Lieferantenmanagement und Third-Party-Risk
Strukturiertes Lieferanten- und Drittparteienmanagement: DSGVO-Auftragsverarbeitung (Art. 28), NIS2-Lieferkettensicherheit (Art. 21 Abs. 2 lit. d), DORA-Third-Party-Risk (Art. 28–30) und Lieferkettensorgfalt nach LkSG. Prüfungsfähige Dokumentation über den gesamten Lieferanten-Lebenszyklus.
Unsere Lieferantenmanagement-Leistungen
Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO
Erstellung und fachliche Prüfung von AVVs, Standardvertragsklauseln (SCC 2021), Transfer Impact Assessments (TIA) für Drittlandtransfers und EU-US Data Privacy Framework-Validierung.
Lieferantenaudit und Risikobewertung
Strukturierte Lieferantenaudits nach VDA, ISO 19011 oder individuellen Anforderungen. Risikobewertung nach Kritikalität, Eintrittswahrscheinlichkeit und Schadenspotenzial mit Re-Audit-Plan.
DORA-Third-Party-Risk für Finanzinstitute
Aufbau des Auslagerungs-Registers nach DORA Art. 28, Vertragsprüfung gegen Annex III, Exit-Strategien für kritische ICT-Dienstleister, Risikokonzentrations-Analyse und laufendes Monitoring.
Lieferkettensorgfalt nach LkSG und CSDDD
Einführung und Betrieb des Sorgfaltspflichten-Managements nach Lieferkettensorgfaltspflichtengesetz (LkSG) und EU-CSDDD — Risikoanalyse, Präventivmaßnahmen, Beschwerdeverfahren, Berichterstattung.
NIS2-Lieferkettensicherheit
Umsetzung von Art. 21 Abs. 2 lit. d NIS2: Risikobewertung kritischer ICT-Dienstleister, vertragliche Sicherheitsanforderungen, Audit-Rechte und Monitoring über den Lieferanten-Lebenszyklus.
TISAX-Lieferantenmanagement (Automotive)
Für Automobilzulieferer: TISAX-konforme Lieferanten-Prozesse, Informationssicherheits-Anforderungen in Sub-Contracting, Audit-Begleitung und Re-Assessment-Koordination.
Warum Lieferantenrisiken heute kritisch sind
Mehr als 60 % aller Cyber-Vorfälle haben einen Lieferanten-Bezug. Regulatoren (DSGVO, NIS2, DORA, LkSG) verlagern Verantwortung für Lieferketten explizit auf den Auftraggeber.
Bußgelder für Verantwortliche bei AVV-Mängeln
Art. 28 DSGVO verpflichtet den Verantwortlichen zur sorgfältigen Auswahl des Auftragsverarbeiters. Mängel führen zu Bußgeldern beim Auftraggeber — nicht nur beim Dienstleister.
Persönliche Haftung nach LkSG
Geschäftsleitung haftet nach § 12 LkSG für die Einhaltung der Sorgfaltspflichten. Das BAFA kann Bußgelder bis 8 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängen.
Cyber-Risiko über Supply-Chain-Angriffe
Supply-Chain-Angriffe (SolarWinds, Kaseya, MOVEit) haben gezeigt: ein einziger kompromittierter Dienstleister kann Dutzende Kunden-Unternehmen treffen — oft ohne deren Kenntnis.
DORA-Konsequenzen bei Third-Party-Mängeln
Finanzinstitute haften nach DORA für ihre kritischen ICT-Dienstleister. Fehlendes Auslagerungs-Register, unzureichende Exit-Strategien oder Konzentrations-Risiken führen zu aufsichtsrechtlichen Anordnungen.
Der Lieferanten-Lebenszyklus im Detail
Effektives Lieferantenmanagement ist kein einmaliges Onboarding — es ist ein Zyklus aus Auswahl, Vertrag, Monitoring und Offboarding. Wir liefern die Bausteine für jede Phase.
Auswahl und Onboarding
- Risikoklassifizierung (kritisch / wichtig / Standard) vor Ausschreibung
- Due-Diligence-Fragebogen (Informationssicherheit, Datenschutz, LkSG)
- Prüfung von Zertifikaten (ISO 27001, SOC 2, TISAX)
- Rechtsraum-Check (EU vs. Drittland, SCCs, DPF)
- Reputationsprüfung und Sanktions-Screening
- Vor-Ort-Audit bei kritischen Dienstleistern
Vertragsgestaltung
- AVV nach Art. 28 DSGVO mit anerkannten Klausel-Sets
- Standardvertragsklauseln 2021 für Drittland-Transfer
- Sicherheitsanhang mit konkreten TOMs
- Audit-Rechte und Nachweispflichten
- Subunternehmer-Regelung mit Zustimmungsvorbehalt
- Exit-Klausel mit Datenrückgabe/-löschung
Betrieb und Offboarding
- Jährliche Risiko-Neubewertung
- Incident-Notification-Kanäle
- Stichprobenartige Audit-Reviews
- Monitoring öffentlicher Informationsquellen
- Change-Management bei wesentlichen Änderungen
- Strukturierte Vertragsbeendigung mit Datenübergabe
Unser Vorgehen zum Lieferantenmanagement
Bestandsaufnahme und Risiko-Klassifizierung
Erfassung Ihrer Lieferantenlandschaft, Klassifizierung nach Kritikalität (DSGVO-Auftragsverarbeiter, NIS2-ICT-Dienstleister, DORA-kritische Dienstleister, LkSG-Lieferanten), Priorisierung nach Risiko.
Vertrags-Review und Nachverhandlung
Systematische Prüfung bestehender Verträge gegen regulatorische Anforderungen. Identifikation von Lücken, Nachverhandlung mit Lieferanten, Einsatz standardisierter Addenda für Effizienz.
Audit-Programm und Monitoring
Implementierung eines risikobasierten Audit-Programms, Festlegung von KPIs für laufendes Monitoring, Integration in ERP/Risk-Tools, Aufbau des Reporting an die Geschäftsleitung.
Laufender Betrieb und Weiterentwicklung
Betreuung als externer Sparringspartner: laufende AVV-Prüfung, Koordination von Lieferanten-Audits, Onboarding neuer Lieferanten, Anpassung an regulatorische Änderungen.
Häufig gestellte Fragen zum Lieferantenmanagement
Immer dann, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet — klassischerweise bei Cloud-Anbietern, Hosting, IT-Support, Marketing-Tools, CRM, HR-Tools, Buchhaltung. Der AVV muss die in Art. 28 Abs. 3 DSGVO aufgeführten Mindestinhalte enthalten und schriftlich (oder elektronisch) geschlossen sein. Wir bieten geprüfte Muster-AVVs und übernehmen die Vertragsprüfung neuer Lieferanten.
Bei der Auftragsverarbeitung (Art. 28) weisungsgebunden ist der Dienstleister. Bei gemeinsamer Verantwortlichkeit (Art. 26) entscheiden beide Parteien gemeinsam über Zwecke und Mittel der Verarbeitung. Die Abgrenzung ist in der Praxis oft strittig — mit erheblichen Konsequenzen für Haftung und Dokumentation. Wir klären die Einordnung im Einzelfall.
Das Lieferkettensorgfaltspflichtengesetz (LkSG) gilt seit 2024 für alle Unternehmen mit Sitz oder Zweigniederlassung in Deutschland und mindestens 1.000 Mitarbeitenden. Ab 2026 dürfte die EU-CSDDD (Corporate Sustainability Due Diligence Directive) den Anwendungsbereich auf mehr Unternehmen ausweiten — mit gestaffeltem Wirksamkeitsdatum nach Unternehmensgröße. Wir prüfen Ihre Betroffenheit und begleiten die Umsetzung.
Nach einem Pre-Audit-Fragebogen folgt ein Vor-Ort- oder Remote-Audit (typischerweise 1–3 Tage): Interview mit IT/Sicherheit/Datenschutz, Dokumentensichtung (Richtlinien, TOMs, Zertifikate), technische Stichproben (sofern vereinbart). Bericht mit Findings, Risikoeinstufung und Maßnahmenplan. Re-Audit nach 12–24 Monaten je nach Risikoprofil.
Jeder Sub-Dienstleister erfordert nach Art. 28 DSGVO eine vorherige Genehmigung und einen gleichwertigen AVV. Für kritische ICT-Dienstleister unter DORA (Art. 28 DORA) müssen Sub-Sub-Ketten bis zum Tier 4 oder tiefer transparent sein. Wir helfen beim Aufbau transparenter Sub-Dienstleister-Ketten und bei der Nachforderung der Zusatzverträge.
Erstprojekt (Inventarisierung, Risikoklassifizierung, AVV-Revision, Lieferanten-Onboarding-Prozess): 25.000–80.000 € je nach Lieferantenzahl. Laufende Betreuung: 1.500–8.000 €/Monat. Lieferantenaudits einzeln: 4.000–12.000 € je Audit. Wir liefern nach Scoping ein Festpreis-Angebot.
Vollständige DORA-Auslagerungs-Compliance: Aufbau des ICT-Auslagerungs-Registers (Art. 28 Abs. 3), Klassifizierung kritischer Dienstleister, Prüfung bestehender Verträge gegen DORA Annex III, Entwicklung von Exit-Strategien, Konzentrations-Analyse, Begleitung der BaFin-Meldung. Für Institute mit TPP-Kritikalitäts-Designation zusätzlich enge Koordination mit dem EU-AI-Büro / ESAs.
Ja. Unser Template-Set umfasst: AVV-Muster (deutsch und englisch), SCC-2021-Pakete (Module 2 und 3), Sicherheitsanhänge für verschiedene Risikostufen, Due-Diligence-Fragebögen (Infosec + Datenschutz + LkSG), Audit-Checklisten und Exit-Klauseln. Templates können Sie als Mandant auch nach Projektende weiter nutzen.
Für US-Dienstleister arbeiten wir dreistufig: (1) Prüfung DPF-Zertifizierung (bei teilnehmenden Unternehmen genügt das EU-US Data Privacy Framework nach Adequacy Decision), (2) SCC 2021 als zusätzliche Absicherung, (3) Transfer Impact Assessment mit technischen und organisatorischen Zusatzmaßnahmen (z. B. Verschlüsselung vor Übertragung, Datenminimierung). Vollständige Dokumentation nach EDSA-Empfehlung 01/2020.
Ja — wir ersetzen nicht Ihren Einkauf oder Ihre Rechtsabteilung, sondern liefern Spezialexpertise, die oft nicht inhouse verfügbar ist (Datenschutz, Cyber, regulatorik). Typische Arbeitsteilung: Einkauf verhandelt kommerziell, Rechtsabteilung steuert Verträge, wir bringen den regulatorischen Anhang ein und prüfen Compliance-Nachweise.
Branchen mit hohem Third-Party-Risiko
Bereit für strukturiertes Lieferantenmanagement?
Kostenloses Erstgespräch — 30 Minuten. Wir prüfen Ihre aktuelle Lieferantenlandschaft, identifizieren dringenden Handlungsbedarf und schlagen einen pragmatischen Umsetzungsplan vor.