Unternehmen prüfen Bewerber für interne Stellen heute häufig sorgfältig – doch bei externen Partnern, Lieferanten und Subunternehmern klafft oft eine strategische Lücke. Dabei sind es häufig genau diese Akteure, die sensiblen Zugang zu IT-Systemen, Kundendaten oder kritischen Geschäftsprozessen erhalten. Die Folge: Sicherheitsrisiken, Compliance-Verstöße und Reputationsschäden, die sich mit einem strukturierten Third-Party Screening vermeiden ließen.
Laut einer Studie des Ponemon Institute entfallen mehr als 50 Prozent aller Datenpannen auf Dritte mit privilegiertem Zugriff. Gleichzeitig steigen regulatorische Anforderungen: DSGVO, das Lieferkettensorgfaltspflichtengesetz (LkSG) sowie branchenspezifische Normen wie ISO 27001 oder der BSI IT-Grundschutz verlangen von Organisationen den Nachweis, dass auch externe Partner ihren Sorgfaltspflichten genügen.
Was ist Third-Party Supplier Screening?
Third-Party Supplier Screening bezeichnet die systematische Überprüfung externer Geschäftspartner vor und während einer Zusammenarbeit. Im Kern geht es darum, folgende Risikodimensionen zu erfassen:
- Finanzielle Stabilität: Bonitätsprüfung und wirtschaftliche Leistungsfähigkeit des Partners
- Rechtliche und regulatorische Konformität: Sanktionslisten-Screening (EU, OFAC, UN), PEP-Prüfung (politisch exponierte Personen), Handelsregisterdaten
- Reputationsrisiken: Medienscreening auf negative Berichterstattung, Korruptionsverdacht oder Gesetzesverstöße
- Integrität der verantwortlichen Personen: Hintergrundprüfung von Schlüsselpersonen (Geschäftsführer, Projektverantwortliche)
- Datensicherheit und IT-Compliance: Prüfung der Informationssicherheitspraktiken, insbesondere bei Cloud- und SaaS-Anbietern
Diese Dimensionen unterscheiden sich je nach Branche, Zugangsberechtigungen und vertraglicher Tiefe der Partnerschaft. Eine skalierbare Screening-Lösung erlaubt es Unternehmen, Prüfumfang und Tiefe risikobasiert zu steuern.
DSGVO-konform und effizient: Anforderungen an modernes Supplier Screening
Ein zentrales Spannungsfeld beim Screening von Drittparteien ist die DSGVO-Konformität. Anders als bei Bewerbern, bei denen ein Beschäftigungsverhältnis als Rechtsgrundlage dienen kann, müssen Unternehmen beim Screening von Lieferanten und deren Mitarbeitenden auf alternative Rechtsgrundlagen zurückgreifen – etwa berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO oder vertragliche Notwendigkeiten.
Effiziente Prozesse setzen auf drei Grundprinzipien:
- Zweckbindung: Screening-Ergebnisse dürfen nur für den definierten Prüfzweck genutzt werden
- Datensparsamkeit: Nur die für die Risikoeinschätzung notwendigen Daten werden erhoben und verarbeitet
- Transparenz: Betroffene Personen sind – soweit rechtlich vorgeschrieben – über Prüfmaßnahmen zu informieren
Software-gestützte Lösungen ermöglichen eine revisionssichere Dokumentation aller Screening-Vorgänge, was im Falle einer Behördenanfrage oder Prüfung durch Auditoren unverzichtbar ist.
Integration in bestehende Procurement- und HR-Prozesse
Third-Party Screening funktioniert nur dann nachhaltig, wenn es tief in die operativen Prozesse eingebettet ist – nicht als isolierter Einmalprozess, sondern als kontinuierliches Monitoring. Moderne Screening-Plattformen bieten hierfür native Schnittstellen zu gängigen Procurement-Systemen, ERP-Lösungen und Vendor-Management-Plattformen.
Besonders relevant ist die Unterscheidung zwischen:
- Onboarding-Screening: Erstmalige Prüfung vor Vertragsabschluss
- Laufendes Monitoring: Automatisierte Re-Checks bei relevanten Trigger-Events (z. B. Sanktionslistenänderungen, Insolvenzmeldungen, negative Presseartikel)
- Periodische Rezertifizierung: Regelmäßige Vollprüfung in definierten Zeitintervallen
Dieser dreistufige Ansatz reduziert das Risiko, dass ein einst positiv geprüfter Partner im Laufe der Zusammenarbeit zum Sicherheitsproblem wird.
Branchenspezifische Anforderungen: Wer besonders prüfen muss
Während Third-Party Screening branchenübergreifend an Bedeutung gewinnt, gibt es Sektoren mit besonders hohem regulatorischem Druck:
- Finanzdienstleistungen: EBA-Guidelines, MaRisk und DORA verlangen robuste Third-Party Risk Management Frameworks
- Gesundheitswesen: HIPAA (USA), MDR/IVDR (EU) und datenschutzrechtliche Anforderungen bei Verarbeitung von Gesundheitsdaten
- Öffentlicher Sektor und Verteidigung: Besondere Sicherheitsüberprüfungen und Geheimschutzanforderungen
- Handel und Konsumgüter: LkSG-Compliance erfordert Risikoanalysen entlang der gesamten Lieferkette
Unabhängig von der Branche gilt: Je kritischer der Datenzugang oder die operative Abhängigkeit von einem Drittanbieter, desto stringenter sollte das Screening-Regime ausgestaltet sein.
Fazit: Third-Party Screening als strategische Investition
Die Überprüfung externer Partner ist kein administrativer Mehraufwand, sondern ein zentraler Baustein eines modernen Risikomanagementsystems. Unternehmen, die heute in skalierbare, DSGVO-konforme Screening-Prozesse investieren, schützen sich nicht nur vor unmittelbaren Schäden – sie schaffen auch die Grundlage für eine vertrauensbasierte, nachhaltige Lieferkettengovernance.
Die Verbindung aus automatisierten Prüfprozessen, klaren Rechtsgrundlagen und nahtloser Integration in Procurement- und HR-Systeme macht Third-Party Supplier Screening zu einem unverzichtbaren Instrument für zukunftsfähige Organisationen.
Validato ist ein führender Anbieter aus Wien für zuverlässige Background Checks und Human Risk Management in Österreich. Die Plattform unterstützt Unternehmen dabei, Bewerberinnen sowie bestehende Mitarbeitende strukturiert und effizient auf Integrität, Interessenskonflikte und potenzielle Risiken zu prüfen – datenschutzkonform, modular und skalierbar.
Validato ist speziell auf die Anforderungen in Österreich ausgerichtet, verzichtet auf Set-up-Gebühren, Jahresgebühren oder Mindestanzahl an Screenings und lässt sich flexibel in bestehende HR- oder Recruiting-Prozesse integrieren.
Mehr unter: www.validato.com
Validato AG
Claridenstrasse 34
CH8002 Zürich
Telefon: +41 (44) 51577-77
Telefax: +49 (721) 182894304
http://validato.com
COO
Telefon: 0041445157776
