Skip to content

Eine Fachabteilung will nächste Woche Kunden-PII in einen neuen SaaS-Anbieter übertragen. Was verlangt der Architekt zuerst?

Kurzantwort

PII an einen Dritten zu geben erweitert deine Vertrauensgrenze, also führe zuerst eine Anbieter-Sicherheitsbewertung durch — Datenverarbeitung, Verschlüsselung, Zugriffskontrollen, Zertifizierungen wie SOC 2 / ISO 27001, Unterauftragsverarbeiter, Bedingungen zur Verletzungsmeldung — und schließe einen Auftragsverarbeitungsvertrag (AVV) ab, bevor PII fließt. Ein Preisvertrag oder das mündliche Wort eines Vertrieblers ist keine Sorgfaltsprüfung. Und eine „gepflegte Website" sagt nichts darüber, wie der Anbieter Daten tatsächlich schützt; du bleibst dafür verantwortlich.

Kunden-PII einem neuen SaaS-Anbieter zu übergeben ist eine Entscheidung über Drittparteienrisiko, keine Beschaffungsformalität. In dem Moment, in dem Daten deine Grenze verlassen, wird die Sicherheitslage des Anbieters Teil deiner eigenen — die Verantwortung für diese Daten bleibt aber bei dir. Die Aufgabe des Architekten ist es, die Sorgfaltsprüfung vor dem Datenfluss einzufügen, nicht danach.

Was die Bewertung abdecken muss

Eine echte Anbieter-Sicherheitsbewertung fragt konkret:

  • Datenverarbeitung und -standort. Wo werden PII gespeichert und verarbeitet? Wer hat Zugriff?
  • Verschlüsselung im Transit und im Ruhezustand, und wie Schlüssel verwaltet werden.
  • Zugriffskontrollen — MFA, Least Privilege, Admin-Trennung, Logging.
  • Unabhängige Sicherheit — aktuelles SOC 2 Typ II, ISO 27001 oder Gleichwertiges, geprüft (nicht nur behauptet).
  • Unterauftragsverarbeiter — wer sonst die Daten nachgelagert berührt, und zu welchen Bedingungen.
  • Verletzungsmeldung — wie schnell und über welchen Kanal sie dich informieren.

Dann kodifiziert ein Auftragsverarbeitungsvertrag (AVV) diese Pflichten vertraglich — Verarbeitungszweck, Sicherheitsmaßnahmen, Steuerung der Unterauftragsverarbeiter, Meldefristen und Löschung bei Vertragsende — bevor ein einziger Datensatz gesendet wird. Unter Vorschriften wie der DSGVO ist das nicht optional.

Warum die falschen Antworten falsch sind

„Nichts — der Anbieter hat eine gepflegte Website" verwechselt Marketing-Politur mit Sicherheitsreife; eine schicke Oberfläche sagt nichts darüber, wie die Daten dahinter geschützt werden. „Nur einen unterschriebenen Vertrag über den Preis" behandelt das Kommerzielle, nicht die Sicherheit oder den Datenschutz — du hast vereinbart, was zu zahlen ist, nicht, wie die Daten deiner Kunden geschützt werden. „Eine mündliche Zusicherung des Vertrieblers" ist nicht überprüfbar, nicht bindend und genau das, was ein Vertriebler unabhängig von der Realität zu geben angereizt ist.

Worauf der Interviewer achtet

Er will Governance-Reife: den Instinkt, Anbieter als Erweiterung deiner Angriffsfläche zu behandeln, das Wissen um die konkreten Nachweise, die du verlangen musst (Zertifizierungen, AVV, Verletzungsbedingungen), und die Disziplin, den Datenfluss zu blockieren, bis die Sorgfaltsprüfung abgeschlossen ist. Eine gute Antwort verknüpft das mit Verantwortlichkeit — Regulierer und Kunden machen dich für die PII verantwortlich, selbst wenn ein Dritter sie verliert.

Wahrscheinliche Anschlussfragen

  • Was ist der Unterschied zwischen einem SOC-2-Typ-I- und Typ-II-Bericht, und welchen willst du?
  • Was muss ein Auftragsverarbeitungsvertrag unter Vorschriften wie der DSGVO festlegen?
  • Wie behandelst du die Unterauftragsverarbeiter des Anbieters und das Risiko, das sie einführen?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.