Second-Party-Audit: Wie Sie Lieferanten und Dienstleister selbst prüfen

Ein Kunde schickt Ihnen einen Lieferantenfragebogen mit 80 Fragen zur Informationssicherheit. Sie reichen ihn weiter an Ihren eigenen Cloud-Dienstleister. Zurück kommt ein PDF mit netten Häkchen und einem Logo. Die Frage, die in dem Moment niemand stellt: Stimmt das eigentlich, was da behauptet wird? Genau hier beginnt das Thema Zweitparteien-Audit.

Die drei Audit-Arten in einem Satz

Wer beim Auditieren mitreden will, muss drei Begriffe sauber auseinanderhalten. Sie unterscheiden sich nicht in der Methodik, sondern darin, wer prüft und wen.

• First-Party-Audit (internes Audit): Sie prüfen sich selbst. Die eigene Organisation schaut, ob das eigene Managementsystem funktioniert.
• Second-Party-Audit (Zweitparteien-Audit): Sie prüfen einen anderen, mit dem Sie eine Geschäftsbeziehung haben. Der Auftraggeber kontrolliert seinen Lieferanten oder Dienstleister, selbst oder durch einen Beauftragten.
• Third-Party-Audit (Drittparteien-Audit): Eine unabhängige, akkreditierte Zertifizierungsstelle prüft und stellt am Ende das Zertifikat aus.

Wichtig für die Einordnung: Ein Second-Party-Audit führt NICHT zu einem ISO-Zertifikat. Es führt zu etwas anderem, das im Tagesgeschäft oft wertvoller ist, zu einem belastbaren Nachweis und zu Vertrauen für genau die Partei, die das Risiko trägt: Sie.

Was ein Second-Party-Audit konkret ist

Stellen Sie sich vor, Sie geben einen Teil Ihrer Wertschöpfung aus der Hand: Sie lassen Daten extern hosten, Sie kaufen eine KI-Komponente zu, Sie lagern Ihre Buchhaltung aus. In dem Moment, in dem ein anderer für Sie arbeitet, wird sein Risiko zu Ihrem Risiko. Das Zweitparteien-Audit ist das Werkzeug, mit dem Sie dieses fremde Risiko sichtbar machen, bevor es Ihres wird.

Sie definieren, was Ihnen wichtig ist, prüfen es vor Ort oder remote anhand von Nachweisen und bekommen ein realistisches Bild statt einer Selbstauskunft. Das ist der entscheidende Unterschied zum Fragebogen: Beim Audit verifizieren Sie, statt zu glauben.

Ein Fragebogen sagt Ihnen, was ein Dienstleister über sich behauptet. Ein Audit zeigt Ihnen, was er tatsächlich tut.

Warum Sie Ihre Lieferkette aktiv prüfen sollten

Der häufigste Irrtum: „Mein Dienstleister hat ein Zertifikat, also bin ich abgesichert." Ein Zertifikat sagt aus, dass irgendwann ein definierter Geltungsbereich geprüft wurde. Ob dieser Geltungsbereich genau die Leistung umfasst, die Sie einkaufen, steht auf einem anderen Blatt. Ein Second-Party-Audit schließt diese Lücke, weil es exakt Ihren Anwendungsfall in den Blick nimmt.

Der zweite Grund ist Haftung. Wenn bei Ihrem Auftragsverarbeiter etwas schiefgeht, sind es in der Regel Sie, die gegenüber Ihren eigenen Kunden geradestehen. Wer seine Kette kennt, haftet nicht blind für fremde Fehler und kann im Ernstfall belegen, dass er sorgfältig ausgewählt und kontrolliert hat.

Der dritte Grund ist schlicht der Markt. Große Auftraggeber verlangen heute Nachweise über die gesamte Kette. Wer seine eigenen Lieferanten im Griff hat, scheitert nicht am Kundenfragebogen, sondern punktet mit ihm.

Der rechtliche Rahmen: DSGVO Art. 28 als Sorgfaltspflicht

Sobald personenbezogene Daten im Spiel sind, gibt die DSGVO eine klare Richtung vor. Nach Art. 28 darf ein Verantwortlicher nur solche Auftragsverarbeiter einsetzen, die „hinreichende Garantien" für geeignete technische und organisatorische Maßnahmen bieten. Das ist eine Auswahl- und Sorgfaltspflicht: Sie sollten sich ein Bild machen, bevor Sie jemandem Ihre Daten anvertrauen.

Damit kein Missverständnis entsteht: Das Gesetz schreibt kein formales Lieferantenaudit zwingend vor. Es verlangt aber, dass Sie die Eignung Ihres Dienstleisters einschätzen und im Auge behalten. Ein Audit ist in der Praxis das stärkste Mittel, genau diese Sorgfalt nachzuweisen und zu prüfen, freiwillig, aber wirkungsvoll. Das ist eine Einordnung, keine Rechtsberatung; die konkrete Bewertung im Einzelfall gehört in juristische Hände.

Warum dieses Thema gerade an Gewicht gewinnt

Am 11. November 2025 hat der Bundesgerichtshof in einem viel beachteten Verfahren (Az. VI ZR 396/24) zu einem Datenleck entschieden. Wichtig und oft falsch wiedergegeben: Der BGH hat niemanden verurteilt. Er hat die Sache an die Vorinstanz, das Oberlandesgericht, zurückverwiesen. Es gibt also keine rechtskräftige Verurteilung, sondern eine Präzisierung der Maßstäbe.

Diese Präzisierung hat es in sich: Schon der bloße Verlust der Kontrolle über die eigenen personenbezogenen Daten kann ein ersatzfähiger immaterieller Schaden im Sinne von Art. 82 DSGVO sein, ohne dass ein konkreter Missbrauch nachgewiesen werden muss. Die Größenordnung pro betroffener Person ist gering, im unteren dreistelligen Euro-Bereich. Bei vielen Betroffenen summiert sich das aber schnell.

Die Lehre fürs Thema ist nüchtern und positiv zugleich: Die Sorgfalt bei Auswahl und Kontrolle von Dienstleistern, die personenbezogene Daten verarbeiten, gewinnt an Bedeutung. Das ist kein Grund zur Panik, sondern ein guter Anlass, die eigene Lieferkette souverän in den Griff zu nehmen, bevor jemand anders danach fragt.

Wer seine Lieferkette kennt, steuert sein Risiko. Wer sie nicht kennt, trägt es trotzdem.

Welche Norm liefert die Prüfkriterien?

Ein Audit braucht zwei Dinge: ein Verfahren und einen Maßstab. Beides liefern internationale Normen, und beides lässt sich auch ohne Zertifizierungsabsicht nutzen.

• ISO 19011:2026 ist der Leitfaden zum Auditieren von Managementsystemen. Sie beschreibt, wie man professionell auditiert, von der Planung über die Nachweissammlung bis zum Bericht. Sie gilt ausdrücklich auch für Second-Party-Audits.
• ISO/IEC 27001 liefert die inhaltlichen Prüfkriterien für Informationssicherheit. Daran messen Sie, ob ein Dienstleister Ihre Daten angemessen schützt.
• ISO/IEC 42001 liefert die Kriterien für ein KI-Managementsystem. Daran prüfen Sie, ob ein Lieferant, der KI für Sie einsetzt oder zuliefert, diese verantwortungsvoll und nachvollziehbar steuert.

Der Charme dabei: Sie müssen das Rad nicht neu erfinden. Die Normen geben Ihnen eine erprobte Checkliste an die Hand, an der sich Ihr Lieferant nicht vorbeimogeln kann, und die für ihn fair und transparent ist, weil sie öffentlich nachlesbar ist.

Wie ein Zweitparteien-Audit in der Praxis abläuft

Ein gutes Lieferantenaudit ist keine Stichprobe nach Bauchgefühl, sondern ein strukturierter Vorgang. In der Regel läuft es in fünf Schritten ab und ist meist in ein bis zwei Tagen vor Ort oder remote machbar.

• Geltungsbereich festlegen: Welche Leistung, welche Daten, welche KI-Systeme prüfen wir? Hier zahlt sich Präzision aus.
• Kriterien wählen: Welche Anforderungen aus ISO 27001, ISO 42001 oder dem Vertrag sind der Maßstab?
• Nachweise sammeln und verifizieren: Dokumente, Systeme, Interviews. Nicht glauben, sondern belegen lassen.
• Feststellungen formulieren: Was passt, was passt nicht, wo besteht Handlungsbedarf?
• Bericht und Folgemaßnahmen: ein klares Ergebnis, das Sie als Auftraggeber für Ihre Entscheidung und Ihre Dokumentation nutzen können.

Sie können das selbst tun, wenn Sie die Kompetenz im Haus haben, oder einen unabhängigen Beauftragten damit betrauen. Beides ist ein Second-Party-Audit. Der Unterschied zum internen Audit ist nur, dass nicht das eigene, sondern ein fremdes System geprüft wird.

Lieferantenaudit als Wettbewerbsvorteil, nicht als Bürokratie

Ich erlebe Zweitparteien-Audits selten als lästige Pflicht und fast immer als Erkenntnisgewinn für beide Seiten. Der Auftraggeber bekommt Sicherheit über das, was er einkauft. Der geprüfte Dienstleister bekommt eine ehrliche Außensicht und oft konkrete Hinweise, die ihn besser machen. Aus einer Kontrolle wird eine bessere Geschäftsbeziehung.

Genau solche unabhängigen Zweitparteien-Audits biete ich an: als Auftraggeber-Audit Ihrer Lieferanten und Dienstleister, mit ISO 27001 und ISO 42001 als Maßstab und ISO 19011 als Methodik. Das Ergebnis ist kein Zertifikat, sondern etwas, das Ihnen im Tagesgeschäft mehr hilft: Klarheit darüber, ob Sie sich auf Ihre Kette verlassen können.