbeitet, ist entscheidend, welche Fallkonstellation vorliegt:

• Der einfachste Fall ist die klassische Auftragsverarbeitung, wenn also ein Verantwortlicher Dienstleister im Auftrag einsetzt. Das gilt etwa für Rechenzentren, Lettershops, Cloud-Anbieter etc. Cloud-Dienstleister kommen dabei oft als Subunternehmer zum Einsatz, die im Rahmen der Auslagerungskette geprüft werden müssen. Insbesondere sind die Anforderungen an zusätzliche Garantien aufgrund der Anforderungen aus dem Schrems-II-Urteil zu beachten (siehe Ehmann, Heft 09/2021, 1, abrufbar auch unter https://ogy.de/dp-zusaetzliche-massnahmen).
• Die zweite Variante ist die gemeinsame Verantwortlichkeit (Joint Controllership). Sie ist nicht so häufig, kann aber durchaus vorkommen, z.B. beim Einsatz von Facebook-Fanpages, in Konzernen, wenn die Muttergesellschaft Tätigkeiten für Tochtergesellschaften erbringt, oder bei Kooperationen.
• Weiterhin können Datenübermittlungen hinzukommen, die in der Regel auf Einwilligungen oder gesetzlichen Erfordernissen basieren. Vorstellbar ist dies beim Einsatz von Kooperationspartnern, die eigene Daten z.B. für werbliche Zwecke erhalten, oder bei Dritten wie Wirtschaftsprüfern, die Daten für Prüfungshandlungen erhalten.

Die Realität sieht leider oft komplexer aus, und es kommen mehrere Konstellationen vor. Beispielsweise werden bei Vermittlungstätigkeiten für Kooperationspartner Daten auf Basis einer Einwilligung übermittelt und gleichzeitig wird eine Auftragsverarbeitung erbracht. Oder es liegt bei einer gemeinsamen Verantwortung auch noch in Teilen eine Auftragsverarbeitung vor.

To-dos je nach Konstellation

Was ist nun je nach Fallkonstellation zu tun?

• Kein Personenbezug vorhanden: Empfehlen Sie in diesem Fall, Geheimhaltungsvereinbarungen mit den Dritten abzuschließen.
• Auftragsverarbeitung vorhanden: Neben einem Dienstleistungsvertrag sind in der Regel eine Rahmenvereinbarung zur Auftragsverarbeitung, ggf. ein Datenblatt und eine Vereinbarung zu technischen und organisatorischen Maßnahmen erforderlich.
• Gemeinsame Verantwortung vorhanden: Weisen Sie darauf hin, neben einer vertraglichen Vereinbarung an die Informationspflichten gegenüber den betroffenen Personen zu denken. Die betroffenen Personen müssen wissen, an welchen Verantwortlichen sie sich wenden können, wenn sie ihre Betroffenenrechte wahrnehmen möchten.
• Datenübermittlungen vorhanden: Falls keine gesetzlichen Erfordernisse vorhanden sind, ist die Basis meist eine Einwilligung, die der Verantwortliche zuvor von den Betroffenen einholen muss.

2. Stufe: Datenschutzrisiken aus Sicht des Unternehmens ermitteln

Die Datenschutz-Grundverordnung (DSGVO) sieht Risiken aus Sicht der betroffenen Personen. Das heißt, zu überlegen, ob eine Datenverarbeitung die Rechte und Freiheiten natürlicher Personen beeinträchtigt.

Das Risikomanagement legt den Fokus der Risikobetrachtung auf den Blickwinkel der Bank bzw. den des Unternehmens. Es geht darum, Risiken zu identifizieren, die ggf. als operationelles Risiko einen Schaden verursachen können, der monetär über Rückstellungen hinterlegt werden muss.

Die Übersicht zu den Datenschutzrisiken bei Auslagerungen zeigt mögliche Risiken mit dem Vorschlag, wie das Risiko (niedrig, mittel oder hoch) einzustufen ist.

Übersicht der Datenschutzrisiken bei Auslagerungen

Jede Auslagerung lässt sich anhand der hier aufgeführten Risikoindikatoren prüfen. Die dreistufige Skalierung gibt Hinweise auf die Risikogewichtung bzw. -bewertung. Die Risikoindikatoren sind branchenübergreifend zu sehen und lassen sich unternehmensindividuell modifizieren oder erweitern.

3. Stufe: Datenschutzrisiken bewerten

Zunächst fällt anhand der Risikoindikatoren die Entscheidung, auf Basis welcher quantifizierbaren Werte diese Faktoren einzeln zu bewerten sind. Ist z.B. erst eine Speicherdauer von zehn Jahren beim Dienstleister als hoch anzusehen, oder sind schon sechs Jahre ein hohes Risiko? Sind 10.000 Kunden als hoch zu bewerten oder erst 100.000? etc.

Dann ist eine Gesamtbewertung nötig. Hier fällt letztlich die Entscheidung. Fragen können sein:

• Ist das Risiko insgesamt als hoch zu quantifizieren, wenn die Daten außerhalb der EU/EWR gespeichert werden, oder bedarf es eines weiteren Kriteriums?
• Löst ein hohes Risiko beim Risikoindikator „Komplexität der Datenverarbeitung“ auch in der Gesamtbewertung ein hohes Risiko aus? etc.

Individuelle Entscheidung nötig

Diese Entscheidungen müssen Unternehmen jeweils ganz individuell treffen. Treten Sie als DSB dann mit dem Risikomanagement Ihres Unternehmens in Kontakt, um bei hohen Risiken zu besprechen, wie sie bei den operationellen Risiken zu berücksichtigen sind.

Eine weitere Entscheidung ist, ob die Risiken brutto oder netto betrachtet werden sollen:

Berücksichtigung risikomindernder ­Maßnahmen

Die Nettorisiken lassen sich ermitteln, indem man alle Maßnahmen berücksichtigt, die risikomitigierend, also risikomindernd wirken. Das sind in der Regel die technischen und organisatorischen Maßnahmen. Bei Auftragsverarbeitungen müssen Unternehmen hier die Ergebnisse der TOM-Prüfungen im Rahmen von Auftragnehmer-Prüfungen berücksichtigen.

Fazit: Dienstleister genau beleuchten

Der Finanzsektor muss Datenschutzrisiken bei Auslagerungen zwingend ermitteln. Doch auch für andere Unternehmen empfiehlt sich dieses Vorgehen, um dem Management eine klare Entscheidungsvorlage geben.

Dabei sind alle Fallkonstellationen (Auftragsverarbeitung, gemeinsame Verantwortlichkeit und ggfs. additiv Datenübermittlungen) zu berücksichtigen. Risikoindikatoren sind unternehmensindividuell zu finden und sowohl brutto als auch netto nach Abzug von risikominimierenden Maßnahmen zu bewerten. Daraus ergibt sich transparent, ob ein bestimmter Dienstleister vertretbar ist oder welche technischen und organisatorischen Maßnahmen zusätzlich erforderlich sind.

Datenschutzbeauftragte können die Implementierung des Vorgehens initiieren und aktiv beratend begleiten. Der Vorteil: Datenschutzrisiken für das Unternehmen zu vermeiden, hilft auch, Risiken für die betroffenen Personen zu minimieren.

Uwe Hochstein