Externe Dienstleister, Subunternehmer und Lieferanten sind aus modernen Unternehmensstrukturen nicht wegzudenken. Sie übernehmen IT-Betrieb, Logistik, Personaldienstleistungen und vieles mehr. Doch mit dieser Abhängigkeit wächst ein Risiko, das viele Unternehmen systematisch unterschätzen: Was wissen Sie wirklich über Ihre externen Partner?


Dieser Artikel erklärt, was Third-Party Supplier Screening ist, welche regulatorischen Anforderungen heute gelten, wie ein strukturierter Screening-Prozess aussieht – und worauf Sie bei der Auswahl einer geeigneten Softwarelösung achten sollten.


Das Wichtigste in Kürze

  1. Third-Party Supplier Screening ist die systematische Prüfung externer Partner vor und während der Zusammenarbeit.
  2. LkSG, DSGVO, DORA und NIS-2 verlangen aktives Third-Party Risk Management – mit revisionssicherer Dokumentation.
  3. Manuelle Prozesse sind nicht skalierbar – automatisiertes Screening mit kontinuierlichem Monitoring ist der Standard.
  4. Eine gute Screening-Lösung ist DSGVO-nativ, risikobasiert konfigurierbar und in bestehende Systeme integrierbar.


Was ist Third-Party Supplier Screening?

Third-Party Supplier Screening (auch: Vendor Screening oder Lieferantenprüfung) bezeichnet die strukturierte Überprüfung externer Geschäftspartner hinsichtlich ihrer Integrität, Rechtskonformität, finanziellen Stabilität und Sicherheitspraktiken.


Dabei werden sowohl die Organisation selbst als auch die verantwortlichen Personen (Geschäftsführer, Projektverantwortliche) geprüft. Das Ziel ist eine faktenbasierte Einschätzung des Risikoprofils eines Partners – vor Vertragsabschluss und während der laufenden Zusammenarbeit.


Third-Party Screening ist damit die logische Erweiterung des Pre-Employment Screenings: Während letzteres auf Mitarbeitende im eigenen Haus ausgerichtet ist, adressiert ersteres alle externen Akteure, die operativen oder datenbezogenen Zugang zum Unternehmen erhalten.


Warum Drittanbieter-Screening heute unverzichtbar ist

Die Risikoexponierung durch Dritte ist gestiegen

Der Anteil ausgelagerter Prozesse hat in den vergangenen Jahren stark zugenommen. Cloud-Anbieter, Managed-Service-Provider, Personaldienstleister, Logistikpartner – sie alle agieren mit unterschiedlich tiefen Zugriffsrechten auf Unternehmenssysteme und -daten. Jeder dieser Partner stellt einen potenziellen Angriffspunkt dar – nicht weil er böswillig agiert, sondern weil er seinerseits Schwachstellen oder Compliance-Lücken aufweisen kann.

Regulatorischer Druck auf mehreren Ebenen

Unternehmen stehen heute vor einem regulatorischen Geflecht, das Third-Party Risk Management explizit adressiert:

  1. Lieferkettensorgfaltspflichtengesetz (LkSG): Gilt seit 2024 für Unternehmen ab 1.000 Mitarbeitenden. Verlangt Risikoanalysen und Präventionsmaßnahmen entlang der direkten und indirekten Lieferkette – inklusive Menschenrechts- und Umweltrisiken.
  2. DSGVO Art. 28 & 32: Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen nachweisen. Unternehmen sind verantwortlich dafür, dass ihre Verarbeiter compliant sind.
  3. DORA (Digital Operational Resilience Act): Verbindlich seit Januar 2025 für Finanzunternehmen in der EU. Verlangt ein vollständiges IKT-Third-Party-Risk-Management-Framework inklusive Vertragsstandards, Ausstiegsstrategien und regelmäßiger Prüfung.
  4. NIS-2-Richtlinie: Erweitert Cybersicherheitspflichten auf kritische und wichtige Einrichtungen sowie deren Lieferketten.

Reputationsrisiken sind nicht versicherbar

Ein Lieferant, der in einen Korruptionsskandal verwickelt ist, zieht in der medialen Berichterstattung oft seine Geschäftspartner mit. Selbst wenn das eigene Unternehmen keine direkte Schuld trägt, leidet die Reputation. Adverse Media Screening – die systematische Suche nach negativer Berichterstattung zu einem Partner – ist deshalb ein integraler Bestandteil moderner Screening-Prozesse.

Der Screening-Prozess: Drei Phasen im Überblick

Phase 1: Onboarding-Screening

Vor dem ersten Vertragsabschluss erfolgt eine vollständige Erstprüfung des potenziellen Partners. Diese umfasst typischerweise Sanktionslisten-Check, Handelsregisterprüfung, Bonitätsauskunft, PEP-Screening der verantwortlichen Personen sowie eine initiale Medienrecherche.

Das Ergebnis des Onboarding-Screenings fließt in die Vergabeentscheidung ein. Bei erhöhtem Risikoprofil kann eine intensivierte Due-Diligence eingeleitet oder die Zusammenarbeit abgelehnt werden.

Phase 2: Kontinuierliches Monitoring

Eine einmalige Prüfung beim Onboarding ist nicht ausreichend. Sanktionslisten ändern sich täglich, Unternehmen geraten in finanzielle Schwierigkeiten, Führungspersonen werden in Ermittlungsverfahren verwickelt. Kontinuierliches Monitoring überwacht alle aktiven Partner automatisiert und löst bei relevanten Trigger-Events einen Alert aus.

Typische Trigger-Events sind: Eintrag in eine Sanktionsliste, Eröffnung eines Insolvenzverfahrens, Geschäftsführerwechsel, negative Berichterstattung in definierten Medienquellen.

Phase 3: Periodische Rezertifizierung

Zusätzlich zum laufenden Monitoring empfiehlt sich eine vollständige Neuprüfung in definierten Intervallen – je nach Risikokategorie des Partners jährlich, halbjährlich oder quartalsweise. Die Rezertifizierung erzeugt einen revisionssicheren Zeitstempel, der im Rahmen von Audits und behördlichen Prüfungen vorgelegt werden kann.


Wichtig: Die drei Phasen sind keine optionalen Module. Erst ihr Zusammenspiel ergibt ein vollständiges Third-Party Risk Management – und erfüllt die regulatorischen Nachweispflichten aus LkSG, DSGVO und DORA.


DSGVO-konformes Screening: Was Unternehmen beachten müssen

Das Screening externer Partner berührt datenschutzrechtliche Anforderungen auf mehreren Ebenen. Folgende Punkte sind besonders relevant:

  1. Rechtsgrundlage: Beim Screening von Unternehmen und deren Repräsentanten kann Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) als Rechtsgrundlage herangezogen werden. Voraussetzung ist eine Interessenabwägung, die dokumentiert werden sollte.
  2. Informationspflichten: Natürliche Personen (z. B. Geschäftsführer eines Lieferanten), deren Daten verarbeitet werden, sind nach Art. 13/14 DSGVO über die Verarbeitung zu informieren – sofern keine Ausnahme greift.
  3. Datensparsamkeit: Es dürfen nur die Daten erhoben werden, die für die Risikoeinschätzung tatsächlich notwendig sind.
  4. Aufbewahrung und Löschung: Screening-Ergebnisse müssen nach definierten Fristen gelöscht werden – Software-gestützte Prozesse sollten automatische Löschroutinen umfassen.


Worauf Sie bei der Auswahl einer Screening-Plattform achten sollten

Der Markt für Third-Party Screening Lösungen ist gewachsen. Folgende Kriterien helfen bei der Auswahl einer geeigneten Plattform:

DSGVO-native Architektur: Datenverarbeitung ausschließlich in der EU, klare Verarbeitungsverträge, automatische Löschfristen

Datenbanktiefe und -breite: Abdeckung relevanter Sanktionslisten, PEP-Datenbanken, Handelsregister und Adverse-Media-Quellen für Ihre geografischen Märkte

Risikobasierte Konfigurierbarkeit: Prüfumfang und -tiefe sollten je nach Lieferantenkategorie individuell steuerbar sein

Automatisches Monitoring mit Alerting: Keine manuelle Nachverfolgung – Systeme müssen bei relevanten Änderungen proaktiv benachrichtigen

Revisionssichere Dokumentation: Vollständige Audit-Trails aller Prüfvorgänge, exportierbar für Behördenanfragen

Systemintegrationen: API-Anbindungen an ERP-, Procurement- und HR-Systeme für nahtlose Prozessintegration

Skalierbarkeit: Die Lösung muss mit wachsender Lieferantenbasis mitwachsen – ohne linearen Aufwandszuwachs


Fazit: Supplier Screening ist kein Projekt – es ist ein Prozess

Third-Party Supplier Screening ist keine einmalige Maßnahme, die man abhaken kann. Es ist ein kontinuierlicher Risikomanagementprozess, der in Beschaffung, Vertragsmanagement und Compliance-Funktionen eingebettet sein muss.


Unternehmen, die heute strukturierte Screening-Prozesse einführen, profitieren auf mehreren Ebenen: Sie reduzieren regulatorische Haftungsrisiken, schützen ihre Reputation, stärken das Vertrauen ihrer Kunden und Investoren – und schaffen eine skalierbare Grundlage für nachhaltiges Wachstum in komplexen Lieferketten.


Validato unterstützt Unternehmen dabei, Third-Party Screening effizient, DSGVO-konform und vollständig automatisiert umzusetzen, vom Onboarding-Check bis zum kontinuierlichen Monitoring.