bg-photo

Schlüsselüberlegungen zur Compliance beim Outsourcing von Geschäftsprozessen und -systemen

Wie Unternehmen regulatorische Risiken beim Outsourcing wirksam steuern können

Das Outsourcing von Geschäftsprozessen und IT-Systemen bietet zahlreiche Vorteile wie Kosteneinsparungen, operative Effizienz und Zugang zu spezialisiertem Fachwissen. Gleichzeitig birgt es jedoch auch rechtliche, regulatorische und reputationsbezogene Risiken. Aus Compliance-Sicht ist es unerlässlich, dass Organisationen sowohl vor als auch während der Zusammenarbeit mit Drittanbietern eine sorgfältige Due-Diligence-Prüfung sowie eine kontinuierliche Überwachung durchführen. 


Dieser Beitrag beleuchtet drei zentrale Bereiche, die im Rahmen von Outsourcing-Vorhaben einer besonders gründlichen Bewertung bedürfen:

 

1. Datenschutzanforderungen (DSGVO)

2. IT-Sicherheit (ISO/IEC 27001)

3. Interne Kontrollsysteme (ISAE 3402 bzw. IDW PS 951)

 

Diese drei Säulen bilden das Fundament eines belastbaren Compliance-Rahmenwerks für die Bewertung von Drittanbietern.


1. Datenschutzanforderungen (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) stellt die zentrale datenschutzrechtliche Regelung innerhalb der Europäischen Union dar und gilt für alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten. Beim Outsourcing an Drittanbieter – insbesondere außerhalb der EU – müssen Unternehmen sicherstellen, dass ihre Auftragsverarbeiter die Anforderungen der DSGVO vollständig erfüllen.


Wesentliche Compliance-Maßnahmen umfassen:

  • Ausarbeitung und Durchsetzung von Auftragsverarbeitungsverträgen (AVV), die Verantwortlichkeiten und Pflichten klar regeln.
  • Durchführung einer Due-Diligence-Prüfung zur Bewertung der technischen und organisatorischen Maßnahmen (TOMs) des Anbieters.
  • Überprüfung rechtmäßiger Datenübermittlungsmechanismen (z. B. Standardvertragsklauseln oder Angemessenheitsbeschlüsse).
  • Sicherstellung, dass der Anbieter die Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit etc.) gewährleisten kann.
  • Durchführung von Datenschutz-Folgenabschätzungen (DSFA), wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten sowie Nachweis von Rechenschaftspflichten.


2. IT-Sicherheit (ISO/IEC 27001)

Cybersicherheit ist ein zentraler Bestandteil jeder Outsourcing-Vereinbarung. Die Norm ISO/IEC 27001 ist ein international anerkannter Standard, der Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) definiert.


Bei der Auswahl eines Outsourcing-Anbieters sollten Organisationen folgende Maßnahmen ergreifen:

  • Bevorzugung von Anbietern mit ISO/IEC 27001-Zertifizierung als Nachweis für etablierte Sicherheitskontrollen, auch wenn eine Zertifizierung rechtlich nicht vorgeschrieben ist.
  • Prüfung der Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) und aktueller Auditberichte des Anbieters.
  • Bewertung von Notfallplänen, Geschäftskontinuitätsstrategien und Zugriffskontrollmechanismen.
  • Sicherstellung, dass Mitarbeitende und Auftragnehmer des Anbieters regelmäßig Schulungen zur Informationssicherheit erhalten.
  • Überprüfung, ob regelmäßige Penetrationstests, Schwachstellenmanagement und Risikobewertungen durchgeführt werden.
  • Im Gegensatz zu ISAE 3402, das sich auf interne Kontrollen im Finanzberichtswesen konzentriert, bezieht sich ISO 27001 auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im gesamten Unternehmen.


3. Interne Kontrollen (ISAE 3402 /IDW PS 951)

ISAE 3402, veröffentlicht vom International Auditing and Assurance Standards Board (IAASB), soll Sicherheit hinsichtlich der Kontrollen bei Dienstleistungsunternehmen bieten, die für die Finanzberichterstattung der Nutzerunternehmen relevant sind. Diese Bestätigungsvermerke sind für Audit- und Compliance-Funktionen, insbesondere in regulierten Branchen, von wesentlicher Bedeutung.


Zu den wichtigsten Vorteilen von ISAE-3402-Berichten gehören:

  • Stärkung des Vertrauens und der Transparenz in Outsourcing-Beziehungen.
  • Erleichterung der Risikobewertung und Reduzierung des Prüfungsaufwands für Anwenderorganisationen.
  • Detaillierte Beschreibungen von Systemen und Kontrollen sowie unabhängige Prüfungsergebnisse.


IDW PS 951 ist das deutsche Pendant zu ISAE 3402, angepasst an lokale Vorschriften und Praktiken. Obwohl sie konzeptionell ähnlich sind, können IDW-PS-951-Berichte Elemente enthalten, die an deutsche Rechnungslegungsstandards und Datenschutzgesetze angepasst sind.

Fazit

Ein effektives Drittparteien-Risikomanagement erfordert einen strukturierten Ansatz für Compliance und Prüfung. Organisationen sollten die Anforderungen der DSGVO, ISO/IEC 27001 sowie ISAE 3402 bzw. IDW PS 951 in ihre Prozesse zur Auswahl, Vertragsgestaltung und Überwachung von Dienstleistern integrieren. Dieser dreigliedrige Ansatz hilft, rechtliche, operative und reputationsbezogene Risiken beim Outsourcing zu minimieren.


In der Praxis führen Unternehmen wie die Deutsche Bank umfassende Third Party Compliance Assessments (TPCAs) durch, die rechtliche, sicherheitstechnische und prüferische Aspekte kombinieren. Die Übernahme vergleichbarer Rahmenwerke gewährleistet die Einhaltung regulatorischer Anforderungen und Branchenstandards.

Azamat Ahmullaev

FALK IT Audit

SWIFT CSP Certified Assessor

E-Mail:
azamat.ahmullaev@falk-itaudit.com


Mehr Aktuelles?

Gerne möchten wir Sie über aktuelle Themen und Veranstaltungen per E-Mail auf dem Laufenden halten. Bitte melden Sie sich hier für unseren Newsletter an:

Hinweisgebersystem/Interne Meldestelle

Willkommen beim anonymen Hinweisgebersystem/der anonymen internen Meldestelle der FALK GmbH & Co KG. Sie haben die Möglichkeit anonyme Meldungen zu konkreten Gesetzesverstößen oder Verdachtsmomenten einzustellen. Jeglicher Kontakt sowie die damit verbundene Kommunikation erfolgt in anonymer Form. Die Herstellung einer Verbindung zu Ihrer Person ist nicht möglich und auch nicht vorgesehen. Bitte vermeiden Sie die Angabe Ihrer personenbezogenen Daten in der Nachricht/im Betreff.