GH GambleHub

Due Diligence bei der Auswahl der Anbieter

1) Warum Due Diligence-Anbieter benötigt werden

Provider - Fortsetzung Ihrer Vertrauenskette. Auswahlfehler = regulatorische Strafen, Lecks, Ausfallzeiten und Reputationsverluste. Due Diligence (DD) ermöglicht:
  • Identifizieren Sie das inhärente Risiko nach Produkt/Land/Daten.
  • Compliance und Sicherheit vor Vertragsabschluss prüfen.
  • SLA/SLO und Auditrechte in der Vertragsphase fixieren.
  • Einrichtung eines Überwachungs- und Ausstiegsplans (Offboarding) unter Wahrung der Datenintegrität.

2) Wann es durchgeführt wird und was es abdeckt

Punkte: Vorauswahl, Shortlist, vor dem Vertrag, bei sinnvollen Änderungen, jährliche Überarbeitung.
Reichweite: rechtlicher Status, finanzielle Nachhaltigkeit, Sicherheit, Privatsphäre, technische Integrität, Betrieb/Support, Compliance (GDPR/PCI/AML/SOC 2 etc.), Geografie und Sanktionsrisiken, ESG/Ethik, Subunternehmer.

3) Rollen und RACI

RolleDie Verantwortung
Business Owner (A)Business Case, Budget, Endlösung unter Berücksichtigung des Risikos
Procurement/Vendor Mgmt (R)DD-Prozess, Ausschreibung, Angebotsvergleich, Register
Compliance/DPO (C/R)Datenschutz, Rechtmäßigkeit der Verarbeitung, DPA/SCC
Legal (R/C)Verträge, Haftung, Prüfungsrechte, IP/Lizenzen
Security/CISO (R)Technische Kontrollen, Tests, Anforderungen an Vorfälle
Data Platform/IAM/IT (C)Integrationen, Architektur, SSO, Protokolle
Finance (C)Zahlungsfähigkeit, Zahlungsbedingungen/Währung/Steuern
Internal Audit (I)Beobachtung der Vollständigkeit und Nachvollziehbarkeit

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Bewertungskriterienkarte (was wir überprüfen)

4. 1 Rechts- und Unternehmensprofil

Registrierung, Begünstigte (KYB), Rechtsstreitigkeiten, Sanktionslisten.
Lizenzen/Zertifikate für regulierte Dienste.

4. 2 Finanzen und Nachhaltigkeit

Geprüfte Berichterstattung, Schuldenlast, wichtige Investoren/Banken.
Abhängigkeit von einem Kunden/einer Region, Kontinuitätsplan (BCP).

4. 3 Sicherheit und Privatsphäre

ISMS (Policies, RACI), externe Testergebnisse, Schwachstellenmanagement.
Verschlüsselung bei Rest/In Transit, KMS/HSM, Secret Management.
DLP/EDRM, Journaling, Legal Hold, Retention und Löschung.
Incident Management: SLA-Benachrichtigungen, Playbooks, Post-Mortems.

4. 4 Compliance und Zertifizierungen

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (Zeitrahmen und Umfang)

DSGVO/lokale Normen: Rollen (Controller/Prozessor), DPA, SCC/BCR, DPIA.
AML/Sanktionsschleife (falls zutreffend).

4. 5 Technische Reife und Integration

Architektur (Multi-Tenant, Isolation, SLO, DR/HA, RTO/RPO).
API/SDK, Versionierung, Rate Limits, Observability (Protokolle/Metriken/Traces).
Change Management, Releases (blau-grün/kanarisch), Abwärtskompatibilität.

4. 6 Betrieb und Unterstützung

24 × 7/Follow-the-sun, Reaktions-/Erholungszeit, Onkollas.
Onboarding/Offboarding-Verfahren, Datenexport ohne Strafen.

4. 7 Subprozessoren und Lieferkette

Liste der Unterauftragnehmer, Gerichtsbarkeiten, deren Kontrollen und Änderungsmitteilungen.

4. 8 Ethik/ESG

Richtlinien gegen Korruption, Verhaltenskodex, Arbeitspraktiken, Berichterstattung.

5) Due Diligence Prozess (SOP)

1. Initiation: Bedarfskarte (Zwecke, Daten, Jurisdiktionen, Kritikalität).
2. Qualifikation: Kurzfragebogen (Pre-Screen) + Sanktions-/Lizenzscheck.
3. Tiefe Bewertung: Fragebogen, Artefakte (Richtlinien, Berichte, Zertifikate), Interviews.
4. Technische Überprüfung: Sicherheitsüberprüfung, Umgebungsdemo, Lesen von Protokollen/Metriken, PoC.
5. Scoring und Risiken: inhärentes Risiko → Kontrollprofil → Restrisiko.
6. Remediation: Bedingungen/Korrekturen vor dem Vertrag (Gap-Liste mit Fristen).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Onboarding: Zugriffe/SSO, Datenkataloge, Integrationen, Monitoringplan.
9. Kontinuierliche Überwachung: jährliche Überprüfung/Trigger (Incident, Subprozessorwechsel).
10. Offboarding: Export, Löschung/Anonymisierung, Widerruf von Zugriffen, Bestätigung der Vernichtung.

6) Anbieterfragebogen (Kern der Fragen)

Jur. Person, Begünstigte, Sanktionsprüfungen, Streitigkeiten über 3 Jahre.
Zertifizierungen (SOC 2 Typ/Zeitraum, ISO, PCI), neueste Berichte/Scope.
Sicherheitsrichtlinien, Datenbestand, Klassifizierung, DLP/EDRM.
Technische Isolation: Tenant-Isolation, Netzwerkrichtlinien, Verschlüsselung, Schlüssel.
Protokolle und Audit: Speicherung, Zugriff, WORM/immutability, SIEM/SOAR.
Vorfälle in 24 Monaten: Typen, Auswirkungen, Lektionen.
Retention/Löschung/Legal Hold/DSAR-Stream.
Unterauftragsverarbeiter: Liste, Länder, Funktionen, vertragliche Garantien.
DR/BCP: RTO/RPO, Ergebnisse der letzten Tests.
Support/SLA: Reaktions-/Entscheidungszeiten, Eskalationen, Kreditschema.
Exit-Plan: Datenexport, Formate, Kosten.

7) Scoring-Modell (Beispiel)

Achsen: Recht/Finanzen/Sicherheit/Privatsphäre/Technik/Operations/Compliance/Chain/ESG.
Punkte 1-5 auf jeder Achse; Gewichtung nach Dienstkritikalität und Datentyp.

Endgültige Risikobewertung:
  • „RR = Σ (Gewicht _ i × Punkt _ i)“ → Kategorien: Niedrig/Mittel/Hoch/Kritisch.

High/Critical: Remediation vor dem Vertrag, verbesserte SLA-Bedingungen und Überwachung sind obligatorisch.
Low/Medium: Standardanforderungen + jährliche Überarbeitung.

8) Verbindliche Vertragsbestimmungen (must-have)

DPA: Rollen (Controller/Prozessor), Zweck, Datenkategorien, Retention und Löschung, Legal Hold, DSAR-Unterstützung.
SCC/BCR für grenzüberschreitende Übertragungen (falls zutreffend).
Security Appendix: Verschlüsselung, Protokolle, Schwachstellen/Patching, Pentests, Schwachstellen Offenlegung.
SLA/SLO: Reaktions-/Eliminationszeiten (SEV-Level), Gutschriften/Strafen, Verfügbarkeit, RTO/RPO.
Prüfungsrechte: Recht auf Prüfung/Fragebogen/Nachweis; Die Mitteilungen die Veränderungen der kontrolej/Subprozessoren.
Breach Notification: Kündigungsfristen (z. B. ≤ 24-72 Stunden), Format, Zusammenarbeit bei der Untersuchung.
Subprocessor Clause: Liste, Änderung durch Mitteilung/Vereinbarung, Verantwortung.
Exit & Data Return/Deletion: Exportformat, Zeitrahmen, Vernichtungsbestätigung, Migrationsunterstützung.
Liability/Indemnity: Grenzen/Ausnahmen (PI-Leak, Lizenzverletzung, regulatorische Strafen).
IP/Lizenz: Entwicklungsrechte/Konfigurationen/Daten/Metadaten.

9) Überwachung und Auslöser der Revision

Ablauf/Erneuerung von Zertifikaten (SOC/ISO/PCI), Änderungen des Berichtsstatus.
Der Wechsel der Subprozessoren/Ortungen der Aufbewahrung der Daten/Jurisdiktionen.
Sicherheitsvorfälle/erhebliche SLA-Unterbrechungen.
Fusionen/Übernahmen, Verschlechterung der finanziellen Leistungsfähigkeit.
Veröffentlichungen, die Isolation/Verschlüsselung/Zugriff betreffen.
Regulatorische Anfragen, Findings Audits.

10) Metriken und Dashboards von Vendor Risk Mgmt

Coverage DD:% der kritischen Anbieter, die eine vollständige DD durchlaufen haben.
Time-to-Onboard: Median von der Anwendung bis zum Vertrag (nach Risikokategorien).
Offene Gaps: aktive Remediationen nach Anbietern (Deadlines/Eigentümer).
SLA Breach Rate: Anteil der SLA-Verstöße nach Zeit/Verfügbarkeit.
Incident Rate: Vorfälle/12 Monate nach Anbieter und Schwere.
Audit Evidence Readiness: Verfügbarkeit aktueller Berichte/Zertifikate.
Subprocessor Drift: Änderungen ohne Vorankündigung (Ziel ist 0).

11) Kategorisierung und Verifizierungsstufen

Kategorie des AnbietersDas BeispielDie DatenDD TiefeDie Revision
KritischeKernel-Hosting, KYC/AML, PSPPI/FinanzenVollständig (on-site/RoS)Jährlich + Auslöser
HocheAnalytik, DWH, ProtokollePI/pseudoPIDer Ausgedehnte12-18 Monate
MittlereMarketing, E-Mail, SupportBegrenztDer Grundlegende18-24 Monate
NiedrigeSchulung, inhaltverarbeitet PI nichtLeichter Pre-Screen24 Monate

12) Checklisten

Starten von DD

  • Bedarfskarte und Risikoklasse der Dienstleistung.
  • Pre-screen: Sanktionen, Lizenzen, Basisprofil.
  • Fragebogen + Artefakte (Richtlinien, Berichte, Zertifikate).
  • Security/Privacy review + PoC bei Integrationen.
  • Gap-Liste mit Terminen und Eigentümern.
  • Vertrag: DPA/SLA/audit rights/liability/exit.
  • Onboarding und Monitoring-Plan (Metriken, Alerts).

Jährliche Überprüfung

  • Aktualisierte Zertifikate und Berichte.
  • die Prüfung der Subprozessoren/Ortungen/Jurisdiktionen.
  • Status der Remediationen, neue Risiken/Vorfälle.
  • DR/BCP-Tests und Ergebnisse.
  • Dry-run audit: sammeln evidence „per button“.

13) Rote Flaggen (red flags)

Weigerung, SOC/ISO/PCI oder wesentliche Abschnitte von Berichten bereitzustellen.
Fuzzy-Antworten auf Verschlüsselung/Logs/Datenlöschung.
Es gibt keine DR/BCP-Pläne oder sie werden nicht getestet.
Geschlossene Vorfälle ohne Post-Mortem und Unterricht.
Unbeschränkte Datenübermittlung an Unterverarbeiter/ins Ausland ohne Gewähr.
Aggressive Haftungsbeschränkungen für PI-Lecks.

14) Antipatterns

„Papier“ DD ohne PoC und technische Überprüfung.
Universelle Checkliste ohne Risiko/Jurisdiktionen.
Vertrag ohne DPA/SLA/Prüfungsrecht und Exit-Plan.
Fehlende Anbieterregistrierung und Änderungsüberwachung.
„Für immer“ ausgestellte Zugänge/Token ohne Rotation und Re-Zertifizierungen.

15) Verwandte Artikel wiki

Automatisierung von Compliance und Reporting

Kontinuierliche Compliance-Überwachung (CCM)

Legal Hold und Dateneinfrieren

Lebenszyklus von Richtlinien und Verfahren

KYC/KYB und Sanktionsscreening

Zeitpläne für die Speicherung und Löschung von Daten

Kontinuitätsplan (BCP) und DRP

Ergebnis

Die risikoorientierte Due Diligence ist kein „Tick“, sondern ein überschaubarer Prozess: korrekte Kategorisierung, Tiefenprüfung nach Schlüsselachsen, klare vertragliche Garantien und kontinuierliche Überwachung. Auf diese Weise werden Lieferanten zu einem zuverlässigen Teil Ihrer Kette, und Sie erfüllen vorhersehbar die Anforderungen, ohne das Geschäft zu verlangsamen.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.