DSGVO Lieferanten-Risikobewertung

Das vollständige Framework für einen DSGVO-Fragebogen zur Lieferanten-Risikobewertung für Organisationen mit mehreren Einheiten

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die DSGVO-Lieferanten-Risikobewertungen, die Verteilung von Fragebögen, die Risikobewertung und die Audit-Dokumentation über Unternehmensgruppen hinweg automatisiert.

Die meisten Lieferantenbewertungen sind inkonsistent, unvollständig und über Tochtergesellschaften hinweg unmöglich nachzuverfolgen. So bauen Datenschutzteams in Organisationen mit 5–50+ Einheiten einen Prozess zur Lieferanten-Risikobewertung auf, der einer aufsichtsrechtlichen Prüfung tatsächlich standhält.

Die DSGVO-Artikel 28 und 32 verlangen von Verantwortlichen, die Datenschutzpraktiken jedes von ihnen eingesetzten Auftragsverarbeiters zu bewerten und zu dokumentieren , und diese Pflicht erstreckt sich auf jede Einheit Ihrer Gruppenstruktur. Die meisten Teams beginnen mit einer Tabelle oder einem Word-Dokument, doch dieser Ansatz scheitert schnell, wenn Sie Hunderte von Lieferanten über mehrere Rechtsräume hinweg verwalten. Diese Seite führt Sie genau durch das, was ein robuster Fragebogen enthalten sollte, durch die häufigsten Fehler, die Organisationen machen, und wie führende Datenschutzteams den gesamten Prozess automatisieren.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Was Ihr Fragebogen abdecken muss

Was Ihr DSGVO-Fragebogen zur Lieferanten-Risikobewertung enthalten sollte

Neun wesentliche Kategorien, die eine belastbare Lieferantenbewertung von einer reinen Abhakübung unterscheiden. Jede ist direkt den DSGVO-Artikeln 28, 32 und 44–49 zugeordnet.

Kategorie 1

Identität des Lieferanten und Überblick über die Verarbeitung

Legen Sie die Grundlagen fest: Unternehmensangaben, Verarbeitungsrolle (Auftragsverarbeiter, Unterauftragsverarbeiter oder Verantwortlicher), Kategorien der verarbeiteten personenbezogenen Daten, betroffene Personen und eine klare Beschreibung jeder Verarbeitungstätigkeit. Ohne dieses Fundament steht jede weitere Frage auf Sand.

Ergebnis: Vollständiges Verarbeitungsinventar pro Lieferant

Zugeordnet zu DSGVO Artikel 28(3) , erforderlicher AVV-Inhalt

Kategorie 2

Rechtsgrundlage und Auftragsverarbeitungsvertrag

Stellen Sie sicher, dass ein AVV, der die Anforderungen von Artikel 28 erfüllt, unterzeichnet und aktuell ist. Bestätigen Sie die Rechtsgrundlage für die Verarbeitung, identifizieren Sie etwaige gemeinsame Verantwortlichkeiten und stellen Sie sicher, dass der AVV alle Verarbeitungstätigkeiten abdeckt , nicht nur jene, die bei Vertragsabschluss dokumentiert wurden.

Ergebnis: Rechtlich belastbare Auftragsverarbeiter-Beziehungen

Zugeordnet zu DSGVO Artikel 26 und 28 , Pflichten von Verantwortlichem und Auftragsverarbeiter

Kategorie 3

Internationale Datenübermittlungen

Nach Schrems II sind hier die meisten Bewertungen am schwächsten. Dokumentieren Sie, wo Daten gespeichert und verarbeitet werden, welche Übermittlungsmechanismen vorhanden sind (SCCs, Angemessenheitsbeschlüsse, BCRs) und ob für jede Übermittlung in ein Drittland eine Transfer-Folgenabschätzung durchgeführt wurde.

Ergebnis: Audit-fertige Dokumentation der Übermittlungen

Zugeordnet zu DSGVO Artikel 44–49 , Garantien für grenzüberschreitende Übermittlungen

Kategorie 4

Technische und organisatorische Massnahmen

Bewerten Sie Verschlüsselungsstandards (im Ruhezustand und bei der Übertragung), Zugriffskontrollen, Pseudonymisierungspraktiken, die Häufigkeit von Penetrationstests, die Fähigkeiten zur Reaktion auf Vorfälle sowie Zertifizierungen wie ISO 27001 oder SOC 2. Hier prüfen Sie, ob das Sicherheitsniveau des Lieferanten der Sensibilität der von ihm verarbeiteten Daten entspricht.

Ergebnis: Risikoangepasste Sicherheitsbewertung

Zugeordnet zu DSGVO Artikel 32 , Sicherheit der Verarbeitung

Kategorie 5

Verwaltung von Unterauftragsverarbeitern

Die Lieferanten Ihrer Lieferanten sind Ihr Problem. Bewerten Sie, ob der Lieferant Unterauftragsverarbeiter einsetzt, wie er diese prüft, ob vor der Beauftragung neuer Unterauftragsverarbeiter eine vorherige Genehmigung erforderlich ist und wie Änderungen kommuniziert werden. Ein Lieferant mit nicht offengelegten Unterauftragsverarbeitern ist eine Compliance-Lücke, die nur darauf wartet, entdeckt zu werden.

Ergebnis: Vollständige Transparenz über die Unterauftragsverarbeiter-Kette

Zugeordnet zu DSGVO Artikel 28(2) und 28(4) , Pflichten zu Unterauftragsverarbeitern

Kategorie 6

Unterstützung der Rechte betroffener Personen

Wenn eine betroffene Person einen Antrag auf Auskunft, Löschung oder Datenübertragbarkeit stellt, muss Ihr Lieferant innerhalb Ihrer geforderten Frist reagieren können , nicht innerhalb seiner eigenen. Bewerten Sie seine technische Fähigkeit, personenbezogene Daten zu lokalisieren, zu exportieren und zu löschen, und bestätigen Sie vertragliche Zusagen zur Unterstützung Ihrer Pflichten gemäss den Artikeln 15–22.

Ergebnis: Garantierte Fähigkeit zur Beantwortung von Betroffenenanfragen

Zugeordnet zu DSGVO Artikel 15–22 und 28(3)(e) , Rechte betroffener Personen

Kategorie 7

Prozess zur Meldung von Datenschutzverletzungen

Artikel 33 gibt Ihnen 72 Stunden Zeit, um Ihrer Aufsichtsbehörde eine Verletzung zu melden , und diese Frist beginnt, sobald Sie Kenntnis erlangen. Bewerten Sie die Fähigkeiten Ihres Lieferanten zur Erkennung von Verletzungen, die zugesagte Meldefrist an Sie, die Eskalationsverfahren und ob er eine dokumentierte Historie früherer Vorfälle vorweisen kann.

Ergebnis: Durchsetzbare SLAs zur Meldung von Datenschutzverletzungen

Zugeordnet zu DSGVO Artikel 33 und 34 , Meldepflichten bei Verletzungen

Kategorie 8

Aufbewahrung und Löschung von Daten

Bestätigen Sie die Aufbewahrungsrichtlinien des Lieferanten, die Löschverfahren bei Vertragsbeendigung und ob er eine schriftliche Löschbestätigung bereitstellt. Das häufigste Audit-Finding bei Lieferantenbewertungen: kein Nachweis, dass die Daten bei Beendigung der Beziehung tatsächlich gelöscht wurden.

Ergebnis: Dokumentierte Löschung mit Nachweis

Zugeordnet zu DSGVO Artikel 28(3)(g) , Löschpflichten

Kategorie 9

Auditrechte und Nachweise

Klären Sie, ob der Lieferant Audits zulässt (vor Ort oder remote), welche Nachweise er proaktiv bereitstellt . SOC-2-Berichte, ISO-27001-Zertifikate, Zusammenfassungen von Penetrationstests , und ob Auditbestimmungen vertraglich garantiert und nicht nur mündlich zugesagt sind.

Ergebnis: Kontinuierliche Sicherheit statt blindem Vertrauen

Zugeordnet zu DSGVO Artikel 28(3)(h) , Audit- und Inspektionsrechte

Methodik der Risikobewertung

So bewerten und stufen Sie Ihre Lieferanten-Risikobewertungen ein

Nicht jeder Lieferant verdient dieselbe Prüfungstiefe. Ein risikoabgestufter Ansatz erlaubt es Ihnen, die Bewertungstiefe proportional zu verteilen , 80 % Ihres Aufwands für die 20 % der Lieferanten, die das grösste Risiko darstellen. Hier ist ein Framework, das über Organisationen mit mehreren Einheiten hinweg funktioniert.

Hohes Risiko . Score 75–100

75–100

Vollständige Bewertung erforderlich

Lieferanten, die besondere Kategorien personenbezogener Daten, personenbezogene Daten in grossem Umfang oder Daten mit grenzüberschreitenden Übermittlungen in Länder ohne angemessenes Schutzniveau verarbeiten. Diese erfordern alle neun Fragebogen-Kategorien, eine jährliche Neubewertung und vertragliche Auditrechte.

  • Lohnabrechnungsdienstleister über mehrere Rechtsräume
  • Cloud-Infrastruktur, die personenbezogene Daten hostet
  • Auftragsverarbeiter von Gesundheitsdaten
  • HR-Plattformen mit sensiblen Mitarbeiterdaten

Mittleres Risiko . Score 40–74

40–74

Standardbewertung

Lieferanten, die personenbezogene Daten in begrenztem Umfang verarbeiten , Kontaktdaten, geschäftliche E-Mail-Adressen oder pseudonymisierte Analysedaten. Bewerten Sie die Kernkategorien (1–5, 7, 8) mit zweijährlichen Neubewertungszyklen.

  • CRM-Plattformen mit Kundenkontaktdaten
  • Anbieter von E-Mail-Marketing
  • Projektmanagement-Tools mit Benutzerkonten
  • Ticketsysteme für den Kundensupport

Niedriges Risiko . Score 0–39

0–39

Schlanke Bewertung

Lieferanten mit minimalem oder keinem Zugriff auf personenbezogene Daten , ausschliesslich anonymisierte Daten, keine direkte Interaktion mit betroffenen Personen oder rein interne Tools ohne Verarbeitung personenbezogener Daten. Die Kategorien 1–2 plus eine AVV-Prüfung können ausreichen.

  • Lieferanten von Büromaterial ohne Datenzugriff
  • Analyse-Tools, die vollständig anonymisierte Daten verarbeiten
  • Infrastruktur-Monitoring ohne personenbezogene Daten
  • Design- oder Entwicklungstools ohne Nutzerdaten

200+

Eingesparte Stunden bei der Compliance-Vorbereitung

Medtec sparte über 200 Stunden bei der Vorbereitung auf ISO 27001, indem das manuelle Zusammentragen von Nachweisen durch automatisierte Compliance-Workflows ersetzt wurde , im ersten Jahr mit Priverion.

100%

Abdeckung der Lieferanten-Risikobewertung

Zurzach Care ging von einer teilweisen Lieferantenaufsicht zu einer 100%-igen Abdeckung der Lieferanten-Risikobewertung über alle Einheiten hinweg über, nachdem die automatisierten Bewertungs-Workflows von Priverion eingeführt wurden.

60%

Reduktion der Compliance-Verwaltungszeit

Ein Flugzeughersteller reduzierte die Compliance-Verwaltungszeit in den ersten 6 Monaten um 60 % , einschliesslich vollständigem Onboarding, Migration und automatisierter Rezertifizierung des Verarbeitungsverzeichnisses über Tochtergesellschaften hinweg.

Häufige Fallstricke

Sechs Fehler, die Lieferanten-Risikobewertungen unhaltbar machen

Aufsichtsbehörden prüfen nicht nur, ob Sie eine Bewertung durchgeführt haben , sie prüfen, ob sie aussagekräftig war. Dies sind die Muster, die einen vernünftigen Compliance-Aufwand in ein Durchsetzungsziel verwandeln.

Fehler 1

Einheitsfragebögen für alle

Denselben 80-Fragen-Bogen an einen Cloud-Infrastrukturanbieter und an ein Catering-Unternehmen zu schicken. Ohne Risikoabstufung ertrinken Lieferanten entweder in irrelevanten Fragen oder erhalten Bewertungen, die zu oberflächlich sind, um nützlich zu sein. Das Ergebnis: Lieferantenfrust und durchweg niedrige Rücklaufquoten.

Fehler 2

Einmal bewerten, für immer vergessen

Eine Lieferantenbewertung beim Onboarding durchzuführen und nie wieder neu zu bewerten. Lieferanten wechseln Unterauftragsverarbeiter, Hosting-Standorte und Sicherheitspraktiken. Eine Bewertung aus 2021 sagt Ihnen nichts über das Risikoprofil eines Lieferanten im Jahr 2024. Lieferanten mit hohem Risiko benötigen mindestens eine jährliche Neubewertung.

Fehler 3

Unterauftragsverarbeiter-Ketten ignorieren

Ihr Lieferant sagt, er sei DSGVO-konform, doch sein Unterauftragsverarbeiter leitet Daten über ein US-basiertes CDN ohne SCCs. Artikel 28(2) verlangt eine spezifische oder allgemeine vorherige Genehmigung für Unterauftragsverarbeiter , und Sie sind für die gesamte Verarbeitungskette verantwortlich, nicht nur für Ihre direkte Beziehung.

Fehler 4

Keine zentrale Nachverfolgung über Einheiten hinweg

Tochtergesellschaft A hat einen Lieferanten im März bewertet. Tochtergesellschaft B beauftragt denselben Lieferanten im Juni und beginnt bei null , oder schlimmer, bewertet ihn gar nicht. Ohne ein gruppenweites Lieferantenregister verdoppeln Sie den Aufwand und schaffen inkonsistente Risikoprofile für dieselben Auftragsverarbeiter.

Fehler 5

Antworten erfassen, ohne Risiken zu bewerten

Ein ausgefüllter Fragebogen ist keine Risikobewertung. Wenn Sie die Antworten der Lieferanten nicht in einen Risikoscore umwandeln , und diesen Score nicht mit Ihrer Risikobereitschaft abgleichen , dann legen Sie nur Papier ab. Prüfer wollen sehen, dass Sie das Risiko bewertet und auf Basis der Erkenntnisse dokumentierte Entscheidungen getroffen haben.

Fehler 6

Kein Nachweis für die Behebung von Mängeln

Sie haben festgestellt, dass ein Lieferant in seiner Bewertungsantwort keine Verschlüsselung im Ruhezustand vorweist. Und dann... nichts. Aufsichtsbehörden achten gezielt auf dokumentierte Massnahmen zur Behebung , Entscheidungen zur Risikoakzeptanz, vertragliche Verbesserungsanforderungen oder das Offboarding von Lieferanten, deren Risiken nicht akzeptabel sind.

Von manuell zu automatisiert

So automatisieren führende Datenschutzteams Lieferanten-Risikobewertungen

Tabellenbasierte Lieferantenbewertungen funktionieren, bis Sie 20 Lieferanten, 3 Einheiten oder Ihr erstes Audit erreichen. Hier ist, was sich ändert, wenn Sie zu einem speziell entwickelten Workflow für das Lieferanten-Risikomanagement wechseln.

Zentrales Lieferantenregister über alle Einheiten hinweg

Jede Lieferantenbeziehung , über jede Tochtergesellschaft und jeden Rechtsraum hinweg , sichtbar in einem einzigen Register. Wenn Tochtergesellschaft A einen Lieferanten bewertet, übernimmt Tochtergesellschaft B diese Bewertung und kann sie für ihre spezifischen Verarbeitungstätigkeiten erweitern oder anpassen. Keine Duplizierung, keine Lücken.

Risikoabgestufte Verteilung von Fragebögen

Weisen Sie die Tiefe des Fragebogens automatisch auf Basis der Risikostufe des Lieferanten zu. Lieferanten mit hohem Risiko erhalten die vollständige Bewertung über neun Kategorien. Lieferanten mit niedrigem Risiko erhalten eine schlanke Überprüfung. Lieferanten füllen Bewertungen direkt in der Plattform aus , Schluss mit E-Mail-Ketten und verlorenen Anhängen.

KI-gestützte Risikobewertung und Kennzeichnung

Die KI prüft die Antworten der Lieferanten und kennzeichnet potenzielle Probleme , fehlende Verschlüsselungsangaben, nicht offengelegte Unterauftragsverarbeiter, Lücken bei den Übermittlungsmechanismen , zur Prüfung durch den Menschen. Die KI unterstützt Ihre Bewertung; Ihr Datenschutzteam trifft die endgültige Entscheidung. Es werden keine Kundendaten für das Modelltraining verwendet.

Automatisierte Neubewertungszyklen

Legen Sie die Häufigkeit von Neubewertungen nach Risikostufe fest , jährlich bei hohem Risiko, zweijährlich bei mittlerem , und das System übernimmt Erinnerungen, Verteilung und Eskalation automatisch. AXA erreichte mit demselben automatisierten Rezertifizierungsansatz für seine Lieferantenbewertungen eine 100%-ige Rezertifizierungsquote des Verarbeitungsverzeichnisses.

AXA , 100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert

Audit-fertige Nachweispakete

Erstellen Sie in Minuten eine vollständige Dokumentation der Lieferantenbewertung für Aufsichtsbehörden , Bewertungshistorie, Risikoscores, Behebungsmassnahmen, AVV-Status und Transfer-Folgenabschätzungen. Medtec sparte mit genau dieser Funktion über 200 Stunden bei der Vorbereitung auf ISO 27001.

Medtec , über 200 eingesparte Stunden im ersten Jahr

Vorstandsreife Compliance-Dashboards

Echtzeit-Transparenz über das Lieferanten-Risikoprofil über alle Einheiten hinweg , wie viele Lieferanten bewertet wurden, die aktuelle Risikoverteilung, überfällige Neubewertungen und offene Behebungspunkte. CISOs und Leiter Recht erhalten den Überblick, den sie benötigen, ohne manuelle Berichte von jedem Datenschutzbeauftragten einer Tochtergesellschaft anfordern zu müssen.

OneTrust-Alternative

Enterprise-Qualität ohne Enterprise-Komplexität

Mittelständische Unternehmen brauchen keine Plattform, die für Fortune-50-Compliance-Teams mit Fortune-50-Budgets entwickelt wurde. Sie brauchen eine, die wirklich zu ihrer Arbeitsweise passt.

Die typische Enterprise-Plattform

Preise pro Nutzer und pro Modul

Die Kosten steigen unvorhersehbar, wenn Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. Budgetgespräche werden zu Verhandlungen.

In den USA gehostete Infrastruktur

Nach Schrems II schafft US-Hosting eine fortlaufende rechtliche Exposition für europäische Datenübermittlungen. Zusätzliche SCCs und TIAs sind allein schon für Ihr Compliance-Tool selbst erforderlich.

12-monatige Implementierung

Dedizierte Integrationsteams, kostenpflichtige Beratungseinsätze und Monate, bevor auch nur Ihr erstes Verarbeitungsverzeichnis migriert ist.

Funktionsüberladung

ESG, Ethik-Hotlines, Cookie-Einwilligung und Dutzende Module, die Sie nie anrühren werden , für die Sie aber trotzdem bezahlen.

200 oberflächliche Integrationen

Beeindruckend auf einer Vergleichsfolie. In der Praxis brechen die meisten bei Updates ab und verursachen Wartungsaufwand, den Ihr Team auffangen muss.

Kostenlose Vorlage

Vorlage für den DSGVO-Fragebogen zur Lieferanten-Risikobewertung herunterladen

Ein gebrauchsfertiger Fragebogen, der alle neun Kategorien abdeckt , formatiert für den sofortigen Einsatz über Ihr gesamtes Lieferantenportfolio hinweg. Aufgebaut aus den Frameworks, die von Organisationen mit mehreren Einheiten verwendet werden, die Compliance über Dutzende von Tochtergesellschaften hinweg verwalten.

Wir senden Ihnen die Vorlage in Ihren Posteingang. Kein Spam, keine Sequenzen , nur die Vorlage und eine Nachfrage, ob sie nützlich war.

  • Alle neun Bewertungskategorien mit konkreten Fragen
  • Bewertungsraster für Risiken mit abgestufter Bewertungsanleitung
  • DSGVO-Artikelzuordnung für jede Fragenkategorie
  • Checkliste zur Bewertung der Unterauftragsverarbeiter-Kette
  • Vorlage für den Neubewertungsplan nach Risikostufe

Schluss mit der Verwaltung von Lieferantenrisiken in Tabellen

Sehen Sie, wie gruppenweites Lieferanten-Risikomanagement aussieht, wenn es tatsächlich funktioniert

In 30 Minuten zeigen wir Ihnen, wie Organisationen wie Zurzach Care eine 100%-ige Abdeckung der Lieferanten-Risikobewertung über jede Einheit hinweg erreicht haben , und wie ein Flugzeughersteller die Compliance-Verwaltungszeit in den ersten sechs Monaten um 60 % senkte. Keine Folien. Kein Verkaufsgespräch. Nur die Plattform, Ihre Fragen und ein ehrliches Gespräch darüber, ob sie passt.

Wochen, nicht Monate

Zeit bis zum Go-live

In der Schweiz gehostet

Europäische Datenhaltung

Keine Preise pro Nutzer

Vorhersehbare Kosten, die mitwachsen

Eine 30-minütige Demo buchen

Keine Verpflichtung erforderlich. Wir sagen Ihnen ehrlich, ob Priverion die richtige Wahl ist , oder verweisen Sie auf eine bessere Lösung.

The Privacy Compliance Briefing

Monatliche Einblicke in die DSGVO-Durchsetzung, Aktualisierungen zum revDSG und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit kündbar.

Über diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick

Ein belastbarer DSGVO-Fragebogen zur Lieferanten-Risikobewertung muss neun Kategorien abdecken, die den Artikeln 28, 32 und 44–49 zugeordnet sind, darunter Identität des Lieferanten, AVV-Prüfung, internationale Übermittlungen, technische Massnahmen, Unterauftragsverarbeiter-Ketten, Rechte betroffener Personen, Meldung von Datenschutzverletzungen, Aufbewahrung und Auditrechte. Eine risikoabgestufte Bewertung sorgt für eine verhältnismässige Prüfungstiefe, und die Automatisierung beseitigt die Inkonsistenzen, die tabellenbasierte Ansätze über Organisationen mit mehreren Einheiten hinweg plagen.

Definitionen

Was ist eine DSGVO-Lieferanten-Risikobewertung?

DSGVO-Lieferanten-Risikobewertung ist ein strukturierter Bewertungsprozess, mit dem ein Verantwortlicher die Konformität eines Auftragsverarbeiters mit der Datenschutz-Grundverordnung (DSGVO) beurteilt, insbesondere die technischen und organisatorischen Massnahmen, die nach DSGVO Artikel 28 und Artikel 32 erforderlich sind. Die Bewertung stellt fest, ob der Auftragsverarbeiter „hinreichende Garantien" bietet, bevor die Verarbeitung personenbezogener Daten beginnt.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegt, wie in DSGVO Artikel 28(3) vorgeschrieben.

Was ist eine Transfer-Folgenabschätzung (TIA)?

Transfer-Folgenabschätzung (TIA) ist eine Bewertung, die infolge des Schrems-II-Urteils des EuGH erforderlich ist, um festzustellen, ob der Rechtsrahmen eines Drittlandes einen angemessenen Schutz für personenbezogene Daten bietet, die auf Grundlage von Standardvertragsklauseln übermittelt werden. Die EDSA-Empfehlungen 01/2020 bieten Anleitung zur Durchführung von TIAs und zur Umsetzung ergänzender Massnahmen.

Was sind Standardvertragsklauseln (SCCs)?

Standardvertragsklauseln (SCCs) sind von der Europäischen Kommission angenommene, vorab genehmigte Vertragsvorlagen, die geeignete Garantien für internationale Datenübermittlungen nach DSGVO Artikel 46(2)(c) bieten. Die aktuellen SCCs wurden im Juni 2021 mittels Durchführungsbeschluss (EU) 2021/914 der Kommission angenommen.

Statistiken und Branchenkontext

Laut dem IAPP-EY 2023 Annual Privacy Governance Report geben 60 % der Organisationen an, dass das Management von Drittparteienrisiken nach wie vor eine ihrer grössten Datenschutzherausforderungen ist. Derselbe Bericht stellte fest, dass die durchschnittliche Organisation Beziehungen zu über 100 Auftragsverarbeitern verwaltet, was manuelle Bewertungsansätze im grossen Massstab untragbar macht.

Der EDSA-Jahresbericht 2022 wies darauf hin, dass Aufsichtsbehörden im gesamten EWR Bussgelder von über 2,9 Milliarden Euro verhängten, wobei Verstösse im Zusammenhang mit Auftragsverarbeitern — insbesondere unzureichende Vereinbarungen nach Artikel 28 und ungenügende Übermittlungsgarantien — zu den am häufigsten genannten Gründen zählten.

Eine Gartner-Prognose sagte voraus, dass bis 2025 die personenbezogenen Daten von 75 % der Weltbevölkerung durch moderne Datenschutzvorschriften abgedeckt sein würden, was den Umfang der Lieferantenbewertungen für multinationale Organisationen dramatisch erweitert.

Der Threat Landscape 2023-Bericht der ENISA identifizierte Angriffe auf die Lieferkette als eine der grössten Bedrohungen und unterstrich die Notwendigkeit rigoroser Bewertungen von Unterauftragsverarbeitern nach DSGVO Artikel 28(2) und 28(4).

Häufig gestellte Fragen

Was muss ein DSGVO-Fragebogen zur Lieferanten-Risikobewertung abdecken?

Ein konformer Fragebogen muss neun Kategorien abdecken: Identität des Lieferanten und Überblick über die Verarbeitung, Rechtsgrundlage und Prüfung des AVV, internationale Datenübermittlungen, technische und organisatorische Massnahmen (Artikel 32), Verwaltung von Unterauftragsverarbeitern, Unterstützung der Rechte betroffener Personen, Prozesse zur Meldung von Datenschutzverletzungen, Aufbewahrung und Löschung von Daten sowie Auditrechte. Jede Kategorie ist bestimmten DSGVO-Artikeln zugeordnet, darunter die Artikel 28, 32 und 44–49.

Wie sollten Lieferanten nach Risikostufe eingestuft werden?

Lieferanten werden typischerweise in drei Stufen eingeteilt: Hohes Risiko (Score 75–100) erfordert eine vollständige Bewertung über alle neun Kategorien mit jährlicher Neubewertung; Mittleres Risiko (Score 40–74) erfordert eine Standardbewertung der Kernkategorien mit zweijährlicher Neubewertung; und Niedriges Risiko (Score 0–39) erfordert nur eine schlanke Bewertung, die Identität des Lieferanten und AVV-Prüfungen abdeckt. Dieser Ansatz folgt dem Verhältnismässigkeitsprinzip, das in DSGVO Artikel 24 verankert ist.

Warum scheitern tabellenbasierte Lieferantenbewertungen im grossen Massstab?

Tabellenbasierte Bewertungen brechen zusammen, wenn Hunderte von Lieferanten über mehrere Rechtsräume und Einheiten hinweg verwaltet werden müssen. Häufige Schwachstellen sind Probleme mit der Versionskontrolle, inkonsistente Bewertungen, die Unfähigkeit, Fristen für Neubewertungen nachzuverfolgen, fehlende Audit-Trails und keine zentrale Übersicht über die Tochtergesellschaften hinweg. Laut dem IAPP-EY 2023 Privacy Governance Report kämpfen 60 % der Organisationen nach wie vor mit dem Management von Drittparteienrisiken.

Was verlangt DSGVO Artikel 28 für Bewertungen von Auftragsverarbeitern?

DSGVO Artikel 28 verlangt von Verantwortlichen, nur Auftragsverarbeiter einzusetzen, die hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Massnahmen bieten. Verantwortliche müssen sicherstellen, dass ein Auftragsverarbeitungsvertrag (AVV) vorliegt, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen abdeckt.

Wie wirkt sich das Schrems-II-Urteil auf Lieferantenbewertungen aus?

Das Schrems-II-Urteil (EuGH-Rechtssache C-311/18, Juli 2020) erklärte das EU-US-Privacy-Shield für ungültig und verpflichtet Organisationen, für jede Datenübermittlung in ein Drittland eine Transfer-Folgenabschätzung durchzuführen. Lieferantenfragebögen müssen nun dokumentieren, wo Daten gespeichert und verarbeitet werden, welche Übermittlungsmechanismen verwendet werden (SCCs, Angemessenheitsbeschlüsse, BCRs) und ob ergänzende Massnahmen gemäss den EDSA-Empfehlungen 01/2020 vorhanden sind.

Was bedeutet die 72-Stunden-Meldepflicht bei Datenschutzverletzungen für Lieferanten?

Gemäss DSGVO Artikel 33 müssen Verantwortliche ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen. Da die Frist mit dem Bekanntwerden beginnt, müssen Lieferantenverträge SLAs zur Meldung von Datenschutzverletzungen enthalten, die dem Verantwortlichen ausreichend Zeit zur Bewertung und Meldung geben. Best Practice ist, von Lieferanten eine Meldung innerhalb von 24–48 Stunden nach Erkennung zu verlangen.

Wie oft sollten Lieferanten-Risikobewertungen wiederholt werden?

Die Häufigkeit der Neubewertung sollte risikoabgestuft sein: Lieferanten mit hohem Risiko jährlich, Lieferanten mit mittlerem Risiko zweijährlich und Lieferanten mit niedrigem Risiko alle drei Jahre oder bei wesentlichen Änderungen. Jede wesentliche Änderung des Verarbeitungsumfangs, eine Datenschutzverletzung oder die Einbindung eines neuen Unterauftragsverarbeiters sollte unabhängig vom geplanten Zyklus eine Ad-hoc-Neubewertung auslösen.

Können Lieferanten-Risikobewertungen unter der DSGVO automatisiert werden?

Ja. Speziell entwickelte GRC-Plattformen automatisieren die Verteilung von Fragebögen, die Erfassung von Antworten, die Risikobewertung, die Planung von Neubewertungen und die Erstellung von Audit-Trails über Organisationen mit mehreren Einheiten hinweg. Die Automatisierung sorgt für Konsistenz, reduziert den manuellen Aufwand und stellt zentrale Dashboards für Datenschutzbeauftragte bereit, die Lieferantenportfolios über Tochtergesellschaften in mehreren Rechtsräumen verwalten.

Vergleich der Lieferantenbewertung: Manuell vs. Automatisiert

FähigkeitTabelle / ManuellSpeziell entwickelte GRC-Plattform
Verteilung von FragebögenE-Mail-basiert, manuelle NachverfolgungAutomatisiert mit Erinnerungen und Fristen
Konsistenz der RisikobewertungVariiert je nach PrüferStandardisierte Bewertungsalgorithmen
Transparenz über mehrere EinheitenPro Tochtergesellschaft isoliertZentrales gruppenweites Dashboard
Planung von NeubewertungenKalendererinnerungen, oft verpasstAutomatisierte risikoabgestufte Planung
Audit-TrailFragmentiert über Dateien und E-MailsVollständig, mit Zeitstempel, unveränderlich
Nachverfolgung von UnterauftragsverarbeiternManuelle Aktualisierungen, oft veraltetAutomatisierte Änderungsbenachrichtigungen
Aufsichtsrechtliche BerichterstattungManuelle ZusammenstellungExport für Aufsichtsbehörden mit einem Klick
Skalierbarkeit (100+ Lieferanten)Bricht erheblich zusammenFür Enterprise-Skalierung konzipiert