Bedeutung von Outsourcing Assurance im Audit-Kontext

Unternehmen lagern zunehmend IT- und Non-IT-Services aus, um Effizienzgewinne zu erzielen und auf spezialisiertes Fachwissen zuzugreifen. Dabei bleibt wichtig: Outsourcing verlagert zwar die Dienstleistung, nicht jedoch die Verantwortung für die damit verbundenen Risiken. IT-Assurance-Professionals unterstützen bei der Identifikation, Bewertung und Überwachung dieser Risiken – mit dem Ziel, Vertrauen und Compliance sicherzustellen.

 

Warum Outsourcing Assurance? – 
Regulatorische Anforderungen

Mit der steigenden Menge an Daten und Transaktionen wächst die Nutzung von Cloud-Service-Providern, Rechenzentren sowie ausgelagerten Funktionen wie Buchhaltung, HR oder IT-Betrieb. Parallel steigen Cyberangriffe und Datenpannen – was den Bedarf an wirksamen Sicherheitsmaßnahmen erhöht. Besonders in regulierten Branchen (z. B. Finanzwesen, Gesundheitswesen, IT) liegt der Fokus auf der Einhaltung relevanter Regularien wie:

  • EU-General-Data-Protection-Regulation (GDPR)
  • Payment-Services-Directive 2 (PSD2)
  • European Health Data Space (EHDS, geplante EU-Verordnung)
  • EU Cybersecurity Act

Zentrale Risiken und Lösungsansätze für IT-Auditorinnen und IT-Auditoren

Vor der Auswahl eines Service-Providers sollten Unternehmen eine Risiko-Selbsteinschätzung durchführen. Dazu gehören:

  1. Datenklassifikation: Art (z. B. personenbezogene, finanzielle, geistige Eigentumsrechte, regulierte Daten) und Sensitivität (öffentlich, intern, vertraulich, streng vertraulich)
  2. Risikobereitschaft und Business Impact: Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit sowie Recovery-Point-Objective (RPO) und Recovery-Time-Objective (RTO)
  3. Rechtliche und regulatorische Analyse: Identifikation relevanter Normen (GDPR, PSD2, EHDS, lokale Datenschutzgesetze, ggf. SOX bei US-Börsennotierung)

 

Governance-Oversight durch IT-Auditorinnen und Auditoren

Im Rahmen der Vertragsprüfung mit Dienstleistern sind insbesondere folgende Aspekte zu beachten:

  • Verständlichkeit und Vollständigkeit der Serviceverträge
  • Audit- und Zugriffsrechte
  • Datenverarbeitung und Speicherorte
  • Sicherheits- und Vertraulichkeitsmaßnahmen (z. B. Verschlüsselung, Identitäts- und Zugriffsmanagement, Mandantentrennung)
  • Exit-Strategien und Datenlöschung
  • Incident-Response-Mechanismen
  • Business Continuity und Disaster Recovery
  • Compliance & Regulatory Alignment (z. B. GDPR, PSD2, EHDS, ISO 27001, SOC 2)
  • Service-Level-Agreements (SLAs)
  • Einsatz von Sub-Service-Providern und deren Steuerung
  • Reporting, Kosten- und Governance-Strukturen

Assurance-Perspektive – Prüfungs- und Zertifizierungsansätze

Zur Absicherung greifen Auditorinnen und Auditoren auf verschiedene Standards und Berichte zurück:

SOC-Berichte:
  • SOC 1 Type 2 (Wirksamkeit interner Kontrollen über Finanzberichterstattung)
  • SOC 2 Type 2 (Trust Services Criteria – Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit, Datenschutz; besonders relevant im Cloud-Umfeld)

Complementary User Entity Controls (CUECs):
  • Prüfung, ob das auslagernde Unternehmen seine Verantwortlichkeiten erfüllt (z. B. Access Reviews, Key Management, Monitoring)

Zertifizierungen nach Risikoprofil:
  • Bei hoher Verfügbarkeit: ISO/IEC 22301, ISO/IEC 27001 (Verfügbarkeitskontrollen), EN 50600 (Rechenzentren)
  • Bei hoher Vertraulichkeit/Integrität: ISO/IEC 27001 (mit Fokus auf Confidentiality & Integrity), SOC 2

Prüfung nationaler und internationaler Standards:
  • IDW PH 9.860.1 (deutscher Prüfungshinweis zur DSGVO-Compliance)
  • CSA STAR Assurance Framework (aufbauend auf ISO 27001 mit Cloud-spezifischen Anforderungen)
  • ISO/IEC 27017 (Cloud Security) und ISO/IEC 27018 (Cloud Privacy für PII in Public Clouds)

Besonderheit: Sub-Service Providers

Viele Provider setzen selbst Unterauftragnehmer ein. Auditorinnen und Auditoren müssen prüfen, ob diese in die Assurance-Berichte einbezogen sind („inclusive approach“) oder ob ergänzende Nachweise wie Unterauftragnehmer-SOC-Reports erforderlich sind.


Fazit – Shared Responsibility Model

Outsourcing folgt einem Shared-Responsibility-Modell: Die operative Verantwortung wird geteilt, die endgültige Verantwortung bleibt jedoch beim Unternehmen.

Die Verlässlichkeit von Assurance hängt ab von Frequenz und Unabhängigkeit:

  • Eine jährliche Selbsteinschätzung bietet weniger Sicherheit
  • Drittanbieter-Berichte (Type 2, mit Wirksamkeitstests) erhöhen die Aussagekraft
  • Kontinuierliches Monitoring liefert die höchste Assurance


Serviceangebot GDPR im Bereich IT & Controls Assurance

Im Rahmen unserer IT & Controls Assurance-Services unterstützen wir Unternehmen gezielt bei der Umsetzung und Prüfung der Anforderungen aus der Datenschutz-Grundverordnung (GDPR). Unser Angebot umfasst:

Analyse und Bewertung der Wirksamkeit von Sicherheits- und Datenschutzkontrollen, z. B. im Bereich Berechtigungsmanagement, Verschlüsselung, Change-Management und Incident Response

Durchführung von Audits gemäß IDW PH 9.860.1 sowie risikobasierte Prüfungen von Datenverarbeitungsprozessen in ausgelagerten und Cloud-Umgebungen

Prüfung von Dienstleisterverträgen, Auftragsverarbeitungsvereinbarungen (AVV) sowie Audit- und Kontrollrechten im Sinne von Art. 28 DSGVO

Verknüpfung der Datenschutzkontrollen mit IT-Governance-, Risk- und Compliance-Prozessen, insbesondere im Zusammenspiel mit ISO 27001, SOC 2 und branchenspezifischen Anforderungen (z. B. BAIT/VAIT, DORA)

Erstellung unabhängiger Prüfberichte und Management-Reports, die gegenüber Kunden, Geschäftspartnern und Aufsichtsbehörden Transparenz und Sicherheit schaffen

Durch die Kombination von Prüfung, prüfungsnaher Beratung und regulatorischem Fachwissen helfen wir Unternehmen, ihre Outsourcing-Strategien datenschutzkonform zu gestalten, Risiken zu minimieren und das Vertrauen von Kundinnen und Kunden sowie Geschäftspartnern zu stärken.

Dieser Artikel wurde verfasst von

Aashitha Rajaram Pade
Aashitha Rajaram Pade
CISA (issued by ISACA)
Senior Consultant
Audit & Assurance, IT & Controls Assurance