Die Bedeutung von Third-Party Risk Management im strengen regulatorischen Rahmen der Schweiz

Je mehr Sie mit Anbietern und Lieferanten zusammenarbeiten, um Ihre Fähigkeiten auszubauen und Wettbewerbsvorteile zu erzielen, desto höher steigen auch Ihre Reputations- und regulatorischen Risiken.

Forrester prognostizierte für 2022, dass 60 % aller Sicherheitsvorfälle auf Drittparteiprobleme zurückzuführen sein werden — ein deutliches Signal für die Bedeutung des Managements von Drittparteibeziehungen.

In einem stark regulierten Umfeld wie der Schweiz ist es von zentraler Bedeutung sicherzustellen, dass neue und bestehende Anbieter und Partner Ihren Betrieb und Ihre Reputation nicht erheblich gefährden.

In diesem Artikel untersuchen wir die Bedeutung von Third-Party Risk Management (TPRM) im Zusammenhang mit der regulatorischen Landschaft in der Schweiz. Wir betrachten zentrale Vorschriften wie das Bundesgesetz über den Datenschutz (DSG), den Rundschreiben 2018/3 und das Geldwäschereigesetz (GwG) und erläutern deren Auswirkungen auf das Management von Drittparteibeziehungen.

Der regulatorische Rahmen der Schweiz

Der Ansatz der Schweiz zu ihrem regulatorischen Rahmen betont teilweise die Selbstregulierung (insbesondere im Bankensektor) sowie Flexibilität und Zusammenarbeit zwischen Behörden und privaten Unternehmen.

Dieser Ansatz stellt sicher, dass Vorschriften auf branchenspezifische Risiken zugeschnitten sind, Flexibilität ermöglichen und gleichzeitig hohe regulatorische Standards aufrechterhalten, ohne Innovation zu ersticken.

Zentrale Vorschriften, die Drittparteibeziehungen betreffen, umfassen das Bundesgesetz über den Datenschutz (DSG), das strenge Anforderungen an die Handhabung und Weitergabe von Daten stellt, insbesondere bei der Zusammenarbeit mit externen Dienstleistern.

Der Rundschreiben 2018/3 der Eidgenössischen Finanzmarktaufsicht (FINMA) definiert spezifische Leitlinien für das Outsourcing von Geschäftsfunktionen im Schweizer Finanzsektor.

Die jüngsten Aktualisierungen des Geldwäschereigesetzes (GwG) spiegeln das Engagement des Landes wider, Finanzkriminalität wie Geldwäscherei und Terrorismusfinanzierung zu bekämpfen.

Zusätzlich unterstreicht die Verordnung über die Sorgfaltspflichten und Transparenz im Bereich der Mineralien und Metalle aus Konfliktgebieten und im Bereich der Kinderarbeit das Engagement des Landes für ethische Lieferketten und Menschenrechte.

Im Folgenden untersuchen wir diese Vorschriften und heben wesentliche Anforderungen hervor, die sich auf Drittparteibeziehungen konzentrieren.

Datenschutz und Cybersicherheit

Das Bundesgesetz über den Datenschutz (DSG) ist die zentrale Vorschrift für die Bearbeitung und Übermittlung personenbezogener Daten in der Schweiz zum Schutz der Datenschutzrechte juristischer Personen.

Ergänzend zum genannten Gesetz hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Verordnungen erlassen, insbesondere die Datenschutzverordnung (DSV) und die Verordnung über die Datenschutzzertifizierung, um einige Bestimmungen des DSG zu präzisieren und zu konkretisieren.

Das DSG gilt für Datenbearbeitungen, die «in der Schweiz Wirkung entfalten, auch wenn sie im Ausland veranlasst wurden». Das Gesetz umfasst das Erheben, Speichern, Verändern, Offenlegen an Dritte, Archivieren oder andere Verwendungen personenbezogener Daten.

Hier sind die wesentlichen Merkmale des DSG und der Verordnungen, vor allem im Hinblick auf Drittparteibeziehungen:

Unternehmen benötigen keine Rechtsgrundlage zum Erheben und Bearbeiten personenbezogener Daten. Das DSG definiert jedoch Bedingungen, unter denen Unternehmen die Einwilligung der Nutzer einholen müssen.
Die Einwilligung muss freiwillig und spezifisch für die genauen Bearbeitungsaktivitäten sein, die das Unternehmen mit den Daten durchführen will.
Schweizer Unternehmen müssen auch sicherstellen, dass die personenbezogenen Daten, die sie von anderen Unternehmen erhalten, den Zwecken entsprechen, die den Dateneigentümern bei der Datenerhebung mitgeteilt wurden.
Unternehmen benötigen die Einwilligung der Nutzer, um «besonders schützenswerte personenbezogene Daten» an Dritte weiterzugeben.
Organisationen müssen Nutzer über Dritte informieren, die ihre personenbezogenen Daten erhalten. Dies gilt sowohl für Empfänger in der Schweiz als auch ausserhalb der Schweiz.
Die genannte Offenlegung muss auch Schutzmassnahmen zum Schutz der personenbezogenen Daten der Nutzer umfassen.
Das DSG verpflichtet Unternehmen und Drittparteien, die Sicherheit der Nutzerdaten zu gewährleisten, indem sie die Integrität, Vertraulichkeit und Verfügbarkeit der erhobenen Daten schützen.
Im Einklang mit dieser Anforderung müssen beide Parteien potenzielle Risiken für Nutzer bewerten und sicherstellen, dass sie über die entsprechende IT-Infrastruktur und Sicherheitsmassnahmen verfügen.
Das DSG erlaubt die Datenübermittlung ins Ausland in Jurisdiktionen mit angemessenem Schutz und in solche ohne. Der Bundesrat stellt eine Liste der Jurisdiktionen mit angemessenem Schutz in Anhang 1 der Verordnung bereit.
Die Übermittlung von Daten in Länder ohne angemessenen Datenschutz erfordert, dass Unternehmen geeignete Schutzmassnahmen einrichten, wie Standardvertragsklauseln (SCC), Binding Corporate Rules (BCRs) und vertragliche Klauseln in Geschäftsvereinbarungen mit Drittparteien.
Schweizer Unternehmen und Drittparteien müssen ein Verzeichnis aller Bearbeitungstätigkeiten führen. Diese Bestimmung gilt nicht für Unternehmen mit über 250 Mitarbeitenden, sofern das Risiko einer Verletzung der Nutzerrechte vernachlässigbar ist.
Unternehmen müssen eine Datenschutz-Folgenabschätzung (DSFA) durchführen, insbesondere wenn die Datenbearbeitung besonders schützenswerte personenbezogene Daten in grosser Menge erfordert.
Organisationen sind verpflichtet, den EDÖB über Datenschutzverletzungen zu informieren, die ein hohes Risiko für Nutzer darstellen. Obwohl im DSG kein spezifischer Zeitrahmen genannt wird, werden Unternehmen aufgefordert, dies «so schnell wie möglich» zu tun.
Der Bericht muss Details wie Art der Verletzung, Zeitverlauf, Kategorien und Anzahl der betroffenen personenbezogenen Daten und Nutzer, Auswirkungen der Verletzung und potenzielle Risiken für die betroffenen Personen sowie ergriffene Massnahmen zur Minderung möglicher Auswirkungen auf die betroffenen Personen enthalten.
Gemäss DSG müssen Schweizer Unternehmen personenbezogene Daten löschen oder angemessen anonymisieren, wenn sie diese nicht mehr für den Zweck benötigen, für den sie erhoben wurden.
Unternehmen und Drittparteien müssen eine Vereinbarung abschliessen, die zwei Kontrollziele für Schweizer Organisationen festlegt.
Erstens muss die Vereinbarung die Drittpartei an die Bearbeitungsfunktionen binden, die das Unternehmen durchführen kann. Zweitens muss die Vereinbarung sicherstellen, dass der Drittparteien-Auftragsbearbeiter Datensicherheit auf dem neuesten Stand der Technik gewährleistet.

Nutzen Sie die Supplier Shield-Suite an Cybersicherheits- und Datenschutztools, um personenbezogene Daten gemäss Schweizer Vorschriften sicher zu schützen.

Technologiebeschaffung oder Outsourcing

Obwohl die Schweiz kein allgemeines Gesetz zur Beschaffung von Technologieprodukten und -dienstleistungen für private Unternehmen hat, regeln branchenspezifische Vorschriften das Outsourcing wesentlicher Geschäftsfunktionen an Drittparteien-Dienstleister.

Der Rundschreiben 2018/3 der Eidgenössischen Finanzmarktaufsicht (FINMA) definiert die regulatorischen Anforderungen, die Finanzmarktteilnehmer, einschliesslich Banken, Versicherungsgesellschaften und Wertpapierhändler, erfüllen müssen, während branchenspezifische Geheimhaltungspflichten Branchen wie Telekommunikation und Gesundheitswesen binden.

Einige der Highlights des Rundschreibens 2018/3 umfassen:

Bestimmte Funktionen dürfen nicht ausgelagert werden, etwa solche im Zusammenhang mit strategischen Entscheidungen, Risikomanagement und regulatorischen Compliance-Aufgaben, «ausser jene, die operativer Natur sind».
Gemäss dem Rundschreiben müssen Unternehmen, die Funktionen auslagern wollen, ein Inventar aller ausgelagerten Funktionen führen und klar die Abteilung(en) angeben, die für die ausgelagerten Funktionen verantwortlich sind. Ein solches Inventar muss auch den Dienstleister hervorheben.
Das genannte Inventar muss auch angeben, ob die ausgelagerte Funktion die Übermittlung massenhafter kundenidentifizierender Daten an einen ausländischen Dienstleister beinhaltet.

Unternehmen im Finanzsektor müssen vor der Vereinbarung mit einer Drittpartei eine Risikoanalyse entlang wirtschaftlicher und operativer Überlegungen durchführen.
Insbesondere muss das Finanzinstitut potenzielle Konzentrationsrisiken bewerten, wenn mehrere Funktionen an denselben Anbieter ausgelagert werden.
Zusätzlich muss das Unternehmen die fachlichen Fähigkeiten sowie die finanziellen und personellen Ressourcen der Drittpartei bewerten, um zu wissen, ob der Dienstleister solche Leistungen dauerhaft erbringen kann.
Outsourcing-Unternehmen müssen die Sicherheitsanforderungen der Vereinbarung vertraglich definieren und einen Notfallplan für die fortgesetzte Ausführung der ausgelagerten Funktion im Ernstfall festlegen.
Outsourcing an ausländische Drittparteien ist zulässig, solange Prüfer und FINMA jederzeit ihre regulatorische Funktion ausüben können.

Der Anti-Geldwäschungs-Rahmen der Schweiz

Das Geldwäschereigesetz (GwG) und die Geldwäschereiverordnung (GwV) bilden das Fundament der Anti-Geldwäschungs-Landschaft (AML) für Finanzintermediäre in der Schweiz.

Das GwG wurde 1997 verabschiedet und seither mehrfach geändert. Eine der jüngsten Aktualisierungen erfolgte 2021, mit Änderungen speziell zu Drittparteibeziehungen.

Die neue Aktualisierung verlangte von Schweizer Banken und Unternehmen wie Casinos, die wirtschaftlich Berechtigten (UBO) aller Organisationen zu verifizieren, mit denen sie zusammenarbeiten.

Der UBO bezeichnet «die natürliche(n) Person(en), die letztendlich Eigentümerin oder Eigentümer eines Kunden ist bzw. sind und/oder die natürliche Person, in deren Interesse eine Transaktion durchgeführt wird».

Schweizer Finanzinstitute müssen auch weitere Anforderungen erfüllen, wie die Implementierung notwendiger organisatorischer Massnahmen zur Bekämpfung der Geldwäscherei.

Der Bankensektor steht unter verstärkter Prüfung, wobei die Schweizerische Nationalbank und FINMA zusammenarbeiten, um im Nachgang zur Credit-Suisse-Krise strengere Finanzmarktgesetze zu schaffen.

Due Diligence in der Lieferkette

Unternehmen, die potenzieller Kinderarbeit und Konfliktmineralien ausgesetzt sind, müssen diese Risiken offenlegen.

Unternehmen, die Zinn, Tantal, Wolfram oder Gold aus Konfliktgebieten importieren oder verarbeiten, unterliegen der «Verordnung über die Sorgfaltspflichten und Transparenz im Bereich der Mineralien und Metalle aus Konfliktgebieten und im Bereich der Kinderarbeit», wenn die Gesamtimporte einen festgelegten Schwellenwert erreichen.

Noch wichtiger: Schweizer Unternehmen mit Lieferkettenoperationen oder Partnern in Jurisdiktionen mit hohem Risiko für Kinderarbeit unterliegen ebenfalls Due-Diligence- und Berichtspflichten. Gemäss der Verordnung haben Hochrisikoländer eine Enhanced- oder Heightened-Klassifizierung im Children's Rights in the Workplace Index-Bericht.

Es wurden auch neue Vorschriften diskutiert, die auf aktuelle Berichtspflichten für nicht-finanzielle Unternehmen abzielen und nach der Corporate Sustainability Reporting Directive (CSRD) der Europäischen Union modelliert werden sollen.

Bedeutung von TPRM für Schweizer Unternehmen

Laut einer Umfrage von Gartner berichteten 84 % der Befragten von operativen Störungen aufgrund von Handlungen, Aktivitäten und Vorfällen eines Drittparteienanbieters.

Weitere 64 % bzw. 60 % berichteten von negativen finanziellen Auswirkungen und erhöhter regulatorischer Prüfung aufgrund von Drittparteivorfällen ausserhalb ihrer Kontrolle.

Diese Umfrageergebnisse unterstreichen die zunehmenden inhärenten Risiken, die mit Drittparteianbietern, Lieferanten und Dienstleistern verbunden sind. Obwohl diese Partnerschaften zweifellos operativen Mehrwert und Wettbewerbsvorteile bringen, verschärfen sie auch bestehende Risiken und führen neue, erhebliche ein.

Effektives Third-Party Risk Management (TPRM) ist entscheidend, um diese Risiken zu mindern und die Vorteile von Drittparteibeziehungen zu erschliessen.

Die hohen Kosten mangelnden TPRM

Die Konsequenzen fehlenden oder unzureichenden TPRM können katastrophal sein.

Datenschutzverletzungen, Cyberangriffe und operative Ausfälle bei einer Drittpartei können direkte finanzielle Verluste durch Behebungskosten, Rechtskosten und entgangene Einnahmen verursachen.

Der jüngste Ausfall aufgrund eines Softwarefehlers bei CrowdStrike ist ein anschauliches Beispiel: Der Ausfall kostete Fortune-500-Unternehmen allein über 5 Milliarden USD an direkten Verlusten. Der CEO von Delta behauptet, das Unternehmen habe über 500 Millionen USD aufgrund des IT-Ausfalls verloren. Derselbe Ausfall führte zu Störungen an vielen Schweizer Flughäfen.

Obwohl es schwierig sein mag, Ausfälle oder Störungen wie die oben genannten vollständig zu eliminieren, stellt ein solides TPRM-Framework sicher, dass Sie eine umfassende Risikobewertung durchgeführt und einen Notfallplan zur Minderung der identifizierten Risiken erstellt haben.

Neben Umsatzverlusten können aus schwachem TPRM weitere potenzielle Probleme entstehen:

Reputationsschäden

Ein Drittparteivorfall kann die Marke und das Vertrauen der Kunden eines Unternehmens schwer schädigen. Das kann zu Kundenverlust, sinkendem Marktanteil und Schwierigkeiten bei der Gewinnung neuer Geschäfte führen.

Glencore wurde kürzlich mit CHF 2 Millionen belegt, weil es «die erforderlichen und angemessenen organisatorischen Massnahmen in Bezug auf die Bestechung ausländischer Amtsträger durch einen Geschäftspartner» nicht ergriffen habe.

Aufgrund seines beschädigten Rufs beendete das Eidgenössische Departement für auswärtige Angelegenheiten seine Sponsoring-Vereinbarung mit Glencore.

Reduzieren Sie die Exposition gegenüber Anbietern und Lieferanten, die Ihren hart erarbeiteten Ruf schädigen können, mit Supplier Shield, der führenden TPRM-Lösung für Geschwindigkeit und Präzision.

Regulatorische Strafen

Nichteinhaltung von Datenschutz-, Sicherheits- oder branchenspezifischen Vorschriften aufgrund von Drittparteiversäumnissen kann hohe Bussen, rechtliche Konsequenzen und die Unfähigkeit zur Geschäftstätigkeit in bestimmten Jurisdiktionen nach sich ziehen.

In der Schweiz können Unternehmen und Drittparteien-Auftragsbearbeiter Bussen von bis zu CHF 250'000 (280'000 USD) erhalten, wenn sie vorsätzlich gegen Datenschutzgesetze verstossen haben.

Geschäftsunterbrechungen

Operative Störungen durch Drittparteiprobleme können Lieferketten, Kundenservice und die allgemeine Geschäftskontinuität beeinträchtigen.

Erst kürzlich, im August 2024, konnte die Schweizer Firma Schlatter Group Teile ihres IT-Netzwerks nicht mehr nutzen, nachdem ein Ransomware-Angriff stattgefunden hatte.

Die Vorteile der Einführung von TPRM

Ein durchdachtes TPRM kann die oben genannten Risiken mindern und erhebliche Vorteile liefern wie:

Verbesserte Effizienz

Durch die Zentralisierung und Automatisierung vieler Aspekte des TPRM-Prozesses können Sie die Anbieterbewertung, das Onboarding und die Überwachung optimieren, Ressourcen freisetzen und proaktiver arbeiten.

Zudem ist die Überwachung von Drittparteien mühsam und kontinuierlich, und die Fähigkeit, einen solchen Prozess zu automatisieren, steigert Ihre Effizienz.

Verbesserte regulatorische Compliance

Bei vielen komplexen und miteinander verflochtenen Vorschriften und Gesetzen im In- und Ausland ist es leicht, dass etwas durch die Maschen fällt.

Ein robustes TPRM-Programm hilft Ihnen, aktuelle und sich entwickelnde regulatorische Anforderungen vorauszusehen, indem es sicherstellt, dass Drittparteien die notwendigen Standards erfüllen.

Als Befragte in einer Umfrage von EY gefragt wurden, inwieweit TPRM ihre Fähigkeit verbessert hat, regulatorische Anforderungen zu erfüllen, wählten 44 % «etwas», 29 % «mässig» und 8 % «hoch». Nur 2 % wählten «überhaupt nicht» — ein deutliches Signal, wie TPRM bei regulatorischer Compliance hilft.

Resilienz und Anpassungsfähigkeit an ein sich ständig veränderndes regulatorisches Umfeld

Ein proaktiver Ansatz zu TPRM befähigt Sie, potenzielle Störungen frühzeitig zu erkennen und Notfallpläne zu entwickeln, und stärkt Ihre Fähigkeit, den durch diese Risiken entstehenden Bedrohungen standzuhalten.

Notfallpläne für kritische Geschäftsprozesse stellen sicher, dass Sie wenig bis keine Störungen erleiden, selbst wenn Drittparteien betroffen sind.

Zudem entstehen regelmässig neue Gesetze und Vorschriften. Wenn Sie in mehreren Jurisdiktionen tätig sind, fügt das Nachverfolgen dieser Änderungen eine weitere komplexe Ebene zu einer bereits anspruchsvollen Herausforderung hinzu.

Third-Party Risk Management bietet die Tools und Prozesse, die nötig sind, um dieses komplexe Umfeld effektiv zu navigieren. Auf die Frage, wie sehr TPRM ihre Resilienz verbessert hat, antworteten 41 % der Befragten «mässig» oder «sehr hoch».

Fähigkeit, Geschäfte mit Unternehmen in anderen Ländern zu tätigen

Ein effektives TPRM-Programm kann die Geschäftsexpansion erleichtern, indem es Ihnen ermöglicht, selbstbewusst mit neuen Anbietern zusammenzuarbeiten, einschliesslich solcher in regulierten Märkten wie der EU.

Der Digital Operational Resilience Act (DORA) betont beispielsweise die Bedeutung von Third-Party Risk Management für Finanzinstitute, die in der EU tätig sind.

Sicherzustellen, dass Sie und Ihre Partner Vorschriften wie DORA, GDPR und NIS2 einhalten, ermöglicht Ihnen die Zusammenarbeit mit europäischen Unternehmen und liefert Rendite auf Ihre TPRM-Investitionen.

Etwa 77 % der Befragten berichteten von mindestens «etwas» Rendite auf ihre TPRM-Investitionen.

Supplier Shield stellt sicher, dass Ihre Anbieter oder Lieferanten DORA-, GDPR- und NIS2-Vorschriften einhalten.

Kosteneinsparungen

Die Implementierung eines TPRM-Frameworks und entsprechender Technologie kann die Kosten im Zusammenhang mit Drittparteivorfällen, regulatorischen Bussen und Reputationsschäden reduzieren.

Über die Vermeidung direkter finanzieller Verluste durch Bussen und Geschäftsunterbrechungen hinaus kann effektives TPRM auch operative Kosten senken, indem es Anbietermanagementprozesse optimiert und sicherstellt, dass Drittparteibeziehungen effizienter verwaltet werden.

Zudem kann der Schutz des Rufs Ihres Unternehmens durch kontinuierliches Risikomanagement helfen, die langfristigen finanziellen Folgen entgangener Geschäfte und verminderten Kundenvertrauens zu vermeiden.

Technologie für effektives TPRM nutzen

Technologie für effektives TPRM wie Supplier Shield

Technologie spielt eine zentrale Rolle bei der Ermöglichung effektiven TPRM. Fortschrittliche Plattformen und Tools wie Supplier Shield können zeitaufwändige Aufgaben automatisieren, die Datengenauigkeit verbessern und Echtzeiteinblicke in Drittparteirisiken liefern.

Zentrale Vorteile von TPRM-Technologie umfassen:

Zentralisierte Anbieterinformationen: Eine einzige Quelle der Wahrheit für Anbieterdaten und Dokumentation, die das Management von Anbietern und Drittparteien erleichtert.
Automatisierte Risikobewertungen: TPRM-Lösungen optimieren den Risikobewertungsprozess und ermöglichen eine schnelle und effiziente Bewertung von Anbietern anhand vordefinierter Kriterien und potenzieller Warnsignale.
Kontinuierliche Überwachung: Echtzeit-Monitoring-Dashboards der Anbieterleistung und externer Bedrohungen ermöglichen es Ihnen, entstehende Risiken proaktiv anzugehen.
Reporting und Analytik: Umfassende Reporting- und Analytik-Funktionen liefern wertvolle Einblicke in Ihre Drittparteirisikoexposition und -trends.

Fazit: Schutz Ihres Unternehmens durch effektives Third-Party Risk Management

Die komplexe regulatorische Landschaft der Schweiz und die zunehmende Abhängigkeit von Unternehmen von Drittparteien unterstreichen die kritische Bedeutung eines robusten TPRM für Ihr Unternehmen.

Eine gut strukturierte TPRM-Strategie und ein entsprechendes Framework, kombiniert mit fortschrittlicher Technologie, sind unverzichtbar, um die Herausforderungen zu meistern, die Drittparteibeziehungen mit sich bringen.

Mit Investitionen in einen umfassenden Ansatz und Technologie können Sie Resilienz aufbauen, die operative Effizienz steigern, Ihren Ruf eifersüchtig bewahren und den Anbieterbewertungs- und Onboarding-Prozess optimieren.

Übernehmen Sie die Kontrolle über Ihre Anbieterbeziehungen noch heute. Starten Sie Ihre Reise mit Supplier Shield und stellen Sie sicher, dass Ihr Unternehmen compliant, sicher und den Risiken voraus bleibt. Melden Sie sich jetzt für eine kostenlose Testversion an und erleben Sie vereinfachtes Third-Party Risk Management.