Orbiq LogoOrbiq
Vendor Security Checkliste: Was Enterprise-Käufer vor Vertragsabschluss prüfen
2026-02-23
By Anna Bley

Vendor Security Checkliste: Was Enterprise-Käufer vor Vertragsabschluss prüfen

Die Sicherheits-Checkliste für die Lieferantenbewertung, die europäische Enterprise-Einkaufsteams tatsächlich nutzen. ISO 27001, DSGVO Artikel 28, Unterauftragnehmer-Listen, Datensouveränität, TOMs und wie ein Trust Center die Sicherheitsprüfung von Anbietern vereinfacht.

Trust Center
Vendor Security
Enterprise-Beschaffung
Compliance

Was Enterprise-Käufer tatsächlich prüfen, bevor sie einen Vertrag unterschreiben

Wenn Sie B2B-Software in Europa verkaufen, durchläuft Ihr Deal eine Sicherheitsprüfung, bevor er abgeschlossen wird. Die Frage ist nicht ob — sondern wie gut Sie darauf vorbereitet sind. Dieser Artikel beschreibt, was Enterprise-Einkaufsteams, CISOs und Datenschutzbeauftragte tatsächlich bewerten, in welcher Reihenfolge, und wo die meisten Anbieter Zeit verlieren. Er ist für die Anbieterseite geschrieben, aber die Checkliste funktioniert in beide Richtungen.

TL;DR

Europäische Enterprise-Käufer bewerten Anbieter und Lieferanten in acht Bereichen vor Vertragsabschluss: Zertifizierungen, Auftragsverarbeitungsverträge, Unterauftragnehmer-Transparenz, Datenresidenz und -souveränität, Incident Response, Zugriffskontrollen, Business Continuity und regulatorische Abdeckung. ISO 27001 ist die Grundlage — nicht SOC 2. Die meisten Deals stocken nicht, weil dem Anbieter Sicherheit fehlt; sie stocken, weil die Nachweise über PDFs, E-Mails und Sales-Calls verstreut sind. Ein Trust Center strukturiert diese Nachweise für die Lieferantenbewertung und das Drittparteienrisikomanagement (TPRM), damit Käufer sich selbst bedienen können — und Ihr Deal Wochen schneller abschließt.

Warum dieser Artikel existiert

Die meisten Leitfäden zu Vendor Security Assessment und Lieferantenbewertung sind für US-Käufer geschrieben, die US-Anbieter bewerten. Sie beginnen mit SOC 2, erwähnen die DSGVO als Fußnote und gehen davon aus, dass der Käufer einen 200-Fragen-Fragebogen verschickt.

Europäische Enterprise-Beschaffung funktioniert anders. ISO 27001 ist die erwartete Grundlage, nicht SOC 2. DSGVO Artikel 28 schafft spezifische vertragliche Anforderungen, die US-Frameworks nicht abdecken. NIS2 und DORA fügen Lieferkettenpflichten hinzu, die vor zwei Jahren noch nicht existierten. Und zunehmend erwarten europäische Einkaufsteams, diese Informationen selbst zu finden — nicht darauf zu warten, dass ein Vertriebsmitarbeiter sie sendet. Die Ära des 200-Fragen-Sicherheitsfragebogens als einzige Sicherheitsprüfung beim Vendor Onboarding endet; Käufer wollen die Erstbewertung selbst durchführen.

Dieser Artikel spiegelt wider, wie europäische Enterprise-Käufer die Lieferantenbewertung in Bezug auf Informationssicherheit im Jahr 2026 tatsächlich durchführen — die echte Vendor-Due-Diligence-Checkliste, die Ihre Interessenten nutzen, ob sie Ihnen diese schicken oder nicht.

Die Sicherheitsprüfung von Anbietern: Acht Bereiche der Lieferantenbewertung

1. Zertifizierungen und Auditberichte

Was sie suchen: Aktuelles ISO-27001-Zertifikat (nicht abgelaufen), Geltungsbereich der Zertifizierung (deckt es das Produkt ab, das Sie verkaufen, oder nur die Unternehmens-IT?), Statement of Applicability (SoA) und aktuellste Überwachungs- oder Rezertifizierungs-Auditergebnisse.

Warum es wichtig ist: In der europäischen Enterprise-Beschaffung ist ISO 27001 Grundvoraussetzung. Es ist die Zertifizierung, die Einkaufsteams kennen, die mit den DSGVO-Anforderungen an „geeignete technische und organisatorische Maßnahmen" (TOMs, Artikel 32) übereinstimmt, und die den NIS2-Risikomanagement-Erwartungen entspricht. SOC 2 ist nützlicher Zusatznachweis — besonders für US-orientierte Vertriebsprozesse — ersetzt aber ISO 27001 in der europäischen Beschaffung nicht.

Wo Anbieter Zeit verlieren: Das Zertifikat existiert, ist aber nicht öffentlich zugänglich. Der Käufer fragt danach, der Vertrieb fragt das Sicherheitsteam, das Sicherheitsteam schickt ein PDF, der DSB des Käufers stellt Nachfragen zum Geltungsbereich. Drei Wochen vergehen. Wäre das Zertifikat mit Geltungsbereich in einem Trust Center sichtbar, hätte der Käufer das am ersten Tag geprüft — vor dem ersten Gespräch.

Wie es richtig aussieht: Zertifikat sichtbar mit Ablaufdatum und Geltungsbereichsbeschreibung. SoA unter Zugriffskontrolle verfügbar (oft NDA-geschützt). Aktuelle Audit-Zusammenfassung für qualifizierte Käufer ohne Sales-Call zugänglich.

2. Auftragsverarbeitungsvertrag (AVV)

Was sie suchen: Einen DSGVO-konformen AVV, der alle Anforderungen nach Artikel 28 Absatz 3 abdeckt: Verarbeitungszweck und -dauer, Datenkategorien, Pflichten des Auftragsverarbeiters, Unterauftragnehmer-Klauseln, Auditrechte, Lösch- und Rückgabepflichten sowie Benachrichtigungspflichten bei Datenschutzverletzungen.

Warum es wichtig ist: Kein AVV, kein Deal. Das ist in der europäischen Enterprise-Beschaffung nicht verhandelbar. Verantwortliche sind gesetzlich verpflichtet, mit jedem Auftragsverarbeiter eine bindende Vereinbarung zu haben. Aber über die bloße Existenz des AVV hinaus bewerten Käufer dessen Qualität — ist es eine Standardvorlage, die die Grundlagen abdeckt, oder spiegelt er wider, wie Sie tatsächlich mit Daten umgehen?

Wo Anbieter Zeit verlieren: Der AVV ist verfügbar, aber nur auf Anfrage. Oder er ist in allgemeinen AGB eingebettet, und das Rechtsteam des Käufers muss die relevanten Klauseln extrahieren. Oder er wurde zuletzt vor Inkrafttreten von NIS2 aktualisiert und adressiert keine Lieferketten-Benachrichtigungspflichten.

Wie es richtig aussieht: Standard-AVV herunterladbar aus Ihrem Trust Center oder Ihrer Rechtsseite. Klare Struktur, die den Anforderungen nach Artikel 28 Absatz 3 entspricht. Versionsdatiert, damit Käufer die Aktualität prüfen können. Ergänzende Bedingungen für spezifische regulatorische Anforderungen (DORA, Healthcare) verfügbar.

3. Unterauftragnehmer-Transparenz

Was sie suchen: Eine aktuelle Liste aller Unterauftragsverarbeiter (Subunternehmer) mit Name, Zweck, verarbeiteten Datenkategorien, Hosting-Standort und Sitzland. Änderungsbenachrichtigungsprozess. Widerspruchsrechte.

Warum es wichtig ist: Hier hat sich die europäische Beschaffung deutlich von der US-Praxis entfernt. Nach DSGVO Artikel 28 Absatz 2 müssen Verantwortliche über Unterauftragnehmer-Änderungen informiert werden und die Möglichkeit zum Widerspruch haben. Nach NIS2 Artikel 21 Absatz 2 Buchstabe d müssen Einrichtungen die Lieferkettensicherheit managen. Eine statische Unterauftragnehmer-Liste in einem PDF-Anhang zum AVV erfüllt keine der beiden Anforderungen operativ.

Wo Anbieter Zeit verlieren: Die Unterauftragnehmer-Liste existiert, wurde aber seit Monaten nicht aktualisiert. Oder sie listet Firmennamen ohne Datenkategorien oder Hosting-Standorte. Oder es gibt keinen Mechanismus für Änderungsbenachrichtigungen — der Käufer entdeckt Änderungen bei seiner Jahresprüfung. Enterprise-DSBs erkennen all dies während der Beschaffung.

Wie es richtig aussieht: Öffentlich zugängliche Unterauftragnehmer-Seite. Strukturierte Daten: Name, Zweck, Kategorien, Standort, Übermittlungsmechanismus. Automatische Änderungsbenachrichtigungen mit definierter Vorlaufzeit. Dies ist eine der wertvollsten Seiten in jedem Trust Center.

4. Datenresidenz und Datensouveränität

Was sie suchen: Wo werden Daten gespeichert? Wo werden sie verarbeitet? Unterliegt der Anbieter nicht-europäischem Rechtszugriff (CLOUD Act, FISA 702)? Wie ist die Rechtsträgerstruktur — EU-Gründung oder US-Hauptsitz mit EU-Tochtergesellschaft?

Warum es wichtig ist: „EU-gehostet" ist nicht dasselbe wie „EU-souverän." Ein US-Unternehmen, das Daten in Frankfurt hostet, unterliegt weiterhin dem CLOUD Act — US-Behörden können den Zugriff auf diese Daten erzwingen, unabhängig davon, wo sie physisch gespeichert sind. Für Trust-Center-Daten im Speziellen — die Penetrationstestergebnisse, Sicherheitsarchitektur-Details und Compliance-Nachweise enthalten können — ist das relevanter, als die meisten Anbieter realisieren.

Europäische Enterprise-Käufer unterscheiden zunehmend zwischen Datenresidenz (wo Daten physisch gespeichert werden) und Datensouveränität (welche Rechtsordnung den Zugriff regelt). Das Schrems-II-Urteil hat diese Unterscheidung rechtlich relevant gemacht. Die NIS2-Umsetzung in den EU-Mitgliedstaaten macht sie operativ relevant.

Wo Anbieter Zeit verlieren: Der Anbieter sagt „EU-gehostet", kann aber detaillierte Fragen zu Konzernstruktur, Jurisdiktionsketten der Unterauftragnehmer oder Transfer Impact Assessments nicht beantworten. Das Rechtsteam des Käufers eskaliert, und der Deal pausiert zwei Wochen, während jemand die Dokumentation zusammenstellt.

Wie es richtig aussieht: Klare Angabe von Hosting-Standort, Verarbeitungsstandort und Unternehmensjurisdiktion. Transfer Impact Assessment verfügbar für US-basierte Unterauftragsverarbeiter. Datenflussdiagramm, das zeigt, wohin personenbezogene Daten fließen und auf welcher Rechtsgrundlage.

5. Incident Response und Meldepflichten

Was sie suchen: Dokumentierter Incident-Response-Plan. Definierte Benachrichtigungsfristen (DSGVO: 72 Stunden an Aufsichtsbehörde; NIS2: 24-Stunden-Frühwarnung). Kommunikationsprozess an betroffene Kunden. Nachweis der bisherigen Vorfallbehandlung (falls zutreffend).

Warum es wichtig ist: Jede europäische Regulierung enthält mittlerweile Vorfallmeldepflichten, und die Fristen werden kürzer. DSGVO Artikel 33 verlangt 72-Stunden-Meldung an Behörden. NIS2 verlangt eine 24-Stunden-Frühwarnung. DORA verlangt eine Erstmeldung innerhalb von vier Stunden bei schwerwiegenden IKT-Vorfällen. Käufer brauchen die Gewissheit, dass ihr Anbieter diese Fristen einhalten kann — nicht nur in der Richtlinie, sondern in der Praxis.

Wo Anbieter Zeit verlieren: Der Incident-Response-Plan existiert, wurde aber nicht getestet. Oder er deckt die Meldung an Behörden ab, aber nicht die kundenorientierte Kommunikation. Oder der Käufer fragt „Hatten Sie in den letzten 24 Monaten Sicherheitsvorfälle?" und der Anbieter braucht eine Woche für die Antwort, weil niemand die Antwort vorbereitet hat.

Wie es richtig aussieht: Incident-Response-Prozess dokumentiert und zugänglich (oft NDA-geschützt im Trust Center). Klare Kunden-Benachrichtigungsfrist definiert. Wenn Sie Vorfälle hatten, schafft eine kurze, ehrliche Zusammenfassung dessen, was passiert ist und wie Sie reagiert haben, mehr Vertrauen als Schweigen.

6. Zugriffskontrollen und Authentifizierung

Was sie suchen: SSO-Unterstützung (SAML/OIDC). Rollenbasierte Zugriffskontrolle (RBAC). Multi-Faktor-Authentifizierung. Privileged Access Management. Audit-Logging und Nachvollziehbarkeit (Wer-hat-was-getan).

Warum es wichtig ist: Enterprise-Sicherheitsteams bewerten, ob Ihr Produkt sich in ihre Identity-Infrastruktur integrieren lässt. SSO ist kein Nice-to-have — es ist eine Sicherheitsanforderung, die bestimmt, ob Ihr Produkt für die Nutzung freigegeben wird. Wenn Sie für SSO extra berechnen (die „SSO-Steuer"), erwarten Sie, dass Enterprise-Käufer das bemerken. RBAC und Audit-Logging sind wichtig, weil Enterprise-Kunden ihren eigenen Auditoren nachweisen müssen, dass der Zugriff auf Ihre Plattform ordnungsgemäß kontrolliert wird.

Wo Anbieter Zeit verlieren: SSO ist verfügbar, aber nur im Enterprise-Tarif, und der Käufer evaluiert Ihren Mid-Market-Plan. Oder RBAC existiert, ist aber nicht dokumentiert — das Sicherheitsteam des Käufers muss einen Demo-Call vereinbaren, um Berechtigungsmodelle zu verstehen. Oder Audit-Logs existieren, sind aber nicht exportierbar für die SIEM-Integration des Käufers.

Wie es richtig aussieht: SSO im Plan enthalten, den Ihre Enterprise-Käufer evaluieren. RBAC-Modell dokumentiert. Audit-Log-Funktionen mit Export-Optionen beschrieben. All das kann einmal im Trust Center dokumentiert werden statt bei jedem Sales-Call erklärt zu werden.

7. Business Continuity und Disaster Recovery

Was sie suchen: Business-Continuity-Plan (BCP). Disaster-Recovery-Plan (DRP). Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Backup-Strategie und Testhäufigkeit. Geografische Redundanz.

Warum es wichtig ist: NIS2 verlangt explizit Business-Continuity-Management mit Backup und Disaster Recovery (Artikel 21 Absatz 2 Buchstabe c). DORA verlangt IKT-Business-Continuity-Management und operative Resilienz-Tests. Auch ohne regulatorische Anforderungen brauchen Enterprise-Käufer die Sicherheit, dass ein Anbieterausfall ihre Betriebsabläufe nicht unterbricht.

Wo Anbieter Zeit verlieren: BCP und DRP existieren, sind aber interne Dokumente, die nie für die externe Weitergabe aufbereitet wurden. Der Käufer fordert sie an, und jemand muss eine extern geeignete Version erstellen. Oder RTO/RPO-Werte sind definiert, aber nicht getestet — und der Auditor des Käufers fragt nach Testbelegen.

Wie es richtig aussieht: Zusammenfassung von BCP/DRP-Ansatz, RTO/RPO-Zusagen und Backup-Strategie im Trust Center verfügbar (detaillierte Pläne oft NDA-geschützt). Testnachweise dokumentiert. Uptime-Historie oder Status-Seite verlinkt.

8. Regulatorische Framework-Abdeckung

Was sie suchen: Welche regulatorischen Frameworks unterstützt der Anbieter aktiv? Nur SOC 2 und ISO 27001, oder versteht der Anbieter auch NIS2, DORA, DSGVO Artikel 28 und branchenspezifische Anforderungen? Sind Richtlinien und Kontrollen auf diese Frameworks gemappt?

Warum es wichtig ist: Hier unterbieten US-gebaute Anbieter konsistent in der europäischen Beschaffung. Der Anbieter hat SOC 2 Type II und ISO 27001 — großartig. Aber der Käufer ist ein Finanzdienstleister unter DORA und muss wissen, wie die Kontrollen des Anbieters auf DORAs IKT-Risikomanagement-Anforderungen mappen. Oder der Käufer ist in kritischer Infrastruktur unter NIS2 und braucht Lieferketten-Sicherheitsdokumentation, die SOC 2 nicht abdeckt.

Wo Anbieter Zeit verlieren: Die Compliance-Seite des Anbieters listet Zertifizierungen, mappt aber keine Kontrollen auf EU-regulatorische Frameworks. Das Compliance-Team des Käufers muss manuell bewerten, wie die Kontrollen des Anbieters ihre spezifischen regulatorischen Pflichten adressieren. Das ist anspruchsvolle Arbeit, die Zeit kostet — und bei jedem Deal anfällt.

Wie es richtig aussieht: Control-Mapping verfügbar für relevante EU-Frameworks. NIS2, DORA und DSGVO Artikel 28 explizit adressiert — nicht nur als Listenpunkt, sondern mit genügend Detail, damit ein Compliance-Team bewerten kann. Trust Center strukturiert nach den Frameworks, die Ihre Käufer tatsächlich interessieren, nicht nur nach denen, die Ihr Auditor geprüft hat.

Das Muster: Warum Deals stocken

Wenn man alle acht Bereiche betrachtet, ist das Muster immer dasselbe: Der Anbieter (Lieferant, Dienstleister) hat die Sicherheit — er kann sie nur nicht effizient nachweisen.

Die Nachweise existieren, aber im falschen Format, am falschen Ort, oder sie erfordern die falsche Person zum Abrufen. Ein PDF in einem Dropbox-Ordner. Ein Incident-Response-Plan in einem internen Wiki. Eine Unterauftragnehmer-Liste in einem AVV-Anhang. Ein Zertifikat an der Wand des CTO-Büros.

Jedes Mal, wenn ein Käufer nach einem Nachweis fragt und die Antwort lautet „Ich muss bei unserem Sicherheitsteam nachfragen", verlängert sich die Deal-Timeline um eine Woche. Multiplizieren Sie das über acht Bewertungsbereiche und mehrere Stakeholder (Einkauf, Recht, Sicherheit, DSB, Fachbereich), und Sie haben die Anatomie, warum Enterprise-Deals 90 Tage statt 30 dauern.

Das ist ein Präsentationsproblem, kein Sicherheitsproblem. Die Anbieter, die am schnellsten abschließen, sind nicht unbedingt die sichersten — sie sind diejenigen, die ihre Sicherheitslage am einfachsten bewertbar machen.

Was ein Trust Center verändert

Ein Trust Center ist ein strukturierter, extern zugänglicher Bereich, in dem Sie genau die Nachweise veröffentlichen, die Enterprise-Käufer brauchen — im erwarteten Format, mit Zugriffskontrollen, die dem Sensibilitätsniveau entsprechen.

Öffentliche Ebene: Zertifizierungen, Compliance-Überblick, Unterauftragnehmer-Liste, Datenresidenz-Informationen, regulatorische Framework-Unterstützung. Das prüfen Käufer, bevor sie überhaupt mit dem Vertrieb sprechen.

Authentifizierte Ebene: SoA, detaillierte Sicherheitskontrollen, AVV, Antworten auf Vendor-Risk-Fragebögen. Verfügbar für Käufer, die sich identifizieren. Kein Sales-Call erforderlich.

NDA-geschützte Ebene: Penetrationstestergebnisse, Incident-Response-Pläne, detaillierte Architektur-Dokumentation, BCP/DRP-Details. Verfügbar nach Click-to-Sign-NDA, vollständig protokolliert und nachverfolgbar.

Es geht nicht darum, alles öffentlich zu machen. Es geht darum, den Engpass der manuellen Nachweisübermittlung zu beseitigen — damit der Käufer in seinem Tempo evaluieren kann, Ihr Sicherheitsteam nicht für jeden Deal dieselben Anfragen und Sicherheitsfragebögen bearbeitet und der Sales-Zyklus von Monaten auf Wochen schrumpft.

Die praktische Checkliste

Nutzen Sie diese, um Ihre eigene Bereitschaft für Vendor-Bewertungen zu prüfen:

BereichWas Käufer erwartenOrbiq Trust Center Feature
ZertifizierungenISO-27001-Zertifikat, Geltungsbereich, SoA zugänglichÖffentliche + NDA-geschützte Dokumentenebenen
AVVHerunterladbar, aktuell, Art. 28-konformDokumentenbibliothek mit Versionskontrolle
UnterauftragnehmerÖffentliche Liste mit Kategorien, Standorten, BenachrichtigungenStrukturierte Unterauftragnehmer-Seite + Änderungs-Alerts
DatenresidenzHosting-Standort, Jurisdiktion, ÜbermittlungsmechanismenÖffentlicher Compliance-Überblick
Incident ResponseDokumentierter Prozess, MeldefristenNDA-geschützte Dokumentation
ZugriffskontrollenSSO, RBAC, Audit-Logs dokumentiertProdukt-Sicherheitsdokumentation
Business ContinuityBCP/DRP-Zusammenfassung, RTO/RPO, TestnachweiseNDA-geschützte Dokumentation
Regulatorische AbdeckungControl-Mapping auf NIS2, DORA, DSGVOFramework-orientierte Trust-Center-Struktur

Häufig gestellte Fragen

Ist ISO 27001 wirklich erforderlich, oder reicht SOC 2 für europäische Enterprise-Deals?

Für die meisten europäischen Enterprise-Beschaffungen ist ISO 27001 die erwartete Grundlage. SOC 2 ist ein US-entwickeltes Framework, mit dem europäische Einkaufsteams weniger vertraut sind und das sie möglicherweise nicht als gleichwertig akzeptieren. Einige europäische Unternehmen — insbesondere mit US-Geschäft — akzeptieren SOC 2 als ergänzenden Nachweis, aber es ersetzt selten ISO 27001 in europäischen Bewertungen. Wenn Sie eine Zertifizierung für den EU-Markteintritt priorisieren, ist ISO 27001 die richtige Antwort.

Wie lange dauert eine typische Enterprise-Sicherheitsprüfung?

Das variiert enorm — von einer Woche bis sechs Monate. Die Hauptvariable ist nicht die Komplexität der Prüfung, sondern wie zugänglich die Nachweise des Anbieters sind. Anbieter, die ihre Sicherheitslage in einem Trust Center veröffentlichen, berichten konsistent über kürzere Prüfungszyklen, weil Käufer die Erstbewertung selbst durchführen können, bevor sie ihr Sicherheitsteam für tiefere Prüfung einbeziehen.

Was ist das Minimum, das wir für die Lieferantenbewertung im Enterprise-Bereich bereithalten müssen?

Aktuelles ISO-27001-Zertifikat, DSGVO-konformer AVV, aktuelle Unterauftragnehmer-Liste, klare Datenresidenz-Dokumentation und ein Incident-Response-Prozess. Diese fünf Punkte adressieren die häufigsten Blocker. Alles andere ist wichtig, aber selten der Grund, warum ein Deal komplett stoppt.

Nutzen Käufer tatsächlich Trust Centers, oder schicken sie immer noch Fragebögen?

Beides. Sicherheitsfragebögen verschwinden nicht, aber der Prozess verändert sich. Käufer prüfen zunehmend zuerst das Trust Center des Anbieters und senden nur einen Fragebogen für Lücken, die sie nicht eigenständig verifizieren konnten. Ein gut strukturiertes Trust Center kann den Fragebogen-Umfang um 60-80% reduzieren — was beiden Seiten Zeit spart.

Wie verändert NIS2, was Enterprise-Käufer bewerten?

NIS2 fügt Lieferkettensicherheit als explizite Anforderung hinzu (Artikel 21 Absatz 2 Buchstabe d). Das bedeutet, Enterprise-Käufer unter NIS2 haben jetzt die regulatorische Pflicht, die Sicherheitslage ihrer Anbieter, Unterauftragnehmer-Ketten, Incident-Response-Fähigkeiten und Business-Continuity-Maßnahmen zu bewerten. Die Bewertung ist nicht mehr optional — sie ist auditierbar. Anbieter, die diese Bewertung einfach machen, gewinnen einen messbaren Vorteil in NIS2-betroffenen Beschaffungszyklen.

Die wichtigsten Erkenntnisse

  1. ISO 27001 ist die europäische Enterprise-Grundlage — SOC 2 ergänzt, ersetzt aber nicht in der EU-Beschaffung
  2. Deals stocken wegen Nachweiszugang, nicht wegen Sicherheitslücken — der Anbieter hat meist die Sicherheit, nur nicht die Präsentation
  3. Unterauftragnehmer-Transparenz ist jetzt regulatorische Pflicht — DSGVO Artikel 28 und NIS2 verlangen beide laufende Sichtbarkeit
  4. Datensouveränität zählt mehr als Datenresidenz — „EU-gehostet" durch ein US-Unternehmen reicht vielen europäischen Käufern nicht
  5. Ein Trust Center komprimiert Deal-Zyklen — Käufer, die die Erstbewertung selbst durchführen können, schließen Wochen schneller ab

So löst Orbiq das

Orbiq ist als das Trust Center gebaut, das europäische Enterprise-Käufer tatsächlich bewerten wollen. Öffentliche Zertifizierungsebene, NDA-geschützte sensible Dokumentation, strukturierte Unterauftragnehmer-Seiten und Framework-orientierte Compliance-Nachweise — alles an einem Ort.

→ Unser Trust Center ansehen (sehen Sie, was Ihre Käufer sehen werden)

→ Preise ansehen

→ Kostenlos starten

Quellen

  1. ISO/IEC 27001:2022 — Internationaler Standard für Informationssicherheits-Managementsysteme.
  2. Verordnung (EU) 2016/679 (DSGVO) – Artikel 28 — Pflichten des Auftragsverarbeiters, einschließlich AVV-Anforderungen und Unterauftragnehmer-Genehmigung.
  3. Verordnung (EU) 2016/679 (DSGVO) – Artikel 32 — Sicherheit der Verarbeitung, einschließlich Anforderung geeigneter technischer und organisatorischer Maßnahmen.
  4. Richtlinie (EU) 2022/2555 (NIS2) – Artikel 21 — Risikomanagementmaßnahmen für Cybersicherheit, einschließlich Lieferkettensicherheit.
  5. Verordnung (EU) 2022/2554 (DORA) – Artikel 28 — IKT-Drittparteien-Risikomanagement für Finanzunternehmen.
  6. EuGH – Schrems II (Rechtssache C-311/18) — Urteil zu EU-US-Datentransfers, relevant für Datensouveränitätsbewertung.

Weiterführende Lektüre