Vendor Due Diligence Checkliste: Schritt-für-Schritt Lieferantenbewertung
Vollständige Vendor Due Diligence Checkliste: 7-Schritte-Prozess, BaFin/GwG-Pflichten, Risikokategorien und Automatisierung der Lieferantenprüfung 2026.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokVendor Due Diligence bezeichnet den strukturierten Verifizierungs- und Bewertungsprozess, den ein Unternehmen vor der vertraglichen Bindung an einen neuen Lieferanten, Dienstleister oder Geschäftspartner durchführt. Der Prozess umfasst das Erheben und Prüfen rechtlicher, finanzieller, operativer sowie regulatorischer Unterlagen einer Drittpartei, um Risiken frühzeitig zu erkennen und die Einhaltung gesetzlicher Vorgaben zu gewährleisten. In Deutschland ergibt sich die Pflicht zur Lieferantenprüfung aus mehreren Rechtsgrundlagen: dem Geldwäschegesetz (GwG), den BaFin-Aufsichtsanforderungen an Auslagerungen, der seit Januar 2025 geltenden DORA-Verordnung, der DSGVO sowie dem seit Januar 2023 wirksamen Lieferkettensorgfaltspflichtengesetz (LkSG). Unternehmen, die diese Anforderungen unterschätzen, riskieren erhebliche Bußgelder, Reputationsschäden und aufsichtliche Maßnahmen.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechts-, Finanz- oder Regulierungsberatung dar. Die regulatorischen Verweise sind zum Veröffentlichungsdatum aktuell. Wenden Sie sich an einen qualifizierten Fachmann für eine auf Ihre Situation zugeschnittene Beratung.
Was ist Vendor Due Diligence?
Vendor Due Diligence (VDD) ist die Prüfung, die eine einkaufende Organisation an einem potenziellen Lieferanten vornimmt, bevor ein Vertrag oder eine Auslagerungsvereinbarung geschlossen wird. Sie unterscheidet sich grundlegend von der klassischen Commercial Due Diligence, die im M&A-Kontext von der Verkäuferseite für potenzielle Käufer erstellt wird. Bei der Vendor Due Diligence steht die beschaffende Organisation im Mittelpunkt: Sie bewertet, ob der Lieferant ihre eigenen Compliance-, Qualitäts- und Risikovorgaben erfüllt.
Vendor Due Diligence ist kein einfaches Lieferantenqualifikationsverfahren, sondern eine mehrschichtige Prüfung, die rechtliche Dokumentation, finanzielle Stabilität, Informationssicherheit, regulatorische Konformität und ESG-Kriterien (Umwelt, Soziales, Unternehmensführung) integriert. Für verpflichtete Unternehmen im Sinne des GwG umfasst die Lieferantenprüfung zudem die regelmäßige Wiederbestätigung der Identität und des Status der Geschäftspartner.
Die folgende Tabelle zeigt die wichtigsten Due-Diligence-Typen im Vergleich:
| Due-Diligence-Typ | Durchführende Partei | Primärer Fokus | Typischer Kontext |
|---|---|---|---|
| Vendor Due Diligence (VDD) | Einkaufsorganisation | Lieferantenrisiko, regulatorische Konformität, Betrieb | Beschaffung, Auslagerung, Lieferantenmanagement |
| Commercial Due Diligence (CDD) | Verkäufer / M&A-Berater | Marktposition, Umsatzprognosen | Fusionen und Übernahmen |
| Financial Due Diligence (FDD) | Käufer oder Investor | Finanzielle Korrektheit, versteckte Verbindlichkeiten | Akquisitionen, Investitionsrunden |
| Legal Due Diligence (LDD) | Rechtsanwalt | Verträge, Rechtsstreitigkeiten, IP-Rechte | Übernahmen, Joint Ventures |
| IT-/Cybersicherheits-Due-Diligence | IT-Sicherheitsteam oder externer Prüfer | Informationssicherheit, Betriebskontinuität | Cloud, SaaS, kritische IKT-Anbieter |
| ESG-Due-Diligence | Nachhaltigkeitsteam oder externer Berater | Menschenrechte, Umwelt, Integrität | Internationale Lieferketten |
Einen umfassenderen Überblick über Due Diligence im Allgemeinen bietet unsere vollständige Due-Diligence-Checkliste für Unternehmen.
Regulatorischer Rahmen in Deutschland
Vendor Due Diligence in Deutschland ist keine freiwillige Best Practice: Mehrere gesetzliche Regelwerke legen Unternehmen konkrete Pflichten auf, wenn sie Dienstleistungen auslagern oder Lieferantenbeziehungen eingehen.
Das GwG verpflichtet alle verpflichteten Unternehmen zu einem risikobasierten Kundensorgfaltsprogramm, das auch die Prüfung von Geschäftspartnern und Dienstleistern einschließt. § 10 GwG schreibt vor, dass verpflichtete Unternehmen — darunter Kreditinstitute, Versicherungen, Wirtschaftsprüfer, Steuerberater, Notare und Immobilienmakler — die Identität ihrer Vertragspartner feststellen und verifizieren, die wirtschaftlich Berechtigten (UBOs) identifizieren und den Zweck der Geschäftsbeziehung verstehen müssen. Bei Auslagerungen an Dritte ist darüber hinaus die Angemessenheit der Compliance-Maßnahmen des Dienstleisters zu beurteilen.
BaFin: Aufsichtsanforderungen an Auslagerungen
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat umfassende Anforderungen an das Auslagerungsmanagement beaufsichtigter Institute veröffentlicht. Gemäß den Mindestanforderungen an das Risikomanagement (MaRisk) und den Bankaufsichtlichen Anforderungen an die IT (BAIT) müssen Kreditinstitute, Wertpapierfirmen und Versicherungsunternehmen ein formelles Auslagerungsverzeichnis führen, vor jeder wesentlichen Auslagerung eine Risikoanalyse durchführen und die Dienstleister regelmäßig überwachen. Die Nichteinhaltung kann zu aufsichtlichen Maßnahmen, einschließlich Bußgeldern und Tätigkeitsbeschränkungen, führen.
DORA: Digital Operational Resilience Act (gültig ab 17. Januar 2025)
DORA (Verordnung (EU) 2022/2554) gilt unmittelbar für alle Finanzunternehmen in der EU — Banken, Versicherungsgesellschaften, Wertpapierfirmen, Zahlungsdienstleister — sowie für deren kritische IKT-Drittdienstleister. Seit dem 17. Januar 2025 sind Finanzunternehmen verpflichtet, für alle IKT-bezogenen Dienstleister eine umfassende vertragliche Due Diligence durchzuführen, ein Register der IKT-Verträge zu führen und regelmäßige Risikobewertungen kritischer Lieferanten zu dokumentieren. DORA führt zudem direkte Aufsichtsbefugnisse der europäischen Aufsichtsbehörden (ESAs) über designierte kritische IKT-Drittdienstleister ein und macht die Vendor Due Diligence damit für alle betroffenen Finanzunternehmen zu einer Pflichtübung mit direkten Sanktionsrisiken.
DSGVO: Datenschutz bei der Lieferantenauswahl
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche, vor dem Einsatz eines Auftragsverarbeiters (Lieferant, der personenbezogene Daten verarbeitet) zu prüfen, ob dieser ausreichende technische und organisatorische Maßnahmen getroffen hat. Dies erfordert einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO sowie eine vorherige Due Diligence bezüglich der Informationssicherheitspolitik des Lieferanten. Verstöße können Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes nach sich ziehen.
LkSG: Lieferkettensorgfaltspflichtengesetz (gültig ab 1. Januar 2023)
Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet Unternehmen ab einer bestimmten Mitarbeiterzahl zur Durchführung einer Risikoanalyse ihrer Lieferkette in Bezug auf Menschenrechtsverletzungen und Umweltrisiken. Seit Januar 2023 gilt das Gesetz für Unternehmen mit mehr als 3.000 Mitarbeitern in Deutschland, seit Januar 2024 auch für solche mit mehr als 1.000 Mitarbeitern. Die Vendor Due Diligence muss daher für betroffene Unternehmen auch eine Bewertung von ESG-Risiken entlang der gesamten Lieferkette umfassen. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) überwacht die Einhaltung.
Zusammenfassend legen GwG, BaFin-Anforderungen, DORA, DSGVO und LkSG gemeinsam ein umfassendes Pflichtengerüst für die Lieferantenprüfung fest, das deutlich über eine einfache Vertragsprüfung hinausgeht und für nahezu alle Branchen relevant ist.
Vendor Due Diligence Checkliste in 7 Schritten
Ein wirksamer Vendor-Due-Diligence-Prozess gliedert sich in sieben aufeinanderfolgende Schritte. Jeder Schritt erzeugt dokumentierte Nachweise, die für Aufsichtsbehörden und interne Revisoren nachvollziehbar und prüfbar sind.
Schritt 1: Risikoeinstufung und Segmentierung des Lieferanten
Die erste Maßnahme besteht in der Bestimmung des Risikoniveaus des beabsichtigten Lieferanten. Nicht jeder Lieferant erfordert denselben Prüfungsumfang. Ein risikobasierter Ansatz — wie er vom GwG gefordert und von der BaFin empfohlen wird — segmentiert Lieferanten in Kategorien:
- Risikokriterien festlegen: Grad des Zugangs zu personenbezogenen Daten, finanzielle Exponierung, Kritikalität für die Betriebskontinuität, geografische Herkunft des Lieferanten, regulatorische Relevanz der erbrachten Dienstleistung
- Risikoniveau zuweisen (niedrig / mittel / hoch / kritisch) auf Basis einer dokumentierten Risikomatrix
- Prüfungstiefe je Risikoniveau festlegen und schriftlich festhalten
- Segmentierungsentscheidung im Lieferantenverzeichnis erfassen und versionieren
Schritt 2: Identitäts- und Gesellschaftsdokumentation
- Aktueller Handelsregisterauszug (nicht älter als drei Monate), abgerufen beim zuständigen Amtsgericht oder über das Unternehmensregister
- Aktuelle Satzung und gegebenenfalls Gesellschaftervereinbarungen
- Nachweis der wirtschaftlich Berechtigten (UBO) gemäß § 20 GwG, Transparenzregisterauszug
- Identitätsdokumente der vertretungsberechtigten Personen (Reisepass oder Personalausweis, gültig)
- Umsatzsteueridentifikationsnummer und, soweit zutreffend, Nachweise über Genehmigungen oder Lizenzen
- Konzernorganigramm (bei komplexen Holding- oder Beteiligungsstrukturen)
Schritt 3: Finanzielle Stabilitätsprüfung
- Jahresabschlüsse der letzten drei Geschäftsjahre (testiert durch einen Wirtschaftsprüfer, sofern verfügbar)
- Bankbürgschaft oder Bonitätsauskunft für Lieferanten mit hoher finanzieller Exponierung
- Nachweise über den Abschluss relevanter Versicherungspolicen (Betriebs-, Berufshaftpflicht-, Cyberrisiko-Versicherung)
- Bestätigung, dass kein Insolvenzverfahren anhängig ist (prüfbar über das Insolvenzbekanntmachungen-Portal)
- Kreditauskunft eines anerkannten Auskunftsdienstes (bei kritischen Lieferanten empfohlen)
Schritt 4: Regulatorische und rechtliche Compliance-Prüfung
- Screening auf Sanktionslisten (EU-Sanktionsverordnungen, OFAC, VN-Sicherheitsrat) für den Lieferanten und seine UBOs
- PEP-Screening (politisch exponierte Person) für Geschäftsführer und wirtschaftlich Berechtigte
- Überprüfung branchenspezifischer Genehmigungen (z. B. BaFin-Zulassung für Finanzdienstleister, Zulassung nach KWG)
- Prüfung auf laufende Rechtsstreitigkeiten, Vollstreckungsmaßnahmen oder aufsichtliche Sanktionen
- Beurteilung der Geldwäscheprävention (AML/CFT-Richtlinien) des Lieferanten, sofern einschlägig
Schritt 5: Informationssicherheits- und DSGVO-Bewertung
- Aktuelles ISO-27001-Zertifikat oder gleichwertige Sicherheitszertifizierung (SOC 2 Typ II, BSI C5)
- Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (bei Verarbeitung personenbezogener Daten zwingend erforderlich)
- Übersicht über Unterauftragnehmer und Datenübermittlungen in Drittländer außerhalb des EWR
- Informationssicherheitsrichtlinie und Notfallwiederherstellungsplan (BCP/DRP) für kritische Lieferanten
- Penetrationstestbericht oder Schwachstellenanalyse (für kritische IKT-Lieferanten gemäß DORA-Anforderungen)
- Bestätigung von Verschlüsselungsstandards und Zugriffskontrollmechanismen
Schritt 6: Operative und ESG-Bewertung
- Nachweise über relevante Qualitätszertifizierungen (ISO 9001, branchenspezifische Normen)
- Referenzen von mindestens zwei bestehenden Kunden vergleichbarer Größe
- Betriebskontinuitätsplan und Notfalllieferantenstrategie für kritische Dienstleistungen
- ESG-Fragebogen oder Nachhaltigkeitsbericht (für Lieferanten, die unter LkSG-Sorgfaltspflichten fallen)
- Erklärung zu Arbeitsbedingungen und Einhaltung von Arbeitsnormen (relevant für internationale Lieferketten nach LkSG)
- Antikorruptions- und Integritätsrichtlinien des Lieferanten, einschließlich Hinweisgebersystem
Schritt 7: Vertragliche Verankerung und Überwachungsplan
- Unterzeichneter Vertrag mit expliziten Compliance-Klauseln (GwG, DSGVO, DORA, LkSG soweit einschlägig)
- SLA (Service Level Agreement) mit quantifizierbaren Leistungsindikatoren und Eskalationspfaden
- Auditrecht: vertragliche Klausel, die dem Auftraggeber das Recht zur (externen) Prüfung des Lieferanten einräumt
- Kündigungsklausel und Exit-Managementplan für kritische Lieferanten, inkl. Datenlöschungsverpflichtung
- Festgelegter Überwachungsturnus: periodische Wiederbestätigung von Dokumenten (jährlich für Hochrisiko-Lieferanten)
- Eskalationsverfahren bei Nichtkonformität oder sicherheitsrelevanten Vorfällen
Eine dokumentierte 7-Schritte-Vendor-Due-Diligence-Vorgehensweise verringert das Risiko von Vertragsverletzungen, Bußgeldern und Reputationsschäden erheblich und liefert den Nachweis eines risikobasierten Ansatzes, den BaFin, GwG und DORA explizit verlangen.
Thema vertiefen
Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.
Leitfäden entdeckenRisikokategorien bei der Lieferantenbewertung
Lieferantenrisiko ist mehrdimensional. Eine rein finanzielle Beurteilung übersieht kritische Dimensionen, die bei aufsichtlichen Prüfungen im Mittelpunkt stehen. Die folgende Tabelle gibt einen Überblick über die Risikokategorien, die in einem vollständigen Vendor-Due-Diligence-Programm berücksichtigt werden müssen, einschließlich der zugehörigen Indikatoren und des regulatorischen Rahmens.
| Risikokategorie | Kernrisiken | Bewertungsindikatoren | Relevantes Regelwerk |
|---|---|---|---|
| Rechtlich / Gesellschaftsrechtlich | Undurchsichtige Eigentumsstruktur, UBO-Diskrepanz, Sanktionsexponierung | Handelsregisterauszug, Transparenzregister, Sanktionsscreening | GwG, HGB |
| Finanziell / Bonität | Insolvenzrisiko, unzureichende Kapitalausstattung, Liquiditätsprobleme | Jahresabschlüsse, Bonitätsauskunft, Versicherungspolicen | HGB, sektorspezifische Aufsichtsregeln |
| IKT / Informationssicherheit | Datenschutzverletzungen, Cyberangriffe, mangelnde Betriebskontinuität | ISO 27001, SOC 2, Penetrationstestbericht, DRP | DORA, DSGVO (Art. 32) |
| Regulatorisch / Compliance | Lizenzverstoß, AML/CFT-Mängel, PEP-Verbindungen | Lizensstatus, AML-Richtlinien, PEP-/Sanktionsscreening | GwG, KWG, DORA |
| Operativ / Qualität | Lieferunterbrechungen, Qualitätsmängel, Subunternehmerrisiko | ISO 9001, SLA-Leistung, BCP, Referenzen | Branchenstandards, Vertragsrecht |
| Datenschutz / DSGVO | Unrechtmäßige Datenverarbeitung, Drittlandübermittlung, Unterauftragnehmer | Auftragsverarbeitungsvertrag, ROPA, Unterauftragnehmerverzeichnis | DSGVO Art. 28, Art. 46 |
| ESG / Integrität | Korruption, Menschenrechtsverletzungen, Umweltverschmutzung | ESG-Fragebogen, Antikorruptionsrichtlinien, LkSG-Berichte | LkSG, CSRD, OECD-Leitsätze |
| Konzentration / Abhängigkeit | Einzel-Sourcing-Strategie, Anbieter-Lock-in, fehlende Alternativen | Exitplan, Alternativlieferanten, Vertragslaufzeit | DORA (Art. 28), BaFin MaRisk |
Die Konzentrations-Risiko-Dimension wird von vielen Unternehmen unterschätzt: DORA verpflichtet Finanzunternehmen ausdrücklich dazu, Lieferantenkonzentrationsrisiken zu dokumentieren und zu steuern, insbesondere bei kritischen IKT-Dienstleistern. Die BaFin erwartet ein entsprechendes Nachweis im Rahmen der MaRisk-Compliance.
Einen umfassenderen Kontext zum Drittparteien-Risikomanagement bietet unsere Übersicht zum Third-Party Risk Management (TPRM).
Vendor Due Diligence automatisieren
Manuelle Lieferantenbewertung ist zeitaufwendig, fehleranfällig und schwer skalierbar. Das Sammeln, Verifizieren und Überwachen von Dutzenden von Dokumenten pro Lieferant — mit unterschiedlichen Ablaufdaten, länderspezifischen Formaten und mehreren beteiligten Teams — führt in der Praxis zu strukturellen Rückständen und Compliance-Lücken.
Unsere Analyse von mehr als 45.000 Lieferantendossiers zeigt, dass 14,2 % blockierende Fehler enthalten — abgelaufene, fehlende oder mit den registrierten Gesellschaftsdaten nicht übereinstimmende Dokumente. Diese Quote liegt in Branchen mit strengen Auslagerungsanforderungen, wie Finanzdienstleistungen und Gesundheitswesen, noch deutlich höher, da dort die Dokumentationslast am größten ist.
CheckFile automatisiert den Kern des Vendor-Due-Diligence-Prozesses. Unsere Plattform ermöglicht Compliance-Teams:
- Dokumente automatisch zu validieren: Das System erkennt Dokumententypen (Handelsregisterauszüge, Versicherungspolicen, ISO-Zertifikate, Auftragsverarbeitungsverträge), extrahiert relevante Daten mittels OCR und gleicht diese mit erwarteten Werten ab.
- Ablaufdaten zu überwachen: Automatisierte Erinnerungen warnen rechtzeitig vor bevorstehenden Ablaufdaten von Genehmigungen, Zertifikaten und Versicherungspolicen — ohne manuelle Terminplanung.
- Risikobasierte Workflows einzurichten: Auf Basis des Lieferantensegments (niedrig / mittel / hoch / kritisch) generiert die Plattform automatisch die erforderlichen Dokumentationssätze und steuert den entsprechenden Prüfworkflow.
- Ein prüfungssicheres Dossier zu führen: Jedes Lieferantendossier enthält eine vollständige Chronik der eingegangenen Dokumente, Validierungsergebnisse, Prüfungsnotizen und Genehmigungen — direkt zugänglich für Aufsichtsbehörden und interne Revisoren.
- Sanktions- und UBO-Screening zu integrieren: Über direkte Anbindungen an Sanktionslisten und Transparenzregister werden Risikoveränderungen bei bestehenden Lieferanten proaktiv gemeldet.
Unternehmen, die unsere Plattform einsetzen, berichten von einer Verkürzung der Durchlaufzeit für das Lieferanten-Onboarding von durchschnittlich 14 Werktagen auf unter 3 Werktage — eine Verbesserung von über 75 % — wobei die Vollständigkeitsquote der Dossiers von durchschnittlich 65 % auf 97 % bei der Ersteinreichung steigt. Weitere Informationen zur technischen Architektur und Sicherheitsinfrastruktur unserer Lösung finden Sie auf unserer Sicherheitsseite.
Interessieren Sie sich für unsere Möglichkeiten für Leasinggesellschaften und Finanzierungspartner? Erfahren Sie mehr auf der Seite Finanzierung und Leasing. Eine vollständige Übersicht unserer Preisstruktur finden Sie auf unserer Preisseite. Für einen umfassenden Überblick über alle Dokumentenprüfungsfunktionen empfehlen wir unseren Leitfaden zur Dokumentenverifizierung.
Praktische Fragen von Compliance-Teams
Wie tief muss eine Vendor Due Diligence bei einem Niedrigrisiko-Lieferanten gehen?
Bei einem Niedrigrisiko-Lieferanten — einem Lieferanten ohne Zugang zu personenbezogenen Daten, mit begrenzter finanzieller Exponierung und ohne kritische operative Abhängigkeit — genügt in den meisten Fällen eine Basisprüfung: Überprüfung des Handelsregisterauszugs, ein Sanktionsscreening der juristischen Person und ihrer UBOs sowie eine kurze Bonitätsprüfung (beispielsweise über eine öffentliche Auskunft). Ein vollständiger Satz von Jahresabschlüssen, ISO-Zertifikaten oder ein Auftragsverarbeitungsvertrag ist bei dieser Lieferantenkategorie unverhältnismäßig. Der risikobasierte Grundsatz des GwG unterstützt ausdrücklich diesen differenzierten Ansatz: Für Geschäftsbeziehungen mit niedrigem Risiko sind vereinfachte Maßnahmen zulässig, sofern die Risikoeinstufung nachweisbar und dokumentiert ist.
Die anfängliche Risikoeinstufung muss jedoch regelmäßig überprüft werden: Ein Lieferant, der ursprünglich als Niedrigrisiko eingestuft wurde, kann durch eine Ausweitung der Dienstleistungen oder Änderungen in der Eigentumsstruktur in eine höhere Risikokategorie wechseln. Ein effektives Überwachungssystem signalisiert solche Statusänderungen automatisch.
Wie häufig müssen Lieferantendossiers aktualisiert werden?
Die Aktualisierungsfrequenz hängt vom Risikoniveau des Lieferanten und der Art der erbrachten Dienstleistungen ab. Als Leitlinie gilt:
- Kritische Lieferanten (z. B. kritische IKT-Anbieter unter DORA, Auslagerung von Kernprozessen): jährliche vollständige Neubewertung, ergänzt durch kontinuierliches Monitoring auf Sanktions- und UBO-Änderungen
- Hochrisiko-Lieferanten: jährliche Überprüfung der Kerndokumente, halbjährliches Sanktionsscreening
- Mittelrisiko-Lieferanten: zweijährliche Überprüfung, jährliches Sanktionsscreening
- Niedrigrisiko-Lieferanten: dreijährliche Überprüfung oder bei wesentlichen Änderungen in der Lieferantenbeziehung
Die BaFin erwartet, dass beaufsichtigte Institute die Häufigkeit der Lieferantenüberprüfungen auf Basis einer dokumentierten Risikoanalyse begründen können. Ein zeitbasierter Überprüfungsturnus, der an die Risikokategorie geknüpft ist, bietet die stärkste Verteidigungslinie bei einer Aufsichtsprüfung.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Vendor Due Diligence und Lieferantenqualifikation?
Lieferantenqualifikation ist typischerweise ein operativer Prozess, der prüft, ob ein Lieferant technisch und kommerziell die Anforderungen erfüllt: Produktspezifikationen, Lieferkapazität und Preisvereinbarungen. Vendor Due Diligence geht darüber hinaus und umfasst eine mehrschichtige Bewertung rechtlicher, finanzieller, regulatorischer und integritätsbezogener Aspekte. In regulierten Branchen (Finanzdienstleistungen, Gesundheitswesen, Energie) ist VDD eine Compliance-Pflicht, während die Lieferantenqualifikation eine operative Best Practice darstellt. Beide Prozesse überschneiden sich, sind jedoch nicht austauschbar.
Gilt die Vendor Due Diligence Pflicht auch für nicht-finanzielle Unternehmen?
Die schwersten Anforderungen — wie sie aus GwG und DORA resultieren — gelten für verpflichtete Unternehmen und Finanzunternehmen. Nicht-finanzielle Unternehmen sind jedoch keineswegs von allen lieferantenbezogenen Pflichten befreit. Die DSGVO verpflichtet jeden Verantwortlichen zu einer angemessenen Lieferantenprüfung beim Einsatz von Auftragsverarbeitern. Das LkSG verpflichtet betroffene Unternehmen zur Risikoanalyse ihrer Lieferketten. Das HGB und das allgemeine Zivilrecht begründen eine Sorgfaltspflicht in allen Vertragsbeziehungen. Und die zunehmende Exponierung durch Cyberangriffe über Lieferantenkanäle macht Vendor Due Diligence auch für nicht regulierte Unternehmen betriebswirtschaftlich unerlässlich.
Welche Dokumente sind bei jeder Vendor Due Diligence zwingend erforderlich?
Ein Basisset zwingend erforderlicher Dokumente für jede Vendor Due Diligence — unabhängig vom Risikoniveau — umfasst: einen aktuellen Handelsregisterauszug (oder ausländisches Äquivalent), ein Sanktionsscreening der juristischen Person und ihrer UBOs, Nachweise über relevante Genehmigungen oder Registrierungen sowie eine Kopie der unterzeichneten Vereinbarung mit Compliance-Klauseln. Abhängig vom Risikoniveau und der Art der Dienstleistung werden weitere Unterlagen ergänzt, wie Jahresabschlüsse, ISO-Zertifikate, ein Auftragsverarbeitungsvertrag oder eine DORA-konforme IKT-Risikoanalyse.
Wie lange müssen Vendor-Due-Diligence-Unterlagen aufbewahrt werden?
Die Aufbewahrungsfristen für Vendor-Due-Diligence-Unterlagen richten sich nach den Zwecken, für die die Daten erhoben wurden. Gemäß § 8 GwG gilt eine gesetzliche Aufbewahrungsfrist von fünf Jahren nach Beendigung der Geschäftsbeziehung für Sorgfaltspflichten-Unterlagen. Für Vertragsunterlagen gelten nach HGB und BGB handels- und zivilrechtliche Fristen von sechs bis zehn Jahren. Die DSGVO verlangt, dass personenbezogene Daten in Due-Diligence-Dossiers nicht länger als erforderlich aufbewahrt werden: Legen Sie Aufbewahrungsfristen pro Dokumentkategorie fest und dokumentieren Sie die Rechtsgrundlage für die Aufbewahrung.
Was sind die häufigsten Schwachstellen bei der Vendor Due Diligence?
Auf Basis unserer Plattform sind die fünf häufigsten Schwachstellen bei der Vendor Due Diligence: (1) abgelaufene oder fehlende Versicherungspolicen, die nicht rechtzeitig erneuert werden, (2) unvollständige UBO-Dokumentation bei Lieferanten mit komplexen Holdingstrukturen, (3) fehlendes Auftragsverarbeitungsvertrag bei Lieferanten, die personenbezogene Daten verarbeiten, (4) ausstehendes Sanktionsscreening bei der regelmäßigen Wiederbestätigung bestehender Lieferanten, und (5) fehlende dokumentierte Risikoeinstufung, die den Umfang der Prüfung begründet. Die Automatisierung des Erfassungsprozesses und strukturierte Checklisten pro Risikokategorie beseitigen die meisten dieser Schwachstellen strukturell. Besuchen Sie unsere Startseite für weitere Informationen darüber, wie CheckFile Ihre Compliance-Teams unterstützt.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.