Das vollständige Framework für einen DSGVO-Fragebogen zur Lieferanten-Risikobewertung für Organisationen mit mehreren Einheiten
Die meisten Lieferantenbewertungen sind inkonsistent, unvollständig und über Tochtergesellschaften hinweg unmöglich nachzuverfolgen. So bauen Datenschutzteams in Organisationen mit 5–50+ Einheiten einen Prozess zur Lieferanten-Risikobewertung auf, der einer aufsichtsrechtlichen Prüfung tatsächlich standhält.
Die DSGVO-Artikel 28 und 32 verlangen von Verantwortlichen, die Datenschutzpraktiken jedes von ihnen eingesetzten Auftragsverarbeiters zu bewerten und zu dokumentieren , und diese Pflicht erstreckt sich auf jede Einheit Ihrer Gruppenstruktur. Die meisten Teams beginnen mit einer Tabelle oder einem Word-Dokument, doch dieser Ansatz scheitert schnell, wenn Sie Hunderte von Lieferanten über mehrere Rechtsräume hinweg verwalten. Diese Seite führt Sie genau durch das, was ein robuster Fragebogen enthalten sollte, durch die häufigsten Fehler, die Organisationen machen, und wie führende Datenschutzteams den gesamten Prozess automatisieren.
Was Ihr DSGVO-Fragebogen zur Lieferanten-Risikobewertung enthalten sollte
Neun wesentliche Kategorien, die eine belastbare Lieferantenbewertung von einer reinen Abhakübung unterscheiden. Jede ist direkt den DSGVO-Artikeln 28, 32 und 44–49 zugeordnet.
Kategorie 1
Identität des Lieferanten und Überblick über die Verarbeitung
Legen Sie die Grundlagen fest: Unternehmensangaben, Verarbeitungsrolle (Auftragsverarbeiter, Unterauftragsverarbeiter oder Verantwortlicher), Kategorien der verarbeiteten personenbezogenen Daten, betroffene Personen und eine klare Beschreibung jeder Verarbeitungstätigkeit. Ohne dieses Fundament steht jede weitere Frage auf Sand.
Ergebnis: Vollständiges Verarbeitungsinventar pro Lieferant
Zugeordnet zu DSGVO Artikel 28(3) , erforderlicher AVV-Inhalt
Kategorie 2
Rechtsgrundlage und Auftragsverarbeitungsvertrag
Stellen Sie sicher, dass ein AVV, der die Anforderungen von Artikel 28 erfüllt, unterzeichnet und aktuell ist. Bestätigen Sie die Rechtsgrundlage für die Verarbeitung, identifizieren Sie etwaige gemeinsame Verantwortlichkeiten und stellen Sie sicher, dass der AVV alle Verarbeitungstätigkeiten abdeckt , nicht nur jene, die bei Vertragsabschluss dokumentiert wurden.
Ergebnis: Rechtlich belastbare Auftragsverarbeiter-Beziehungen
Zugeordnet zu DSGVO Artikel 26 und 28 , Pflichten von Verantwortlichem und Auftragsverarbeiter
Kategorie 3
Internationale Datenübermittlungen
Nach Schrems II sind hier die meisten Bewertungen am schwächsten. Dokumentieren Sie, wo Daten gespeichert und verarbeitet werden, welche Übermittlungsmechanismen vorhanden sind (SCCs, Angemessenheitsbeschlüsse, BCRs) und ob für jede Übermittlung in ein Drittland eine Transfer-Folgenabschätzung durchgeführt wurde.
Ergebnis: Audit-fertige Dokumentation der Übermittlungen
Zugeordnet zu DSGVO Artikel 44–49 , Garantien für grenzüberschreitende Übermittlungen
Kategorie 4
Technische und organisatorische Massnahmen
Bewerten Sie Verschlüsselungsstandards (im Ruhezustand und bei der Übertragung), Zugriffskontrollen, Pseudonymisierungspraktiken, die Häufigkeit von Penetrationstests, die Fähigkeiten zur Reaktion auf Vorfälle sowie Zertifizierungen wie ISO 27001 oder SOC 2. Hier prüfen Sie, ob das Sicherheitsniveau des Lieferanten der Sensibilität der von ihm verarbeiteten Daten entspricht.
Ergebnis: Risikoangepasste Sicherheitsbewertung
Zugeordnet zu DSGVO Artikel 32 , Sicherheit der Verarbeitung
Kategorie 5
Verwaltung von Unterauftragsverarbeitern
Die Lieferanten Ihrer Lieferanten sind Ihr Problem. Bewerten Sie, ob der Lieferant Unterauftragsverarbeiter einsetzt, wie er diese prüft, ob vor der Beauftragung neuer Unterauftragsverarbeiter eine vorherige Genehmigung erforderlich ist und wie Änderungen kommuniziert werden. Ein Lieferant mit nicht offengelegten Unterauftragsverarbeitern ist eine Compliance-Lücke, die nur darauf wartet, entdeckt zu werden.
Ergebnis: Vollständige Transparenz über die Unterauftragsverarbeiter-Kette
Zugeordnet zu DSGVO Artikel 28(2) und 28(4) , Pflichten zu Unterauftragsverarbeitern
Kategorie 6
Unterstützung der Rechte betroffener Personen
Wenn eine betroffene Person einen Antrag auf Auskunft, Löschung oder Datenübertragbarkeit stellt, muss Ihr Lieferant innerhalb Ihrer geforderten Frist reagieren können , nicht innerhalb seiner eigenen. Bewerten Sie seine technische Fähigkeit, personenbezogene Daten zu lokalisieren, zu exportieren und zu löschen, und bestätigen Sie vertragliche Zusagen zur Unterstützung Ihrer Pflichten gemäss den Artikeln 15–22.
Ergebnis: Garantierte Fähigkeit zur Beantwortung von Betroffenenanfragen
Zugeordnet zu DSGVO Artikel 15–22 und 28(3)(e) , Rechte betroffener Personen
Kategorie 7
Prozess zur Meldung von Datenschutzverletzungen
Artikel 33 gibt Ihnen 72 Stunden Zeit, um Ihrer Aufsichtsbehörde eine Verletzung zu melden , und diese Frist beginnt, sobald Sie Kenntnis erlangen. Bewerten Sie die Fähigkeiten Ihres Lieferanten zur Erkennung von Verletzungen, die zugesagte Meldefrist an Sie, die Eskalationsverfahren und ob er eine dokumentierte Historie früherer Vorfälle vorweisen kann.
Ergebnis: Durchsetzbare SLAs zur Meldung von Datenschutzverletzungen
Zugeordnet zu DSGVO Artikel 33 und 34 , Meldepflichten bei Verletzungen
Kategorie 8
Aufbewahrung und Löschung von Daten
Bestätigen Sie die Aufbewahrungsrichtlinien des Lieferanten, die Löschverfahren bei Vertragsbeendigung und ob er eine schriftliche Löschbestätigung bereitstellt. Das häufigste Audit-Finding bei Lieferantenbewertungen: kein Nachweis, dass die Daten bei Beendigung der Beziehung tatsächlich gelöscht wurden.
Ergebnis: Dokumentierte Löschung mit Nachweis
Zugeordnet zu DSGVO Artikel 28(3)(g) , Löschpflichten
Kategorie 9
Auditrechte und Nachweise
Klären Sie, ob der Lieferant Audits zulässt (vor Ort oder remote), welche Nachweise er proaktiv bereitstellt . SOC-2-Berichte, ISO-27001-Zertifikate, Zusammenfassungen von Penetrationstests , und ob Auditbestimmungen vertraglich garantiert und nicht nur mündlich zugesagt sind.
Ergebnis: Kontinuierliche Sicherheit statt blindem Vertrauen
Zugeordnet zu DSGVO Artikel 28(3)(h) , Audit- und Inspektionsrechte
So bewerten und stufen Sie Ihre Lieferanten-Risikobewertungen ein
Nicht jeder Lieferant verdient dieselbe Prüfungstiefe. Ein risikoabgestufter Ansatz erlaubt es Ihnen, die Bewertungstiefe proportional zu verteilen , 80 % Ihres Aufwands für die 20 % der Lieferanten, die das grösste Risiko darstellen. Hier ist ein Framework, das über Organisationen mit mehreren Einheiten hinweg funktioniert.
Hohes Risiko . Score 75–100
75–100
Vollständige Bewertung erforderlich
Lieferanten, die besondere Kategorien personenbezogener Daten, personenbezogene Daten in grossem Umfang oder Daten mit grenzüberschreitenden Übermittlungen in Länder ohne angemessenes Schutzniveau verarbeiten. Diese erfordern alle neun Fragebogen-Kategorien, eine jährliche Neubewertung und vertragliche Auditrechte.
- Lohnabrechnungsdienstleister über mehrere Rechtsräume
- Cloud-Infrastruktur, die personenbezogene Daten hostet
- Auftragsverarbeiter von Gesundheitsdaten
- HR-Plattformen mit sensiblen Mitarbeiterdaten
Mittleres Risiko . Score 40–74
40–74
Standardbewertung
Lieferanten, die personenbezogene Daten in begrenztem Umfang verarbeiten , Kontaktdaten, geschäftliche E-Mail-Adressen oder pseudonymisierte Analysedaten. Bewerten Sie die Kernkategorien (1–5, 7, 8) mit zweijährlichen Neubewertungszyklen.
- CRM-Plattformen mit Kundenkontaktdaten
- Anbieter von E-Mail-Marketing
- Projektmanagement-Tools mit Benutzerkonten
- Ticketsysteme für den Kundensupport
Niedriges Risiko . Score 0–39
0–39
Schlanke Bewertung
Lieferanten mit minimalem oder keinem Zugriff auf personenbezogene Daten , ausschliesslich anonymisierte Daten, keine direkte Interaktion mit betroffenen Personen oder rein interne Tools ohne Verarbeitung personenbezogener Daten. Die Kategorien 1–2 plus eine AVV-Prüfung können ausreichen.
- Lieferanten von Büromaterial ohne Datenzugriff
- Analyse-Tools, die vollständig anonymisierte Daten verarbeiten
- Infrastruktur-Monitoring ohne personenbezogene Daten
- Design- oder Entwicklungstools ohne Nutzerdaten
200+
Eingesparte Stunden bei der Compliance-Vorbereitung
Medtec sparte über 200 Stunden bei der Vorbereitung auf ISO 27001, indem das manuelle Zusammentragen von Nachweisen durch automatisierte Compliance-Workflows ersetzt wurde , im ersten Jahr mit Priverion.
100%
Abdeckung der Lieferanten-Risikobewertung
Zurzach Care ging von einer teilweisen Lieferantenaufsicht zu einer 100%-igen Abdeckung der Lieferanten-Risikobewertung über alle Einheiten hinweg über, nachdem die automatisierten Bewertungs-Workflows von Priverion eingeführt wurden.
60%
Reduktion der Compliance-Verwaltungszeit
Ein Flugzeughersteller reduzierte die Compliance-Verwaltungszeit in den ersten 6 Monaten um 60 % , einschliesslich vollständigem Onboarding, Migration und automatisierter Rezertifizierung des Verarbeitungsverzeichnisses über Tochtergesellschaften hinweg.
Sechs Fehler, die Lieferanten-Risikobewertungen unhaltbar machen
Aufsichtsbehörden prüfen nicht nur, ob Sie eine Bewertung durchgeführt haben , sie prüfen, ob sie aussagekräftig war. Dies sind die Muster, die einen vernünftigen Compliance-Aufwand in ein Durchsetzungsziel verwandeln.
Fehler 1
Einheitsfragebögen für alle
Denselben 80-Fragen-Bogen an einen Cloud-Infrastrukturanbieter und an ein Catering-Unternehmen zu schicken. Ohne Risikoabstufung ertrinken Lieferanten entweder in irrelevanten Fragen oder erhalten Bewertungen, die zu oberflächlich sind, um nützlich zu sein. Das Ergebnis: Lieferantenfrust und durchweg niedrige Rücklaufquoten.
Fehler 2
Einmal bewerten, für immer vergessen
Eine Lieferantenbewertung beim Onboarding durchzuführen und nie wieder neu zu bewerten. Lieferanten wechseln Unterauftragsverarbeiter, Hosting-Standorte und Sicherheitspraktiken. Eine Bewertung aus 2021 sagt Ihnen nichts über das Risikoprofil eines Lieferanten im Jahr 2024. Lieferanten mit hohem Risiko benötigen mindestens eine jährliche Neubewertung.
Fehler 3
Unterauftragsverarbeiter-Ketten ignorieren
Ihr Lieferant sagt, er sei DSGVO-konform, doch sein Unterauftragsverarbeiter leitet Daten über ein US-basiertes CDN ohne SCCs. Artikel 28(2) verlangt eine spezifische oder allgemeine vorherige Genehmigung für Unterauftragsverarbeiter , und Sie sind für die gesamte Verarbeitungskette verantwortlich, nicht nur für Ihre direkte Beziehung.
Fehler 4
Keine zentrale Nachverfolgung über Einheiten hinweg
Tochtergesellschaft A hat einen Lieferanten im März bewertet. Tochtergesellschaft B beauftragt denselben Lieferanten im Juni und beginnt bei null , oder schlimmer, bewertet ihn gar nicht. Ohne ein gruppenweites Lieferantenregister verdoppeln Sie den Aufwand und schaffen inkonsistente Risikoprofile für dieselben Auftragsverarbeiter.
Fehler 5
Antworten erfassen, ohne Risiken zu bewerten
Ein ausgefüllter Fragebogen ist keine Risikobewertung. Wenn Sie die Antworten der Lieferanten nicht in einen Risikoscore umwandeln , und diesen Score nicht mit Ihrer Risikobereitschaft abgleichen , dann legen Sie nur Papier ab. Prüfer wollen sehen, dass Sie das Risiko bewertet und auf Basis der Erkenntnisse dokumentierte Entscheidungen getroffen haben.
Fehler 6
Kein Nachweis für die Behebung von Mängeln
Sie haben festgestellt, dass ein Lieferant in seiner Bewertungsantwort keine Verschlüsselung im Ruhezustand vorweist. Und dann... nichts. Aufsichtsbehörden achten gezielt auf dokumentierte Massnahmen zur Behebung , Entscheidungen zur Risikoakzeptanz, vertragliche Verbesserungsanforderungen oder das Offboarding von Lieferanten, deren Risiken nicht akzeptabel sind.
So automatisieren führende Datenschutzteams Lieferanten-Risikobewertungen
Tabellenbasierte Lieferantenbewertungen funktionieren, bis Sie 20 Lieferanten, 3 Einheiten oder Ihr erstes Audit erreichen. Hier ist, was sich ändert, wenn Sie zu einem speziell entwickelten Workflow für das Lieferanten-Risikomanagement wechseln.
Zentrales Lieferantenregister über alle Einheiten hinweg
Jede Lieferantenbeziehung , über jede Tochtergesellschaft und jeden Rechtsraum hinweg , sichtbar in einem einzigen Register. Wenn Tochtergesellschaft A einen Lieferanten bewertet, übernimmt Tochtergesellschaft B diese Bewertung und kann sie für ihre spezifischen Verarbeitungstätigkeiten erweitern oder anpassen. Keine Duplizierung, keine Lücken.
Risikoabgestufte Verteilung von Fragebögen
Weisen Sie die Tiefe des Fragebogens automatisch auf Basis der Risikostufe des Lieferanten zu. Lieferanten mit hohem Risiko erhalten die vollständige Bewertung über neun Kategorien. Lieferanten mit niedrigem Risiko erhalten eine schlanke Überprüfung. Lieferanten füllen Bewertungen direkt in der Plattform aus , Schluss mit E-Mail-Ketten und verlorenen Anhängen.
KI-gestützte Risikobewertung und Kennzeichnung
Die KI prüft die Antworten der Lieferanten und kennzeichnet potenzielle Probleme , fehlende Verschlüsselungsangaben, nicht offengelegte Unterauftragsverarbeiter, Lücken bei den Übermittlungsmechanismen , zur Prüfung durch den Menschen. Die KI unterstützt Ihre Bewertung; Ihr Datenschutzteam trifft die endgültige Entscheidung. Es werden keine Kundendaten für das Modelltraining verwendet.
Automatisierte Neubewertungszyklen
Legen Sie die Häufigkeit von Neubewertungen nach Risikostufe fest , jährlich bei hohem Risiko, zweijährlich bei mittlerem , und das System übernimmt Erinnerungen, Verteilung und Eskalation automatisch. AXA erreichte mit demselben automatisierten Rezertifizierungsansatz für seine Lieferantenbewertungen eine 100%-ige Rezertifizierungsquote des Verarbeitungsverzeichnisses.
AXA , 100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert
Audit-fertige Nachweispakete
Erstellen Sie in Minuten eine vollständige Dokumentation der Lieferantenbewertung für Aufsichtsbehörden , Bewertungshistorie, Risikoscores, Behebungsmassnahmen, AVV-Status und Transfer-Folgenabschätzungen. Medtec sparte mit genau dieser Funktion über 200 Stunden bei der Vorbereitung auf ISO 27001.
Medtec , über 200 eingesparte Stunden im ersten Jahr
Vorstandsreife Compliance-Dashboards
Echtzeit-Transparenz über das Lieferanten-Risikoprofil über alle Einheiten hinweg , wie viele Lieferanten bewertet wurden, die aktuelle Risikoverteilung, überfällige Neubewertungen und offene Behebungspunkte. CISOs und Leiter Recht erhalten den Überblick, den sie benötigen, ohne manuelle Berichte von jedem Datenschutzbeauftragten einer Tochtergesellschaft anfordern zu müssen.
Enterprise-Qualität ohne Enterprise-Komplexität
Mittelständische Unternehmen brauchen keine Plattform, die für Fortune-50-Compliance-Teams mit Fortune-50-Budgets entwickelt wurde. Sie brauchen eine, die wirklich zu ihrer Arbeitsweise passt.
Die typische Enterprise-Plattform
Preise pro Nutzer und pro Modul
Die Kosten steigen unvorhersehbar, wenn Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. Budgetgespräche werden zu Verhandlungen.
In den USA gehostete Infrastruktur
Nach Schrems II schafft US-Hosting eine fortlaufende rechtliche Exposition für europäische Datenübermittlungen. Zusätzliche SCCs und TIAs sind allein schon für Ihr Compliance-Tool selbst erforderlich.
12-monatige Implementierung
Dedizierte Integrationsteams, kostenpflichtige Beratungseinsätze und Monate, bevor auch nur Ihr erstes Verarbeitungsverzeichnis migriert ist.
Funktionsüberladung
ESG, Ethik-Hotlines, Cookie-Einwilligung und Dutzende Module, die Sie nie anrühren werden , für die Sie aber trotzdem bezahlen.
200 oberflächliche Integrationen
Beeindruckend auf einer Vergleichsfolie. In der Praxis brechen die meisten bei Updates ab und verursachen Wartungsaufwand, den Ihr Team auffangen muss.
Priverion
Vorhersehbare All-inclusive-Preise
Basierend auf der Anzahl der Einheiten und der Organisationsgrösse , nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder hinzu, ohne Ihr Budget neu berechnen zu müssen.
In der Schweiz entwickelt, in der Schweiz gehostet
Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. Europäische Datenhaltung ist kein Häkchen . sie ist unsere Architektur. Ihr Compliance-Tool sollte niemals ein Compliance-Risiko sein.
In Wochen einsatzbereit, nicht in Monaten
Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion der Compliance-Verwaltungszeit um 60 % , einschliesslich vollständigem Onboarding und Migration.
Flugzeughersteller, erste 6 Monate nach dem Einsatz
Speziell für den Datenschutz entwickelt
Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallmanagement, Bearbeitung von Betroffenenanfragen und Bereitschaft für das KI-Gesetz , alles, was ein Datenschutzprogramm benötigt. Nichts, was es nicht braucht. Wir decken kein ESG oder keine Cookie-Einwilligung ab, und das ist Absicht.
Tiefe Integrationen dort, wo es zählt
HR, Beschaffung, IT-Asset-Management , die Systeme, die Datenschutz-Workflows tatsächlich antreiben. Weniger Konnektoren, null Wartungssorgen.
Vorlage für den DSGVO-Fragebogen zur Lieferanten-Risikobewertung herunterladen
Ein gebrauchsfertiger Fragebogen, der alle neun Kategorien abdeckt , formatiert für den sofortigen Einsatz über Ihr gesamtes Lieferantenportfolio hinweg. Aufgebaut aus den Frameworks, die von Organisationen mit mehreren Einheiten verwendet werden, die Compliance über Dutzende von Tochtergesellschaften hinweg verwalten.
Wir senden Ihnen die Vorlage in Ihren Posteingang. Kein Spam, keine Sequenzen , nur die Vorlage und eine Nachfrage, ob sie nützlich war.
- Alle neun Bewertungskategorien mit konkreten Fragen
- Bewertungsraster für Risiken mit abgestufter Bewertungsanleitung
- DSGVO-Artikelzuordnung für jede Fragenkategorie
- Checkliste zur Bewertung der Unterauftragsverarbeiter-Kette
- Vorlage für den Neubewertungsplan nach Risikostufe
Schluss mit der Verwaltung von Lieferantenrisiken in Tabellen
Sehen Sie, wie gruppenweites Lieferanten-Risikomanagement aussieht, wenn es tatsächlich funktioniert
In 30 Minuten zeigen wir Ihnen, wie Organisationen wie Zurzach Care eine 100%-ige Abdeckung der Lieferanten-Risikobewertung über jede Einheit hinweg erreicht haben , und wie ein Flugzeughersteller die Compliance-Verwaltungszeit in den ersten sechs Monaten um 60 % senkte. Keine Folien. Kein Verkaufsgespräch. Nur die Plattform, Ihre Fragen und ein ehrliches Gespräch darüber, ob sie passt.
Wochen, nicht Monate
Zeit bis zum Go-live
In der Schweiz gehostet
Europäische Datenhaltung
Keine Preise pro Nutzer
Vorhersehbare Kosten, die mitwachsen
Keine Verpflichtung erforderlich. Wir sagen Ihnen ehrlich, ob Priverion die richtige Wahl ist , oder verweisen Sie auf eine bessere Lösung.


