Drittanbieter-Screening: Warum die Überprüfung von Lieferanten und Partnern zur Pflicht wird

Unternehmen prüfen Bewerber für interne Stellen heute häufig sorgfältig – doch bei externen Partnern, Lieferanten und Subunternehmern klafft oft eine strategische Lücke. Dabei sind es häufig genau diese Akteure, die sensiblen Zugang zu IT-Systemen, Kundendaten oder kritischen Geschäftsprozessen erhalten. Die Folge: Sicherheitsrisiken, Compliance-Verstöße und Reputationsschäden, die sich mit einem strukturierten Third-Party Screening vermeiden ließen.

Laut einer Studie des Ponemon Institute entfallen mehr als 50 Prozent aller Datenpannen auf Dritte mit privilegiertem Zugriff. Gleichzeitig steigen regulatorische Anforderungen: DSGVO, das Lieferkettensorgfaltspflichtengesetz (LkSG) sowie branchenspezifische Normen wie ISO 27001 oder der BSI IT-Grundschutz verlangen von Organisationen den Nachweis, dass auch externe Partner ihren Sorgfaltspflichten genügen.

Was ist Third-Party Supplier Screening?

Third-Party Supplier Screening bezeichnet die systematische Überprüfung externer Geschäftspartner vor und während einer Zusammenarbeit. Im Kern geht es darum, folgende Risikodimensionen zu erfassen:

• Finanzielle Stabilität: Bonitätsprüfung und wirtschaftliche Leistungsfähigkeit des Partners
• Rechtliche und regulatorische Konformität: Sanktionslisten-Screening (EU, OFAC, UN), PEP-Prüfung (politisch exponierte Personen), Handelsregisterdaten
• Reputationsrisiken: Medienscreening auf negative Berichterstattung, Korruptionsverdacht oder Gesetzesverstöße
• Integrität der verantwortlichen Personen: Hintergrundprüfung von Schlüsselpersonen (Geschäftsführer, Projektverantwortliche)
• Datensicherheit und IT-Compliance: Prüfung der Informationssicherheitspraktiken, insbesondere bei Cloud- und SaaS-Anbietern

Diese Dimensionen unterscheiden sich je nach Branche, Zugangsberechtigungen und vertraglicher Tiefe der Partnerschaft. Eine skalierbare Screening-Lösung erlaubt es Unternehmen, Prüfumfang und Tiefe risikobasiert zu steuern.

DSGVO-konform und effizient: Anforderungen an modernes Supplier Screening

Ein zentrales Spannungsfeld beim Screening von Drittparteien ist die DSGVO-Konformität. Anders als bei Bewerbern, bei denen ein Beschäftigungsverhältnis als Rechtsgrundlage dienen kann, müssen Unternehmen beim Screening von Lieferanten und deren Mitarbeitenden auf alternative Rechtsgrundlagen zurückgreifen – etwa berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO oder vertragliche Notwendigkeiten.

Effiziente Prozesse setzen auf drei Grundprinzipien:

• Zweckbindung: Screening-Ergebnisse dürfen nur für den definierten Prüfzweck genutzt werden
• Datensparsamkeit: Nur die für die Risikoeinschätzung notwendigen Daten werden erhoben und verarbeitet
• Transparenz: Betroffene Personen sind – soweit rechtlich vorgeschrieben – über Prüfmaßnahmen zu informieren

Software-gestützte Lösungen ermöglichen eine revisionssichere Dokumentation aller Screening-Vorgänge, was im Falle einer Behördenanfrage oder Prüfung durch Auditoren unverzichtbar ist.

Integration in bestehende Procurement- und HR-Prozesse

Third-Party Screening funktioniert nur dann nachhaltig, wenn es tief in die operativen Prozesse eingebettet ist – nicht als isolierter Einmalprozess, sondern als kontinuierliches Monitoring. Moderne Screening-Plattformen bieten hierfür native Schnittstellen zu gängigen Procurement-Systemen, ERP-Lösungen und Vendor-Management-Plattformen.

Besonders relevant ist die Unterscheidung zwischen:

• Onboarding-Screening: Erstmalige Prüfung vor Vertragsabschluss
• Laufendes Monitoring: Automatisierte Re-Checks bei relevanten Trigger-Events (z. B. Sanktionslistenänderungen, Insolvenzmeldungen, negative Presseartikel)
• Periodische Rezertifizierung: Regelmäßige Vollprüfung in definierten Zeitintervallen

Dieser dreistufige Ansatz reduziert das Risiko, dass ein einst positiv geprüfter Partner im Laufe der Zusammenarbeit zum Sicherheitsproblem wird.

Branchenspezifische Anforderungen: Wer besonders prüfen muss

Während Third-Party Screening branchenübergreifend an Bedeutung gewinnt, gibt es Sektoren mit besonders hohem regulatorischem Druck:

• Finanzdienstleistungen: EBA-Guidelines, MaRisk und DORA verlangen robuste Third-Party Risk Management Frameworks
• Gesundheitswesen: HIPAA (USA), MDR/IVDR (EU) und datenschutzrechtliche Anforderungen bei Verarbeitung von Gesundheitsdaten
• Öffentlicher Sektor und Verteidigung: Besondere Sicherheitsüberprüfungen und Geheimschutzanforderungen
• Handel und Konsumgüter: LkSG-Compliance erfordert Risikoanalysen entlang der gesamten Lieferkette

Unabhängig von der Branche gilt: Je kritischer der Datenzugang oder die operative Abhängigkeit von einem Drittanbieter, desto stringenter sollte das Screening-Regime ausgestaltet sein.

Fazit: Third-Party Screening als strategische Investition

Die Überprüfung externer Partner ist kein administrativer Mehraufwand, sondern ein zentraler Baustein eines modernen Risikomanagementsystems. Unternehmen, die heute in skalierbare, DSGVO-konforme Screening-Prozesse investieren, schützen sich nicht nur vor unmittelbaren Schäden – sie schaffen auch die Grundlage für eine vertrauensbasierte, nachhaltige Lieferkettengovernance.

Die Verbindung aus automatisierten Prüfprozessen, klaren Rechtsgrundlagen und nahtloser Integration in Procurement- und HR-Systeme macht Third-Party Supplier Screening zu einem unverzichtbaren Instrument für zukunftsfähige Organisationen.