Verwaltungsrats-Lexikon

Drittparteirisiko

Risiken aus der Zusammenarbeit mit Dritten wie Lieferanten, IT-Dienstleistern, Cloud-Providern, Outsourcing-Partnern, Beratern, Vertriebspartnern und Joint-Venture-Partnern.

Definition

Drittparteirisiko bezeichnet Risiken, die sich aus der Zusammenarbeit mit externen Partnern ergeben. Drittparteien sind alle natürlichen und juristischen Personen ausserhalb des Unternehmens, mit denen vertragliche oder faktische Beziehungen bestehen und die Einfluss auf das Geschäftsmodell, die Daten, die Infrastruktur, die Compliance oder die Reputation haben.

Typische Drittparteien sind Lieferanten, IT-Dienstleister, Cloud-Provider, Outsourcing-Partner, Berater, Anwälte, Wirtschaftsprüfer, Vertriebspartner, Distributoren, Joint-Venture-Partner und kritische Infrastruktur-Anbieter.

Mechanismus

Drittparteirisiken übertragen sich auf das Unternehmen über mehrere Wege:

  1. Direkte Abhängigkeit: Ausfall, Insolvenz, Qualitätsmängel des Partners wirken sich unmittelbar aus.
  2. Datenzugang: Cyberangriff oder Datenleck beim Partner kompromittiert Unternehmensdaten.
  3. Compliance-Übertragung: Verstösse des Partners (Korruption, Sanktionen) werden dem Unternehmen zugerechnet.
  4. Reputationsübertragung: Skandale beim Partner schlagen auf das Unternehmen durch.
  5. Sub-Unternehmer-Kette: Risiken in tieferen Stufen sind oft unsichtbar bis zur Eskalation.

Charakteristisch ist die delegierte Kontrolle: Das Unternehmen trägt die Verantwortung, hat aber keinen direkten operativen Zugriff auf den Partner.

Rechtsgrundlage

Branchenübergreifend

  • OR Art. 716a Abs. 1 Ziff. 3: Risiko-Management.
  • OR Art. 717: Sorgfalts- und Treuepflicht.
  • DSG Art. 9: Auftragsbearbeitung bei Personendaten.
  • OR Art. 964a ff.: Nichtfinanzielle Berichterstattung.

Finanzsektor

  • FINMA-Rundschreiben Outsourcing: detaillierte Anforderungen für Banken und Versicherungen.
  • Bankengesetz, Versicherungsaufsichtsgesetz: Auslagerung von Geschäftsbereichen.

Branchenspezifisch

  • Heilmittelrecht: Qualifikation und Auditierung von Lieferanten und CMOs.
  • Energierecht: Sicherheitsanforderungen an Dienstleister.
  • Datenschutz nach DSG und DSGVO: Auftragsbearbeitung, Drittlandsübermittlung.

EU-Ausstrahlung

  • DORA (Digital Operational Resilience Act): für Finanzdienstleister mit EU-Geschäft.
  • NIS2: Cybersicherheit kritischer Sektoren.
  • GDPR: Datenschutz mit Auftragsverarbeitung und Drittlandsübermittlung.

Risikokategorien

Operationelle Risiken

  • Ausfall durch Insolvenz, Brand, Streik, Naturkatastrophe.
  • Service-Level-Verletzungen.
  • Qualitätsmängel mit Auswirkung auf Endkunden.
  • Logistische Engpässe.

Cyber- und Datenrisiken

  • Drittparteien-Angriff als Einfallstor.
  • Datenexfiltration über den Partner.
  • Schwachstellen in Drittparteien-Software.
  • Schatten-IT durch Cloud-Services ohne Approval.

Compliance-Risiken

  • Korruption bei Vertriebspartnern (Agentenrisiken).
  • Sanktionsverstösse durch indirekten Bezug.
  • Datenschutzverstösse durch Auftragsbearbeiter.
  • Arbeits- und Menschenrechtsverletzungen.

Finanzielle Risiken

  • Insolvenz des Partners mit Lieferausfall.
  • Preisrisiken bei langfristigen Verträgen.
  • Schadenersatz für Vertragsverletzungen.

Reputations- und ESG-Risiken

  • NGO-Kampagnen wegen Drittparteien-Praktiken.
  • Mediale Skandale (Lieferanten, Berater, Distributoren).
  • ESG-Kriterien in der Beschaffung.

Konzentrationsrisiken

  • Dominante Cloud-Provider (AWS, Azure, Google).
  • Single-Source-Lieferanten.
  • Kritische Berater-Abhängigkeit.

Strategische Risiken

  • Know-how-Verlust durch Outsourcing.
  • Lock-in mit Verlust von Verhandlungsmacht.
  • Abhängigkeit von technologischen Plattformen.

Third Party Risk Management Programm

Drittparteien-Inventar

  • Vollständige Erfassung aller relevanten Drittparteien.
  • Klassifikation nach Kritikalität (kritisch, wichtig, normal).
  • Eigentümer und Verantwortliche in der Organisation.
  • Vertragsstatus, Kosten, Service-Bereich.

Risikoklassifikation

  • Datenklassifikation: welche Daten gehen an die Drittpartei.
  • Systemzugriff: welche Systeme sind exponiert.
  • Geschäftsbedeutung: was passiert bei Ausfall.
  • Geographische Risiken: Standort, Datenstandort, Rechtsraum.

Due Diligence vor Engagement

  • Finanzielle Stabilität (Bonität, Jahresabschlüsse).
  • Sicherheitsstandards und Zertifikate (ISO 27001, SOC 2).
  • Compliance-Status (Sanktionen, Korruption).
  • Referenzen und Erfahrung.
  • ESG-Profil.

Vertragliche Anforderungen

  • Service-Level mit Konsequenzen.
  • Sicherheitsanforderungen mit Audit-Rechten.
  • Datenschutz-Vereinbarungen (DPA).
  • Vorfall-Meldepflichten und Fristen.
  • Sub-Unternehmer-Genehmigung.
  • Exit-Klauseln und Datenrückgabe.

Laufendes Monitoring

  • KPIs und Service-Level-Berichte.
  • Bonitätsüberwachung.
  • Sicherheits-Sichtbarkeit (Schwachstellen, Vorfälle).
  • ESG- und Compliance-Status.

Audit-Programm

  • Periodische Audits kritischer Partner.
  • Schwerpunkte rotierend nach Risikoprofil.
  • Bericht an Management und Audit Committee.

Vorfall-Management

  • Definierte Meldewege bei Drittparteien-Vorfällen.
  • Krisenstabs-Aktivierung bei materiellen Vorfällen.
  • Untersuchungs- und Abhilfeprozesse.

Exit-Strategien

  • Vermeidung von Vendor Lock-in.
  • Vorbereitete Alternativen für kritische Funktionen.
  • Datenrückgabe und Wissenstransfer geregelt.

Praxis Schweiz

Banken und Versicherungen

FINMA-beaufsichtigte Institute haben sehr formalisiertes Outsourcing-Management. Auslagerung wesentlicher Bereiche braucht FINMA-Genehmigung, klare Kontrollrechte und Kontinuitätssicherung.

Pharma und Medtech

Qualifizierte Lieferanten und CMOs mit GMP-Anforderungen, regelmässige Audits, Trackbarkeit, Validierung.

IT-intensive Branchen

Cloud-Migration verschiebt das Risiko von eigener Infrastruktur zu Cloud-Providern. Datenstandort, Schrems II, Hyperscaler-Konzentration sind zentrale Themen.

KMU

Häufig fehlen formalisierte TPRM-Programme. Pragmatischer Ansatz: Inventar der kritischen Partner, einfache Risikoklassifikation, Basis-Verträge mit Standardklauseln, jährliche Überprüfung.

VR-Verantwortung

Der VR muss:

  • Kritische Drittparteien-Beziehungen kennen.
  • Regulatorische Compliance sicherstellen.
  • TPRM-Strukturen verabschieden und periodisch prüfen.
  • Strategische Drittparteien-Entscheidungen bewusst nehmen.
  • Konzentration auf Cloud-Provider als Klumpenrisiko verstehen.
  • Materielle Vorfälle behandeln.
  • Exit-Optionen für kritische Funktionen aufrechterhalten.

Cyber-Drittparteirisiko

Eine besondere Kategorie ist das Cyber-Drittparteirisiko:

  • Supply-Chain-Angriffe (SolarWinds, Kaseya, MOVEit).
  • Schwachstellen in Drittparteien-Software als Einfallstor.
  • Datenleck beim Partner mit Auswirkung auf Kundendaten.
  • Manipulation der Lieferketten-Software mit verteilten Folgen.

Schutzmassnahmen sind:

  • Cyber-Due-Diligence vor Engagement.
  • Vertragliche Sicherheitsanforderungen.
  • Audit-Rechte bei kritischen Partnern.
  • Monitoring der Sicherheitslage.
  • Klare Vorfall-Meldewege.
  • Notfallpläne bei Drittparteien-Vorfall.

Häufige Fehler

  • Fehlende Drittparteien-Inventarisierung.
  • Formelle Verträge ohne laufendes Monitoring.
  • Fehlende Risikoklassifikation kritischer Partner.
  • Cloud-Provider-Konzentration ohne Bewusstsein.
  • Mangelnde Cyber-Due-Diligence.
  • Fehlende Exit-Strategien mit Vendor Lock-in.
  • Vernachlässigung von Sub-Unternehmern in der Kette.
  • Fehlende Vorfall-Meldewege in den Verträgen.
  • Fokus auf erst-Tier-Lieferanten ohne tiefere Sichtbarkeit.
  • Schatten-IT durch unbewilligte Cloud-Services.

Abgrenzung

  • Lieferkettenrisiko ist materielle Kette, Drittparteirisiko ist breiter (auch Dienstleister, Berater).
  • Outsourcing-Risiko ist ein Spezialfall des Drittparteirisikos für ausgelagerte Funktionen.
  • Cyber-Risiko ist Querschnittsthema, das auch über Drittparteien wirkt.
  • Compliance-Risiko ist breiter, Drittparteien sind ein Übertragungsweg.
  • Vendor Management ist die operative Praxis, Drittparteirisiko ist die Risikoperspektive.

Häufige Fragen

Was ist Drittparteirisiko?
Drittparteirisiko (Third Party Risk) umfasst alle Risiken, die sich aus der Zusammenarbeit mit externen Partnern ergeben: Lieferanten, IT-Dienstleister, Cloud-Provider, Outsourcing-Partner, Berater, Vertriebspartner, Joint-Venture-Partner. Risiken können operationell (Ausfall), finanziell (Insolvenz), cyber-bezogen (Angriff über Drittpartei), compliance-bezogen (Korruption, Sanktionen) oder reputationsbezogen sein.
Welche Pflichten gelten in der Schweiz?
Branchenübergreifend gilt die Risiko-Management-Pflicht des VR nach OR Art. 716a. Bei FINMA-beaufsichtigten Instituten gilt das FINMA-Rundschreiben Outsourcing mit detaillierten Anforderungen. Bei Personendaten gilt DSG Art. 9 für Auftragsbearbeitung. Branchenspezifisch ergänzen weitere Regelungen (Heilmittelrecht, Energierecht). Bei EU-Tätigkeit wirken DORA, NIS2 und GDPR ein.
Welche Risikokategorien sind zu unterscheiden?
Operationelle Risiken (Ausfall, Qualität, Service-Level), finanzielle Risiken (Insolvenz, Preisrisiken), Cyber- und Datensicherheitsrisiken (Drittparteien-Angriff, Datenleck), Compliance-Risiken (Korruption, Sanktionen, Datenschutz), Reputationsrisiken (Skandal beim Partner), Konzentrationsrisiken (Single Provider) und strategische Risiken (Know-how-Verlust, Abhängigkeit).
Was ist ein Third Party Risk Management Programm?
Ein TPRM-Programm umfasst Drittparteien-Inventar, Risikoklassifikation der Partner, Due-Diligence-Prozess vor Engagement, vertragliche Anforderungen (Sicherheit, Compliance, Audit-Rechte), laufendes Monitoring (KPIs, Bonität, Sicherheitsstatus), Audit-Programm, Vorfall-Management und Exit-Strategien. Es ist ein standardisierter Prozess, kein Einzelfall-Vorgehen.
Wie geht man bei Cloud-Providern vor?
Cloud-Provider sind kritische Drittparteien mit Zugriff auf Daten und Infrastruktur. Anforderungen sind Datenstandort und Rechtsraum (DSG, DSGVO, Schrems II), Verschlüsselung in Transit und Storage, Zugriffsrechte und Audit-Trails, Service-Level und Disaster Recovery, Sicherheits-Zertifikate (ISO 27001, SOC 2), Exit-Strategien und Datenrückgabe, Subunternehmer-Kette. Vendor Lock-in ist Konzentrationsrisiko.
Welche Rolle hat der VR?
Der VR muss kritische Drittparteien-Beziehungen kennen, regulatorische Compliance sicherstellen (FINMA-Outsourcing, DSG, branchenspezifisch), strategische Drittparteien-Entscheidungen bewusst nehmen, TPRM-Strukturen verabschieden, Konzentration auf einzelne Provider als Klumpenrisiko verstehen und materielle Vorfälle behandeln.
Was ist Cyber-Drittparteirisiko?
Cyber-Drittparteirisiko entsteht durch Lieferanten und Dienstleister mit Zugriff auf Systeme oder Daten. SolarWinds-, MOVEit- und Kaseya-Angriffe zeigen, dass Angreifer den schwächsten Partner ausnutzen. Schutzmassnahmen sind Cyber-Due-Diligence vor Engagement, vertragliche Sicherheitsanforderungen, Audit-Rechte, Monitoring der Sicherheitslage, klare Vorfall-Meldewege und Notfallpläne bei Drittparteien-Vorfall.
Welche Fehler treten häufig auf?
Häufig sind fehlende Drittparteien-Inventarisierung, formelle Verträge ohne laufendes Monitoring, fehlende Risikoklassifikation, Cloud-Provider-Konzentration ohne Bewusstsein, mangelnde Cyber-Due-Diligence, fehlende Exit-Strategien (Lock-in), Vernachlässigung von Sub-Unternehmern, fehlende Vorfall-Meldewege, Fokus auf erst-Tier-Lieferanten ohne tiefere Sichtbarkeit.

Verwandte Einträge

  • LieferkettenrisikoRisiken aus der gesamten Wertschöpfungskette von Rohmaterial bis Endkunde inkl. Lieferantenausfälle, Logistik, geopolitische Verwerfungen und Compliance-Anforderungen.
  • Cyber-GovernanceVerantwortung des Verwaltungsrats für die Steuerung von Cyberrisiken, Schutzkonzepten, Meldewegen und Resilienz.
  • ComplianceRegeltreue der Gesellschaft — Einhaltung von Gesetzen, internen Richtlinien und ethischen Standards sowie das System zur Sicherstellung dieser Einhaltung.
  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →