Einhaltung der Vorschriften für Lieferanten: Wichtige Vorschriften, die Sie für Ihr SRM-Programm berücksichtigen sollten

Unternehmen werden zunehmend für die Einhaltung von Vorschriften in ihren Lieferketten zur Verantwortung gezogen. Überprüfen Sie diese Vorschriften unbedingt im Rahmen Ihres Risikomanagementprogramms für Lieferanten.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Juli 25, 2024 14 min gelesen

Um die Risiken für Ihr Unternehmen zu verringern und Ihren Kunden Sicherheit zu bieten, ist es wichtig, die Auswirkungen von Branchen- und Regierungsvorschriften auf Ihre Lieferkette zu verstehen. In diesem Artikel werden verschiedene Compliance-Anforderungen erläutert, die Sie im Rahmen Ihres umfassenderen Risikomanagementprogramms für Lieferanten berücksichtigen sollten.

Während Unternehmen schon seit Jahren Vorschriften zur Informationssicherheit und zum Datenschutz unterliegen, haben sich in jüngster Zeit mehrere Mandate entwickelt, die sich verstärkt auf Lieferantenbeziehungen konzentrieren. Gleichzeitig werden ESG-Compliance-Anforderungen eingeführt, die erhebliche Auswirkungen auf die Lieferketten haben. In diesem Beitrag gehen wir auf die Kategorien der Compliance-Anforderungen für Lieferanten ein, überprüfen die wichtigsten Vorschriften, die sich direkt auf das Lieferantenrisiko beziehen, und erörtern, wie diese in Ihr SRM-Programm einfließen.

Welche Arten von Compliance-Anforderungen gelten für Lieferanten?

Für Drittanbieter gelten im Wesentlichen drei Arten von Compliance-Anforderungen:

  • Anforderungen an die Informationssicherheit, wie HIPAA
    und CMMC
  • ESG-Compliance-Anforderungen, wie z. B. der britische Modern Slavery Act und die EU-Richtlinie über die Sorgfaltspflicht von Unternehmen
  • Datenschutzanforderungen, wie GDPR und CCPA

Informationssicherheit der Lieferanten

Es ist kein Geheimnis, dass die Einhaltung von Informationssicherheitsstandards bei der Zusammenarbeit mit Softwareunternehmen, SaaS-Dienstleistern und anderen IT-Lieferanten eine zentrale Rolle spielt. Es ist jedoch von entscheidender Bedeutung, sicherzustellen, dass Ihre Nicht-IT-Lieferanten auch Informationssicherheitsstandards in ihre Geschäftspraktiken einbeziehen.

Jeder Lieferant kann ein Risiko für Datenschutzverletzungen darstellen, wenn er Zugang zu den sensiblen Informationen, Systemen oder Einrichtungen Ihres Unternehmens hat. Betrachten Sie die folgenden Beispiele:

  • Kundennamen und -daten, die unter NDAs fallen und im Falle einer Veröffentlichung zu Rufschädigung und finanziellen Verlusten führen könnten
  • Persönlich identifizierbare Informationen (PII) oder geschützte Gesundheitsinformationen (PHI) von Kunden, Mitarbeitern - oder sogar anderen Lieferanten
  • Physischer oder virtueller Zugang zu Systemen, z. B. ein Lieferant, der mit der Wartung oder Aktualisierung von Industrieanlagen beauftragt ist

Lieferant ESG

Umwelt-, Sozial- und Governance-Praktiken (ESG) in der Lieferkette sind für viele Unternehmen zunehmend wichtig. In mehreren Ländern gibt es Vorschriften, die von Unternehmen verlangen, dass sie in ihrer gesamten Lieferkette proaktiv eine ESG-Due-Diligence durchführen. Beispiele für ESG-Themen, die sich auf die Lieferketten auswirken, sind:

  • Zwangsarbeit, moderne Sklaverei und andere Menschenrechtsverletzungen durch Mineralgewinnungsunternehmen, Hersteller und andere Zulieferer, die auf Schwerstarbeit angewiesen sind
  • Umweltzerstörung, wie hohe Treibhausgasemissionen, die Zerstörung von Regenwäldern und anderen Ökosystemen oder die Verletzung von Land, das indigenen Völkern gehört
  • Bestechung und Korruption bei Dritt-, Viert- und Neuntlieferanten, die mit Regierungen verbunden sind, die für Missbräuche bekannt sind

Datenschutz für Lieferanten

Auch der Datenschutz ist ein wichtiges Thema bei der Zusammenarbeit mit Lieferanten. Vorschriften wie die General Data Protection Regulation (GDPR), der California Consumer Privacy Act (CCPA) und der New York SHIELD Act setzen Standards dafür, wie Verbraucherdaten erfasst, verarbeitet und weitergegeben werden können. Bedenken hinsichtlich des Datenschutzes von Lieferanten können sich aus Situationen wie den folgenden ergeben:

  • Weitergabe oder Verkauf von Kundendaten ohne vorherige Zustimmung
  • Versäumnis, Lieferanten zu prüfen, die physischen oder virtuellen Zugang zu personenbezogenen Daten haben
  • Verwendung von Lieferanten, die unzureichende Kontrollen zum Schutz von PII, PHI und anderen sensiblen Daten haben

Anforderungen an die Informationssicherheit für Lieferanten

Auch Lieferanten, die nicht aus der IT-Branche stammen, können Zugang zu personenbezogenen Daten, vertraulichen Informationen, geistigem Eigentum oder anderen sensiblen Informationen haben, die für Ihr Unternehmen ein Risiko darstellen können. Im Folgenden finden Sie einige wichtige Anforderungen an die Informationssicherheit, die bei der Zusammenarbeit mit Zulieferern zu beachten sind:

HIPAA für Lieferanten

Der Health Insurance Portability and Accountability Act(HIPAA) verpflichtet Organisationen zur Einführung von Informationssicherheitskontrollen, die die geschützten Gesundheitsinformationen (PHI) der Patienten schützen. Die HIPAA-Anforderungen gelten für verschiedene Arten von Organisationen, darunter Gesundheitsdienstleister, Anbieter von Gesundheitsplänen und Clearingstellen für das Gesundheitswesen.

Gemäß der HIPAA-Business-Associate-Regel fallen auch Drittanbieter und Lieferanten, die PHI speichern oder verarbeiten, unter die HIPAA-Aufsicht. Bei den HIPAA-Geschäftspartnern handelt es sich zwar in der Regel um IT-Anbieter, aber das ist nicht immer der Fall. Zu den Geschäftspartnern können auch Lieferanten gehören, wie z. B:

  • Berater, die Ansprüche im Gesundheitswesen bearbeiten
  • Lieferanten, die Nutzungs- und Effizienzprüfungen für ein Krankenhaus durchführen
  • Medizinische Transkriptionisten

Welche Anbieter müssen den HIPAA einhalten?

Die HIPAA-Regel für Geschäftspartner gilt für jeden Dritten, der PHI speichert oder verarbeitet. Nach Angaben des US-Gesundheitsministeriums (Department of Health and Human Services) ist ein Geschäftspartner "eine natürliche oder juristische Person, die bestimmte Funktionen oder Tätigkeiten ausführt, die die Verwendung oder Weitergabe geschützter Gesundheitsdaten im Namen einer betroffenen Einrichtung beinhalten, oder die Dienstleistungen für diese erbringt".

CMMC für Zulieferer

Die Cybersecurity Maturity Model Certification (CMMC) ist ein Rahmenwerk, das vom US-Verteidigungsministerium (DoD) geschaffen wurde, um die Sicherheit seiner Lieferkette, der so genannten Defense Industrial Base (DIB), zu verbessern.

Im Rahmen von CMMC 2.0 müssen Organisationen, die mit dem Verteidigungsministerium zusammenarbeiten wollen, bestimmte Informationssicherheitsstandards erfüllen und nach einer von drei CMMC-Stufen zertifiziert sein, je nach Art der von ihnen bearbeiteten Daten und dem Umfang ihres Zugangs zu Verschlusssachen:

  • Stufe 1: Diese Stufe gilt für Lieferanten, die Federal Contract Information (FCI) verwalten, die nicht kritisch für die nationale Sicherheit sind, und erfordert Selbstbewertungen anhand von 17 Kontrollen.
  • Stufe 2: Lieferanten, die mit kontrollierten, nicht klassifizierten Informationen (CUI) umgehen, fallen unter die Stufe 2 und benötigen eine Zertifizierung für weitere 110 Kontrollen aus NIST SP 800-171. Obwohl einige Lieferanten Selbstbewertungen auf dieser Stufe durchführen können, benötigen die meisten eine Bewertung durch zertifizierte Drittanbieter (C3PAOs).
  • Stufe 3: Dies ist eine Expertenstufe für die DoD-Lieferanten mit der höchsten Priorität. Zusätzlich zu den Kontrollen, die für Stufe 2 erforderlich sind, umfasst diese Stufe eine Teilmenge der Kontrollen der NIST SP 800-172. Die Bundesregierung wird die Audits für Lieferanten der Stufe 3 durchführen.

Welche Anbieter müssen das CMMC einhalten?

Das CMMC gilt für alle Hauptauftragnehmer, Unterauftragnehmer und Lieferanten in der Lieferkette des Verteidigungsministeriums. Das Verteidigungsministerium geht davon aus, dass über 300.000 Organisationen von den CMMC-Vorschriften betroffen sein werden. Organisationen, die die CMMC-Vorschriften nicht einhalten, können die Möglichkeit verlieren, sich an Ausschreibungen des US-Verteidigungsministeriums zu beteiligen. Das endgültige Regelwerk zu CMMC 2.0 wird derzeit ausgearbeitet und soll im Laufe dieses Jahres und bis 2025 schrittweise eingeführt werden.

NIST für Zulieferer

Das National Institute of Standards and Technology (NIST) veröffentlicht Rahmenwerke für die Cybersicherheit, die bewährte Verfahren für den Aufbau wirksamer Informationssicherheitsprogramme enthalten. Alle US-Bundesbehörden, Auftragnehmer und Unterauftragnehmer, die mit Bundesbehörden zusammenarbeiten, müssen die NIST-Sicherheitsvorschriften einhalten.

NIST-Dokumente sind nicht rechtsverbindlich, aber mehrere Vorschriften beruhen auf NIST-Kontrollen und -Normen. Viele öffentliche und private Organisationen verlangen Zertifizierungen durch Dritte auf der Grundlage von NIST-Richtlinien. Mehrere NIST-Sonderveröffentlichungen beschreiben Kontrollen, die von Organisationen verlangen, dass sie Prozesse zur Identifizierung, Bewertung und Verwaltung von Risiken in der Lieferkette einrichten und umsetzen. Dazu gehören:

  • SP 800-53 Rev. 5: Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen
  • SP 800-161 Rev. 1: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
  • Cybersecurity Framework v2.0: Rahmenwerk zur Verbesserung der Cybersicherheit kritischer Infrastrukturen

Welche NIST-Anforderungen gelten für Lieferantenbeziehungen?

Zu den NIST-Anforderungen in Bezug auf Drittanbieter gehören:

  • Beurteilung, ob die Sicherheitskontrollen korrekt implementiert sind, wie vorgesehen funktionieren und die Anforderungen erfüllen
  • Überwachung der Sicherheitskontrollen, um deren Wirksamkeit laufend zu bestimmen
  • Festlegung von Cybersicherheitsanforderungen für Lieferanten
  • Umsetzung von Cybersicherheitsanforderungen durch formelle Vereinbarungen (z. B. Verträge)
  • Mitteilung an die Lieferanten, wie die Cybersicherheitsanforderungen überprüft und validiert werden
  • Überprüfung, ob die Cybersicherheitsanforderungen durch Bewertungsmethoden erfüllt werden

NIST ist keine Regulierungsbehörde, so dass es keine direkten gesetzlichen Strafen für die Nichteinhaltung gibt, es sei denn, dies wird durch Vorschriften wie HIPAA gefordert, das NIST SP 800-66 verwendet. Wenn Ihr Unternehmen jedoch mit US-Regierungsbehörden zusammenarbeitet, ist die Einhaltung der NIST-Standards erforderlich. Die Nichteinhaltung der NIST-Standards bei Drittanbietern kann dennoch Risiken bergen und die Kundenbeziehungen beeinträchtigen.

ESG-Compliance-Anforderungen für Zulieferer

Vorschriften, die sich mit Umwelt-, Sozial- und Governance-Belangen (ESG) befassen, zwingen Unternehmen zunehmend dazu, ESG-Probleme in ihren erweiterten Lieferketten proaktiv zu identifizieren und anzugehen.

Frühe ESG-Vorschriften wie der britische Modern Slavery Act und der California Transparency in Supply Chains Act (CTSCA) verlangen in erster Linie, dass Unternehmen über ihre Bemühungen zur Eindämmung unethischer Praktiken in ihren Lieferketten berichten. Neuere und strengere ESG-Vorschriften verlangen jedoch Maßnahmen wie die Durchführung von Routine-Audits der ESG-Praktiken von Lieferanten, die Kündigung von Verträgen mit unethischen Lieferanten und die proaktive Überwachung von Lieferketten auf potenzielle ESG-Risiken.

Die ESG-Anforderungen lassen sich in zwei Hauptkategorien einteilen:

  1. Offenlegungsanforderungen, die vorschreiben, dass Unternehmen über ihre Bemühungen zur Berücksichtigung von ESG-Belangen in ihren Lieferketten berichten
  2. Due-Diligence- und Kontrollanforderungen, die von den Unternehmen verlangen, die ESG-Praktiken der Lieferanten zu bewerten und sicherzustellen, dass die Lieferanten ESG-bezogene Kontrollen durchführen

Zu den bestehenden und künftigen ESG-Vorschriften für Ihr Risikomanagementprogramm für Lieferanten gehören der kanadische Fighting Against Forced Labour and Child Labour in Supply Chains Act, der britische Modern Slavery Act, das deutsche Gesetz über die Sorgfaltspflicht in der Lieferkette und die EU-Richtlinie zur Nachhaltigkeitsprüfung von Unternehmen.

Gesetz zur Bekämpfung von Zwangsarbeit und Kinderarbeit in Lieferketten (S-211)

Der Fighting Against Forced Labour and Child Labour in Supply Chains Act (Gesetz zur Bekämpfung von Zwangsarbeit und Kinderarbeit in Lieferketten), auch bekannt als S-211, ist ein Gesetz, das kanadische Regierungsinstitutionen und ausgewählte Unternehmen des Privatsektors dazu verpflichtet, "über die Maßnahmen zu berichten, die sie ergriffen haben, um das Risiko zu verhindern und zu verringern, dass bei ihnen oder in ihren Lieferketten Zwangsarbeit oder Kinderarbeit eingesetzt wird". Das Gesetz sieht auch ein Inspektionssystem zur Durchsetzung seiner Bestimmungen vor. Wie der britische Modern Slavery Act, der australische Slavery Act und ähnliche Gesetze zielt das Gesetz darauf ab, einen Beitrag zum weltweiten Kampf gegen Zwangsarbeit, Kinderarbeit und andere Formen der modernen Sklaverei zu leisten.

Wer muss das Gesetz zur Bekämpfung der Zwangsarbeit einhalten?

Alle kanadischen Regierungsorganisationen, die in Kanada Waren herstellen, kaufen oder vertreiben, müssen das Gesetz einhalten. Darüber hinaus müssen gewerbliche Unternehmen das Gesetz einhalten, wenn sie entweder a) an einer kanadischen Börse notiert sind oder b) in Kanada geschäftlich tätig sind und dort Vermögenswerte in Höhe von mindestens 20 Mio. USD haben, einen Umsatz von mindestens 40 Mio. USD erzielen und durchschnittlich mindestens 250 Mitarbeiter beschäftigen.

Das britische Gesetz zur modernen Sklaverei

Der Modern Slavery Act von 2015 ist ein britisches Gesetz, das Organisationen dazu verpflichtet, ihre Praktiken öffentlich zu kommunizieren, um sicherzustellen, dass Zwangsarbeit, Menschenhandel und andere Formen unfreiwilliger Knechtschaft in ihren Unternehmen oder Lieferketten nicht vorkommen.

Der Abschnitt "Transparenz in den Lieferketten" des Gesetzes (Teil 6, Abschnitt 54) legt fest, welche Informationen Unternehmen offenlegen müssen, darunter auch die folgenden:

  • Organisationsstruktur, einschließlich Informationen über das Unternehmen und seine Lieferketten
  • Unternehmensrichtlinien zur Bekämpfung von Sklaverei und Menschenhandel
  • Due-Diligence-Verfahren zur Aufdeckung von potenzieller Sklaverei und Menschenhandel in ihren Unternehmen und Lieferketten
  • spezifische Geschäftsbereiche, in denen das Risiko von Sklaverei und Menschenhandel besteht, und die Schritte, die sie zur Bewertung und Steuerung dieses Risikos unternommen hat
  • Leistung bei der Sicherstellung, dass Sklaverei und Menschenhandel in seinen Geschäften oder Lieferketten nicht vorkommen
  • Informationen über Mitarbeiterschulungen zum Thema Sklaverei und Menschenhandel

Wer muss den britischen Modern Slavery Act einhalten?

Der britische Modern Slavery Act gilt für Organisationen, die im Vereinigten Königreich tätig sind und einen Jahresumsatz von mindestens 36 Millionen Pfund erzielen.

Das deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette

Das deutsche Gesetz über die Sorgfaltspflicht in der Lieferkette verpflichtet Unternehmen zur Umsetzung der menschenrechtlichen Sorgfaltspflicht in ihren Lieferketten. Das Gesetz verpflichtet Unternehmen, alle notwendigen Schritte zu unternehmen, um Menschenrechtsrisiken zu vermeiden, über ihre Bemühungen zu berichten, Risiken zu beheben und die Dokumentation sieben Jahre lang aufzubewahren.

Die betroffenen Unternehmen müssen ihre Verfahren für die Sorgfaltspflicht in der Lieferkette aktualisieren und ihre Aktivitäten an die Bestimmungen des Gesetzes anpassen, die die folgenden Bereiche abdecken:

  • Umweltschäden
  • Mindestlöhne
  • Kinderarbeit und Zwangsarbeit
  • Rechtswidrige Inbesitznahme von Land und Gewässern
  • Folter
  • Diskriminierung
  • Vereinigungsfreiheit
  • Problematische Beschäftigungs- und Arbeitsbedingungen
  • Gesundheit und Sicherheit am Arbeitsplatz

Wer muss das deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette einhalten?

Ab 2023 unterliegen alle in Deutschland tätigen Unternehmen mit mindestens 3.000 Mitarbeitern dem Gesetz zur Sorgfaltspflicht in der Lieferkette. Im Jahr 2024 wird das Gesetz auf Unternehmen mit mehr als 1.000 Mitarbeitern ausgeweitet.

Die EU-Richtlinie zur Sorgfaltspflicht von Unternehmen im Bereich der Nachhaltigkeit

Die Richtlinie über die Sorgfaltspflicht von Unternehmen im Bereich der Nachhaltigkeit (Corporate Sustainability Due Diligence Directive, CSDDD) enthält spezifische Verpflichtungen für Unternehmen zur Durchführung einer Sorgfaltsprüfung ihrer Tätigkeiten und Lieferketten, um negative Auswirkungen auf die Umwelt, die Arbeitsbedingungen und die Menschenrechte zu ermitteln, zu verhindern, abzumildern und zu berücksichtigen. Das Europäische Parlament hat den endgültigen Entwurf im Januar 2024 veröffentlicht. Wird das Gesetz angenommen, wird es ab 2027 schrittweise in Kraft treten.

Wenn das Gesetz in Kraft tritt, werden Organisationen dazu verpflichtet:

  • Integration der ESG-Due-Diligence in die Unternehmenspolitik
  • Identifizierung tatsächlicher oder potenzieller negativer Auswirkungen auf die Menschenrechte und die Umwelt
  • Verhinderung oder Abschwächung potenzieller Auswirkungen
  • Beendigung oder Minimierung der tatsächlichen Auswirkungen
  • Einrichtung und Pflege eines Beschwerdeverfahrens
  • Überwachung der Wirksamkeit der Sorgfaltspflichtpolitik und -maßnahmen
  • Öffentliche Berichterstattung über Due-Diligence-Aktivitäten

Wer muss die Sorgfaltspflicht-Richtlinie für nachhaltige Unternehmen einhalten?

Wenn die Richtlinie über die Sorgfaltspflicht von Unternehmen im Bereich der Nachhaltigkeit angenommen wird, gelten die Vorschriften für EU-Unternehmen und Muttergesellschaften mit mehr als 500 Beschäftigten und einem weltweiten Umsatz von mehr als 150 Millionen Euro. Die Verpflichtungen gelten für Unternehmen mit mehr als 250 Beschäftigten und einem Umsatz von mehr als 40 Millionen Euro, wenn sie mindestens 20 Millionen Euro in einem der folgenden Sektoren erwirtschaften:

  • Herstellung von und Großhandel mit Textilien, Bekleidung und Schuhen
  • Landwirtschaft, einschließlich Forstwirtschaft und Fischerei
  • Lebensmittelherstellung und Handel mit landwirtschaftlichen Rohstoffen
  • Gewinnung von und Großhandel mit Bodenschätzen oder Herstellung verwandter Produkte
  • Bauwesen

Datenschutzanforderungen für Zulieferer

Datenschutzanforderungen sind ein weiteres zentrales Anliegen für Unternehmen, die mit Drittanbietern zusammenarbeiten. Vorschriften wie GDPR und CCPA schränken ein, wie personenbezogene Daten zwischen Unternehmen ausgetauscht, gespeichert und verarbeitet werden können, und bei Verstößen gegen die Vorschriften werden erhebliche Geldstrafen verhängt.

GDPR für Lieferanten

Die Allgemeine Datenschutzverordnung (GDPR) ist ein Datenschutzgesetz, das die Verwendung, den Verkehr und den Schutz von Daten regelt, die von Bürgern der Europäischen Union (EU) erhoben werden. Die GDPR gilt für jede Organisation, die personenbezogene Daten von Personen in Europa sammelt, speichert, verarbeitet oder überträgt, unabhängig von ihrem Standort.

Da Dritte häufig für die Verwaltung personenbezogener Daten im Namen ihrer Kunden verantwortlich sind, müssen Unternehmen sicherstellen, dass ihre Lieferanten und Anbieter über Datenschutzkontrollen und eine entsprechende Governance verfügen. Dieser Prozess umfasst die Durchführung von Datenschutzkontrollbewertungen, die Analyse der Ergebnisse auf potenzielle Risiken und die Aufforderung an Dritte, Risiken zu beseitigen, um regulatorische, finanzielle und reputationsbezogene Risiken zu vermeiden.

Tatsächlich verlangt die Datenschutz-Grundverordnung von Organisationen, dass sie Risikobewertungen durchführen, um Datenschutzrisiken zu ermitteln - sowohl intern als auch bei Dritten, die personenbezogene Daten im Namen der Organisation bearbeiten, verarbeiten oder speichern. In Erwägungsgrund 76 - Risikobewertung - heißt es: "Das Risiko sollte auf der Grundlage einer objektiven Bewertung beurteilt werden, mit der festgestellt wird, ob die Datenverarbeitungsvorgänge ein Risiko oder ein hohes Risiko beinhalten."

Wer muss die Datenschutzgrundverordnung einhalten?

Die Datenschutz-Grundverordnung gilt für jede Organisation, die Daten von Einwohnern der Europäischen Union speichert oder verarbeitet.

CCPA für Lieferanten

Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern regelt die Erhebung und den Verkauf von Verbraucherdaten durch Unternehmen, um die sensiblen persönlichen Daten der Einwohner Kaliforniens zu schützen und den Verbrauchern die Kontrolle darüber zu geben, wie Unternehmen diese Daten verwenden.

Das CCPA gilt für Verbraucherdaten, die von allen Einwohnern Kaliforniens erhoben werden, unabhängig davon, ob ein Unternehmen dort seinen Hauptsitz hat oder dort nur geschäftlich tätig ist. Unternehmen müssen Lieferanten, die Zugang zu den Daten von in Kalifornien ansässigen Personen haben, überwachen und proaktive Maßnahmen ergreifen, um sicherzustellen, dass die dem CCPA unterliegenden Daten ordnungsgemäß behandelt werden.

Der CCPA wurde 2023 durch den California Privacy Rights Act (CPRA) erweitert, der neue Compliance-Verpflichtungen vorsieht, die strenge Vereinbarungen mit Dritten vorschreiben, um die sichere Erfassung, Nutzung und Entsorgung von Verbraucherdaten zu gewährleisten.

Wer muss sich an das CCPA halten?

Der CCPA gilt für Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens erheben, sowie für Dienstleister und Dritte, an die Unternehmen diese Daten weitergeben. Das CCPA ist zwar ein staatliches Gesetz, gilt aber für jedes gewinnorientierte Unternehmen - egal wo -, das Geschäfte mit kalifornischen Verbrauchern macht:

  • Hat einen Bruttojahresumsatz von über 25 Millionen Dollar;
  • die persönlichen Daten von 50.000 oder mehr kalifornischen Einwohnern, Haushalten oder Geräten kauft, erhält oder verkauft; oder
  • 50 % oder mehr ihres Jahresumsatzes mit dem Verkauf persönlicher Daten von Einwohnern Kaliforniens erwirtschaftet.

Nächste Schritte: Automatisieren Sie das Compliance-Management für Lieferanten

Das heutige Risikoumfeld für Dritte ist komplex und entwickelt sich ständig weiter. Ihr Risikomanagementprogramm für Zulieferer sollte daher in der Lage sein, die gesetzlichen Anforderungen zu erfüllen und die Widerstandsfähigkeit Ihrer gesamten Lieferkette zu gewährleisten.

Mit der Lösung für das Lieferantenrisikomanagement von Prevalent können Sie Ihre Aktivitäten zur Bewertung, Überwachung, Analyse und Berichterstattung von Lieferantenrisiken mit einer einzigen, einheitlichen Plattform automatisieren. Gleichzeitig erhalten Sie eine integrierte Abdeckung für Dutzende von Compliance-Vorschriften und Best-Practice-Rahmenwerken. Sehen Sie selbst, wie Sie die Einhaltung der Vorschriften für Lieferantenrisiken optimieren können, und vereinbaren Sie noch heute einen Termin für eine Demo.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.