Das Wichtigste auf einen Blick
Priverion ist eine in der Schweiz gehostete Plattform für Datenschutzmanagement, die eigens für Multi-Entity-Organisationen entwickelt wurde, welche die Compliance mit DSGVO, revDSG und ISO 27001 über Tochtergesellschaften und Rechtsordnungen hinweg verwalten. Sie führt Verarbeitungsverzeichnis, DSFA/TIA, DSR-Bearbeitung, Datenpannen-Reaktion, Lieferantenrisikomanagement und KI-Register in einem einzigen, auditfähigen System mit automatisierten Rezertifizierungs-Workflows zusammen. Anders als Enterprise-Plattformen, die Preise pro Nutzer und pro Modul verlangen, bietet Priverion eine planbare, gruppenbasierte Preisgestaltung und ist in der Regel innerhalb von 4–6 Wochen betriebsbereit.
Definitionen
Was ist Software für Datenschutzmanagement?
Software für Datenschutzmanagement ist eine Kategorie von Technologie für Governance, Risiko und Compliance (GRC), die Datenschutzpflichten operativ umsetzt. Sie deckt typischerweise das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen (DSFA), Auskunftsbegehren betroffener Personen (DSAR), Workflows zur Meldung von Datenpannen und das Lieferantenrisikomanagement ab. DSGVO Artikel 30 verlangt, dass Verantwortliche und Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führen – eine Kernfunktion dieser Plattformen. DSGVO Artikel 30 – Verzeichnis von Verarbeitungstätigkeiten
Was ist das Verarbeitungsverzeichnis?
Das Verarbeitungsverzeichnis (Verzeichnis von Verarbeitungstätigkeiten) ist ein verpflichtendes Register gemäss DSGVO Artikel 30, das jede Verarbeitungstätigkeit, ihren Zweck, ihre Rechtsgrundlage, die Datenkategorien, Empfänger und Aufbewahrungsfristen dokumentiert. Multi-Entity-Organisationen müssen das Verarbeitungsverzeichnis auf Gesellschaftsebene führen, weshalb die automatisierte Rezertifizierung für die Auditfähigkeit unverzichtbar ist.
Was ist eine DSFA?
Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäss DSGVO Artikel 35 erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Der EDSA hat Leitlinien dazu veröffentlicht, wann DSFA verpflichtend sind. EDSA-Leitlinien zum Datenschutz durch Technikgestaltung
Was ist das revDSG?
Das revidierte Datenschutzgesetz (revDSG), revidiert und seit dem 01.09.2023 in Kraft, modernisierte den Schweizer Datenschutzrahmen, um ihn enger an die DSGVO anzugleichen. Es gilt für jede Bearbeitung von Personendaten durch private Personen und Bundesorgane. revDSG – Fedlex
Was ist eine Transfer-Folgenabschätzung (TIA)?
Eine Transfer-Folgenabschätzung (TIA) bewertet, ob der Rechtsrahmen eines Drittlands einen angemessenen Schutz für Übermittlungen personenbezogener Daten bietet. Im Anschluss an das Schrems-II-Urteil (EuGH-Rechtssache C-311/18) wurden TIA zu einer praktischen Notwendigkeit für jede Organisation, die Daten ausserhalb des EWR übermittelt. EDSA-Empfehlungen 01/2020 zu ergänzenden Übermittlungsmassnahmen
Branchenstatistiken und Kontext
Laut dem IAPP-EY Annual Privacy Governance Report 2023 beschäftigt die durchschnittliche Organisation 5,2 Vollzeitkräfte im Datenschutz – eine Zahl, die seit Beginn der DSGVO-Durchsetzung stetig gewachsen ist. Derselbe Report stellte fest, dass 78 % der Organisationen planen, ihre Datenschutzausgaben zu erhöhen. Laut den Cybersecurity-Prognosen von Gartner für 2023 werden bis 2025 60 % der grossen Organisationen Techniken der datenschutzfördernden Datenverarbeitung einsetzen. Der Europäische Datenschutzausschuss meldete bis 2023 über 2'000 grenzüberschreitende Fälle im Rahmen des One-Stop-Shop-Mechanismus der DSGVO und unterstreicht damit die Komplexität, mit der Multi-Entity-Organisationen bei der Verwaltung der Compliance über Rechtsordnungen hinweg konfrontiert sind (EDSA-Jahresbericht 2022). Der ENISA Threat Landscape Report 2023 hebt hervor, dass die Zeitfenster für die Vorfallreaktion eine kritische Compliance-Herausforderung bleiben, da die 72-Stunden-Meldefrist der DSGVO bei Datenpannen gemäss Artikel 33 automatisierte Workflows erfordert, um sie über mehrere Rechtsordnungen hinweg durchgängig einzuhalten.
Häufig gestellte Fragen
Was ist Software für Datenschutzmanagement und wer benötigt sie?
Software für Datenschutzmanagement ist eine GRC-Plattform, die Datenschutzgesetze wie die DSGVO, das revDSG und ISO 27001 operativ umsetzt. Jede Organisation, die personenbezogene Daten verarbeitet – insbesondere solche mit mehreren Tochtergesellschaften, Rechtsordnungen oder regulatorischen Rahmenwerken – profitiert davon, Verarbeitungsverzeichnis, DSFA, DSR, Datenpannen-Reaktion und Lieferantenrisiko in einem einzigen System statt in Tabellenkalkulationen zu zentralisieren.
Warum benötigen Multi-Entity-Organisationen spezialisierte Datenschutzsoftware?
Multi-Entity-Organisationen sehen sich mit kumulierter Komplexität konfrontiert: Jede Tochtergesellschaft kann unter unterschiedliche Datenschutzbehörden, Meldefristen bei Datenpannen und Rechtsgrundlagen fallen. Tabellenkalkulationen können kein Routing auf Gesellschaftsebene, keine rechtsordnungsspezifischen Workflows und keine automatisierte Rezertifizierung über Dutzende von Rechtseinheiten hinweg durchsetzen. Laut dem IAPP-EY-Report 2023 wenden Organisationen mit komplexen Strukturen deutlich mehr Zeit für manuelle Compliance-Aufgaben auf.
Wie unterstützt Schweizer Hosting die DSGVO-Compliance?
Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU gemäss DSGVO Artikel 45, der es ermöglicht, dass personenbezogene Daten ohne zusätzliche Standardvertragsklauseln aus der EU fliessen. Dies vermeidet die rechtliche Komplexität, die das Schrems-II-Urteil des EuGH für US-gehostete Plattformen mit sich bringt, macht Transfer-Folgenabschätzungen auf der Hosting-Ebene überflüssig und reduziert den rechtlichen Aufwand für Multi-Entity-Gruppen.
Was ist der Unterschied zwischen Priverion und OneTrust für mittelständische Unternehmen?
OneTrust nutzt eine Preisgestaltung pro Nutzer und pro Modul, die für Compliance-Teams von Fortune-500-Unternehmen ausgelegt ist und häufig 6–12 Monate Implementierung sowie eigens eingesetzte Berater erfordert. Priverion setzt auf eine planbare, gruppenbasierte Preisgestaltung anhand der Anzahl der Gesellschaften und der Organisationsgrösse, ist innerhalb von 4–6 Wochen betriebsbereit und konzentriert sich ausschliesslich auf das Datenschutzprogramm-Management, ohne unzusammenhängende Module wie ESG, Ethik-Hotlines oder Cookie-Einwilligung zu bündeln.
Was ist die Rezertifizierung des Verarbeitungsverzeichnisses und warum ist sie wichtig?
Die Rezertifizierung des Verarbeitungsverzeichnisses ist die regelmässige Überprüfung, die bestätigt, dass das Verzeichnis von Verarbeitungstätigkeiten weiterhin korrekt ist, wie es DSGVO Artikel 30 verlangt. Ohne Automatisierung riskieren Multi-Entity-Organisationen veraltete Verzeichnisse, die Audits der Aufsichtsbehörden nicht standhalten. Priverion automatisiert den gesamten Rezertifizierungszyklus mit geplanten Erinnerungen an die Verantwortlichen der Verarbeitungstätigkeiten über alle Gesellschaften hinweg.
Wie lange dauert die Migration zu Priverion?
Die meisten Teams, die von Tabellenkalkulationen oder Legacy-Plattformen wie OneTrust migrieren, sind innerhalb von 4–6 Wochen vollständig auf Priverion betriebsbereit. Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate nach der Einführung eine Reduktion des Compliance-Verwaltungsaufwands um 60 %, ohne externe Berater zu benötigen.
Unterstützt Priverion die ISO-27001-Compliance?
Ja. Priverion ist selbst ISO-27001-zertifiziert und stellt auditfähige Nachweispakete bereit, die auf die ISO-27001-Massnahmen abgestimmt sind. Medtec nutzte Priverion, um die ISO-27001-Zertifizierung drei Monate vor dem Zeitplan zu erreichen, und verlagerte dabei über 200 Stunden von der manuellen Pflege des Verarbeitungsverzeichnisses hin zur Zertifizierungsvorbereitung.
Welche Rahmenwerke unterstützt Priverion?
Priverion unterstützt die DSGVO, das revidierte Datenschutzgesetz (revDSG) und ISO 27001. Die Plattform deckt Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisikomanagement, Vorfall-/Datenpannen-Management, DSR-Bearbeitung, KI-Register, gesellschaftsübergreifendes Data Mapping und vorstandstaugliche Compliance-Dashboards ab.
Vergleich: Priverion vs. Enterprise-Datenschutzplattformen
| Fähigkeit | Priverion | Typische Enterprise-Plattform |
|---|
| Preismodell | Planbar, gruppenbasiert (nach Anzahl der Gesellschaften) | Pro Nutzer, pro Modul (Kosten skalieren unvorhersehbar) |
| Daten-Hosting | Schweizer Hosting, EU-Angemessenheitsbeschluss | Typischerweise US-gehostet (erfordert SCC + TIA) |
| Implementierungsdauer | 4–6 Wochen | 6–12 Monate |
| Rezertifizierung des Verarbeitungsverzeichnisses | Vollständig automatisiert mit geplanten Erinnerungen | Manuell oder halbautomatisch |
| Multi-Entity-Unterstützung | Routing auf Gesellschaftsebene, Rechtsordnungslogik integriert | Erfordert oft individuelle Konfiguration |
| Umfang | Nur Datenschutzprogramm-Management (Verarbeitungsverzeichnis, DSFA, DSR, Datenpannen, Lieferantenrisiko, KI-Register) | Gebündelt mit ESG, Ethik, Cookie-Einwilligung, über 200 Modulen |
| Meldung von Datenpannen | Automatisierte, rechtsordnungsspezifische Fristenberechnung | Variiert; häufig manuelle Rechtsordnungszuordnung |
| ISO-27001-Unterstützung | Zertifiziert; auditfähige Nachweispakete | Variiert je nach Anbieter |