Unternehmens-Compliance Informationssicherheit Datenschutz KI-Compliance

Lieferantenaudits & Third-Party-Risk

Compliance endet nicht an der eigenen Unternehmensgrenze. Wer Lieferanten und Dienstleister nicht prüft, haftet für deren Verstöße. Nach § 130 OWiG, LKSG und zunehmend auch nach EU-Vorgaben.

ISO 37301 Audit
§ 130
OWiG. Aufsichtspflicht über Dritte als persönliche Haftungsgrundlage
LKSG
Sorgfaltspflichten in der Lieferkette
3rd
Party Risk. Die häufigste Quelle für Compliance-Vorfälle in Unternehmen
Warum Lieferantenaudits?

Drittparteien sind Ihre blinden Flecken.

Korruption, Datenschutzverstöße, Menschenrechtsverletzungen, Qualitätsmängel. Viele Unternehmensskandale haben ihren Ursprung nicht im eigenen Haus, sondern in der Lieferkette. Behörden und Gerichte erwarten, dass Sie das wissen und handeln.

Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet Unternehmen ab 1.000 Mitarbeitenden zu aktiven Sorgfaltspflichten in der Lieferkette. § 130 OWiG begründet darüber hinaus eine persönliche Haftung der Geschäftsführung, wenn Aufsichtspflichtverletzungen zu Rechtsverstößen führen. Auch DSGVO, NIS2 und DORA verlangen eine strukturierte Überwachung kritischer Drittanbieter.

Wir helfen Ihnen, ein strukturiertes Third-Party-Risk-Management aufzubauen. Von der Risikoklassifizierung Ihrer Lieferanten über standardisierte Fragebögen bis zur Vor-Ort-Prüfung.

Hintergrund

Das LkSG befindet sich im Wandel. Die Berichtspflicht nach §§ 12, 13 LkSG wird mit der CSDDD-Umsetzung entfallen. Das BAFA prüft seit dem 1. Oktober 2025 keine LkSG-Berichte mehr. Die Sorgfaltspflichten selbst bleiben bis zur CSDDD-Umsetzung (voraussichtlich Juli 2027) vollständig in Kraft.

Unternehmen, die bislang unter das LkSG fallen, müssen weiterhin Risikoanalysen durchführen, Präventions- und Abhilfemaßnahmen umsetzen und ihren Beschwerdemechanismus betreiben.

Die CSDDD (Richtlinie 2024/1760/EU) gilt ab Juli 2027 zunächst für Unternehmen mit mehr als 5.000 Beschäftigten und mehr als 1,5 Mrd. EUR weltweitem Nettoumsatz. Kleinere Unternehmen werden stufenweise ab 2028 und 2029 erfasst; die unterste Schwelle liegt bei 1.000 Beschäftigten und 450 Mio. EUR Umsatz.

Was wir prüfen

  • Compliance-Reifegrad des Lieferanten
  • Einhaltung von Verhaltenskodizes und vertraglichen Compliance-Klauseln
  • Datenschutz- und Informationssicherheitspraktiken
  • Sorgfaltspflichten nach LKSG (Menschenrechte, Umwelt)
  • Anti-Korruptions- und Interessenkonflikt-Prüfung
  • Subunternehmer-Kaskaden und Weitergabe von Pflichten
Vorgehensweise

Strukturiert prüfen. Risiken steuern.

01

Lieferanten-Klassifizierung

Risikobasierte Einstufung Ihrer Lieferanten nach Kritikalität, Volumen und Branche als Grundlage für die Prüftiefe.

02

Fragebogen & Selbstauskunft

Compliance-Fragebögen mit definierten Mindestanforderungen für alle Lieferantenkategorien skalierbar.

03

Dokumentenprüfung & Interview

Analyse der eingereichten Nachweise, ergänzt durch strukturierte Interviews mit Compliance- und Qualitätsverantwortlichen.

04

Auditbericht & Maßnahmen

Klares Ergebnis je Lieferant: Ampel-Bewertung, Findings, Nachbesserungsfristen und Eskalationspfad bei kritischen Befunden.

Leistungsumfang

Was wir für Sie übernehmen.

Third-Party-Risk-Assessment

  • Risikobasierte Lieferantenklassifizierung und Prüfpriorisierung
  • Entwicklung oder Review Ihrer Lieferanten-Compliance-Anforderungen
  • Abgleich gegen branchenspezifische Standards und gesetzliche Pflichten
  • Aufbau eines kontinuierlichen Monitoring-Prozesses

Lieferanten-Fragebögen & Verträge

  • Entwicklung standardisierter Compliance-Fragebögen
  • Compliance-Klauseln für Lieferantenverträge (Code of Conduct)
  • Auditrechte, Nachbesserungsfristen und Kündigungsklauseln
  • Vorlagenbibliothek für wiederkehrende Prüfprozesse

LKSG-Sorgfaltspflichten

  • Risikoanalyse der Lieferkette nach LKSG-Anforderungen
  • Präventions- und Abhilfemaßnahmen bei identifizierten Risiken
  • Beschwerdemechanismus für Betroffene in der Lieferkette
  • Sorgfaltspflichten nach LkSG (Berichtspflicht entfällt ab CSDDD-Umsetzung)

Vor-Ort-Audits & Nachverfolgung

  • Planung und Durchführung von Lieferanten-Vor-Ort-Audits
  • Ampel-Bewertung und Findings-Report je Lieferant
  • Nachverfolgung von Maßnahmen und Re-Audits
  • Eskalationsprozess bei kritischen Befunden
FAQ

Häufige Fragen zu Lieferantenaudits.

Verwandte Themen

Lieferantenaudits stellen sicher, dass Ihre Dienstleister und Lieferkette die von Ihnen geforderten Datenschutz- und Sicherheitsstandards einhalten. Regularien wie DSGVO, NIS2, DORA und ISO 27001 verlangen eine aktive Überwachung der Drittanbieter.

Ein Lieferantenaudit bewertet zunächst, ob der Lieferant grundlegende Informationssicherheits- und Datenschutzanforderungen erfüllt. Darüber hinaus werden vertragliche Vereinbarungen wie Auftragsverarbeitungsverträge (AVV) und Service-Level-Vereinbarungen geprüft. Besonderen Fokus legen wir auf die Fähigkeit des Lieferanten, Sicherheitsvorfälle zu erkennen und zu melden, sowie auf vorhandene Zertifizierungen als Nachweisgrundlage.

Nicht zwingend. In der Praxis wird eine risikobasierte Priorisierung empfohlen: Lieferanten mit Zugang zu sensiblen Daten oder kritischen Prozessen sollten regelmäßig geprüft werden. Für andere Lieferanten können Fragebögen oder Selbstauskünfte ausreichen.

Für kritische Lieferanten empfehlen wir jährliche Audits. Für weniger kritische Lieferanten kann ein 2- bis 3-jähriger Rhythmus angemessen sein. Anlassbezogene Audits sind zusätzlich bei Sicherheitsvorfällen oder wesentlichen Vertragsänderungen sinnvoll.

Häufige Befunde sind fehlende oder veraltete Verträge, keine nachweisbaren Sicherheitsmaßnahmen, unklare Subunternehmerketten, fehlende Schulungsnachweise und unzureichende Incident-Meldeprozesse.

Ja, viele Lieferantenaudits lassen sich effizient remote durchführen, etwa durch Dokumentenprüfung, strukturierte Fragebögen und Videogespräche. Bei kritischen Lieferanten empfehlen wir ergänzende Vor-Ort-Audits.

Kennen Sie die Risiken Ihrer Lieferkette?

Im kostenlosen Erstgespräch besprechen wir, wie ein pragmatisches Lieferanten-Audit-Programm für Ihr Unternehmen aussehen kann.

Erstgespräch buchen