Vendor-Risikomanagement für KMU: pragmatische Unterscheidung

Jedes SaaS-Abonnement ist ein Stück Risiko, das Sie auslagern. Wie beurteilen Sie, welche Ihrer 30 Lieferanten besondere Aufmerksamkeit verdienen?

Vendor-Risiko (oder Third-Party-Risiko) ist das Risiko, dass ein Lieferant bei Ihnen Probleme verursacht: Datenpanne, Ausfall, Compliance-Verstoß. Im KMU können Sie nicht alle 30 Lieferanten gleich behandeln.

Tier-Klassifizierung

• Tier 1 — kritisch: verarbeitet personenbezogene Daten oder ist geschäftskritisch. M365, Buchhaltung, CRM, Hosting.
• Tier 2 — wichtig: unterstützt wesentliche Prozesse, hat Zugriff auf Unternehmensdaten. Slack, Design-Tools, Payroll.
• Tier 3 — geringes Risiko: eigenständige Tools ohne Kundendaten oder wesentliche Rolle. LinkedIn Premium, Video-Editing-Tool.

Anforderungen je Tier

• Tier 1: ISO 27001 oder SOC 2-Bericht (jährlich prüfen), DPA, Uptime-SLA, Vereinbarung zur Incident-Meldung.
• Tier 2: DPA, grundlegende Sicherheitszertifizierung.
• Tier 3: nur Prüfung der Datenschutzerklärung.

Jährlicher Vendor-Review

1. Aktualisieren Sie die Lieferantenliste aus Ihrem SaaS-Inventar.
2. Tier-1-Lieferanten prüfen: noch aktiv zertifiziert? Neue Unterauftragsverarbeiter? Incident-Historie?
3. Stichproben bei Tier 2: DPA noch aktuell?
4. Berichterstattung an die Geschäftsführung.

Bei neuen Lieferanten

• Tier vor Vertragsunterzeichnung festlegen.
• Tier-1-Lieferanten: vorab Due Diligence (Trust-Seite, Security-Questionnaire, Referenzen).
• Tier 2–3: Standard-DPA + Datenschutz-Check.

Siehe auch: SaaS-Inventar, DPA's.