Key Takeaways
Priverion ist eine in der Schweiz gehostete Compliance-Plattform, die speziell für Organisationen mit mehreren Einheiten entwickelt wurde, die der CNIL-Durchsetzung unterliegen. Sie zentralisiert das Verarbeitungsverzeichnis (Register nach Artikel 30), DSFA, die mit der veröffentlichten Methodik der CNIL abgestimmt sind, Workflows für Betroffenenanfragen nach den DSGVO-Artikeln 15–22 sowie das Lieferantenrisikomanagement in einer einzigen Plattform. Von Kunden berichtete Ergebnisse umfassen eine Reduktion des Aufwands für die Rezertifizierung des Verarbeitungsverzeichnisses um 70 %, eine 3× schnellere DSFA-Fertigstellung und um 60 % kürzere Bearbeitungszeiten für Betroffenenanfragen. Die Einführung dauert Wochen, nicht Quartale.
Definitionen
Was ist die CNIL?
CNIL (Commission Nationale de l'Informatique et des Libertés) ist die unabhängige französische Datenschutzbehörde, eingerichtet durch das französische Datenschutzgesetz von 1978 (Loi Informatique et Libertés). Die CNIL überwacht die Einhaltung der DSGVO in Frankreich und ist befugt, Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes zu verhängen. DSGVO-Bussgelder und Sanktionen — gdpr-info.eu
Was ist ein Registre des Traitements (Verarbeitungsverzeichnis)?
Registre des Traitements ist der französische Begriff für das Verzeichnis von Verarbeitungstätigkeiten, das nach Artikel 30 DSGVO erforderlich ist. Verantwortliche und Auftragsverarbeiter müssen schriftliche Aufzeichnungen führen, die jede Verarbeitungstätigkeit, ihre Zwecke, Datenkategorien, Empfänger, Aufbewahrungsfristen sowie technische und organisatorische Sicherheitsmassnahmen beschreiben.
Was ist eine DSFA?
Eine Datenschutz-Folgenabschätzung (DSFA) ist eine strukturierte Risikoanalyse, die nach Artikel 35 DSGVO erforderlich ist, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Die CNIL hat eine Liste von 14 Verarbeitungsvorgängen veröffentlicht, die eine DSFA vorschreiben, und die EDSA-Leitlinien bieten zusätzliche Kriterien zur Bestimmung, wann eine Abschätzung erforderlich ist.
Was ist ein Transfer Impact Assessment (TIA)?
Ein Transfer Impact Assessment (TIA) bewertet, ob der Rechtsrahmen eines Drittlandes einen angemessenen Schutz für personenbezogene Daten bietet, die aus der EU/dem EWR übermittelt werden. Diese Anforderung wurde durch den Gerichtshof der Europäischen Union im Schrems-II-Urteil (Rechtssache C-311/18) verstärkt. Die EDSA-Empfehlungen 01/2020 beschreiben die Schritte, die Organisationen befolgen müssen.
Häufig gestellte Fragen
Was ist CNIL-Compliance-Software?
CNIL-Compliance-Software ist eine Plattform, die Organisationen dabei unterstützt, die Datenschutzanforderungen zu erfüllen, die von der französischen Commission Nationale de l'Informatique et des Libertés durchgesetzt werden. Typischerweise automatisiert sie das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen (DSFA), die Bearbeitung von Betroffenenanfragen und das Lieferantenrisikomanagement im Einklang mit der DSGVO und den spezifischen Vorgaben der CNIL.
Warum benötigen Organisationen mit mehreren Einheiten dedizierte CNIL-Compliance-Tools?
Organisationen mit mehreren Einheiten sehen sich einer verschärften Compliance-Komplexität gegenüber, da jede Tochtergesellschaft personenbezogene Daten eigenständig verarbeiten kann, der Konzern aber eine koordinierte Governance nachweisen muss. Laut dem IAPP-EY Privacy Governance Report 2023 beschäftigt die durchschnittliche Organisation inzwischen 5,2 Vollzeit-Datenschutzmitarbeitende — eine Zahl, die seit 2020 um 23 % gewachsen ist — und dennoch verlassen sich viele für die einheitsübergreifende Nachverfolgung weiterhin auf Tabellen. Eine dedizierte Plattform zentralisiert die Workflows für Verarbeitungsverzeichnis, DSFA und Betroffenenanfragen über alle Einheiten hinweg, reduziert Doppelarbeit und gewährleistet eine konsistente Einhaltung der Durchsetzungserwartungen der CNIL.
Wie handhabt Priverion das einheitsübergreifende Management des Verarbeitungsverzeichnisses für die CNIL?
Priverion führt ein zentralisiertes Register nach Artikel 30, das Verarbeitungstätigkeiten einzelnen Einheiten zuordnet. Automatisierte Rezertifizierungszyklen stellen sicher, dass die Aufzeichnungen jeder Einheit termingerecht überprüft werden. Wenn die CNIL ein registre des traitements anfordert, exportiert die Plattform das einheitsspezifische oder konzernweite Verarbeitungsverzeichnis in Minuten statt in Wochen manueller Konsolidierung.
Wird Priverion in Europa gehostet?
Ja. Priverion wird vollständig in der Schweiz entwickelt und gehostet und bietet damit garantierte europäische Datenresidenz. Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur, was einen rechtlichen Vorteil für grenzüberschreitende Datentransfers in einer Post-Schrems-II-Landschaft bietet. Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss im Rahmen der DSGVO.
Was sind die 14 obligatorischen DSFA-Szenarien der CNIL?
Die CNIL hat eine Liste von 14 Arten von Verarbeitungsvorgängen veröffentlicht, die eine Datenschutz-Folgenabschätzung erfordern. Dazu gehören Profiling in grossem Umfang, die systematische Überwachung öffentlich zugänglicher Bereiche, die Verarbeitung biometrischer Daten zur Identifizierung und die Verarbeitung von Daten schutzbedürftiger Personen. Die vollständige Liste ist in der offiziellen DSFA-Vorgabe der CNIL verfügbar. Die DSFA-Vorlagen von Priverion berücksichtigen diese Auslösekriterien, damit Teams Verarbeitungstätigkeiten mit hohem Risiko automatisch kennzeichnen können.
Wie lange dauert die Einführung von Priverion?
Priverion ist typischerweise innerhalb von Wochen einsatzbereit, nicht in Monaten. Von Kunden berichtete Ergebnisse zeigen, dass Organisationen wie Aircraft manufacturer innerhalb der ersten 6 Monate ihrer Einführung eine Reduktion des administrativen Compliance-Aufwands um 60 % erreichten und AXA mit vollständig automatisierten Workflows eine Rezertifizierung des Verarbeitungsverzeichnisses von 100 % erzielte.
Wie schneidet Priverion im Vergleich zu etablierten Enterprise-Datenschutzplattformen ab?
Anders als etablierte Plattformen, die Gebühren pro Nutzer und pro Modul berechnen, verwendet Priverion eine vorhersehbare Preisgestaltung auf Basis der Anzahl der Einheiten und der Organisationsgrösse. Es wird in der Schweiz statt in den USA gehostet, ist in Wochen statt in mehr als 6 Monaten einsatzbereit und ist speziell für das Management von Datenschutzprogrammen entwickelt, ohne Funktionsüberladung durch nicht verwandte Module.
Welche DSGVO-Artikel setzt die CNIL für Betroffenenanfragen durch?
Die CNIL setzt die DSGVO-Artikel 15 bis 22 durch, die das Auskunftsrecht, die Berichtigung, die Löschung, die Einschränkung der Verarbeitung, die Datenübertragbarkeit, das Widerspruchsrecht sowie Rechte im Zusammenhang mit automatisierten Entscheidungen und Profiling abdecken. Organisationen müssen innerhalb von 30 Tagen nach Erhalt einer Anfrage antworten.
Branchenstatistiken
Laut dem IAPP-EY Privacy Governance Report 2023 geben 60 % der Organisationen an, dass die Verwaltung des Datenschutzes über mehrere Rechtsordnungen hinweg ihre grösste Compliance-Herausforderung ist. Derselbe Bericht stellte fest, dass die Datenschutzbudgets im Durchschnitt um 12 % gegenüber dem Vorjahr wuchsen, wobei die Technologieausgaben die am schnellsten wachsende Kategorie darstellten. Die CNIL selbst verhängte im Jahr 2023 Bussgelder in Höhe von 101,3 Millionen Euro, was das finanzielle Risiko der Nichteinhaltung unterstreicht. Der EDSA-Jahresbericht 2023 stellte fest, dass grenzüberschreitende Durchsetzungsfälle im Vergleich zum Vorjahr um 25 % zunahmen, was die wachsende Bedeutung koordinierter Compliance-Programme mit mehreren Einheiten hervorhebt.
Vergleich: Priverion vs. etablierte Enterprise-Datenschutzplattformen
| Funktion | Priverion | Typische etablierte Plattform |
|---|
| Preismodell | Pro Einheit, vorhersehbar | Pro Nutzer + pro Modul, steigend |
| Daten-Hosting | In der Schweiz gehostet (EU-Angemessenheit) | Typischerweise in den USA gehostet |
| Einführungszeitraum | Wochen | Mehr als 6 Monate |
| Rezertifizierung des Verarbeitungsverzeichnisses | Automatisierte Zyklen pro Einheit | Manuell oder halbautomatisiert |
| DSFA-Vorlagen | An den 14 CNIL-Szenarien ausgerichtet | Generische Vorlagen |
| Routing von Betroffenenanfragen | Einheitsübergreifendes automatisiertes Routing | Einzelne Einheit oder manuell |
| Umfang | Speziell für den Datenschutz entwickelt | Gebündelt mit ESG, Ethik, Cookie-Einwilligung |
| Integrationstiefe | Tiefe Integrationen für HR, Beschaffung, IT-Assets | Mehr als 200 oberflächliche Konnektoren |