Strukturierte Lieferantenaudits prüfen externe Dienstleister systematisch nach DSGVO, ISO 27001, NIS-2 und TISAX – sie schaffen Transparenz, reduzieren Risiken und erfüllen regulatorische Compliance-Vorgaben.
Ein Lieferantenaudit ist die systematische Überprüfung von Dienstleistern und Lieferanten hinsichtlich Qualität, Compliance und Sicherheitsstandards. Ziel ist es, festzustellen, ob externe Partner die erforderlichen Anforderungen erfüllen – sei es aus datenschutzrechtlicher Sicht (DSGVO Art. 28), informationssicherheitstechnischer Perspektive (ISO 27001, NIS-2, TISAX) oder qualitätsbezogener Sicht.
Anders als eine einfache Bewertung umfasst ein Audit die detaillierte Analyse von Prozessen, Strukturen und Nachweisen. Die Ergebnisse fließen in eine Risikobewertung ein, die als Grundlage für die Entscheidung dient, ob ein Lieferant freigegeben, weiter überwacht oder abgelehnt wird.
Moderne Compliance-Anforderungen beschränken sich nicht mehr nur auf Datenschutz. Lieferantenaudits sind heute ein zentrales Instrument für verschiedene regulatorische Frameworks:
Der Vorteil eines compliance-übergreifenden Ansatzes: Mit einem einzigen Audit-Framework lassen sich Anforderungen aus Datenschutz UND Informationssicherheit abdecken – ohne doppelte Arbeit.
Je nach Zielsetzung und regulatorischem Kontext unterscheiden sich Lieferantenaudits in ihrer Ausrichtung. Moderne Compliance-Plattformen unterstützen alle Audit-Typen mit denselben Workflows:
Überprüfung von Auftragsverarbeitern hinsichtlich technischer und organisatorischer Maßnahmen (TOMs). Typische Prüfpunkte: Verschlüsselung, Zugriffskontrollen, Löschkonzepte, Datenschutz-Management-System, AVV-Konformität.
Bewertung der IT-Sicherheitsmaßnahmen von Dienstleistern – insbesondere bei Cloud-Anbietern, IT-Service-Providern oder Rechenzentren. Fokus: Incident Response, Backup-Strategien, Patch-Management, Zugriffskontrollen, Netzwerksegmentierung, Security Monitoring. Diese Audits sind essentiell für ISO 27001-Zertifizierungen und NIS-2-Compliance.
Spezifische Form des Audits bei Drittlandtransfers außerhalb der EU. Prüfung, ob Standardvertragsklauseln (SCC) ausreichen oder zusätzliche Schutzmaßnahmen erforderlich sind (Schrems II-Rechtsprechung).
Überprüfung von sozialen, ökologischen und rechtlichen Standards bei Lieferanten. Schwerpunkte: Arbeitsbedingungen, Umweltschutz, Korruptionsprävention, Menschenrechte.
Das zentrale Feature des Januar-2026-Updates ist die Möglichkeit, strukturierte Lieferantenaudits vollständig digital durchzuführen. Unternehmen können damit ihre Dienstleister und Lieferanten systematisch bewerten – sowohl aus Datenschutz- als auch aus Informationssicherheitsperspektive.
Das erweiterte Dienstleister-Modul kombiniert alle Audit-Anforderungen in einer Plattform:
Das Dienstleister-Modul deckt alle regulatorischen Anforderungen ab:
Die größte Gefahr bei Lieferantenaudits liegt nicht in mangelhaften Verträgen, sondern in falschen Annahmen über die eigene Verantwortung. Viele Unternehmen glauben, mit der Unterzeichnung eines Auftragsverarbeitungsvertrags (AVV) sei die Haftung auf den Dienstleister übergegangen. Diese Annahme ist rechtlich falsch und kann im Schadensfall existenzbedrohend werden.
Nach Art. 28 DSGVO können Sie als Verantwortlicher die Haftung niemals vollständig delegieren. Selbst wenn Ihr Dienstleister rechtmäßige Weisungen missachtet – etwa eine Löschanweisung ignoriert – haften Sie gegenüber Betroffenen. Das OLG Dresden stellte im Oktober 2024 klar: Eine bloße Ankündigung der Datenlöschung per E-Mail ist rechtlich wertlos.
Im konkreten Fall kündigte ein israelischer Dienstleister 2019 an, Daten „morgen zu löschen“. Erst nach einem massiven Hack 2023 stellte sich heraus: Die Daten waren noch vorhanden. Das Unternehmen haftete vollumfänglich, da es keine dokumentierte Löschbestätigung eingefordert hatte.
Als Verantwortlicher müssen Sie eine ausdrückliche schriftliche Löschbestätigung einfordern, die als echtes Protokoll fungiert. Dieses muss eine detaillierte Auflistung der gelöschten Datensätze enthalten – beispielsweise: „500 Kundendatensätze aus Datenbank ‚Sales_2019‘ unwiderruflich gelöscht am TT.MM.JJJJ, HH:MM Uhr“.
Nur so verschieben Sie die Beweislast. Ohne dieses Detailniveau können Sie im Schadensfall niemals nachweisen, was tatsächlich vernichtet wurde. Die fehlende Kontrolle der Datenlöschung wird rechtlich als Fahrlässigkeit gewertet – und verhindert jede Haftungserleichterung (Exkulpation).
TOMs sind kein IT-Thema, sondern Kernaufgabe der Geschäftsführung – sowohl für Datenschutz als auch für Informationssicherheit. Sicherheit ist eine Frage der Organisationsstruktur, nicht der Software-Version. Sie müssen einen PDCA-Zyklus (Plan-Do-Check-Act) etablieren:
Ein modernes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 sollte für Unternehmen jeder Größe Standard sein. Der „Human Factor“ ist durch Social Engineering Ihre größte Schwachstelle: Regelmäßige Security-Awareness-Schulungen für Mitarbeiter sind wichtiger als die teuerste Firewall.
Die DSGVO verlangt einen risikobasierten Ansatz. Eine Datenschutz-Folgenabschätzung (DSFA) ist bei folgenden Szenarien zwingend erforderlich:
Sollte die Risikobewertung ergeben, dass ein hohes Risiko trotz aller Maßnahmen bestehen bleibt, ist eine Vorabkonsultation der Aufsichtsbehörde zwingend. Die DSFA dokumentiert schwarz auf weiß, dass Sie sich vorab intensiv mit den Gefahren auseinandergesetzt haben – und ist damit Ihr wichtigster Entlastungsbeweis im Schadensfall.
Verwalten Sie Dienstleister und Lieferanten zentral mit Vertragsstatus, Risiko-Bewertung und AVV-Nachweisen – für transparente, DSGVO-konforme Zusammenarbeit mit allen externen Partnern.
Ein strukturiertes Lieferantenaudit folgt einem systematischen Ablauf, der sich in fünf Phasen gliedert:
Zunächst wird definiert, welcher Audit-Typ durchgeführt werden soll und welche Kriterien geprüft werden. Bei Datenschutz-Audits stehen TOMs im Fokus, bei Informationssicherheits-Audits die Kontrollen nach ISO 27001 oder NIS-2. Moderne Compliance-Plattformen bieten vordefinierte Fragebogen-Templates für alle Standards.
Basierend auf den Prüfkriterien wird ein Fragebogen erstellt. Dieser enthält compliance-spezifische Fragen zu Prozessen, Nachweisen und Maßnahmen. Beispiel für Datenschutz: „Wird eine Datenschutz-Folgenabschätzung durchgeführt?“ – Beispiel für InfoSec: „Gibt es ein dokumentiertes Incident-Response-Konzept?“
Moderne Compliance-Systeme wie der Compliance Hub ermöglichen es, individuelle Checklisten für DSGVO, ISO 27001, NIS-2 oder TISAX zu erstellen und diese direkt an Lieferanten zu versenden.
Der Fragebogen wird an die Ansprechpartner beim Lieferanten versendet. Diese beantworten die Fragen und laden relevante Nachweise hoch (Zertifikate, Richtlinien, Prozessbeschreibungen, ISO-Zertifikate, Penetrationstestberichte).
Die Antworten werden nach einem Punktesystem ausgewertet. Je nach Antwort fließen Punkte in die Gesamtbewertung ein. Schwellenwerte für Risikoklassen (z.B. „hoch“ ab X Punkten) legen fest, ob ein Lieferant als risikoreich eingestuft wird. Die Bewertung erfolgt compliance-übergreifend: Ein Lieferant kann im Datenschutz-Audit „grün“ sein, aber im InfoSec-Audit „rot“.
Basierend auf der Risikobewertung werden Maßnahmen abgeleitet: Freigabe, Nachforderung von Nachweisen, Nachaudit oder Ablehnung. Regelmäßige Wiedervorlagen stellen sicher, dass Lieferanten kontinuierlich überwacht werden. Bei formalen Freigabeprozessen (z.B. für NIS-2 oder ISO 27001) erfolgt eine dokumentierte Freigabe durch definierte Rollen (ISB, DSB, Geschäftsführung).
Manuelle Audits mit Excel-Listen und E-Mail-Versand sind zeitaufwändig, fehleranfällig und schwer nachvollziehbar. Moderne Compliance-Management-Systeme digitalisieren den gesamten Prozess:
Der Compliance Hub kombiniert Datenschutz- und Informationssicherheits-Management in einer Plattform. Lieferantenaudits können sowohl für DSGVO-Auftragsverarbeiter als auch für IT-Dienstleister (NIS-2, ISO 27001, TISAX) durchgeführt werden – mit denselben Workflows, aber unterschiedlichen Fragebögen und Risikomatrizen.
Die Audit-Funktion unterstützt den gesamten Prozess: von der Erstellung individueller Fragebögen über die automatische Auswertung bis zur revisionssicheren Dokumentation. Zusätzlich lassen sich Audits mit dem Verzeichnis von Verarbeitungstätigkeiten verknüpfen, um die Compliance-Dokumentation zu vervollständigen.
Lieferantenaudits sind weit mehr als eine Datenschutz-Pflicht. Sie sind das zentrale Instrument für compliance-übergreifendes Risikomanagement – von der DSGVO über ISO 27001 bis zur NIS-2-Richtlinie.
Wahre Compliance zeigt sich erst nach der Kündigung eines Dienstleisters: in der aktiven Kontrolle der Datenvernichtung und der lückenlosen Dokumentation Ihrer Überwachungsschritte. Wer Compliance nur als Checkliste beim Vertragsabschluss begreift, handelt grob fahrlässig.
Die Digitalisierung des Audit-Prozesses spart Zeit, reduziert Fehler und ermöglicht eine kontinuierliche Überwachung. Unternehmen, die ihre Lieferanten systematisch prüfen und bewerten, minimieren Risiken und erfüllen regulatorische Anforderungen – unabhängig vom Standard.
Nein. Nach Art. 28 DSGVO können Sie als Verantwortlicher die Haftung niemals vollständig delegieren. Selbst wenn Ihr Dienstleister rechtmäßige Weisungen missachtet, haften Sie gegenüber Betroffenen. Das OLG Dresden (Oktober 2024) stellte klar: Sie müssen die Einhaltung Ihrer Weisungen aktiv kontrollieren und dokumentieren – sonst gilt Ihr Verhalten als fahrlässig und verhindert jede Haftungserleichterung.
Nein. Ein AVV ist nur der Startpunkt Ihrer Kontrollpflichten. Sie müssen die technischen und organisatorischen Maßnahmen (TOMs) des Auftragsverarbeiters regelmäßig überprüfen, Nachweise einfordern und die Kontrollen dokumentieren. Ein unterschriebenes Dokument ohne aktive Überwachung ist rechtlich wertlos.
Moderne Compliance-Anforderungen verlangen beides. Während die DSGVO Audits für Auftragsverarbeiter vorschreibt, fordern ISO 27001, NIS-2 und TISAX die Bewertung von Lieferanten aus Informationssicherheitsperspektive. Der Vorteil: Mit einem compliance-übergreifenden Audit-Framework lassen sich beide Anforderungen mit denselben Prozessen abdecken – ohne doppelte Arbeit.
Die Häufigkeit hängt von der Risikoklasse ab. Hochrisiko-Lieferanten (z.B. Cloud-Anbieter mit Zugriff auf sensible Daten) sollten jährlich auditiert werden. Lieferanten mit geringem Risiko können alle 2-3 Jahre überprüft werden. Zusätzlich sind anlassbezogene Audits erforderlich: bei Sicherheitsvorfällen, Vertragsänderungen oder nach Kündigungen (Löschkontrolle!).
Sie begehen eine grobe Fahrlässigkeit. Das OLG Dresden entschied 2024: Eine bloße E-Mail-Ankündigung „Wir löschen morgen die Daten“ ist rechtlich wertlos. Sie müssen eine detaillierte schriftliche Löschbestätigung mit Protokoll einfordern (z.B. „500 Kundendatensätze aus Datenbank ‚Sales_2019‘ unwiderruflich gelöscht am TT.MM.JJJJ, HH:MM Uhr“). Ohne diesen Nachweis haften Sie vollumfänglich bei späteren Datenpannen.
Ja. Moderne Compliance-Management-Systeme wie der Compliance Hub unterstützen compliance-übergreifende Audits. Sie können individuelle Fragebögen für DSGVO, ISO 27001, NIS-2 oder TISAX erstellen, dieselben Workflows nutzen und separate Risikobewertungen für Datenschutz und Informationssicherheit erhalten. Das spart Zeit und stellt sicher, dass alle regulatorischen Anforderungen mit einem Prozess abgedeckt werden.
Ihre All-in-One-Lösung für integriertes Compliance-Management – DSMS, ISMS, Hinweisgeberschutz und KI-Compliance zentral in einer Plattform.
Die Compliance-Suite von Cortina Consult automatisiert DSMS, ISMS, HinSchG und KIVO – sparen Sie 40% Zeit und vereinfachen Sie Ihr gesamtes Compliance-Management. Ein externer Datenschutzbeauftragter unterstützt bei komplexen Fragen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen