DSGVO-Änderungsmitteilungen für Subprozessoren: Der Meldeprozess nach Artikel 28

DSGVO-Änderungsmitteilungen für Subprozessoren: Der Meldeprozess nach Artikel 28

Eine Änderungsmitteilung für Subprozessoren ist die vorherige Benachrichtigung, die ein Auftragsverarbeiter senden muss, bevor er einen Unterauftragsverarbeiter unter allgemeiner schriftlicher Genehmigung hinzufügt oder austauscht. DSGVO Artikel 28 Abs. 2 verlangt, dass der Verantwortliche über beabsichtigte Änderungen informiert wird und eine echte Gelegenheit zum Widerspruch erhält, bevor der neue Subprozessor mit der Verarbeitung beginnt. Die Verordnung legt keine feste Frist fest – das ist eine vertragliche Angelegenheit – doch die EDSA-Stellungnahme 22/2024 (angenommen am 7. Oktober 2024) hat verschärft, wie eine sinnvolle Mitteilung heute aussehen muss: genug Details und genug Zeit für einen informierten Widerspruch, gestützt auf eine jederzeit aktuell gehaltene Subprozessor-Liste. Dieser Leitfaden behandelt den Prozess selbst – was die Mitteilung enthalten muss, wie lang das Fenster sein sollte, wie Widersprüche zu behandeln sind und wer zu benachrichtigen ist.

Subprozessor-Änderungsmitteilungen auf einen Blick

Frage	Kurzantwort
Wann ist eine Mitteilung erforderlich?	Vor dem Hinzufügen oder Austausch eines Subprozessors unter allgemeiner schriftlicher Genehmigung (Art. 28 Abs. 2).
Gesetzliche Frist?	Keine. Das Fenster (in Europa typischerweise rund 15 Tage) wird im AVV festgelegt, nicht in der DSGVO.
Was muss sie enthalten?	Identität + Kontakt, Beschreibung der Verarbeitung, Ort/Übermittlungsmechanismus, Sicherheitsgarantien.
Kann Schweigen als Zustimmung gelten?	Nur unter allgemeiner Genehmigung und nur bei echter, informierter, rechtzeitiger Mitteilung. Niemals unter spezifischer Genehmigung.
Wer erhält sie?	Jeder Verantwortliche, dessen Daten der Subprozessor berührt – proaktiv, nicht auf Anfrage.
Wo ist sie angesiedelt?	Ein aktuelles Subprozessor-Register + ein aktiver Alert-Kanal (E-Mail-Abonnement / Trust Center).

Die wichtigsten Erkenntnisse

1. Artikel 28 setzt den Auslöser, der AVV setzt die Uhr. Die Pflicht zur Mitteilung und zur Ermöglichung des Widerspruchs ist gesetzlich; die Anzahl der Tage ist vertraglich – machen Sie sie operativ durchsetzbar, nicht nur zu einer Klausel.
2. Eine Änderungsmitteilung ist ein Dokument mit Pflichtfeldern, keine einzeilige E-Mail. Nach der EDSA-Stellungnahme 22/2024 genügt „Wir haben Anbieter X hinzugefügt" für nicht-triviale Verarbeitungen nicht mehr.
3. Der Widerspruchsweg muss existieren, bevor jemand widerspricht. Definieren Sie im Voraus, was geschieht – eine Ausweichlösung oder die Kündigung der betroffenen Dienste.
4. Benachrichtigung ist Push, nicht Pull. Verantwortliche müssen so rechtzeitig informiert werden, dass sie widersprechen können; von ihnen zu erwarten, eine Webseite zu beobachten, erfüllt die Pflicht nicht.
5. Dies ist ein Prozess, keine Seite. Register, Mitteilung, Abonnenten-Alert, Widerspruchsbearbeitung und Prüfpfad bilden ein zusammenhängendes System – genau das, was ein Trust Center operationalisiert.

Was DSGVO Artikel 28 tatsächlich verlangt

Änderungsmitteilungen für Subprozessoren existieren wegen eines Satzes in Artikel 28 Abs. 2 der DSGVO:

„Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben."

Drei Pflichten folgen daraus, eine vierte aus dem umgebenden Text:

• Über beabsichtigte Änderungen informieren. Die Mitteilung muss für beabsichtigte – also vorherige – Hinzufügungen oder Ersetzungen erfolgen, und zwar schriftlich (Artikel 28 Abs. 9 verlangt, dass die Vereinbarung nach Artikel 28, einschließlich elektronischer Form, schriftlich erfolgt).
• Eine echte Gelegenheit zum Widerspruch geben. Das Widerspruchsrecht darf nicht theoretisch sein. Der Verantwortliche muss genügend Informationen und genügend Zeit haben, um den neuen Subprozessor zu bewerten und zu entscheiden.
• Gleichwertige Pflichten entlang der Kette auferlegen (Artikel 28 Abs. 3 Buchst. d und 28 Abs. 4). Wird ein Subprozessor hinzugezogen, muss der Auftragsverarbeiter dieselben Datenschutzpflichten an ihn weitergeben und bleibt gegenüber dem Verantwortlichen haftbar für die Einhaltung durch diesen Subprozessor.

Was Artikel 28 bewusst nicht tut, ist eine Zahl festzulegen. Es gibt keine gesetzlichen „30 Tage". Die Verordnung verlangt vorherige Information und eine Gelegenheit zum Widerspruch; die konkrete Frist steht in Ihrem Auftragsverarbeitungsvertrag. Dies wird durch die Leitlinien des britischen ICO bestätigt, die Auftragsverarbeitern vorschreiben, „das Datum, bis zu dem der Verantwortliche etwaige Einwände erheben sollte", anzugeben – die Notwendigkeit, ein Datum zu nennen, besteht gerade deshalb, weil die DSGVO keines festlegt.

Für das vollständige Bild, wie Subprozessor-Listen, Sorgfaltsprüfung und Vertragsbedingungen nach Artikel 28 zusammenpassen, lesen Sie unseren begleitenden Leitfaden zum Subprozessor-Management nach DSGVO Artikel 28. Diese Seite geht tiefer auf den einen Baustein ein, den die meisten Teams schlecht handhaben: die Änderungsmitteilung selbst.

Spezifische vs. allgemeine Genehmigung – und warum dies die Mitteilung verändert

Artikel 28 Abs. 2 bietet zwei Wege, und sie führen zu unterschiedlichen Prozessen:

• Spezifische Genehmigung. Der Verantwortliche genehmigt jeden Subprozessor einzeln, bevor dieser hinzugezogen wird. Es gibt kein „Mitteilen und Widersprechen" – es gibt „Anfragen und Genehmigen". Entscheidend ist: Die EDSA-Stellungnahme 22/2024 stellt fest, dass unter spezifischer Genehmigung Schweigen als keine Einwilligung zu behandeln ist: Antwortet der Verantwortliche nicht innerhalb des angefragten Zeitraums, darf der Auftragsverarbeiter nicht fortfahren.
• Allgemeine Genehmigung. Der Verantwortliche erteilt eine pauschale Genehmigung unter dem Vorbehalt, über Änderungen informiert zu werden und das Widerspruchsrecht zu behalten. Dies nutzen die meisten B2B-SaaS-Unternehmen, und genau dies erzeugt einen wiederkehrenden Änderungsmitteilungs-Prozess.

Beide sind nicht austauschbar. Ein AVV mit allgemeiner Genehmigung kann vorsehen, dass ein Verantwortlicher, der nicht innerhalb des Fensters widerspricht, die Änderung als angenommen gilt – aber, gemäß der EDSA-Stellungnahme 22/2024, nur dort, wo dieser Verantwortliche eine echte, informierte Mitteilung mit genügend Zeit zum Handeln erhalten hat. Eine fingierte Zustimmung, die auf einer Mitteilung beruht, die niemand realistisch beurteilen konnte, ist genau jenes „theoretische" Widerspruchsrecht, das die Verordnung ausschließt.

Was eine Subprozessor-Änderungsmitteilung enthalten muss

Vor Oktober 2024 bestanden viele Mitteilungen aus einer einzigen Zeile: einem Firmennamen und einer Dienstleistungskategorie. Die EDSA-Stellungnahme 22/2024 hat diese Untergrenze angehoben. Die Stellungnahme verlangt von Auftragsverarbeitern, eine aktuelle Liste aller Subprozessoren zu führen und Verantwortlichen proaktiv die Informationen bereitzustellen, die sie zur Erfüllung ihrer eigenen Pflichten nach Artikel 28 benötigen. Für jeden (Unter-)Auftragsverarbeiter bedeutet das:

Feld	Warum es erforderlich ist
Name und Anschrift	Grundlegende Identifizierung der die Daten verarbeitenden Stelle.
Ansprechpartner (Name, Funktion, Kontaktdaten)	Damit der Verantwortliche Fragen zur Sorgfaltsprüfung richten kann.
Beschreibung der Verarbeitung	Was der Subprozessor tut, und eine klare Abgrenzung der Verantwortlichkeiten, wenn mehrere Auftragsverarbeiter beteiligt sind.
Ort der Verarbeitung + Übermittlungsmechanismus	Ob Daten den EWR verlassen und auf welcher Grundlage (SCCs, Angemessenheitsbeschluss) – nach Schrems II unerlässlich.
Sicherheitsgarantien	Zertifizierungen (ISO 27001, SOC 2) oder eine Zusammenfassung der technischen und organisatorischen Maßnahmen, damit der Verantwortliche die „hinreichenden Garantien" nach Artikel 28 Abs. 1 beurteilen kann.

Die Detailtiefe ist risikobasiert. Bei einer Verarbeitung mit geringem Risiko darf sich ein Verantwortlicher angemessen auf zusammenfassende Informationen stützen; bei einer Verarbeitung mit höherem Risiko erwartet der EDSA mehr – was bedeutet, dass Ihre Mitteilung für einen neuen Analyse-Pixel und Ihre Mitteilung für einen neuen Subprozessor, der besondere Kategorien personenbezogener Daten verarbeitet, nicht identisch aussehen sollten. Ein reiner Namenseintrag ist für nichts Nicht-Triviales mehr vertretbar.

Wie lang sollte das Mitteilungsfenster sein?

Die DSGVO sagt es nicht, also füllt die Praxis die Lücke. Die Richtwerte, die in AVVs am häufigsten auftauchen:

• ~15 Tage – das typische europäische Mitteilungsfenster und der praktische Standard in den meisten EU-AVVs. Lang genug, um eine Änderung zu bewerten, kurz genug, um das Subprozessor-Onboarding nicht auszubremsen.
• 30–60 Tage – der übliche ausgehandelte Bereich, gefordert von Unternehmenskunden und regulierten Verantwortlichen, die Zeit für interne Prüfungen oder Datenübermittlungs-Folgenabschätzungen benötigen.
• 90 Tage – zunehmend selten. Im Zeitalter der KI-gestützten Lieferantenprüfung benötigen Verantwortliche selten drei Monate, um eine einzelne Subprozessor-Änderung zu bewerten, und Auftragsverarbeiter wehren sich dagegen, das Onboarding so lange zu blockieren.

Was auch immer Sie wählen, die EDSA-Stellungnahme 22/2024 formuliert den Maßstab neu: Das Fenster muss lang genug für einen sinnvollen, informierten Widerspruch sein, nicht nur lang genug, um eine Klausel zu erfüllen. Ein Mitteilungsfenster von nur wenigen Tagen bei einer risikoreichen Subprozessor-Änderung, das über einen Feiertagszeitraum zugestellt wird, ist genau die Art von Regelung, die eine Aufsichtsbehörde als unzureichend bewerten könnte, selbst wenn die Zahl im Vertrag steht.

Der Widerspruchsprozess: Was geschieht, wenn ein Verantwortlicher Nein sagt

Ein Widerspruchsrecht ist nur dann real, wenn es eine definierte Konsequenz gibt. Ihr AVV sollte den Weg festlegen, bevor ihn jemand nutzt. Das Standardmodell:

1. Der Verantwortliche widerspricht schriftlich innerhalb des Mitteilungsfensters, idealerweise mit angegebener Begründung.
2. Der Auftragsverarbeiter unternimmt angemessene Anstrengungen, um nachzukommen – etwa indem er die Daten dieses Verantwortlichen nicht an den neuen Subprozessor weiterleitet oder eine alternative Konfiguration anbietet.
3. Ist keine Ausweichlösung möglich, kann der Verantwortliche die betroffenen Dienste kündigen – straffrei, in der Regel mit einer definierten Abwicklungsfrist.

Der Sinn besteht darin, Mehrdeutigkeit zu beseitigen. Ein Widerspruch sollte einen bekannten Prozess auslösen, keine Verhandlung, die jedes Mal von vorn beginnt. Dokumentieren Sie jeden Widerspruch und seine Lösung – das ist Teil des Prüfpfads, den sowohl Ihr Datenschutzbeauftragter als auch die Datenschutzbeauftragten Ihrer Kunden sehen wollen.

Wen Sie benachrichtigen müssen – und warum „Push" besser ist als „Pull"

Eine Änderungsmitteilung zählt nur, wenn sie die betroffenen Verantwortlichen rechtzeitig erreicht. Zwei Fehlermodi sind häufig:

• Die vergrabene E-Mail. Eine Mitteilung, die an einen generischen Beschaffungs-Posteingang gesendet wird, den niemand überwacht, gibt keine „echte Gelegenheit zum Widerspruch".
• Die stumme Webseite. Viele Auftragsverarbeiter veröffentlichen eine öffentliche Subprozessor-Liste und betrachten deren Aktualisierung als Mitteilung. Die EDSA-Stellungnahme 22/2024 stellt ausdrücklich klar, dass eine Webseite nur dann akzeptabel ist, wenn sie jederzeit aktuell gehalten wird, die erforderlichen Details enthält und mit einem aktiven Alert gekoppelt ist – einem E-Mail-Abonnement oder Gleichwertigem – sodass Verantwortliche tatsächlich informiert werden, statt die Seite selbst überwachen zu müssen.

Das praktikable Muster ist ein Abonnenten-Modell: Verantwortliche (und ihre Datenschutzbeauftragten) melden sich für Benachrichtigungen zu Ihrer Subprozessor-Liste an, und jede Hinzufügung oder Ersetzung löst einen strukturierten Alert mit den erforderlichen Feldern und einer klaren Widerspruchsfrist aus. Genau das ist die Art wiederkehrender, gesteuerter Kommunikation, für die der Trust-Update-Prozess eines Trust Centers gebaut ist – und sie dient zugleich als Nachweis, dass Sie benachrichtigt haben, wann und mit welchem Inhalt.

Was die EDSA-Stellungnahme 22/2024 verändert hat

Die EDSA-Stellungnahme 22/2024, angenommen am 7. Oktober 2024, ist die wichtigste jüngste Entwicklung für diesen Prozess. Sie schreibt Artikel 28 nicht neu, schärft aber die damit verbundenen Erwartungen:

• Sichtbarkeit der gesamten Kette. Verantwortliche müssen in der Lage sein, jeden Auftragsverarbeiter und Subprozessor in der Kette zu identifizieren – nicht nur die erste Ebene – und zu überprüfen, dass jeder hinreichende Garantien bietet, wobei die Tiefe der Überprüfung am Risiko ausgerichtet wird.
• Proaktive, stets aktuelle Listen. Auftragsverarbeiter müssen „diese Informationen über alle hinzugezogenen Subprozessoren jederzeit aktuell halten" und sie bereitstellen, ohne darauf zu warten, danach gefragt zu werden.
• Keine minimalistischen Mitteilungen. Bei einer Verarbeitung mit höherem Risiko lässt eine Mitteilung, die Ort, Übermittlungsmechanismus oder Sicherheitsinformationen auslässt, den Verantwortlichen nicht die informierte Entscheidung treffen, die die Stellungnahme verlangt.
• Schweigen ≠ Einwilligung unter spezifischer Genehmigung. Die fingierte Zustimmung beschränkt sich auf echte Szenarien allgemeiner Genehmigung mit angemessener Mitteilung.

Der Nettoeffekt: Das verbreitete Modell „Subprozessor-Seite plus 30-Tage-E-Mail-Fenster" funktioniert weiterhin, aber nur, wenn es angereichert und integriert ist. Namen auf einer Seite sind passé; strukturierte, aktuelle, per Push benachrichtigte Datensätze sind angesagt.

Die Lage im Vereinigten Königreich und in Norwegen/EWR

Die Pflicht zur Änderungsmitteilung ist keine Eigenheit der EU-27 – sie zieht sich durch die gesamte europäische Compliance-Landschaft:

• Vereinigtes Königreich. Unter der UK GDPR (nach dem Brexit beibehalten und vom ICO beaufsichtigt) gilt Artikel 28 in derselben Form: kein Subprozessor ohne vorherige spezifische oder allgemeine schriftliche Genehmigung, vorherige Mitteilung beabsichtigter Änderungen unter allgemeiner Genehmigung, ein Vertrag mit gleichwertigem Schutz entlang der Kette und fortbestehende Haftung des Auftragsverarbeiters. Die ICO-Leitlinien zu Verträgen und Haftung spiegeln die EU-Position wider, einschließlich der Anweisung, eine Widerspruchsfrist schriftlich anzugeben.
• Norwegen und der EWR. Norwegen wendet die DSGVO über das personopplysningsloven an, beaufsichtigt durch Datatilsynet, im Rahmen des EWR-Abkommens. Der Genehmigungs- und Widerspruchsmechanismus des Artikels 28 gilt identisch; es gibt keine gesonderte nationale Regel, die die Pflicht zur Änderungsmitteilung abschwächt. EWR-Verantwortliche, die in die EU verkaufen, erwarten dieselbe Mitteilungsqualität wie ihre EU-Pendants.

Für einen Verantwortlichen, der über die EU, den EWR und das Vereinigte Königreich hinweg tätig ist, lautet die praktische Schlussfolgerung: ein Prozess, nicht drei. Ein einziger Änderungsmitteilungsprozess, der die strengste Auslegung erfüllt, deckt alle ab.

Die Pflicht in einen Prozess verwandeln

Der Grund, warum Subprozessor-Änderungsmitteilungen schiefgehen, ist selten eine fehlende Klausel – es ist das Fehlen eines Systems, das die Klausel ausführt. Das Register veraltet, eine Änderung geht live, bevor die Mitteilung versandt wurde, das Widerspruchsfenster wird inkonsistent durchgesetzt, und es gibt keine Aufzeichnung darüber, wem was mitgeteilt wurde.

Ein Trust Center schließt diese Lücke, indem es die gesamte Abfolge zu einem zusammenhängenden Prozess macht: eine öffentliche, stets aktuelle Subprozessor-Liste; eine Abonnentenbasis aus Verantwortlichen und Datenschutzbeauftragten; strukturierte Änderungsmitteilungen mit den vom EDSA erwarteten Feldern; ein durchgesetztes Widerspruchsfenster; und einen unveränderlichen Prüfpfad jeder Mitteilung und jedes Widerspruchs. Insbesondere für Rechtsteams nimmt dies die Subprozessor-Governance von der manuellen To-do-Liste – siehe Trust Center für Rechtsteams, wie dieselbe Ebene AVVs und NDA-Freigaben handhabt. Und da NIS2 und DORA in dieselbe Richtung drängen (NIS2 Artikel 21 Abs. 2 Buchst. d zur Lieferkettensicherheit, DORAs Regeln zur IKT-Unterauftragsvergabe in den Artikeln 28–30), leistet der Prozess, den Sie für DSGVO-Mitteilungen aufbauen, doppelte Arbeit über Ihre EU-Pflichten hinweg.

Wenn Sie ihn in Aktion sehen möchten: Orbiqs Trust-Update-Prozess versendet Subprozessor-Änderungsmitteilungen an abonnierte Verantwortliche, setzt das Widerspruchsfenster durch und führt den Prüfpfad automatisch.

Häufig gestellte Fragen

Was ist eine DSGVO-Änderungsmitteilung für Subprozessoren?

Es ist die vorherige Benachrichtigung, die ein Auftragsverarbeiter dem Verantwortlichen sendet, bevor er einen Subprozessor unter allgemeiner schriftlicher Genehmigung hinzufügt oder austauscht (Artikel 28 Abs. 2). Sie muss den neuen Subprozessor benennen, die Verarbeitung und jede Drittlandübermittlung beschreiben und dem Verantwortlichen eine echte Gelegenheit zum Widerspruch geben, bevor die Änderung wirksam wird.

Welche Frist verlangt die DSGVO?

Die DSGVO legt keine feste Frist fest. Sie verlangt lediglich, dass der Verantwortliche so rechtzeitig über beabsichtigte Änderungen informiert wird, dass er vor Beginn der Verarbeitung widersprechen kann. In Europa beträgt das übliche Fenster rund 15 Tage, wobei 30 bis 60 Tage der typische ausgehandelte Bereich sind und 90 Tage zunehmend selten – alles im AVV festgelegt. Die EDSA-Stellungnahme 22/2024 ergänzt, dass die Frist lang genug für einen sinnvollen, informierten Widerspruch sein muss.

Kann Schweigen als Zustimmung gewertet werden?

Unter allgemeiner Genehmigung kann ein AVV einen nicht widersprechenden Verantwortlichen so behandeln, als hätte er eine Änderung angenommen – aber nur dort, wo der Verantwortliche eine echte, informierte Mitteilung und genügend Zeit zum Widerspruch hatte. Wo eine spezifische Genehmigung erforderlich ist, darf Schweigen niemals als Zustimmung gewertet werden.

Was muss eine Mitteilung 2026 enthalten?

Nach der EDSA-Stellungnahme 22/2024: den Namen, die Anschrift und den Ansprechpartner des Subprozessors; eine Beschreibung der Verarbeitung und die Abgrenzung der Verantwortlichkeiten; den Ort der Verarbeitung und jeden Übermittlungsmechanismus; sowie ausreichende Sicherheitsdetails (Zertifizierungen oder Maßnahmen), damit der Verantwortliche die „hinreichenden Garantien" nach Artikel 28 Abs. 1 beurteilen kann.

Was passiert, wenn ein Verantwortlicher widerspricht?

Das hängt vom AVV ab. Der Standardweg besteht darin, dass der Auftragsverarbeiter angemessene Anstrengungen unternimmt, um dem Widerspruch nachzukommen, und falls keine möglich ist, kann der Verantwortliche die betroffenen Dienste straffrei kündigen. Definieren Sie dies, bevor ein Widerspruch überhaupt entsteht.

Erfüllt eine öffentliche Subprozessor-Seite die Pflicht?

Nicht für sich allein. Eine Webseite funktioniert nur dann als Mechanismus, wenn sie jederzeit aktuell gehalten wird, die erforderlichen Details enthält und mit einem aktiven Alert gekoppelt ist, sodass Verantwortliche tatsächlich rechtzeitig informiert werden, um widersprechen zu können.

Quellen & Referenzen

1. Verordnung (EU) 2016/679 (DSGVO) – Artikel 28 – Pflichten des Auftragsverarbeiters, Genehmigung von Subprozessoren (28 Abs. 2), Vertragsbedingungen (28 Abs. 3), Weitergabe und Haftung (28 Abs. 4).
2. EDSA-Stellungnahme 22/2024 zu bestimmten Pflichten, die sich aus der Hinzuziehung von Auftragsverarbeitern und Subprozessoren ergeben – angenommen am 7. Oktober 2024; Überprüfung der gesamten Kette und aktuelle Subprozessor-Informationen.
3. EDSA-Leitlinien 07/2020 zu den Begriffen „Verantwortlicher" und „Auftragsverarbeiter" in der DSGVO – Version 2.1; Beziehungen zwischen Verantwortlichem, Auftragsverarbeiter und Subprozessor.
4. ICO – Verträge und Haftung zwischen Verantwortlichen und Auftragsverarbeitern (was in den Vertrag gehört) – UK-GDPR-Position zur Genehmigung von Subprozessoren und zum Widerspruch.
5. Durchführungsbeschluss (EU) 2021/915 der Kommission – Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern – SCCs nach Artikel 28 Abs. 7, die die Hinzuziehung von Subprozessoren abdecken.
6. Datatilsynet (Norwegen) – Datenschutzbehörde – Aufsicht über die DSGVO mittels des personopplysningsloven und des EWR-Abkommens.

Weiterführende Lektüre

• Subprozessor-Management nach DSGVO Artikel 28: Was Verantwortliche tatsächlich erwarten
• DSGVO-Artikel 28, 32, 33 und 34: Warum ein ISMS nicht ausreicht
• Trust Center für Rechtsteams
• Was ist ein Trust Center?
• NIS2-Lieferkettensicherheit: Anforderungen, Lücken und wie man sie erfüllt
• DORA-Compliance: Management von IKT-Drittparteienrisiken
• Trust Updates – halten Sie Kunden automatisch informiert