Auftragsverarbeitungsverträge mit Pflichtinhalten.
Der Verantwortliche beauftragt nur Auftragsverarbeiter mit hinreichenden Garantien. Der AVV regelt Gegenstand, Dauer, Art, Zweck, Datenarten und Weisungen.
PRAXIS · LIEFERANTENMANAGEMENT
Lieferanten- und Drittparteienrisiko.
Due Diligence, Vertragsklauseln, laufendes Monitoring und Ausstiegsstrategien für Lieferanten, die Ihre Daten, IKT oder Ihr Operating Model berühren. DSGVO Art. 28, NIS-2-Lieferketten-Sicherheit, DORA Art. 28 bis 30, LkSG.
VENDOR.DESK · LETZTE 12 MONATE● LIVE
Lieferanten bewertet1.184
AVVs geprüft627
Kritische IKT-Drittparteien143
Ausstiegsstrategien entworfen38
Konzentrationsrisiko-Flags21
Lieferantenaudits durchgeführt29
VERTRAUEN VON 300+ EU-ORGANISATIONEN
ROCHESIEMENSIKEAASTRAZENECAVODAFONEPHILIPSJUST EAT
KOSTENLOSE 30-MIN-BERATUNG
Gespräch mit einem Senior-Berater.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
ANTWORT IN 1 WERKTAG·NDA AUF WUNSCH·KEINE VERPFLICHTUNG
01 / GRUNDLAGEN
Lieferantenpflichten.
IKT-Drittparteienregister und Kritikalität.
Finanzeinrichtungen registrieren jede IKT-Drittparteienvereinbarung, kennzeichnen die kritischen Funktionen und bewerten das Konzentrationsrisiko.
Lieferketten-Sicherheit in den Risikomaßnahmen.
Wesentliche und wichtige Einrichtungen adressieren Lieferantenrisiken, die Sicherheit der Lieferantenbeziehungen und den Schutz geteilter Informationen.
DSGVO-BUSSGELDER
Bis zu 4% des Umsatzes
Unzureichende Auftragsverarbeiter-Regelungen fallen in den oberen Bußgeldrahmen aus Art. 83 DSGVO.
DORA-SANKTIONEN
Bis zu 1% des Tagesumsatzes
Zwangsgelder bei Mängeln im IKT-Drittparteienregister und beim Konzentrationsrisiko nach den Durchführungsakten.
02 / WO ES WEHTUT
Kernregelwerke.
REGIME · WAS ES FORDERT
DSGVO ART. 28AuftragsverarbeitungsvertragPflichtklauseln für jeden Auftragsverarbeiter und Unterauftragnehmer. Freigabe, Auditrechte, Übermittlungsmechanismus.
DSGVO ART. 32Sicherheit der VerarbeitungAngemessene technische und organisatorische Maßnahmen, Nachweise des Lieferanten, dokumentiert in der Akte.
DORA ART. 28IKT-DrittparteienregisterKennung, unterstützte Funktion, Kritikalität, Standort, Subvergabe, Ausstiegsstrategie. Meldung an die Aufsicht.
NIS-2 ART. 21LieferkettenmaßnahmenRisikomaßnahmen für die Sicherheit der Lieferkette und der Lieferantenbeziehungen.
REGIME · WAS ES FORDERT
DORA ART. 30VertragsinhaltePflichtinhalte für IKT-Verträge zu kritischen Funktionen, inklusive Audit, Subvergabe und Ausstiegsklauseln.
LKSGLieferkettensorgfaltRisikoanalyse, Präventivmaßnahmen, Abhilfemaßnahmen und Bericht für deutsche Unternehmen über der Schwelle.
CSDDDEU-SorgfaltspflichtenEU-weite Sorgfaltspflichten entlang der Wertschöpfungskette, gestaffelte Anwendung ab 2027.
SCC 2021Internationale ÜbermittlungenStandardvertragsklauseln für Drittlandübermittlungen plus Transferfolgenabschätzung nach Schrems II.
03 / EINSATZMODELLE
Einsatzmodelle.
MODELL ARETAINER
Lieferantenrisiko-Retainer
Laufende Programmunterstützung: Registerpflege, Eingangsreviews, Monitoring, Vorstandsreporting.
- →Register und Tiering aktuell
- →Eingangsreviews für neue Lieferanten
- →Quartals-Monitoring-Zyklus
- →Berichte an Vorstand und Risikoausschuss
MODELL BAUFBAU
Programmaufbau
Festumfang für ein neues Programm: Register, Tiering, AVV, Vertragstemplates, Monitoring-Playbook.
- →Register und Tiering
- →DORA-Art.-28-Register, wo zutreffend
- →AVV- und IKT-Vertragspaket
- →Monitoring-Playbook und KPIs
MODELL CAUDIT
Lieferantenaudit
Unabhängiges Audit eines bestimmten Lieferanten oder Portfolios gegen Vertrag, Regulierung und Sicherheitsbasis.
- →Pre-Contract Due Diligence
- →Post-Contract Audit
- →Konzentrationsrisiko-Review
- →Test der Ausstiegsstrategie
04 / UMFANG
Leistungsumfang.
01 / 04
Eingang & Due Diligence
- Risiko-Fragebogen und Scoring
- Sicherheits- und Datenschutz-Due-Diligence
- Mapping von Unterauftragnehmern
- Transferfolgenabschätzung für Nicht-EU-Lieferanten
02 / 04
Verträge
- AVV nach DSGVO Art. 28
- IKT-Vertragsklauseln nach DORA Art. 30
- Standardvertragsklauseln (2021)
- Audit-, Subvergabe- und Ausstiegsklauseln
03 / 04
Monitoring
- Quartals-Monitoring und KPI-Tracker
- Jährliche Rezertifizierung und SOC-2/ISO-27001-Review
- Vorfallbearbeitung beim Lieferanten
- Sanktions- und UBO-Screening
04 / 04
Kritisch & Ausstieg
- DORA-Kritikalitätsbewertung
- Konzentrationsrisiko-Review
- Ausstiegsstrategie und Test
- Aufsichtsreporting, wo erforderlich
05 / IN DER PRAXISReview buchen30 MIN
So führen wir das Programm.
Lieferantenrisiko funktioniert, wenn Eingang, Register und Monitoring ein zusammenhängender Prozess sind. Wir definieren Ownership, gestalten den Workflow, schreiben das Vertragspaket und führen den monatlichen Status. Das Register passt zu dem, was die Aufsicht fragt, und das Vertragspaket passt zu dem, was die Rechtsabteilung unterschreiben kann.
Median Eingangsreview
5 Tage
DORA-Register beim ersten Review
94%
AVV-Bibliotheksabdeckung
98%
Geschlossene Konzentrationsflags
100%
UNTERNEHMEN · REGISTER-STATUSQ2 2026
Aktive Lieferanten412
Kritische IKT (DORA)18
Rezertifizierungen rechtzeitig100%
Offene SCC-Reviews3
Konzentrationsflags0
Vision Compliance · Lieferantenmanagement
06 / AUSGEWÄHLTE ARBEIT
Alle Fallstudien →Aktuelle Mandate.
VR-19VERSICHERUNG
DORA-Register beim ersten Aufsichtsreview akzeptiert.
412
LIEFERANTEN
18
KRITISCH
Bestanden
REVIEW
UMFANGRegisteraufbau, Kritikalität, Ausstiegsstrategien, Vertragspaket
VR-14SAAS
Mapping von Auftragsverarbeitern und Unterauftragnehmern für 1.100 Lieferanten.
1.100
LIEFERANTEN
740
AVV
47
TIA
UMFANGAVV-Bibliothek, Unterauftragnehmer-Inventar, Transferfolgenabschätzung
VR-11HANDEL
LkSG-Programm über die europäische Lieferbasis ausgerollt.
T1 + T2
EBENEN
286
BEWERTET
62
MASSNAHMEN
UMFANGRisikoanalyse, Lieferantenkodex, Maßnahmen-Tracker
07 / LAGE
Lieferantenrisiko-Lage.
62%
der EU-Vorfälle haben eine dritte Partei im Spiel
143
IKT-Drittparteien im DORA-Register einer mittelgroßen Bank
€4,6M
Durchschnittskosten eines durch Dritte verursachten Vorfalls
T+15
Tage für eine DORA-Registermeldung bei wesentlicher Änderung
TREND 01
DORA-Konzentrationsrisiko im Fokus
Aufsichten weisen auf Konzentration bei wenigen Hyperscalern und Kernanbietern hin. Ausstiegsstrategien und Substituierbarkeit rücken in den Review.
TREND 02
Lieferketten-Sicherheit in NIS-2
Wesentliche und wichtige Einrichtungen adressieren Lieferantenrisiko in den Risikomaßnahmen. Audits enthalten jetzt Lieferantenevidenz.
TREND 03
Nachhaltigkeit folgt
LkSG in Deutschland in Kraft, CSDDD ab 2027 EU-weit gestaffelt.
08 / HÄUFIGE FRAGEN
Häufige Fragen.
01Brauchen wir ein DORA-Drittparteienregister, wenn wir keine Bank sind?+
Ja, wenn Sie eine Finanzeinrichtung im DORA-Geltungsbereich sind. Dazu zählen Banken, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Kapitalverwaltungsgesellschaften, Versicherer und CASPs. Das Register umfasst jede IKT-Drittparteienvereinbarung, nicht nur kritische.
02Können Sie die Lieferantenrisiko-Funktion als Service führen?+
Ja, in der zweiten Linie. Wir steuern Eingang, Registerpflege, Monitoring und Vorstandsreporting unter monatlichem Retainer. Die First-Line-Verantwortung bleibt beim Business-Owner des Lieferanten.
03Wie gehen Sie mit internationalen Übermittlungen und Schrems II um?+
Wir bauen die TIA-Bibliothek, wenden die SCC 2021 an, ergänzen unterstützende Maßnahmen und führen Nicht-EU-Lieferanten im Register. Rezertifizierung jährlich oder früher, sobald sich die Lage des Ziellandes ändert.
04Und LkSG und CSDDD?+
Wir bauen Risikoanalyse-Methodik, Lieferantenkodex, Präventiv- und Abhilfemaßnahmen sowie den Jahresbericht. CSDDD-Readiness läuft im selben Strang, wo die Einrichtung im Geltungsbereich liegt.
05Können Sie einen kritischen Lieferanten vor einer Prüfung auditieren?+
Ja. Ein Ziel-Audit eines kritischen Anbieters dauert 4 bis 6 Wochen. Ergebnis: Bericht, Befundliste, Maßnahmen-Tracker, vorstandsfähige Zusammenfassung.
06Was, wenn ein Lieferant unseren AVV nicht unterschreibt?+
Wir verhandeln. Der häufigste Grund sind überzogene Pflichten, die der Lieferant operativ nicht erfüllen kann. Wir gleichen den AVV mit dem realistischen Operating Model ab und dokumentieren das Restrisiko im Register.
09 / RESSOURCEN
Vorlagen und Leitfäden.
VORLAGE12 SEITEN
DORA-Drittparteienregister-Starter
Spalten, Kritikalitätsrubrik, Felder der Ausstiegsstrategie und Mapping auf das Aufsichtsreporting.
Öffnen ↓PDF / VORLAGE
LEITFADEN22 SEITEN
AVV-Bibliothek nach DSGVO Art. 28
Templates für Verantwortliche, Auftragsverarbeiter und Unterauftragnehmer mit Anlagen-Starter und SCC-Brücke.
Öffnen ↓PDF / VORLAGE
CHECKLISTE9 SEITEN
Lieferanten-Eingangs-Fragebogen
70-Fragen-Formular, Scoring-Rubrik und Notizen für Sicherheit und Datenschutz.
Öffnen ↓PDF / VORLAGE
10 / VERWANDT
Verwandte Praxen.
Datenschutz (DSB)
DSGVO-Programm, DSFA-Bibliothek und Kontakt zur Aufsicht.
Praxis öffnen →Cybersecurity & DORA
IKT-Risikorahmen, ISMS und Aufsichtsbereitschaft für Finanzeinrichtungen.
Praxis öffnen →Finanz-Compliance
Compliance-Officer-Support, Aufsichtsmeldungen und SREP-Vorbereitung.
Praxis öffnen →11 / GET STARTED
Mit einem Senior-Berater sprechen.
Senden Sie das Briefing. Wir antworten mit einer Agenda für das erste Gespräch.