Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Lieferanten durchsuchenNeuen Lieferanten anlegenLieferanten bearbeitenLieferanten-Detailseite
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
IT Einstellungen
Risiko Einstellungen

Neuen Lieferanten anlegen

Erfassen Sie einen neuen Lieferanten mit Kontakten, Klassifikation und Verarbeitungskontext.

Neuen Lieferanten anlegen

Das Lieferantenverzeichnis ist eine der wichtigsten Säulen einer DSGVO-konformen Organisation. Jedes Mal, wenn Ihr Unternehmen personenbezogene Daten mit einer externen Partei teilt – ob Cloud-Anbieter, Lohnbuchhaltungsdienstleister, Marketingagentur oder Anwaltskanzlei – sind Sie gesetzlich verpflichtet, diese Beziehung zu dokumentieren. Der Bildschirm Neuen Lieferanten anlegen ist der Ausgangspunkt für diese Dokumentation. Datenschutzbeauftragte, Compliance-Verantwortliche, Datenschutzmanager und IT-Administratoren nutzen ihn täglich, um neue Lieferantendatensätze zu eröffnen und bestehende auf dem neuesten Stand zu halten. Sobald ein Datensatz angelegt wurde, wird er zur zentralen Anlaufstelle für Risikobeurteilungen, verknüpfte Dokumente, Datentransferaufzeichnungen, technische und organisatorische Maßnahmen (TOMs) sowie Sorgfaltsprüfungs-Workflows.

So öffnen Sie diesen Bildschirm

  • Klicken Sie in der linken Navigationsleiste auf Vendors, um das Lieferantenverzeichnis zu öffnen.
  • Klicken Sie auf der Lieferantenübersichtsseite oben rechts auf die Schaltfläche Create.
  • Wählen Sie im erscheinenden Dropdown-Menü die Option zum manuellen Anlegen eines neuen Lieferanten.

Das Formular öffnet sich unter /vendor/create und landet direkt auf der Registerkarte General.

Hinweis zu Berechtigungen: Sie benötigen mindestens eine der folgenden Berechtigungen, um das Formular zu sehen: Berechtigung zum Anlegen von Lieferanten, zum Bearbeiten beliebiger Lieferanten oder zum Bearbeiten der Ihnen zugewiesenen Lieferanten. Fehlt diese Berechtigung, wird statt des Formulars eine „Verboten"-Seite (403) angezeigt.

Screenshot

Was Sie sehen

Der Bildschirm ist in zwei Bereiche unterteilt. Links befindet sich ein vertikales Tab-Menü mit allen Bereichen des Lieferantendatensatzes – General, Criticality, Assets, Assessments, Tasks, Documents, Manage Access, TOMs, Trigger Workflow sowie eine Reihe risikobezogener Registerkarten. Die aktive Registerkarte ist durch einen schmalen blauen Balken am linken Rand hervorgehoben.

Rechts befindet sich der Inhaltsbereich. Beim ersten Öffnen zeigt er die Registerkarte General – eine Formularkarte mit blauem Akzentbalken am linken Rand. Ganz oben in der Formularkarte befindet sich die Aktionsleiste mit der Auswahl der verantwortlichen Person und dem Statusdropdown. Darunter sind alle Felder in einer einzigen Spalte angeordnet. Ein Breadcrumb am oberen Rand des Panels zeigt Ihren aktuellen Standort. Am unteren Rand des Inhaltsbereichs finden Sie stets die Schaltflächen Save und Zurück.

Bei einem brandneuen Lieferanten (der noch nicht gespeichert wurde) ist nur die Registerkarte General vollständig nutzbar. Registerkarten, die einen gespeicherten Datensatz voraussetzen – wie die Transfer-Unterregisterkarten und verknüpfte Objekte – sind in der Seitenleiste sichtbar, werden aber erst nach dem ersten Speichern vollständig zugänglich.

So arbeiten Sie mit diesem Bildschirm

Einen Lieferanten erstmalig anlegen

Die häufigste Aufgabe hier ist das Eröffnen eines neuen Datensatzes. Angenommen, Ihr Einkaufsteam hat soeben einen Vertrag mit einer neuen E-Mail-Marketing-Plattform abgeschlossen.

Geben Sie zunächst den offiziellen rechtlichen Namen des Lieferanten in das Feld Name ein. Da DPMS mehrere Sprachen unterstützt, kann das Namensfeld Übersetzungen speichern – wenn Ihre Organisation die KI-Übersetzungsfunktion nutzt, können Sie diese automatisch generieren lassen. Achten Sie besonders auf einen korrekten Namen: Er erscheint in Breadcrumbs, in der Lieferantenübersicht und in jedem Datensatz, der auf diesen Lieferanten verweist.

Tragen Sie dann die primäre Kontakt-E-Mail-Adresse in das Feld Email ein. Geben Sie anschließend unter Contact Information die Address (Straße) und die City (Stadt) des Lieferanten ein – beide Felder befinden sich direkt untereinander und erfassen die Anschrift des eingetragenen Sitzes.

Gehen Sie weiter zu Country of Contracting Party und wählen Sie das Land, in dem die Vertragspartei ansässig ist. Dies ist für die Datentransfer-Compliance entscheidend: Liegt das Land außerhalb des Europäischen Wirtschaftsraums, verwendet DPMS diese Information, wenn Sie später die Rechtsgrundlage für Datentransfers erfassen.

Wählen Sie im Dropdown Regulations die zutreffenden gesetzlichen Rahmenbedingungen aus – z. B. DSGVO, CCPA oder nFADP. Diese Tags verknüpfen den Lieferanten mit dem konfigurierten Compliance-Rahmen Ihrer Organisation und steuern die Filterung in Berichten.

Klassifizieren Sie den Lieferanten im Feld Type als Auftragsverarbeiter, Sub-Auftragsverarbeiter, Verantwortlicher oder nach einer anderen in Ihrer Organisation definierten Kategorie. Mehrfachauswahl ist möglich. Diese Klassifizierung ist wichtig, da die DSGVO Verantwortliche und Auftragsverarbeiter unterschiedlich behandelt.

Das Dropdown Classification ermöglicht die Vergabe von Freitext-Tags wie „Kritischer Lieferant" oder „Cloud-Anbieter". Neue Tags können direkt aus dem Dropdown heraus erstellt werden, ohne das Formular zu verlassen.

Schreiben Sie eine verständliche Description (Beschreibung), was der Lieferant tut und warum Sie ihn beauftragen. Fügen Sie unter Reason for Sharing die rechtliche oder geschäftliche Begründung für die Weitergabe personenbezogener Daten hinzu – dieser Text kann in Audits und bei der Beantwortung von Betroffenenanfragen hilfreich sein.

Falls der Lieferant gesetzliche Vertreter in bestimmten Ländern benannt hat (z. B. einen EU-Vertreter gemäß Art. 27 DSGVO), verwenden Sie den Abschnitt Representatives. Wählen Sie ein Land aus dem Dropdown und geben Sie die Anschrift des Vertreters ein. Sobald Sie ein Land auswählen, erscheint darunter automatisch eine neue leere Zeile, sodass Sie weitere Vertreter hinzufügen können.

Hat der Lieferant einen eigenen Datenschutzbeauftragten, setzen Sie das Dropdown DPO Contact auf Yes. Drei zusätzliche Felder erscheinen: Name, E-Mail und Telefonnummer des DSB. So kann Ihr Team bei Bedarf direkt mit dem DSB des Lieferanten Kontakt aufnehmen.

Falls dieser Lieferantenvertrag ein definiertes Ablaufdatum hat, aktivieren Sie den Schalter Contract Duration. Ein Datumsauswahl-Feld erscheint – wählen Sie das Vertragsendedatum. DPMS nutzt dieses Datum, um Ihr Team rechtzeitig vor dem Ablauf des Vertrags zu benachrichtigen.

Wenn alle Angaben stimmen, klicken Sie unten auf der Seite auf Save. DPMS sendet die Daten an den Server, legt den Lieferantendatensatz an und leitet Sie zur Detailseite des neu erstellten Lieferanten weiter, wo Sie die Registerkarten Criticality, Transfers und verknüpfte Assessments weiter befüllen können.

Internationale Datentransfers und deren Rechtsgrundlagen erfassen

Nachdem Sie einen Lieferantendatensatz für eine externe Partei angelegt haben, die personenbezogene Daten von Ihrer Organisation erhält, müssen Sie die Rechtsgrundlage für diesen Transfer erfassen. Dies ist ein zweistufiger Prozess.

Öffnen Sie das Bearbeitungsformular des Lieferanten und wechseln Sie in den Transferbereich. Das Tab-Menü links wechselt in einen speziellen Modus mit nur zwei Registerkarten: Vendor Selection und Legal Basis for Transfers.

Bestätigen oder ergänzen Sie auf der Registerkarte Vendor Selection die Lieferantendatensätze, die als Transferziele gelten. Jeder Eintrag steht für eine Datentransferbeziehung.

Wechseln Sie zur Registerkarte Legal Basis for Transfers. Sie sehen jeden verknüpften Transferlieferanten mit einem Dropdown daneben. Wählen Sie den passenden Rechtsmechanismus – z. B. Standardvertragsklauseln (SCC), einen Angemessenheitsbeschluss oder Binding Corporate Rules. Klicken Sie auf Save. Die Rechtsgrundlage ist nun erfasst und erscheint in den andernorts in DPMS erstellten Transfer-Folgenabschätzungsberichten.

Achtung: Die Registerkarte Legal Basis for Transfers ist erst zugänglich, nachdem Sie auf der Registerkarte Vendor Selection mindestens einen Transfer gespeichert haben. Erscheint die Registerkarte deaktiviert, kehren Sie zurück und speichern Sie zuerst einen Transfer.

Kritikalitätsbewertungen für einen Lieferanten vergeben

Sobald ein Lieferantendatensatz existiert, muss jemand in Ihrem Team – häufig ein IT-Administrator oder Risikomanager – beurteilen, wie kritisch dieser Lieferant für Ihre Organisation ist. Öffnen Sie das Bearbeitungsformular und klicken Sie in der Seitenleiste auf die Registerkarte Criticality.

Die Registerkarte zeigt drei Dropdowns: Material Impact (was passiert mit Ihrem Betrieb, wenn dieser Lieferant ausfällt), Criticality of Service (wie wesentlich ist dieser spezifische Dienst) und Overall Criticality (Ihre kombinierte Einschätzung). Alle Felder sind standardmäßig auf Mittel eingestellt. Passen Sie die Werte an die Realität an – ein geschäftskritischer Zahlungsdienstleister verdient beispielsweise „Hoch" in allen drei Feldern. Klicken Sie auf Save. Die Kritikalitätsbewertungen erscheinen nun auf der Detailseite des Lieferanten und fließen in die Lieferantenübersicht ein, wo Sie Ihr Lieferantenportfolio nach Risikoniveau sortieren und filtern können.

Dokumente, Assessments und Aufgaben verknüpfen

Ein Lieferantendatensatz gewinnt seinen vollen Wert, wenn er mit dem Rest Ihrer Compliance-Arbeit vernetzt ist. Nach der Erstellung des Lieferanten können Sie über die Registerkarten in der Seitenleiste diese Verknüpfungen aufbauen:

  • IT Security Assessments und Data Protection Assessments – verknüpfen Sie bestehende Assessments, die diesen Lieferanten betreffen.
  • Documents – fügen Sie Richtlinien, Verträge, Auftragsverarbeitungsverträge oder andere relevante Compliance-Dokumente an.
  • Tasks – verknüpfen Sie Maßnahmen- oder Überprüfungsaufgaben, sodass alles zu diesem Lieferanten an einem Ort sichtbar ist.

Jede dieser Registerkarten verfügt über eine eigene Save-Schaltfläche. Änderungen auf einer Registerkarte sind unabhängig von Änderungen auf einer anderen.

Einen Sorgfaltsprüfungs-Workflow auslösen

Wenn Ihre Organisation DPMS-Workflows für strukturierte Sorgfaltsprüfungen nutzt, können Sie direkt vom Lieferantendatensatz aus einen solchen starten. Öffnen Sie das Bearbeitungsformular und klicken Sie auf die Registerkarte Trigger Workflow (nur sichtbar, wenn Sie die entsprechende Workflow-Zuweisung-Berechtigung für Lieferanten haben).

Die Registerkarte zeigt die für das Lieferantenmodul konfigurierten Workflow-Vorlagen. Wählen Sie die passende Vorlage – z. B. „Annual Vendor Review" – und lösen Sie sie aus. Nach dem Speichern zeigt die Detailseite des Lieferanten den aktiven Workflow in den Bereichen „Required Actions" und „Overview" an, und die zugewiesenen Prüfer erhalten Benachrichtigungen, ihre Schritte abzuschließen.

Feldreferenz

Name – Offizieller Unternehmensname des Lieferanten. Unterstützt mehrere Sprachen. Erscheint überall in DPMS, wo dieser Lieferant referenziert wird. Ein leeres Namensfeld führt zu einem namenlosen Eintrag in der Übersicht – bitte immer ausfüllen.

Email – Primäre Kontakt-E-Mail-Adresse. Maximal 255 Zeichen. Optional, aber empfohlen. Muss ein gültiges E-Mail-Format haben.

Contact Information — Address – Straßenanschrift des Hauptgeschäftssitzes des Lieferanten. Optional.

Contact Information — City – Ort des Lieferanten. Optional. Erscheint direkt unterhalb des Adressfelds.

Country of Contracting Party – Land, in dem die von Ihnen beauftragte juristische Person registriert ist. Durchsuchbares Dropdown mit ISO-Ländercodes. Wesentlich für Transfer-Folgenabschätzungen. Bei der Speicherung optional, aber notwendig, bevor Sie eine Rechtsgrundlage für Transfers erfassen.

Regulations – Ein oder mehrere anzuwendende gesetzliche Rahmenbedingungen (z. B. DSGVO, CCPA, nFADP). Optionen werden in den Compliance-Einstellungen Ihrer Organisation konfiguriert. Optional, steuert aber Compliance-Berichte und Filterung.

Type – Rechtliche Klassifizierung des Lieferanten (z. B. Auftragsverarbeiter, Verantwortlicher, Sub-Auftragsverarbeiter). Mehrfachauswahl möglich. Optional, aber für eine korrekte DSGVO-Dokumentation wichtig.

Classification – Freitext-Tags zur Filterung und für Workflow-Zwecke (z. B. „Kritischer Lieferant"). Neue Tags können direkt erstellt werden. Optional.

Description – Freitext-Beschreibung des Lieferanten und seiner Dienstleistungen. Unterstützt mehrere Sprachen und Rich-Text-Formatierung. Optional, aber für Audit-Zwecke dringend empfohlen.

Reason for Sharing – Schriftliche Begründung für die Weitergabe personenbezogener Daten an diesen Lieferanten. Unterstützt mehrere Sprachen. Optional, nützlich für Audits und Betroffenenanfragen.

Representatives — Country – Land, in dem der Lieferant einen rechtlichen Vertreter hat. Durch Auswahl eines Landes wird eine Zeile hinzugefügt; durch Auswahl eines weiteren Landes eine weitere.

Representatives — Address – Physische Anschrift des Vertreters in diesem Land. Für eine zuverlässige Speicherung müssen sowohl Land als auch Anschrift ausgefüllt sein.

DPO Contact – Ja/Nein-Dropdown. Bei Yes werden drei Unterfelder eingeblendet. Wird das Dropdown auf No zurückgesetzt und gespeichert, werden die Unterfeld-Werte dauerhaft aus dem Datensatz gelöscht.

DPO Name / Email / Phone – Nur sichtbar, wenn DPO Contact auf Yes gesetzt ist. Standard-Texteingabefelder. E-Mail hat ein Maximum von 255 Zeichen.

Contract Duration – Umschalter. Ist er deaktiviert, wird kein Ablaufdatum gespeichert (Anzeige: „No Expiry"). Ist er aktiviert, erscheint eine Datumsauswahl. Das Datum wird gespeichert und für Vertragsablauf-Benachrichtigungen verwendet. Wird der Schalter aktiviert, ohne ein Datum auszuwählen, wird das heutige Datum verwendet – prüfen Sie das Datum im Auswahlfeld immer sofort nach dem Aktivieren.

Einbettung in den DPMS-Gesamtprozess

Der hier angelegte Lieferantendatensatz ist Voraussetzung für nahezu alle nachgelagerten Compliance-Aktivitäten in Bezug auf diese externe Partei.

Was zu diesem Bildschirm führt:

  • Die Lieferantenübersicht (/vendor) – die Schaltfläche „Create" führt hierher.
  • Die Lieferantendetailseite – ein Klick auf „Bearbeiten" in einem beliebigen Abschnitt öffnet dieses Formular vorausgefüllt auf der entsprechenden Registerkarte.
  • Assessment- und DSFA-Datenzuordnungsflows – wenn Sie einen Lieferanten innerhalb einer DSFA oder eines Assessments anlegen, kehrt die Zurück-Schaltfläche nach dem Speichern zu diesem Assessment zurück.

Wohin dieser Bildschirm führt:

  • Nach erfolgreicher Erstellung leitet DPMS Sie zur Lieferantendetailseite des neuen Datensatzes weiter.
  • Hier angelegte Lieferanten können in Verarbeitungsverzeichnissen (VVT) als Datenempfänger ausgewählt werden. Ohne Lieferantendatensatz kann ein VVT-Eintrag seinen externen Empfänger nicht namentlich benennen.
  • Die auf der Registerkarte Legal Basis for Transfers erfasste Rechtsgrundlage wird in Transfer-Folgenabschätzungsberichten referenziert.
  • Risikoszenarien, TOMs und Behandlungspläne, die über die Risiko-Registerkarten konfiguriert werden, fließen in organisationsweite Risiko-Dashboards und Compliance-Berichte ein.
  • Die Registerkarte Trigger Workflow ist der Einstiegspunkt für lieferantenspezifische Sorgfaltsprüfungs-Workflows.

Tipps und häufige Fallstricke

Achtung: Jede Registerkarte hat eine eigene Save-Schaltfläche. Änderungen auf der Registerkarte General werden nicht automatisch gespeichert, wenn Sie zur Registerkarte Criticality wechseln. Klicken Sie immer auf Save, bevor Sie die Registerkarte wechseln – sonst gehen Ihre Eingaben verloren.
Tipp: Der Transfer-Prozess ist zweistufig. Sie müssen zuerst die Registerkarte General speichern, um den Datensatz anzulegen. Anschließend müssen Sie auf der Registerkarte Vendor Selection mindestens einen Transfer hinzufügen und erneut speichern, bevor die Registerkarte Legal Basis for Transfers zugänglich wird.
  • Vertreter erfordern beide Felder. Wenn Sie ein Land auswählen, aber die Anschrift leer lassen (oder umgekehrt), wird diese Vertreterzeile zwar in der Oberfläche angezeigt, aber nicht im Datensatz gespeichert. Füllen Sie für jeden Vertreter sowohl Land als auch Anschrift aus.
  • DSB-Kontaktfelder werden beim Zurücksetzen auf „No" gelöscht. Wenn Sie DSB-Name, E-Mail und Telefon eingeben, dann den Schalter auf No zurücksetzen und speichern, werden diese Werte dauerhaft aus dem Datensatz gelöscht – auch wenn die Felder vor dem Speichern noch ausgefüllt erscheinen. Speichern Sie mit dem Schalter auf „No" nur, wenn Sie sicher sind, dass die DSB-Daten nicht mehr benötigt werden.
  • Contract Duration setzt das heutige Datum als Standard. Öffnen Sie die Datumsauswahl immer sofort nach dem Aktivieren des Schalters und bestätigen Sie das gewünschte Ablaufdatum.
  • Das Feld „Type" erlaubt Mehrfachauswahl. Sie können – und sollten es oft – einem Lieferanten mehr als einen Typ zuweisen. Ein Lieferant kann beispielsweise für einen Dienst als Auftragsverarbeiter und für einen anderen Aspekt der Beziehung als Verantwortlicher agieren.
Tipp: Wenn Sie ein Erstellungsformular teilweise ausfüllen, die Seite verlassen, ohne zu speichern, und dann in derselben Browser-Sitzung zurückkehren, können Ihre vorherigen Eingaben noch in den Feldern stehen. Aktualisieren Sie in diesem Fall die Seite, um mit einem leeren Formular zu beginnen.


Was this article helpful?

German
Powered by Product Fruits