Fuer Datenschutzbeauftragte & Einkauf

Dienstleister-Pruefung vor dem AVV — ohne final_final.xlsx

Strukturierter Online-Fragebogen fuer die Pruefung nach Art. 28 DSGVO: TOMs, Subdienstleister, Drittlandtransfers, Zertifizierungen. Eine Version, vollstaendig ausgefuellt, vom richtigen Ansprechpartner.

Vorlage starten
Was wird geprueft?

~45 Min eingespartes Mail-Pingpong pro Dienstleister-Pruefung

So laeuft es heute

Excel-Versionen-Chaos

Der Fragebogen geht als .xlsx raus, kommt als "final_final_v3.xlsx" zurueck — halb ausgefuellt, Formatierung zerschossen, Pflichtfragen uebersprungen. Welche Version ist die gueltige?

Falscher Ansprechpartner antwortet

Der Vertrieb des Dienstleisters fuellt aus, was er weiss — bei TOMs, Subdienstleister-Listen und Drittlandtransfers steht "siehe Website". Der Datenschutzbeauftragte des Anbieters hat den Bogen nie gesehen.

Keine Nachweisbarkeit

Art. 28 Abs. 1 DSGVO verlangt, dass du nur Auftragsverarbeiter mit "hinreichenden Garantien" einsetzt — und Art. 5 Abs. 2 verlangt, dass du das nachweisen kannst. Ein Excel-Anhang im Mail-Postfach ist kein belastbarer Nachweis.

Wie Questee das aendert

  1. 1

    Pruefkatalog einmal aufsetzen

    Vorlage "AVV-Vorab-Fragebogen" anpassen: TOMs nach Art. 32, Subdienstleister, Drittlandtransfers inkl. SCCs, Zertifizierungen (ISO 27001, TISAX, C5). Pflichtfragen lassen sich nicht ueberspringen.

  2. 2

    Link an den Dienstleister

    Der Anbieter fuellt online aus — Conditional Logic fragt nur nach SCCs, wenn Drittlandtransfer angegeben wurde. Nachweise wie ISO-Zertifikate laedt er direkt als Datei hoch. Zwischenspeichern moeglich, damit der DSB des Anbieters seinen Teil ergaenzen kann.

  3. 3

    Vollstaendige Pruefakte erhalten

    Du bekommst eine vollstaendige, zeitgestempelte Antwort mit allen Uploads — exportierbar als CSV/PDF fuer dein Verarbeitungsverzeichnis. Bei der naechsten Pruefung schickst du denselben Link erneut.

Gebaut fuer die Art.-28-Pruefung

Pflichtfragen erzwingen

Kein Absenden mit Luecken — TOMs, Subdienstleister und Transfers muessen beantwortet sein.

Conditional Logic

SCC- und TIA-Fragen erscheinen nur bei Drittlandtransfer. Der Bogen bleibt so kurz wie moeglich.

Nachweis-Upload

ISO-27001-Zertifikat, TOM-Dokument, Subdienstleister-Liste — direkt als Datei angehaengt, virengescannt.

Zwischenspeichern fuer den DSB

Vertrieb startet, der Datenschutzbeauftragte des Anbieters ergaenzt spaeter mit demselben Link.

Zeitstempel & Audit-Spur

Wann wurde was beantwortet — nachweisbar fuer die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Hosting in Deutschland

Der Fragebogen selbst laeuft DSGVO-konform auf deutschen Servern — wir liefern unseren eigenen AVV gleich mit.

Mittelstands-Preis statt Enterprise-Suite

Free zum Testen (3 Formulare). Pro fuer den laufenden Pruefbetrieb (unbegrenzte Formulare, 10.000 Antworten/Monat) — ein Bruchteil dessen, was Vendor-Risk-Suiten kosten.

Free

3 Formulare, 250 Antworten/Monat

Pro

Unbegrenzt, 10.000 Antworten/Monat, AI inklusive

Alle Tarife ansehen

Antworten aus der Datenschutz-Praxis

Welche Fragen gehoeren in einen AVV-Vorab-Fragebogen?
Kernbloecke: technische und organisatorische Massnahmen nach Art. 32 DSGVO, eingesetzte Subdienstleister mit Sitzland, Drittlandtransfers inkl. Transfermechanismus (SCCs, Angemessenheitsbeschluss), Zertifizierungen (ISO 27001, TISAX, BSI C5), Ansprechpartner Datenschutz, Meldewege bei Datenpannen. Die Vorlage deckt alle Bloecke ab und ist frei anpassbar.
Ersetzt der Fragebogen den AVV?
Nein — der Fragebogen ist die Pruefung VOR dem AVV-Abschluss. Art. 28 Abs. 1 DSGVO verlangt, dass du nur Auftragsverarbeiter mit hinreichenden Garantien beauftragst. Der Fragebogen dokumentiert genau diese Pruefung; der AVV selbst bleibt ein eigener Vertrag nach Art. 28 Abs. 3.
Wie stelle ich sicher, dass der Datenschutzbeauftragte des Anbieters antwortet?
Der Bogen fragt am Anfang Rolle und Kontaktdaten des Ausfuellenden ab — du siehst sofort, wer geantwortet hat. Dank Zwischenspeichern kann der Vertrieb starten und den Link intern an den DSB weitergeben, der die Fachfragen ergaenzt. Pflichtfelder verhindern, dass TOM-Fragen mit "siehe Website" durchrutschen.
Kann ich die Antworten fuer mein Verarbeitungsverzeichnis exportieren?
Ja — jede Antwort laesst sich als CSV oder PDF exportieren und in dein Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO) bzw. dein Vendor-Register uebernehmen. Hochgeladene Nachweise wie Zertifikate liegen gesichert dahinter und sind ueber signierte Links abrufbar.
Wie laeuft die jaehrliche Re-Pruefung?
Du schickst denselben Formular-Link erneut an den Dienstleister. Jede Antwort ist zeitgestempelt — du siehst, was sich seit der letzten Pruefung geaendert hat (z.B. neue Subdienstleister). So entsteht ohne Mehraufwand eine lueckenlose Pruef-Historie pro Anbieter.
Warum nicht einfach OneTrust oder eine Privacy-Suite?
Vendor-Risk-Module grosser Suiten sind fuer Konzerne mit hunderten Anbietern gebaut — mit Preisen und Implementierungsaufwand in der gleichen Liga. Wenn du 5 bis 50 Dienstleister pruefst, brauchst du einen sauberen, strukturierten Fragebogen mit Nachweis-Upload und Audit-Spur. Genau das, fuer 9 €/Monat.
Sind die Antworten der Dienstleister vertraulich?
Ja — TOM-Beschreibungen sind sensible Sicherheitsinformationen. Antworten liegen mandantengetrennt auf deutschen Servern, Datei-Downloads laufen ueber signierte Tokens, und du kannst das Formular zusaetzlich per Passwort schuetzen, sodass nur der eingeladene Anbieter ausfuellen kann.

Die naechste Dienstleister-Pruefung ohne Excel

Vorlage starten, Pruefkatalog anpassen, Link verschicken. Kostenlos testen, kein Vertrag.

Jetzt Vorlage testen