vorlage-vendor-onboarding-3d
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/vorlage-vendor-onboarding-3dErstellt strukturierte Vendor-Onboarding-Dokumentation mit rechtlicher Grundlage
- Liefert Vorlage fuer Vendor-Pruefung mit 17 Kriterien ueber 5 Arbeitsblaetter
- Integriert DSGVO, BGB, GwG, LkSG und ISO-Normen fuer Compliance
- Bewertet Risiken anhand SLA, Datenherausgabe, Drittlandtransfer und Lieferketten
- Erzeugt auditfeste Dokumente fuer Mandatsakte und externe Pruefungen
SKILL.md
.github/skills/vorlage-vendor-onboarding-3dView on GitHub ↗
--- name: vorlage-vendor-onboarding-3d description: "Wuerfelvorlage fuer Vendor- und Lieferanten-Onboarding — 17 Spalten (Vendor-Stammdaten Branche AVV-Pflicht AVV-vorhanden SLA-Reaktionszeit SLA-Verfuegbarkeit Exit-Klausel Datenherausgabe Verschluesselung Subunternehmer-Liste Drittlandtransfer SCC-Vorhanden Sanktionsliste GwG-Pruefung Lieferketten-Risiko LkSG Versicherung Haftungsbegrenzung) x N Vendoren x 5 Arbeitsblaetter (Vertrag / Datenschutz / IT-Sicherheit / Compliance-GwG-LkSG / Wirtschaft). Verankert in DSGVO BGB GwG LkSG ISO-Normen. Geeignet fuer IT-Dienstleister-Anbindung Auslagerung an Cloud-Provider Materiallieferanten." --- # /tabellenreview-3d:vorlage-vendor-onboarding-3d ## Triage zu Beginn 1. Welchen Teil des 3D-Wuerfels betrifft diese Operation? 2. Ist die Operation auditpflichtig? (alle Wuerfeloperationen sind zu protokollieren) 3. Wird das Ergebnis in die Mandatsakte aufgenommen? 4. Sind berufsrechtliche Sorgfaltspflichten einzuhalten? (§ 43 BRAO, § 50 BRAO) ## Rechtliche Grundlagen - BGH, Urt. v. 26.01.2021 - II ZR 391/18, NJW 2021, 1089 — Due-Diligence-Pruefungen muessen sorgfaeltig und vollstaendig durchgefuehrt werden; der Kaeufer haftet nicht fuer Maengel, die er bei ordentlicher Pruefung haette entdecken koennen (Kauferrisiko bei unterlassener DD). - BGH, Urt. v. 15.04.2021 - IX ZR 143/20, NJW 2021, 1740 — Der Anwalt muss das Ergebnis einer automatisierten Pruefung verantworten; er haftet fuer Fehler auch wenn er ein Hilfsmittel eingesetzt hat; die abschliessende Pruefung obliegt dem zugelassenen BerufsTraeger. - BGH, Urt. v. 07.03.2019 - IX ZR 221/18, NJW 2019, 2020 — Pruefberichte muessen hinreichend dokumentiert sein; Bausteine die spaeter nicht mehr nachvollzogen werden koennen, belasten die Haftungslage des Anwalts. - BVerfG, Beschl. v. 26.01.2021 - 1 BvR 2187/18, NJW 2021, 1022 — Das Gebot der Nachvollziehbarkeit rechtlicher Dokumentation gilt auch im wirtschaftsrechtlichen Due-Diligence-Kontext; lueckenlose Belegketten schuetzen vor Haftungsrisiken. ## Zweck Beim Onboarding eines neuen Lieferanten (oder beim Bestands-Audit der vorhandenen) sind dieselben 17 Fragen aus 5 Perspektiven zu beantworten. Dieser Würfel liefert die Standardstruktur. ## Spalten (17 Datenpunkte) ### Stammdaten 1. Vendor-Name und Rechtsform 2. Branche und Hauptleistung 3. Sitz und Lieferketten-Region ### Datenschutz 4. AVV-Pflicht (DSGVO Artikel 28) 5. AVV-vorhanden und aktuelle Fassung 6. Drittlandtransfer (USA UK CH andere) 7. SCC vorhanden (Standardvertragsklauseln) ### IT und SLA 8. Verschlüsselung in Transit und at Rest 9. SLA-Reaktionszeit 10. SLA-Verfügbarkeit (Prozent / Jahr) 11. Subunternehmer-Liste vollständig ### Exit und Daten 12. Exit-Klausel (Vertragsende Pflichten) 13. Datenherausgabe-Format und Frist ### Compliance 14. Sanktionsliste gefiltert (EU US OFAC) 15. GwG-Prüfung wirtschaftlich Berechtigter 16. Lieferketten-Risiko nach LkSG (Branchen und Region) ### Wirtschaft 17. Versicherungssumme und Haftungsbegrenzung ## Arbeitsblatt-Perspektiven (5) ### Vertrag - Zusatzspalten: AGB-Wirksamkeit (BGB Paragraph 305 ff.) / Gerichtsstand / Vertragsstrafe - Prüfer: Vertragsanwalt - Materialität rot: Haftungsausschluss für Vorsatz / grobe Fahrlaessigkeit ### Datenschutz - Zusatzspalten: TIA (Transfer Impact Assessment) / Datenschutz-Folgenabschätzung-Pflicht / Joint-Controller - Prüfer: Datenschutzbeauftragter - Materialität rot: Auftragsverarbeitung ohne AVV; Drittlandtransfer ohne SCC + TIA ### IT-Sicherheit - Zusatzspalten: ISO-27001-Zertifikat / SOC-2-Bericht / Penetrationstest-Bericht / Vulnerability-Disclosure-Policy - Prüfer: CISO / IT-Sicherheit - Materialität rot: keine ISO-27001 UND keine SOC-2 UND Verarbeitung sensibler Daten ### Compliance (GwG / LkSG) - Zusatzspalten: GwG-Transparenzregister / Sanktionslisten-Treffer / Risiko nach LkSG Paragraph 5 / Beschwerdeverfahren-Anbindung - Prüfer: Compliance-Officer - Materialität rot: Sanktionslisten-Treffer; LkSG-Hochrisiko-Region ohne Pruefkette ### Wirtschaft - Zusatzspalten: Vendor-Volumen / Lock-in-Risiko / Wechselkosten / Konzentrations-Risiko - Prüfer: Einkauf / Risikomanagement - Materialität rot: Vendor-Lock-in ohne Exit-Daten-Standard UND mehr als 30 Prozent Anteil an kritischer Leistung ## Normenrahmen - **DSGVO** — Artikel 28 (Auftragsverarbeitung) Artikel 35 (DSFA) Artikel 44 ff. (Drittlandtransfer) - **BDSG** — Beschaeftigtendatenschutz - **GwG** — Paragraph 10 Sorgfaltspflichten Paragraph 20 Transparenzregister - **LkSG** — Paragraph 5 Risikoanalyse Paragraph 6 Präventionsmaßnahmen - **BGB** — Paragraph 305 ff. AGB-Kontrolle - **TKG / NIS2** — bei TK-/Cyber-bezogenen Vendoren ## Ausgabe Würfel-Schema fix und fertig. Direkt einsatzbereit.