Zum Inhalt
Arbeiten Sie intelligenter mit unserer neuen, verbesserten Navigation!
Erfahren Sie, wie IO die Einhaltung von Vorschriften vereinfacht. Lesen Sie den Blog
ISMS.online

ISO 27701 – Abschnitt 6.12 – Lieferantenbeziehungen

In Abschnitt 27701 der ISO 6.12 wird die Notwendigkeit betont, Lieferantenbeziehungen zu verwalten, um die Sicherheit personenbezogener Daten (PII) durch klare Vereinbarungen, regelmäßige Überwachung und Aufrechterhaltung der Sicherheit in der gesamten Lieferkette zu gewährleisten.

Autorin
Toby Cane
Aktualisiert September 19, 2025
4 / 5 Sterne

ISO 27701 Abschnitt 6.12: Grundlagen des Lieferantenmanagements

Der Aufbau und die Pflege produktiver Lieferantenbeziehungen stellt einen großen Teil der meisten modernen datenbasierten Unternehmen dar – sei es durch die Lieferung von Ausrüstung, Supportleistungen oder die Vergabe von Unteraufträgen.

Von Beginn der Beziehung an und während der gesamten Laufzeit des Dienstleistungsvertrags müssen sich beide Parteien stets ihrer Verpflichtungen in Bezug auf die Sicherheit vertraulicher Informationen bewusst sein und Standards sollten aufeinander abgestimmt werden, um personenbezogene Daten zu schützen und die Integrität sensibler Informationen zu gewährleisten.

Was in ISO 27701 Abschnitt 6.12 behandelt wird

ISO 27701 Abschnitt 6.12 besteht aus zwei Bestandteilen:

  • ISO 27701 6.12.1 – Informationssicherheit in Lieferantenbeziehungen
  • ISO 27701 6.12.2 – Management der Lieferantendienstleistung

In diesen beiden Abschnitten gibt es fünf Unterabschnitte, die Anleitungen enthalten ISO 27002 , angewendet im Kontext der Verwaltung und Sicherheit von Datenschutzinformationen:

  • ISO 27701 6.12.1.1 – Informationssicherheitsrichtlinie für Lieferantenbeziehungen (ISO 27002 Control 5.19)
  • ISO 27701 6.12.1.2 – Sicherheit in Lieferantenvereinbarungen (ISO 27002 Control 5.20)
  • ISO 27701 6.12.1.3 – Lieferkette der Informations- und Kommunikationstechnologie (ISO 27002 Control 5.21)
  • ISO 27701 6.12.2.1 – Überwachung und Überprüfung der Lieferantendienstleistungen (ISO 27002 Control 5.22)
  • ISO 27701 6.12.2.2 – Verwalten von Änderungen an Lieferantendienstleistungen (ISO 27002 Control 5.22)

Nur ein Artikel enthält Leitlinien, die für das Vereinigte Königreich gelten Datenschutz Gesetzgebung – (ISO 27701 6.12.1.2). Die Artikelnummern dienen Ihrer Bequemlichkeit.

Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


ISO 27701 Abschnitt 6.12.1.1 – Schutz von Testdaten

Referenzen ISO 27002-Steuerung 5.19

Organisationen müssen Richtlinien und Verfahren implementieren, die nicht nur die Nutzung von Lieferantenressourcen und Cloud-Plattformen durch die Organisation regeln, sondern auch die Grundlage dafür bilden, wie sie von ihren Lieferanten erwarten, dass sie sich vor und während der Laufzeit der Geschäftsbeziehung verhalten, insbesondere in Bezug auf PII und datenschutzbezogene Vermögenswerte.

ISO 27701 6.12.1.1 kann als das wesentliche qualifizierende Dokument angesehen werden, das vorschreibt, wie die Verwaltung von Datenschutzinformationen im Verlauf eines Lieferantenvertrags gehandhabt wird.

Organisationen sollten:

  • Führen Sie eine Aufzeichnung der Lieferantentypen, die potenziell die Sicherheit von Datenschutzinformationen beeinträchtigen könnten.
  • Verstehen Sie, wie Lieferanten auf der Grundlage unterschiedlicher Risikostufen überprüft werden.
  • Identifizieren Sie Lieferanten, die bereits über Sicherheitskontrollen für Datenschutzinformationen verfügen.
  • Identifizieren Sie Bereiche der IKT-Infrastruktur der Organisation, auf die Lieferanten zugreifen oder die sie einsehen können.
  • Definieren Sie, wie sich die eigene Infrastruktur des Anbieters auf den Datenschutz auswirken kann.
  • Identifizieren und verwalten Sie die Datenschutzrisiken, die mit Folgendem verbunden sind:
    • Verwendung vertraulicher Informationen.
    • Nutzung geschützter Vermögenswerte.
    • Fehlerhafte Hardware oder fehlerhafte Software.
  • Überwachen Sie die Einhaltung der Datenschutz- und Informationssicherheit auf themenspezifischer oder lieferantenspezifischer Basis.
  • Begrenzen Sie Störungen, die durch Nichteinhaltung entstehen.
  • Arbeiten Sie mit einem Vorfallmanagementverfahren.
  • Implementieren Sie einen umfassenden Schulungsplan, der die Mitarbeiter darüber informiert, wie sie mit Lieferanten interagieren sollten.
  • Seien Sie bei der Übertragung von Datenschutzinformationen sowie physischen und virtuellen Vermögenswerten zwischen der Organisation und den Lieferanten äußerst vorsichtig.
  • Stellen Sie sicher, dass Lieferantenbeziehungen unter Berücksichtigung der Sicherheit von Datenschutzinformationen beendet werden.

Organisationen sollten die oben genannten Leitlinien beim Aufbau neuer Beziehungen mit Lieferanten nutzen und die Nichteinhaltung von Fall zu Fall prüfen.

Die ISO erkennt an, dass Geschäftsbeziehungen von Sektor zu Sektor und von Unternehmen zu Unternehmen sehr unterschiedlich sind, und gibt Organisationen Spielraum, indem sie die Erkundung „kompensierender Kontrollen“ empfiehlt, die darauf abzielen, die gleichen zugrunde liegenden Grundsätze zum Schutz der Privatsphäre zu erreichen.

ISO 27701 Klausel 6.12.1.2 – Sicherheit in Lieferantenvereinbarungen

Referenzen ISO 27002-Steuerung 5.20

Beim Thema Sicherheit innerhalb von Lieferantenbeziehungen sollten Organisationen sicherstellen, dass beide Parteien sich ihrer Verpflichtungen in Bezug auf die Sicherheit von Datenschutzinformationen und untereinander bewusst sind.

Dabei sollten Organisationen:

  • Bieten Sie eine klare Beschreibung an, in der detailliert beschrieben wird, auf welche Datenschutzinformationen zugegriffen werden muss und wie auf diese Informationen zugegriffen werden soll.
  • Klassifizieren Sie die Datenschutzinformationen, auf die zugegriffen werden soll, gemäß einem anerkannten Klassifizierungsschema (siehe ISO 27002-Kontrollen 5.10, 5.12 und 5.13).
  • Berücksichtigen Sie angemessen das eigene Klassifizierungssystem des Lieferanten.
  • Kategorisieren Sie Rechte in vier Hauptbereiche – gesetzlich, gesetzlich, behördlich und vertraglich – mit einer detaillierten Beschreibung der Pflichten pro Bereich.
  • Stellen Sie sicher, dass jede Partei verpflichtet ist, eine Reihe von Kontrollen einzuführen, mit denen die Risikostufen für die Sicherheit von Datenschutzinformationen überwacht, bewertet und verwaltet werden.
  • Erläutern Sie die Notwendigkeit, dass Lieferantenpersonal die Informationssicherheitsstandards einer Organisation einhalten muss (siehe ISO 27002 Control 5.20).
  • Ermöglichen Sie ein klares Verständnis darüber, was sowohl eine akzeptable als auch eine inakzeptable Nutzung von Datenschutzinformationen sowie physischen und virtuellen Vermögenswerten beider Parteien darstellt.
  • Setzen Sie Autorisierungskontrollen ein, die für Mitarbeiter auf Lieferantenseite erforderlich sind, um auf die Datenschutzinformationen einer Organisation zuzugreifen oder diese anzuzeigen.
  • Berücksichtigen Sie, was im Falle einer Vertragsverletzung oder der Nichteinhaltung einzelner Bestimmungen geschieht.
  • Skizzieren Sie ein Vorfallmanagementverfahren, einschließlich der Art und Weise, wie wichtige Ereignisse kommuniziert werden.
  • Stellen Sie sicher, dass das Personal eine Schulung zum Sicherheitsbewusstsein erhält.
  • (Wenn es dem Lieferanten gestattet ist, Subunternehmer einzusetzen) fügen Sie Anforderungen hinzu, um sicherzustellen, dass Subunternehmer denselben Sicherheitsstandards für Datenschutzinformationen unterliegen wie der Lieferant.
  • Überlegen Sie, wie Lieferantenpersonal überprüft wird, bevor es mit Datenschutzinformationen interagiert.
  • Legen Sie die Notwendigkeit von Bescheinigungen Dritter fest, die die Fähigkeit des Lieferanten belegen, die organisatorischen Datenschutzanforderungen an die Informationssicherheit zu erfüllen.
  • Sie haben das vertragliche Recht, die Verfahren eines Lieferanten zu prüfen.
  • Fordern Sie Lieferanten auf, Berichte vorzulegen, in denen die Wirksamkeit ihrer eigenen Prozesse und Verfahren detailliert beschrieben wird.
  • Konzentrieren Sie sich darauf, Maßnahmen zu ergreifen, um die rechtzeitige und gründliche Lösung etwaiger Mängel oder Konflikte zu erreichen.
  • Stellen Sie sicher, dass Lieferanten mit einer angemessenen BUDR-Richtlinie arbeiten, um die Integrität und Verfügbarkeit personenbezogener Daten und datenschutzbezogener Vermögenswerte zu schützen.
  • Fordern Sie eine Änderungsmanagementrichtlinie auf Lieferantenseite an, die die Organisation über alle Änderungen informiert, die möglicherweise Auswirkungen auf den Datenschutz haben.
  • Implementieren Sie physische Sicherheitskontrollen, die proportional zur Sensibilität der gespeicherten und verarbeiteten Daten sind.
  • (Wo Daten übertragen werden sollen) Bitten Sie Lieferanten, sicherzustellen, dass Daten und Vermögenswerte vor Verlust, Beschädigung oder Korruption geschützt sind.
  • Erstellen Sie eine Liste der von beiden Parteien im Falle einer Kündigung zu ergreifenden Maßnahmen.
  • Bitten Sie den Lieferanten, darzulegen, wie er die Datenschutzinformationen nach der Kündigung vernichten will oder ob die Daten nicht mehr benötigt werden.
  • Ergreifen Sie Maßnahmen, um eine minimale Betriebsunterbrechung während der Übergabezeit sicherzustellen.

Organisationen sollten außerdem eine Register der Vereinbarungen, in der alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt sind.

Anwendbare DSGVO-Artikel

  • Artikel 5 Absatz 1 Buchstabe f
  • Artikel 28 (1)
  • Artikel 28 (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), (3)(g) , (3)(h)
  • Artikel 30 Absatz 2 Buchstabe d
  • Artikel 32 (1)(b)

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.10
  • ISO 27002 5.12
  • ISO 27002 5.13
  • ISO 27002 5.20


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 6.12.1.3 – Lieferkette für Informations- und Kommunikationstechnologie

Referenzen ISO 27002-Steuerung 5.21

Bei der Auslagerung von Elementen ihrer Lieferkette sollten Unternehmen zum Schutz personenbezogener Daten und datenschutzbezogener Vermögenswerte Folgendes tun:

  • Entwerfen Sie klare Standards für die Sicherheit von Datenschutzinformationen, mit denen Lieferanten und Auftragnehmer vollständig vertraut sind.
  • Bitten Sie Lieferanten, Informationen zu allen Softwarekomponenten bereitzustellen, die zur Erbringung einer Dienstleistung verwendet werden.
  • Identifizieren Sie die Sicherheitsfunktionen aller bereitgestellten Produkte oder Dienstleistungen und legen Sie fest, wie diese Produkte und Dienstleistungen so betrieben werden sollten, dass die Sicherheit der Datenschutzinformationen nicht gefährdet wird.
  • Entwerfen Sie Verfahren, die sicherstellen, dass alle Produkte oder Dienstleistungen den anerkannten Industriestandards entsprechen.
  • Halten Sie sich an einen Prozess, der Elemente eines Produkts oder einer Dienstleistung identifiziert und aufzeichnet, die für die Aufrechterhaltung der Kernfunktionalität von entscheidender Bedeutung sind.
  • Bitten Sie Lieferanten, Zusicherungen zu geben, dass bestimmte Komponenten über ein beigefügtes Prüfprotokoll verfügen, das die Bewegung entlang der Lieferkette nachweist.
  • Stellen Sie sicher, dass Produkte und Dienstleistungen keine Funktionen enthalten, die ein Sicherheitsrisiko darstellen könnten.
  • Stellen Sie sicher, dass Lieferanten während des gesamten Entwicklungslebenszyklus Maßnahmen zur Manipulationssicherheit berücksichtigen.
  • Lassen Sie sich vergewissern, dass alle gelieferten Produkte oder Dienstleistungen den branchenüblichen Datenschutz- und Informationssicherheitsanforderungen entsprechen.
  • Ergreifen Sie Maßnahmen, um sicherzustellen, dass Lieferanten sich ihrer Pflichten bewusst sind, wenn sie Datenschutzinformationen in der gesamten Lieferkette weitergeben.
  • Entwerfen Sie Verfahren zum Risikomanagement beim Betrieb mit nicht verfügbaren, nicht unterstützten oder älteren Komponenten.

Es ist wichtig zu beachten, dass sich die Qualitätskontrolle nicht unbedingt auf eine detaillierte Überprüfung der eigenen Verfahren des Lieferanten erstreckt.

Organisationen sollten lieferantenspezifische Prüfungen implementieren, die Drittorganisationen als seriöse Quelle im Bereich des Datenschutzinformationsmanagements bestätigen.

ISO 27701 Abschnitt 6.12.2.1 – Überwachung und Überprüfung der Lieferantendienstleistungen

Referenzen ISO 27002-Steuerung 5.22

Unternehmen müssen sich ständig darüber im Klaren sein, wie Lieferantendienste bereitgestellt werden – und in welchem ​​Umfang –, um ein sicheres Datenschutz-Informationsmanagement aufrechtzuerhalten.

Um dies zu erreichen, sollten Organisationen:

  • Überwachen Sie Servicelevel gemäß veröffentlichten SLAs.
  • Beheben Sie Servicemängel oder Ereignisse so schnell wie möglich, insbesondere solche, die sich auf PII oder datenschutzbezogene Vermögenswerte auswirken.
  • Überwachen Sie alle vom Lieferanten an seinem eigenen Betrieb vorgenommenen Änderungen, die möglicherweise Auswirkungen auf den Datenschutz haben, einschließlich aller dienstspezifischen Änderungen.
  • Bitten Sie um regelmäßige Serviceberichte und geplante Überprüfungstreffen.
  • Überprüfen Sie Outsourcing-Partner und Subunternehmer und gehen Sie allen Bereichen nach, die Anlass zur Sorge geben.
  • Halten Sie sich an die vereinbarten Standards und Praktiken für das Incident Management.
  • Führen Sie Aufzeichnungen über Datenschutzereignisse, betriebliche Probleme und Störungen.
  • Heben Sie alle Sicherheitslücken in der Informationssicherheit hervor und beheben Sie diese so weit wie möglich.
  • Berücksichtigen Sie die Beziehungen der Lieferanten zu ihren eigenen Lieferanten und Subunternehmern und wie sich diese auf den Datenschutz innerhalb der Grenzen der Organisation selbst auswirken.
  • Identifizieren Sie Mitarbeiter auf Lieferantenseite, die für die Einhaltung der Bedingungen des Servicevertrags verantwortlich sind.
  • Führen Sie Audits durch, die die Fähigkeit eines Lieferanten bestätigen, angemessene Datenschutzstandards einzuhalten.

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.29
  • ISO 27002 5.30
  • ISO 27002 5.35
  • ISO 27002 5.36
  • ISO 27002 8.14


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 6.12.2.2 – Verwalten von Änderungen an Lieferantendienstleistungen

Referenzen ISO 27002-Steuerung 5.22

Siehe ISO 27701 Abschnitt 6.12.2.1

Unterstützende Kontrollen von ISO 27002 und DSGVO

ISO 27701-Klauselkennung Name der ISO 27701-Klausel ISO 27002-Anforderung Zugehörige DSGVO-Artikel
6.12.1.1 Informationssicherheitsrichtlinie für Lieferantenbeziehungen
5.19 – Informationssicherheit in Lieferantenbeziehungen für ISO 27002
 		Non
6.12.1.2 Berücksichtigung der Sicherheit in Lieferantenvereinbarungen
5.20 – Adressierung der Informationssicherheit in Lieferantenvereinbarungen für ISO 27002
 		Beiträge (5), (28), (30), (32)
6.12.1.3 Lieferkette für Informations- und Kommunikationstechnologie
5.21 – Management der Informationssicherheit in der IKT-Lieferkette für ISO 27002
 		Non
6.12.2.1 Überwachung und Überprüfung der Lieferantendienstleistungen
5.22 – Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen für ISO 27002
 		Non
6.12.2.2 Verwalten von Änderungen an Lieferantenservices
5.22 – Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen für ISO 27002
 		Non

Wie ISMS.online hilft

Es kann schwierig sein, zu wissen, wo man mit ISO 27701 anfangen soll, insbesondere wenn Sie so etwas noch nie zuvor tun mussten. Hier kommt ISMS.online ins Spiel!

Unsere ISO 27701-Lösungen bieten Frameworks, die es Ihrem Unternehmen ermöglichen, die Einhaltung von ISO 27701 nachzuweisen.

Unsere Informationssicherheitsexperten können mit Ihnen zusammenarbeiten, um sicherzustellen, dass Sie einen logischen Implementierungsprozess entwickeln, der mit dem Online-Dokumentationsrahmen übereinstimmt.

‌Erfahren Sie mehr unter Buchen Sie eine praktische Demo.

Toby Cane

Partner Customer Success Manager

Toby Cane ist Senior Partner Success Manager bei ISMS.online. Er arbeitet seit fast vier Jahren für das Unternehmen und hat dort verschiedene Aufgaben wahrgenommen, unter anderem als Moderator von Webinaren. Vor seiner Tätigkeit im SaaS-Bereich war Toby Sekundarschullehrer.

LinkedIn

ISO 27701-Klauseln

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Bereit, um loszulegen?

Beratungstermin vereinbaren