# Vendors — Auftragsverarbeiter-Management

Verwaltung von Auftragsverarbeitern und Unterauftragsverarbeitern gemaess Art. 28 DSGVO.

## Features

- **Vendor-Verzeichnis** — Zentrale Uebersicht aller Auftragsverarbeiter
- **Risikobewertung** — Automatische Risikoeinstufung basierend auf Datenkategorien und Drittlandtransfers
- **Vertragsmanagement** — AVV-Pruefung mit KI-gestuetzter Klauselanalyse
- **TOM-Abgleich** — Vergleich der Lieferanten-TOMs mit eigenen Anforderungen
- **Audit-Trail** — Dokumentation aller Pruefungen und Aenderungen

## API Endpoints

Alle unter `/api/v1/vendors/`, benoetigen `X-Tenant-ID` Header.

| Method | Endpoint | Beschreibung |
|--------|----------|-------------|
| GET | `/vendors` | Vendors auflisten |
| POST | `/vendors` | Neuen Vendor anlegen |
| GET | `/vendors/{id}` | Vendor-Details |
| PUT | `/vendors/{id}` | Vendor aktualisieren |
| DELETE | `/vendors/{id}` | Vendor loeschen |
| POST | `/vendors/{id}/assess` | Risikobewertung durchfuehren |
| GET | `/vendors/{id}/contracts` | Vertraege auflisten |
| POST | `/vendors/{id}/contracts` | AVV hochladen |

## Frontend

Seite unter `/sdk/vendor-compliance` mit Vendor-Tabelle, Risiko-Matrix und Vertragsmanagement.

## Datenbank

Migration in der AI Compliance SDK erstellt Tabellen fuer Vendors, Risikobewertungen, Vertraege und AVV-Klauseln.

- `vendor_vendors` — Stammdaten, Rolle, Risiko-Scores, Kontakte
- `vendor_contracts` — AVV-Dokumente, Pruefstatus
- `vendor_findings` — Findings aus Pruefungen
- `vendor_control_instances` — Control-Instanzen pro Vendor (inkl. 6 TOM-Controls VND-TOM-01..06)
- `compliance_templates` — Shared Templates

## Cross-Modul-Integration

Seit der Vendor-Compliance Cross-Modul-Integration (2026-03-19) ist das Modul mit vier DSGVO-Modulen verknuepft:

| Modul | Integration | Richtung |
|-------|------------|----------|
| **VVT** | Processor-Tab (Art. 30 Abs. 2) liest Vendors mit `role=PROCESSOR/SUB_PROCESSOR` aus Vendor-API. Kein eigener State mehr — Single Source of Truth. | Read |
| **Obligations** | Art.-28-Pflichten verknuepfbar via `linked_vendor_ids` (JSONB). Compliance-Check `MISSING_VENDOR_LINK` prueft fehlende Verknuepfung. | Read/Write |
| **TOM** | Uebersicht-Tab zeigt Vendor-TOM-Controls (VND-TOM-01..06) als Querverweis-Tabelle. | Read |
| **Loeschfristen** | Loeschfrist-Policies verknuepfbar via `linked_vendor_ids` (JSONB). Loeschkonzept-Dokument listet verknuepfte Auftragsverarbeiter. | Read/Write |

### Sidebar-Position

Das Vendor-Compliance-Modul steht in der SDK-Sidebar bei **seq 2500** (Paket "dokumentation"), direkt nach VVT (seq 2400):

```
obligations (2000) → dsfa (2100) → tom (2200) → loeschfristen (2300) → vvt (2400) → vendor-compliance (2500)
```