# Drittanbieter Security Assessment – <Anbieter>

## Onboarding-Checkliste
- Zweck der Zusammenarbeit: <z. B. Zahlungsabwicklung>
- Ansprechpartner & Notfallkontakt: <Name, E-Mail, Telefon>
- Datenschutzvereinbarung/NDA vorhanden: Ja/Nein (Datum, Ablageort)
- Zugriff auf personenbezogene Daten? Ja/Nein (Beschreibung)
- Technische Schnittstelle (API, SFTP, VPN): <Beschreibung>

## Risiko-Assessment
- Kritikalität für Geschäftsprozesse (hoch/mittel/niedrig): <Bewertung>
- Übertragene Datenklassen: intern/vertraulich/geheim
- Sicherheitsnachweise (ISO 27001, SOC 2, Fragebogen): <Link oder Ablage>
- Residual Risk (Impact x Likelihood): <Bewertung + Begründung>
- Kompensierende Kontrollen (z. B. Eingangsprüfung, Monitoring): <Beschreibung>

## Maßnahmen & Review
- Verantwortlich für Freigabe: <Rolle/Name>
- Review-Zyklus: <z. B. jährlich oder bei Vertragsänderung>
- Offene Risiken & Tickets: <Referenzen auf Risiko-Register oder Jira>