Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
IT Einstellungen
Risiko Einstellungen

Lieferanten

Das Lieferantenregister ist der zentrale Arbeitsbereich für Datenschutzbeauftragte, Compliance-Verantwortliche und Risikomanager, die alle Drittanbieter, Auftragsverarbeiter und Unterauftragsverarbeiter dokumentieren, überwachen und pflegen müssen – von der ersten Erfassung bis zur laufenden Risikobewertung gemäß DSGVO Artikel 28 und 30.

Das Lieferantenregister ist der operative Mittelpunkt für alles, was Ihre Organisation über externe Datenverarbeiter wissen muss. Ob Sie einen neuen Cloud-Anbieter vor Abschluss eines Auftragsverarbeitungsvertrags erfassen, einem Prüfer eine Gesamtübersicht aller aktiven Unterauftragsverarbeiter bereitstellen oder offene Risikobewertungen nachverfolgen möchten – all das geschieht hier. Lieferanten in DPMS sind keine isolierten Datensätze: Sie sind direkt mit Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT), Asset-Risikomodellen, Bewertungen, Dokumenten und automatisierten Prüf-Workflows verknüpft. Ein gepflegtes Register stellt sicher, dass alle nachgelagerten Module korrekte und vollständige Daten erhalten.

So öffnen Sie das Register

Navigieren Sie in der linken Hauptnavigation zu Lieferanten. Der Eintrag befindet sich im Compliance- und Daten-Mapping-Bereich und ist ein eigenständiger Menüpunkt – Sie müssen kein Untermenü aufklappen. Das Register öffnet sich unter /vendors.

Hinweis: Sie benötigen mindestens Leseberechtigung für das Lieferantenmodul, um diese Ansicht zu sehen. Erscheint stattdessen eine „403 Forbidden"-Seite, bitten Sie Ihren Administrator, Ihre Rolle zu prüfen. Nutzerinnen und Nutzer mit einer eingeschränkten Berechtigung für „nur zugewiesene Lieferanten" sehen dieselbe Oberfläche, jedoch ausschließlich die ihnen zugewiesenen Datensätze.

Die Oberfläche im Überblick

Die Indexseite ist eine tabellarische Übersicht aller Lieferantendatensätze. Oben finden Sie eine Suchleiste und rechts davon den Button Erstellen. Die Tabelle zeigt fünf Spalten: Lieferantenname (anklickbar), Land (des Vertragspartners), Klassifizierung (freie Tags), Typ (eine oder mehrere Lieferantentypbezeichnungen) und Risiko (eine visuelle Anzeige, die an Ihre konfigurierten Risikostandards geknüpft ist). Wenn Sie mit der Maus über eine Zeile fahren, erscheinen rechts Schnellaktions-Icons zum Bearbeiten oder Löschen des Datensatzes.

Über der Tabelle befindet sich eine Registerkartenleiste mit der Registerkarte Alle – dies ist aktuell die einzige aktive Filterkarte und zeigt alle Lieferanten unabhängig vom Status. Exportschaltflächen für XLSX und JSON stehen bereit, um Momentaufnahmen Ihrer Lieferantendaten für Berichte oder Übergaben zu erstellen.

Wenn Sie einen Lieferanten öffnen, lädt die Detailansicht in einer strukturierten Oberfläche. Ein ausklappbares Elementmenü auf der linken Seite listet alle verfügbaren Registerkarten: Allgemein, Dokumente, Kritikalität, Verwendete Assets, Transfers, Aufgaben, Bewertungen, Risiko und Manuelle Workflows. Der Hauptinhaltsbereich rechts zeigt den Inhalt der aktiven Registerkarte. Eine fixierte Kopfzeile oben im Inhaltsbereich zeigt jederzeit die verantwortliche Person, den aktuellen Status und die Priorität des Lieferanten – alle direkt bearbeitbar, ohne das Bearbeitungsformular öffnen zu müssen.

So arbeiten Sie mit diesem Bereich

Einen neuen Lieferanten erfassen

Wenn eine neue Lieferantenbeziehung beginnt – typischerweise vor Abschluss eines Auftragsverarbeitungsvertrags –, öffnen Sie die Übersicht und klicken Sie auf Erstellen, dann auf Lieferant erstellen. Das Allgemein-Formular öffnet sich.

Beginnen Sie mit dem Namen des Lieferanten (das Feld unterstützt mehrere Sprachen, sofern Ihre Organisation mehrsprachig arbeitet). Ergänzen Sie eine E-Mail-Adresse und Kontaktinformationen (Straße und Stadt). Wählen Sie im Dropdown Land (Vertragspartner) aus, in welchem Land der Lieferant rechtlich ansässig ist. Legen Sie dann die Anwendbaren Vorschriften fest (z. B. DSGVO oder branchenspezifische Gesetze), setzen Sie den Lieferantentyp (etwa „Auftragsverarbeiter" oder „Unterauftragsverarbeiter") und fügen Sie passende Klassifizierungs-Tags zur späteren Filterung hinzu.

Verfassen Sie eine Beschreibung, die erklärt, was der Lieferant tut und warum Ihre Organisation ihn einsetzt. Hat der Lieferant einen Datenschutzbeauftragten benannt, schalten Sie DSB-Kontakt auf „Ja" um und tragen Sie Name, E-Mail und Telefonnummer ein. Gibt es ein festes Vertragsende, aktivieren Sie Vertragslaufzeit und wählen Sie das Datum aus dem Datumsfeld – das ist wichtig, um rechtzeitige Verlängerungserinnerungen auslösen zu können.

Klicken Sie unten im Formular auf Speichern. DPMS erstellt den Lieferantendatensatz und leitet Sie direkt zur Detailansicht weiter, wo Sie sofort Dokumente hinzufügen, Bewertungen verknüpfen oder Transfers erfassen können.

Tipp: Setzen Sie den Status auf Entwurf, solange die Vertragsverhandlungen noch laufen. Sobald der Vertrag unterzeichnet ist, wechseln Sie direkt in der Detailansicht auf Aktiv – das Bearbeitungsformular muss dafür nicht geöffnet werden.

Status und Zuständigkeit eines Lieferanten aktualisieren

Eine der häufigsten täglichen Aktionen in diesem Bereich erfordert kein Formular. Schauen Sie in der Detailansicht eines Lieferanten auf die fixierte Kopfzeile. Dort finden Sie nebeneinander ein Status-Dropdown, eine Zuständige-Person-Auswahl und eine Prioritätsauswahl.

Um einen Lieferanten nach Vertragsabschluss auf Aktiv zu setzen, klicken Sie einfach auf das Status-Dropdown und wählen Sie Aktiv. DPMS speichert die Änderung sofort. Gleiches gilt für das Setzen auf In Prüfung, wenn eine regelmäßige Neubewertung fällig ist, oder auf Inaktiv, wenn ein Vertrag ausläuft.

Um die Zuständigkeit zu übertragen – beispielsweise wenn ein Teammitglied das Unternehmen verlässt – klicken Sie auf die Zuständige-Person-Auswahl und wählen Sie die neue verantwortliche Person. Auch hier speichert DPMS sofort, ohne dass Sie in das Bearbeitungsformular wechseln müssen. Beide Änderungen werden im Änderungsprotokoll festgehalten.

Den vollständigen Lieferantendatensatz prüfen

Sobald Sie sich in einem Lieferantendatensatz befinden, nutzen Sie das Elementmenü auf der linken Seite, um zwischen den verschiedenen Aspekten des Datensatzes zu wechseln:

  • Allgemein – Name, Kontaktdaten, DSB-Informationen, Beschreibung und Vertragslaufzeit.
  • Dokumente – angehängte Richtlinien, AVVs und andere Dateien.
  • Kritikalität – Wesentliche Auswirkung, Kritikalität des Dienstes und Gesamtkritikalität. Diese Werte fließen direkt in die Asset-Risikoberechnungen in DPMS ein.
  • Verwendete Assets – technische Systeme oder IT-Assets, auf die dieser Lieferant Zugriff hat.
  • Transfers – Unterauftragsverarbeiter, an die dieser Lieferant Daten weitergibt. Jeder Transfer kann eine Rechtsgrundlage wie Standardvertragsklauseln tragen.
  • Aufgaben – offene Aktionspunkte, die mit diesem Lieferanten verknüpft sind.
  • Bewertungen – Sicherheits- und Datenschutzfragebögen, die an oder über diesen Lieferanten gesendet wurden.
  • Risiko – ein vollständiger Risikobewertungsbereich, in dem Sie Risikostandards verknüpfen, Risikoszenarien hinzufügen, implementierte Technische und Organisatorische Maßnahmen (TOMs) dokumentieren und einen Behandlungsplan erstellen können.
  • Manuelle Workflows – Workflow-Vorlagen, die für diesen Lieferanten ausgelöst wurden.

Wenn Sie mehr horizontalen Platz benötigen – etwa beim Durchsehen einer breiten Risikotabelle –, klicken Sie auf das kleine Kreissymbol am linken Rand des Bildschirms, um das Elementmenü einzuklappen. Der geöffnete oder eingeklappte Zustand wird sitzungsübergreifend gespeichert.

Um bei einer Prüfung schnell zwischen mehreren Lieferanten zu wechseln, nutzen Sie die Pfeil-Schaltflächen (Chevrons) in der Breadcrumb-Leiste. Diese navigieren zum vorherigen oder nächsten Lieferanten in Ihrer aktuellen Liste, ohne zur Übersicht zurückzukehren. Befinden Sie sich auf der Risiko-Registerkarte eines Lieferanten, bleiben Sie beim Weiternavigieren auf derselben Registerkarte – das spart erheblich Zeit bei sequenziellen Prüfungen.

Das Änderungsprotokoll einsehen

Wenn Sie nachvollziehen müssen, wer einen Lieferantendatensatz geändert hat und wann – eine häufige Anforderung bei internen Audits oder nach einem Datenschutzvorfall –, klicken Sie auf das Uhrsymbol oben rechts im Inhaltsbereich. Das öffnet das Aktivitätsprotokoll als seitliches Panel, das von rechts einschwebt.

Das Panel listet alle aufgezeichneten Änderungen chronologisch auf: Statusübergänge, Wechsel der verantwortlichen Person, Feldänderungen und mehr. Jeder Eintrag zeigt Datum, Uhrzeit, den Nutzer, der die Änderung vorgenommen hat, und was geändert wurde. Schließen Sie das Panel über die Schließen-Schaltfläche darin.

Das Lieferantenportfolio prüfen und exportieren

Für einen Gesamtüberblick nutzen Sie die Suchleiste oben in der Übersicht, um nach Name oder anderen Attributen zu filtern. Für Berichtszwecke – etwa um einem externen Prüfer eine Liste aller aktiven Auftragsverarbeiter zu übermitteln – verwenden Sie die XLSX- oder JSON-Exportschaltflächen. Der Export spiegelt wider, was aktuell in der Tabelle sichtbar ist. Filtern Sie daher zuerst, wenn Sie nur eine Teilmenge benötigen.

Die Spalte Risiko in der Tabelle zeigt den Risikowert jedes Lieferanten. Wenn Sie mehrere Risikostandards verwalten, nutzen Sie die Standardauswahl im Tabellenkopf, um die Risikospalte auf einen bestimmten Standard (z. B. nur ISO 27001) einzuschränken. Ein Klick auf den Risikoindikator in einer Zeile führt Sie direkt zur Risiko-Unterregisterkarte dieses Lieferanten.

Feldreferenz

Name – Der offizielle Name des Lieferanten. Unterstützt mehrere Sprachen. Pflichtfeld – ohne Namenseingabe kann kein Lieferant gespeichert werden.

E-Mail – Die primäre Kontakt-E-Mail des Lieferanten. Optional; maximal 255 Zeichen; muss ein gültiges E-Mail-Format haben.

Kontaktinformationen – Straße und Stadt der Vertragspartner-Einheit des Lieferanten.

Land (Vertragspartner) – Das Land, in dem der Lieferant rechtlich ansässig ist. Einzelauswahl aus einer Länderliste.

Anwendbare Vorschriften – Die Gesetze oder Vorschriften, die diese Lieferantenbeziehung regeln (z. B. DSGVO, CCPA). Mehrfachauswahl aus einer durchsuchbaren Liste.

Lieferantentyp – Die Rolle des Lieferanten (z. B. Auftragsverarbeiter, Unterauftragsverarbeiter, gemeinsam Verantwortlicher). Mehrfachauswahl aus einer festen Liste.

Klassifizierung – Freie Tags zur Gruppierung oder Filterung von Lieferanten (z. B. „Kritisch", „Cloud", „Gesundheitswesen"). Mehrfachauswahl.

Beschreibung – Ein Rich-Text-Feld, das beschreibt, was der Lieferant tut. Unterstützt mehrere Sprachen und KI-gestützte Textentwürfe. In der Detailansicht können Sie dieses Feld durch direktes Klicken auf den Text bearbeiten – das Bearbeitungsformular muss nicht geöffnet werden.

Grund für die Weitergabe – Rich Text, der erklärt, warum dieser Lieferantendatensatz mit anderen Organisationen in DPMS geteilt wird (relevant bei Mehrinstanzen-Setups).

Vertreter – Eine Tabelle aus Land-Adresse-Paaren für Lieferanten mit lokalen Vertretern in mehreren Ländern. Zeilen werden durch Länderauswahl hinzugefügt; das ✕-Symbol entfernt sie.

DSB-Kontakt – Umschalter Ja/Nein. Bei „Ja" erscheinen drei zusätzliche Felder: DSB-Name, DSB-E-Mail und DSB-Telefon.

Vertragslaufzeit – Einschalten, um ein Datumsfeld für das Vertragsende zu aktivieren. Ausschalten, um „Kein Ablaufdatum" zu hinterlegen.

Wesentliche Auswirkung – Wie gravierend die Folgen wären, wenn dieser Lieferant ausfällt oder eine Datenpanne verursacht. Einzelauswahl: Niedrig / Mittel / Hoch.

Kritikalität des Dienstes – Wie unverzichtbar der Dienst des Lieferanten für Ihren Betrieb ist. Einzelauswahl: Niedrig / Mittel / Hoch.

Gesamtkritikalität – Eine zusammengesetzte Kritikalitätsbewertung. Einzelauswahl: Niedrig / Mittel / Hoch.

Verknüpfung mit anderen Bereichen von DPMS

Das Lieferantenregister steht im Mittelpunkt mehrerer verknüpfter Module. Folgende Bereiche sind davon abhängig:

  • VVT – Ihr Verzeichnis von Verarbeitungstätigkeiten führt Lieferanten als Auftragsverarbeiter gemäß Artikel 30 auf. Fehlt ein Lieferant im Register, kann er im VVT nicht als Auftragsverarbeiter erscheinen.
  • Asset-Risikomodelle – Die hier gesetzten Kritikalitätsfelder (Wesentliche Auswirkung, Kritikalität des Dienstes, Gesamtkritikalität) fließen direkt in die Risikoberechnungen der Assets ein, auf die dieser Lieferant Zugriff hat.
  • Transfers zu nachgelagerten Verarbeitern – Transfer-Beziehungen und ihre Rechtsgrundlagen, die auf der Registerkarte „Transfers" konfiguriert werden, sind für vollständige Artikel-30-Abs.-2-Nachweise erforderlich.
  • Risikobehandlungspläne – Die Registerkarte „Risiko" sammelt Szenarien, TOMs und Behandlungspläne, die in das übergreifende Risikoberichtswesen Ihrer Organisation einfließen.
  • Automatisierte Workflows – Workflow-Vorlagen für Lieferantenprüfungen können nur ausgelöst werden, wenn der Lieferant im Register vorhanden ist.
  • Bewertungen – Sicherheits- und Datenschutzfragebögen, die auf der Registerkarte „Bewertungen" verknüpft werden, erzeugen eigene Datensätze im Bewertungsmodul, verweisen aber immer auf diesen Lieferanten zurück.

Nach dem Anlegen eines neuen Lieferantendatensatzes sind die typischen nächsten Schritte: den unterzeichneten AVV auf der Registerkarte Dokumente hochladen, die betroffenen IT-Assets auf der Registerkarte Verwendete Assets verknüpfen, eventuelle Unterauftragsverarbeiter auf der Registerkarte Transfers eintragen und einen Bewertungsfragebogen auf der Registerkarte Bewertungen versenden oder verknüpfen.

Tipps und häufige Fallstricke

Hinweis: Die Statusfilter-Registerkarten (Aktiv, Entwurf, Inaktiv, In Prüfung, Nachgelagerte Verarbeiter) sind in der Oberfläche sichtbar, aber in der aktuellen Version noch nicht aktiv. Nur die Registerkarte Alle funktioniert. Nutzen Sie stattdessen die Suchleiste, um nach Status zu filtern.
Hinweis: Wenn Sie in keinem Bereich des Lieferantenmoduls auf Erstellen, Bearbeiten oder Speichern klicken können, prüfen Sie, ob die Zeitmaschine aktiv ist (achten Sie auf den entsprechenden Hinweis in der App-Kopfzeile). Die Zeitmaschine versetzt das gesamte Modul in den Nur-Lesen-Modus – solange sie aktiv ist, können keine Änderungen gespeichert werden.
  • Direkte Bearbeitung gilt nur für die Beschreibung. Das Beschreibungsfeld auf der Registerkarte „Allgemein" lässt sich durch direktes Klicken auf den Text bearbeiten. Alle anderen Felder – Land, Typ, Klassifizierung usw. – erfordern das Öffnen des Bearbeitungsformulars über den Button Bearbeiten.
  • Die Risiko-Untermenüs erscheinen erst nach dem Verknüpfen eines Standards. Die Registerkarte „Risiko" lädt zwar, aber die detaillierten Unterregisterkarten (Schwellenwert, Szenarien, TOMs, Behandlungsplan usw.) werden erst sichtbar, nachdem Sie mindestens einen Risikostandard mit dem Lieferanten verknüpft haben. Bis dahin zeigt die Risikospalte in der Übersicht „—".
  • Der Seitenleistenstatus gilt global, nicht pro Lieferant. Das Einklappen des Elementmenüs bei einem Lieferanten klappt es für alle Lieferantendatensätze ein, bis Sie es wieder aufklappen. Das ist beabsichtigt – DPMS merkt sich Ihre Arbeitsplatzeinstellung –, kann aber überraschend sein, wenn mehrere Personen denselben Arbeitsplatz nutzen.
  • Änderungen an verantwortlicher Person und Status haben eigene Protokolleinträge. Diese direkten Aktualisierungen werden nicht als generische Feldänderungen gespeichert, sondern als eigene Ereignistypen im Aktivitätsprotokoll erfasst. Das erleichtert die Erstellung einer lückenlosen chronologischen Eigentümerwechsel-Historie für Prüfzwecke erheblich.
  • Der Import akzeptiert nur JSON-Dateien. Die Option Importieren unter dem Button „Erstellen" verarbeitet ausschließlich .json-Dateien, die zuvor aus DPMS exportiert wurden. Excel-Tabellen oder CSV-Dateien werden nicht akzeptiert.


Was this article helpful?

German
Powered by Product Fruits