--- name: vorlage-vendor-onboarding-3d description: "Wuerfelvorlage fuer Vendor- und Lieferanten-Onboarding — 17 Spalten (Vendor-Stammdaten Branche AVV-Pflicht AVV-vorhanden SLA-Reaktionszeit SLA-Verfuegbarkeit Exit-Klausel Datenherausgabe Verschluesselung Subunternehmer-Liste Drittlandtransfer SCC-Vorhanden Sanktionsliste GwG-Pruefung Lieferketten-Risiko LkSG Versicherung Haftungsbegrenzung) x N Vendoren x 5 Arbeitsblaetter (Vertrag / Datenschutz / IT-Sicherheit / Compliance-GwG-LkSG / Wirtschaft). Verankert in DSGVO BGB GwG LkSG ISO-Normen. Geeignet fuer IT-Dienstleister-Anbindung Auslagerung an Cloud-Provider Materiallieferanten." --- # /tabellenreview-3d:vorlage-vendor-onboarding-3d ## Zweck Beim Onboarding eines neuen Lieferanten (oder beim Bestands-Audit der vorhandenen) sind dieselben 17 Fragen aus 5 Perspektiven zu beantworten. Dieser Würfel liefert die Standardstruktur. ## Spalten (17 Datenpunkte) ### Stammdaten 1. Vendor-Name und Rechtsform 2. Branche und Hauptleistung 3. Sitz und Lieferketten-Region ### Datenschutz 4. AVV-Pflicht (DSGVO Artikel 28) 5. AVV-vorhanden und aktuelle Fassung 6. Drittlandtransfer (USA UK CH andere) 7. SCC vorhanden (Standardvertragsklauseln) ### IT und SLA 8. Verschlüsselung in Transit und at Rest 9. SLA-Reaktionszeit 10. SLA-Verfügbarkeit (Prozent / Jahr) 11. Subunternehmer-Liste vollständig ### Exit und Daten 12. Exit-Klausel (Vertragsende Pflichten) 13. Datenherausgabe-Format und Frist ### Compliance 14. Sanktionsliste gefiltert (EU US OFAC) 15. GwG-Prüfung wirtschaftlich Berechtigter 16. Lieferketten-Risiko nach LkSG (Branchen und Region) ### Wirtschaft 17. Versicherungssumme und Haftungsbegrenzung ## Arbeitsblatt-Perspektiven (5) ### Vertrag - Zusatzspalten: AGB-Wirksamkeit (BGB Paragraph 305 ff.) / Gerichtsstand / Vertragsstrafe - Prüfer: Vertragsanwalt - Materialität rot: Haftungsausschluss für Vorsatz / grobe Fahrlaessigkeit ### Datenschutz - Zusatzspalten: TIA (Transfer Impact Assessment) / Datenschutz-Folgenabschätzung-Pflicht / Joint-Controller - Prüfer: Datenschutzbeauftragter - Materialität rot: Auftragsverarbeitung ohne AVV; Drittlandtransfer ohne SCC + TIA ### IT-Sicherheit - Zusatzspalten: ISO-27001-Zertifikat / SOC-2-Bericht / Penetrationstest-Bericht / Vulnerability-Disclosure-Policy - Prüfer: CISO / IT-Sicherheit - Materialität rot: keine ISO-27001 UND keine SOC-2 UND Verarbeitung sensibler Daten ### Compliance (GwG / LkSG) - Zusatzspalten: GwG-Transparenzregister / Sanktionslisten-Treffer / Risiko nach LkSG Paragraph 5 / Beschwerdeverfahren-Anbindung - Prüfer: Compliance-Officer - Materialität rot: Sanktionslisten-Treffer; LkSG-Hochrisiko-Region ohne Pruefkette ### Wirtschaft - Zusatzspalten: Vendor-Volumen / Lock-in-Risiko / Wechselkosten / Konzentrations-Risiko - Prüfer: Einkauf / Risikomanagement - Materialität rot: Vendor-Lock-in ohne Exit-Daten-Standard UND mehr als 30 Prozent Anteil an kritischer Leistung ## Normenrahmen - **DSGVO** — Artikel 28 (Auftragsverarbeitung) Artikel 35 (DSFA) Artikel 44 ff. (Drittlandtransfer) - **BDSG** — Beschaeftigtendatenschutz - **GwG** — Paragraph 10 Sorgfaltspflichten Paragraph 20 Transparenzregister - **LkSG** — Paragraph 5 Risikoanalyse Paragraph 6 Präventionsmaßnahmen - **BGB** — Paragraph 305 ff. AGB-Kontrolle - **TKG / NIS2** — bei TK-/Cyber-bezogenen Vendoren ## Ausgabe Würfel-Schema fix und fertig. Direkt einsatzbereit.