Ressourcencenter zum Risikomanagement für Drittanbieter

Google Cloud achtet auf ein robustes Programm zum Risikomanagement von Drittanbietern, das nicht nur die Abläufe von Google Cloud schützt, sondern auch das Vertrauen der Kunden und Partner von Google Cloud aufrechterhält.

Einleitung

Google Cloud kann Drittanbieter (Unterauftragsverarbeiter) mit der Durchführung bestimmter Aktivitäten im Zusammenhang mit den Google Cloud-Diensten beauftragen. Diese Subunternehmer werden über das Third Party Risk Management (TPRM)-Programm von Google Cloud überwacht und verwaltet. Dieses Programm soll sicherstellen, dass die Zusammenarbeit mit Subunternehmern die hohen Sicherheits-, Compliance- und Betriebseffizienzstandards von Google Cloud erfüllt.


Das Engagement von Google Cloud spiegelt sich in den kontinuierlichen Investitionen in die Verbesserung unserer Funktionen für das Risikomanagement von Drittanbietern wider, um in einer sich ständig verändernden Risikolandschaft immer einen Schritt voraus zu sein. Außerdem erwarten wir von Dritten, dass sie ihrer sozialen, ökologischen und ethischen Verantwortung gerecht werden, wie im Verhaltenskodex für Lieferanten festgelegt.

Übersicht über Subunternehmer

Das TPRM-Programm von Google Cloud verfolgt einen risikobasierten Ansatz, um Drittanbieter entsprechend dem von ihnen ausgehenden Risiko zu identifizieren, zu bewerten, zu verwalten und zu überwachen. Für Drittanbieter, die wichtige Dienste bereitstellen, gelten strengere Governance- und Überwachungsregeln. Das TPRM-Programm unterscheidet insbesondere zwischen Subunternehmern, die Kundendaten verarbeiten (Unterauftragsverarbeiter), und solchen, die dies nicht tun. Im Folgenden werden die Aktivitäten von Google Cloud zum Risikomanagement von Drittanbietern in jeder Phase des Lebenszyklus eines Subunternehmers beschrieben.

Bild: Lieferanten

Risikomanagement für Drittanbieter

Das TPRM-Programm von Google Cloud wird durch die Organisation des Cloud Chief Information Security Officer (CISO) verwaltet und wird durch das Risikomanagementprogramm für Drittanbieter, die Beschaffung, Organisationen für das Management von Anbietern, Teams für Risiko und Compliance sowie Rechtsabteilungen von Google unterstützt, um eine angemessene Verwaltung von Drittanbieterrisiken im gesamten Unternehmen zu gewährleisten. 


Ein funktionsübergreifendes Leitungsgremium auf Führungsebene ist eingerichtet, um die Aufsicht und Verwaltung von Google Cloud zu gewährleisten, einschließlich der Risiken durch Drittanbieter. Die Verwaltungsstelle nutzt eine definierte Risikobereitschaft und Risikotoleranz, um sicherzustellen, dass das potenzielle Risiko durch Subunternehmer innerhalb akzeptabler Grenzen verwaltet wird. Darüber hinaus gibt es Richtlinien und Verfahren, um die Konsistenz und Gründlichkeit der Bewertung, Überwachung und Verwaltung von Risiken durch Drittanbieter durch Google Cloud sicherzustellen.

Lebenszyklus des Drittanbieter-Risikomanagements von Google Cloud

Planung

Vor der Beauftragung eines Drittanbieters muss im Rahmen des Google Cloud TPRM-Programms eine Bewertung durchgeführt werden, um den Drittanbieter zu klassifizieren und das Risikoniveau des Drittanbieterdienstes zu bestimmen. Anhand des Risikoniveaus werden Anforderungen für Due Diligence, Vertragsabschluss und Onboarding sowie für die laufende Überwachung festgelegt. In diesem Stadium wird das Gesamtrisiko einer Konzentration geprüft, um die Auswirkungen der Aufnahme eines neuen Subunternehmers in Google Cloud zu bestimmen.

Bild: Planung
Due-Diligence-Bild

Due-Diligence-Prüfung

Das TPRM-Programm von Google Cloud ist auf eine Vielzahl von Risikobereichen von Drittanbietern ausgerichtet, darunter Informationssicherheit, Datenschutz, Vorfallmanagement, Geschäftskontinuität, regulatorische Compliance, finanzielle Stabilität, Standortrisiko und operative Fähigkeiten. Um diese Risiken effektiv zu bewältigen, arbeitet Google Cloud mit internen Fachleuten zusammen, die spezielle Einblicke bieten und maßgeschneiderte Strategien zur Risikominderung und -verwaltung entwickeln. Dank dieser Fachkenntnisse kann Google Cloud potenzielle Risiken in Drittanbieterbeziehungen proaktiv erkennen, bewerten und mindern. 

Eine zufriedenstellende Due-Diligence-Prüfung ist für das Onboarding und den Beginn des Dienstes unerlässlich. Jährlich werden Subunternehmer neu bewertet und alle identifizierten Probleme werden mithilfe eines zentralen Prozesses zur Problembehebung nachverfolgt, verwaltet und behoben. Nach Abschluss der Due-Diligence-Prüfung werden die Ergebnisse zusammengefasst und an Google Cloud Management weitergegeben. 

Verträge abschließen

Die Google Cloud-Teams, die Subunternehmer einbinden, folgen definierten Prozessen, um vor Beginn der Dienste entsprechende Verträge mit Subunternehmern abzuschließen. Diese Verträge regeln die strengen Sicherheits-, Datenschutz- und Compliance-Anforderungen von Google Cloud sowie unsere Verpflichtungen gegenüber Kunden in Bezug auf Subunternehmer. 

SLAs, KPIs oder andere Leistungsmesswerte werden vertraglich festgelegt und es werden Leistungsstrategien für Subunternehmer entwickelt, um sicherzustellen, dass die Leistungsüberwachung kontinuierlich durchgeführt wird.

Onboarding

Nach Abschluss der Due-Diligence-Prüfung benachrichtigt Google die Kunden innerhalb der vertraglich vereinbarten Fristen über einen neuen Unterauftragsverarbeiter. 

Beispiel: Google Cloud informiert alle Kunden mindestens 30 Tage, bevor ein neuer Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten beginnt. 

Der unterbeauftragte Dienst kann erst nach Ablauf der geltenden Benachrichtigungsfrist beginnen und im Fall von Unterauftragsverarbeitern kann der Zugriff auf Kundendaten erst nach Ablauf der geltenden Benachrichtigungsfrist bereitgestellt werden.

Laufende Überwachung

Nach der Aufnahme werden die Subunternehmer von den entsprechenden Google Cloud-Teams fortlaufend in verschiedenen Dimensionen im Hinblick auf Leistung und Risikomanagement überwacht. Die Leistung wird mindestens vierteljährlich durch definierte Leistungskennzahlen (KPIs) und vierteljährliche Unternehmensprüfungen (QBR) verwaltet. 

Risikobewertungen (ähnlich Due-Diligence-Bewertungen) werden jährlich durchgeführt. Subunternehmer werden jedoch kontinuierlich überwacht, um potenzielle Änderungen der Risikolage zu erkennen, die eine weitere Bewertung erfordern könnten. 

Bei einer Änderung der Art der Dienstleistung oder des Standorts eines bestehenden Subunternehmers wird Google Cloud die Kunden innerhalb der vertraglich vereinbarten Fristen informieren. 

Alle von Google Cloud während der Überwachung erkannten Vorfälle werden über ein zentrales Programm zur Vorfallbearbeitung erfasst, verwaltet und behoben. In diesem Programm arbeiten verschiedene Expertenteams zusammen, um die Vorfälle zu untersuchen, zu beheben und proaktiv und zeitnah zu kommunizieren. Weitere Informationen zum Umgang mit Datenvorfällen durch Google finden Sie im Whitepaper.


Bild: Monitoring
Bild: Gekündigter Vertrag

Kündigung

Die geplante Beendigung der Zusammenarbeit mit Subunternehmen wird über Exit-Pläne verwaltet, die zum Zeitpunkt der Einbindung erstellt werden. Diese Pläne sollen sicherstellen, dass die Bereitstellung von Diensten durch Google Cloud nicht beeinträchtigt wird.

So sorgt Google Cloud für eine kontinuierliche Dienstleistung

Google Cloud weiß, wie wichtig die Dienstkontinuität für den Erfolg der Kunden ist, und verfügt über umfassende interne Kontrollen, um sie zu gewährleisten.

Google Cloud führt regelmäßig Bewertungen des Geschäftskontinuitätsprogramms unserer Subunternehmer durch, um potenzielle Risiken zu erkennen und Strategien zu entwickeln, um deren Auswirkungen zu mindern. Die Leistung der Subunternehmer wird im Hinblick auf die Verträge regelmäßig überwacht, um die Dienstleistungsqualität innerhalb der definierten Leistungskennzahlen (KPIs) aufrechtzuerhalten.



Für den Fall, dass Google Cloud unvorhergesehenerweise einen Dienst von einem Subunternehmer übernehmen muss, gibt es Notfallpläne, um einen reibungslosen Übergang ohne Unterbrechung des Dienstes zu gewährleisten.

So schützt Google Cloud Kundendaten

Kundendaten gehören Ihnen und nicht Google. Wir verarbeiten Kundendaten nur gemäß Ihren Anweisungen und bestimmen weder die Zwecke noch die wesentlichen Mittel dieser Verarbeitung. Wir sind also Auftragsverarbeiter von Kundendaten und nicht Verantwortlicher oder gemeinsam Verantwortlicher.

Google beauftragt Unterauftragsverarbeiter mit der Ausführung eingeschränkter Aktivitäten in Verbindung mit Google Cloud-Diensten, z. B. technischem Support. Gemäß unserem Zusatz zur Verarbeitung von Cloud-Daten verpflichtet sich Google gegenüber seinen Kunden, dass die schriftlichen Vereinbarungen mit den Unterauftragsverarbeitern bestimmte Schutzmaßnahmen enthalten. Google wird durch diese Vereinbarung sicherstellen, dass:



  

  1. Der Unterauftragsverarbeiter greift nur in dem Umfang auf Kundendaten zu und nutzt sie nur in dem Umfang, der erforderlich ist, um die ihm übertragenen Verpflichtungen zu erfüllen. 
  2. Der Unterauftragsverarbeiter führt diese Verarbeitung in Übereinstimmung mit der schriftlichen Vereinbarung mit Google durch; und 
  3. Wenn es das anwendbare Recht vorsieht, werden dem Unterauftragsverarbeiter die relevanten Datenschutzpflichten auferlegt, die im Zusatz zur Verarbeitung von Cloud-Daten beschrieben sind.

Google führt Google zuerst eine Prüfung der Sicherheits- und Datenschutzpraxis des Unterauftragsverarbeiters durch, um für ein Sicherheits- und Datenschutzniveau zu sorgen, das im angemessenen Verhältnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht.

Wenn Google die vom Unterauftragsverarbeiter dargelegten Risiken einschätzen kann, ist der Unterauftragsverarbeiter verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvereinbarungen abzuschließen. Google stellt mithilfe der Vereinbarungen insbesondere sicher, dass der Unterauftragsverarbeiter nur in dem zur Ausführung der eingeschränkten Aktivität erforderlichen Umfang auf Kundendaten zugreift und dass der Zugriff in Übereinstimmung mit den Datenverarbeitungsbedingungen von Google Cloud erfolgt. 

Weitere Informationen zu den Datenschutzangeboten von Google Cloud finden Sie im Datenschutz-Resource-Center.

Bild: Sperre

Gleich loslegen

Weitere Informationen zu Subunternehmern erhalten Sie von Ihrem Account Manager oder durch Kontaktaufnahme mit uns.

Google Cloud