Das Outsourcing von Geschäftsprozessen und IT-Systemen bietet zahlreiche Vorteile wie Kosteneinsparungen, operative Effizienz und Zugang zu spezialisiertem Fachwissen. Gleichzeitig birgt es jedoch auch rechtliche, regulatorische und reputationsbezogene Risiken. Aus Compliance-Sicht ist es unerlässlich, dass Organisationen sowohl vor als auch während der Zusammenarbeit mit Drittanbietern eine sorgfältige Due-Diligence-Prüfung sowie eine kontinuierliche Überwachung durchführen. 

Dieser Beitrag beleuchtet drei zentrale Bereiche, die im Rahmen von Outsourcing-Vorhaben einer besonders gründlichen Bewertung bedürfen:

1. Datenschutzanforderungen (DSGVO)

2. IT-Sicherheit (ISO/IEC 27001)

3. Interne Kontrollsysteme (ISAE 3402 bzw. IDW PS 951)

Diese drei Säulen bilden das Fundament eines belastbaren Compliance-Rahmenwerks für die Bewertung von Drittanbietern.

1. Datenschutzanforderungen (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) stellt die zentrale datenschutzrechtliche Regelung innerhalb der Europäischen Union dar und gilt für alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten. Beim Outsourcing an Drittanbieter – insbesondere außerhalb der EU – müssen Unternehmen sicherstellen, dass ihre Auftragsverarbeiter die Anforderungen der DSGVO vollständig erfüllen.

Wesentliche Compliance-Maßnahmen umfassen:

• Ausarbeitung und Durchsetzung von Auftragsverarbeitungsverträgen (AVV), die Verantwortlichkeiten und Pflichten klar regeln.
• Durchführung einer Due-Diligence-Prüfung zur Bewertung der technischen und organisatorischen Maßnahmen (TOMs) des Anbieters.
• Überprüfung rechtmäßiger Datenübermittlungsmechanismen (z. B. Standardvertragsklauseln oder Angemessenheitsbeschlüsse).
• Sicherstellung, dass der Anbieter die Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit etc.) gewährleisten kann.
• Durchführung von Datenschutz-Folgenabschätzungen (DSFA), wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
• Führung eines Verzeichnisses von Verarbeitungstätigkeiten sowie Nachweis von Rechenschaftspflichten.

2. IT-Sicherheit (ISO/IEC 27001)

Cybersicherheit ist ein zentraler Bestandteil jeder Outsourcing-Vereinbarung. Die Norm ISO/IEC 27001 ist ein international anerkannter Standard, der Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) definiert.

Bei der Auswahl eines Outsourcing-Anbieters sollten Organisationen folgende Maßnahmen ergreifen:

• Bevorzugung von Anbietern mit ISO/IEC 27001-Zertifizierung als Nachweis für etablierte Sicherheitskontrollen, auch wenn eine Zertifizierung rechtlich nicht vorgeschrieben ist.
• Prüfung der Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) und aktueller Auditberichte des Anbieters.
• Bewertung von Notfallplänen, Geschäftskontinuitätsstrategien und Zugriffskontrollmechanismen.
• Sicherstellung, dass Mitarbeitende und Auftragnehmer des Anbieters regelmäßig Schulungen zur Informationssicherheit erhalten.
• Überprüfung, ob regelmäßige Penetrationstests, Schwachstellenmanagement und Risikobewertungen durchgeführt werden.
• Im Gegensatz zu ISAE 3402, das sich auf interne Kontrollen im Finanzberichtswesen konzentriert, bezieht sich ISO 27001 auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im gesamten Unternehmen.

3. Interne Kontrollen (ISAE 3402 /IDW PS 951)

ISAE 3402, veröffentlicht vom International Auditing and Assurance Standards Board (IAASB), soll Sicherheit hinsichtlich der Kontrollen bei Dienstleistungsunternehmen bieten, die für die Finanzberichterstattung der Nutzerunternehmen relevant sind. Diese Bestätigungsvermerke sind für Audit- und Compliance-Funktionen, insbesondere in regulierten Branchen, von wesentlicher Bedeutung.

Zu den wichtigsten Vorteilen von ISAE-3402-Berichten gehören:

• Stärkung des Vertrauens und der Transparenz in Outsourcing-Beziehungen.
• Erleichterung der Risikobewertung und Reduzierung des Prüfungsaufwands für Anwenderorganisationen.
• Detaillierte Beschreibungen von Systemen und Kontrollen sowie unabhängige Prüfungsergebnisse.

IDW PS 951 ist das deutsche Pendant zu ISAE 3402, angepasst an lokale Vorschriften und Praktiken. Obwohl sie konzeptionell ähnlich sind, können IDW-PS-951-Berichte Elemente enthalten, die an deutsche Rechnungslegungsstandards und Datenschutzgesetze angepasst sind.