Consent-or-Pay-Modell und DSGVO: Was Ihr Compliance-Team vor dem Launch wissen muss
Das «Pay or Okay»-Modell verspricht einen neuen Erlöskanal, doch eine einzige falsche Umsetzungsentscheidung kann ein behördliches Verfahren, Vorwürfe ungültiger Einwilligung und grenzüberschreitende regulatorische Probleme auslösen. Hier ist das vollständige Bild.
7 Anforderungen, die Ihr Consent-or-Pay-Modell erfüllen muss, um vor der DSGVO Bestand zu haben
Machen Sie bei nur einer davon einen inhaltlichen Fehler, und Ihre Rechtsgrundlage bricht zusammen. Hier sind die Punkte, bei denen es keine Kompromisse gibt, als Vorschau aus unserer vollständigen Checkliste zum Download.
01
Beurteilung der freiwillig erteilten Einwilligung
Dokumentieren Sie, warum die Einwilligung trotz der Bezahlalternative tatsächlich freiwillig bleibt. Sie müssen das Machtgefälle, Ihre Marktposition und die Frage berücksichtigen, ob für die Nutzer vergleichbare Alternativen bestehen. Die EDSA-Stellungnahme 08/2024 macht deutlich, dass grosse Plattformen hier die höchste Hürde überwinden müssen, doch der Grundsatz gilt für jeden Verantwortlichen.
Anforderung gemäss DSGVO Art. 4(11), Art. 7, Erwägungsgrund 42
02
Faire und verhältnismässige Preisgestaltung
Das Entgelt darf nicht so hoch sein, dass es zur Nötigung wird. Orientieren Sie sich an den tatsächlichen Werbeerlösen pro Nutzer, nicht an einer Wunschpreisgestaltung. Ein Abonnement für EUR 12.99/Monat für einen Dienst, der pro Nutzer EUR 3/Monat an Werbeerlösen erzielt, wird einer behördlichen Prüfung nicht standhalten. Ihre Preismethodik muss dokumentiert und belastbar sein.
Gemäss EDSA-Stellungnahme 08/2024, Abschnitt 4.2 zur Verhältnismässigkeit
03
Granulare Einwilligungsoptionen
Die Einwilligung muss für jeden Verarbeitungszweck spezifisch sein. Ein einziger «Allem zustimmen oder bezahlen»-Schalter wird einer Prüfung nicht standhalten. Nutzer müssen separat in Analytics einwilligen können, getrennt von verhaltensbasierter Werbung, getrennt von Profiling. Gebündelte Einwilligung ist nach DSGVO Art. 7(4) keine gültige Einwilligung.
Anforderung gemäss DSGVO Art. 6(1)(a) und Art. 7(4)
04
Transparente Bereitstellung der Informationen
Nutzer müssen genau verstehen, in welche Datenverarbeitung sie einwilligen, in klarer Sprache, bevor sie ihre Wahl treffen. Das bedeutet, die Kategorien der erhobenen Daten, die Zwecke für jede einzelne, die Empfänger der Daten und die Aufbewahrungsfristen anzugeben. Die Einwilligungsoberfläche selbst wird zum prüfbaren Nachweis.
Anforderung gemäss DSGVO Art. 12, Art. 13 und Erwägungsgrund 42
05
Durchführung einer DSFA
Eine Datenschutz-Folgenabschätzung (DSFA) ist mit grösster Wahrscheinlichkeit erforderlich. Die Verarbeitung umfasst grossangelegtes Profiling, den Einsatz neuer Technologien und ein Potenzial für erhebliche Auswirkungen auf betroffene Personen. Ohne eine abgeschlossene DSFA verfügen Sie über keine dokumentierte Risikobeurteilung und keine Verteidigung, falls eine Aufsichtsbehörde anklopft.
Erforderlich nach DSGVO Art. 35, insbesondere Art. 35(3)(a)
06
Audit der grenzüberschreitenden Konsistenz
Wenn Sie in mehreren EWR-Ländern tätig sind, erfassen Sie die Position jeder Aufsichtsbehörde und stellen Sie sicher, dass Ihre Umsetzung nicht gegen den strengsten anwendbaren Massstab verstösst. Die CNIL toleriert für Verlage womöglich Cookie-Paywalls, während die österreichische DSB eine härtere Linie verfolgt. Ihre Compliance-Aufstellung muss die restriktivste Auslegung berücksichtigen.
Basierend auf den divergierenden Positionen der Aufsichtsbehörden in Frankreich, Österreich, Deutschland und Italien per Q1 2025
07
Rhythmus für Rezertifizierung und Überprüfung
Die regulatorischen Vorgaben entwickeln sich vierteljährlich weiter. Ihr Consent-or-Pay-Modell braucht einen formellen Überprüfungsplan, keine «Einrichten-und-vergessen»-Umsetzung. Dokumentieren Sie Ihren Überprüfungsrhythmus, weisen Sie Verantwortlichkeiten zu und verfolgen Sie regulatorische Änderungen, die Ihren aktuellen Ansatz ungültig machen könnten. Was im Januar belastbar war, ist es im Juni womöglich nicht mehr.
AXA erreicht mit automatisierten Überprüfungszyklen eine Rezertifizierungsquote von 100% beim Verarbeitungsverzeichnis (Priverion-Kundendaten, 2024)
200+
Eingesparte Stunden bei der Pflege des Verarbeitungsverzeichnisses
Medtec gewann während der ISO-27001-Vorbereitung über 200 Stunden zurück, indem die manuelle Dokumentation durch automatisierte Compliance-Workflows ersetzt wurde, Zeit, die das Team in strategische Sicherheitsinitiativen reinvestierte.
60%
Geringere Kosten gegenüber etablierten Enterprise-Anbietern
Ein Flugzeughersteller erreichte innerhalb von sechs Monaten eine Reduktion des Compliance-Verwaltungsaufwands um 60%, mit planbarer Preisgestaltung auf Basis der Anzahl Gesellschaften statt nutzerbasierter Gebühren, die bei der Verlängerung explodieren.
3 Mt.
Vor dem Zeitplan bei ISO 27001
Medtec beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um drei Monate, mithilfe der auditfertigen Nachweispakete und automatisierten Dokumentation von Priverion, die in Minuten erstellt, wofür früher Wochen nötig waren.
Warum Datenschutzteams im Mittelstand wechseln
OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und eigenen Datenschutzteams. Sie brauchen Compliance auf Enterprise-Niveau ohne den Enterprise-Aufpreis. Das ändert sich, wenn Sie zu Priverion wechseln.
Priverion
Gebaut für die tatsächliche Arbeitsweise von Mittelstandsteams
-
In der Schweiz gehostet, in der Schweiz entwickelt, Datensouveränität
Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. In einer Welt nach Schrems II ist das kein Marketing-Häkchen, sondern die rechtliche Grundlage für grenzüberschreitende Datenübermittlungen. Keine Exposition gegenüber dem US Cloud Act, keine Unklarheit bei Angemessenheitsbeschlüssen.
-
Europäischer Datenstandort, garantiert
Ihre Compliance-Daten bleiben in Europa. Nicht «auf Anfrage verfügbar» oder «mit dem richtigen Vertragszusatz». Standardmässig. Von Grund auf so konzipiert.
-
Eine Plattform, kein Modul-Labyrinth
Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Vorfallmanagement, Betroffenenanfragen, KI-Register: alles inklusive. Keine separaten Artikel, kein «Vertrieb kontaktieren zum Freischalten». Preisgestaltung auf Basis von Anzahl und Grösse der Gesellschaften, nicht nutzerbasierte Lizenzen oder modulweiser Ausbau.
-
Einsatzbereit in Wochen, nicht in Quartalen
Ein Flugzeughersteller erreichte in den ersten 6 Monaten eine Reduktion des Compliance-Verwaltungsaufwands um 60%. AXA erzielte eine Rezertifizierungsquote von 100% beim Verarbeitungsverzeichnis, vollständig automatisiert. Sie brauchen keinen Implementierungspartner aus den Big Four, um loszulegen.
Basierend auf von Kunden gemeldeten Ergebnissen: Flugzeughersteller (Überprüfung nach 6 Monaten), AXA (Audit nach der Implementierung)
-
UX für Datenschutzbeauftragte gestaltet, nicht für Berater
Eine aufgeräumte Oberfläche, die Ihre Fachbereichsleitungen für die Rezertifizierung auch tatsächlich nutzen werden. Keine Plattform, die eigenes Admin-Personal oder wochenlange Schulungen zur Bedienung erfordert. Weniger Reibung bedeutet höhere Akzeptanz und damit bessere Compliance-Daten.
-
KI-gestützt, nicht KI-leichtsinnig
KI hilft beim Entwerfen von DSFA, beim Bewerten von Risiken und beim Zuordnen von Vorschriften, aber jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird. Keine Kundendaten werden für das Modelltraining verwendet. KI unterstützt, Menschen entscheiden.
-
Planbare Preisgestaltung, mit der Sie wirklich budgetieren können
Keine nutzerbasierten Gebühren, die anschwellen, sobald Sie die Lösung auf Tochtergesellschaften ausrollen. Keine Modul-Upsells mitten im Vertrag. Ihr CFO wird es Ihnen danken.
Typische Enterprise-Plattform
Was Mittelstandsteams typischerweise erleben
-
US-Hauptsitz, Exposition gegenüber dem US Cloud Act
Selbst mit EU-Rechenzentren bleiben Unternehmen mit Hauptsitz in den USA staatlichen Datenzugriffsanfragen nach dem US Cloud Act unterworfen. Für viele europäische Organisationen entsteht dadurch eine fortlaufende rechtliche Unsicherheit rund um die Datensouveränität.
-
Datenstandort erfordert Vertragsverhandlungen
Ein europäischer Datenstandort ist womöglich verfügbar, erfordert aber oft individuelle Vertragsbedingungen, höhere Tarifstufen oder spezielle Auftragsverarbeitungszusätze. Es ist eine Option, nicht die Standardarchitektur.
-
Modulare Preisgestaltung summiert sich schnell
Datenschutz, Lieferantenrisiko, Cookie-Einwilligung, Ethik: jedes einzeln verkauft. Mittelstandsteams zahlen am Ende oft für ESG-, Ethik-Hotline- und Cookie-Einwilligungsmodule, die sie nicht brauchen, oder verzichten auf Funktionen, die sie eigentlich benötigen.
-
Monatelange Implementierungen
Enterprise-Plattformen erfordern häufig Implementierungszyklen von 3 bis über 6 Monaten, oft mit externen Beratern. Bis Sie live sind, hat sich Ihr regulatorisches Umfeld womöglich bereits verschoben.
-
Komplexität, gebaut für dedizierte Admin-Teams
Funktionsreich heisst komplexitätsreich. Fachbereichsleitungen benötigen oft eine Schulung, nur um grundlegende Rezertifizierungsaufgaben zu erledigen, was die Akzeptanz senkt und Schatten-Tabellen wieder aufleben lässt.
-
KI-Transparenz variiert
Viele grosse Plattformen haben KI-Funktionen eingeführt, doch die Einzelheiten zu Datentraining, Modelltransparenz und Protokollen menschlicher Aufsicht unterscheiden sich erheblich, und die Details sind für die Glaubwürdigkeit der Compliance entscheidend.
-
Nutzerbasierte Preisgestaltung bestraft die Akzeptanz
Möchten Sie jedem Datenschutzbeauftragten einer Tochtergesellschaft Zugriff geben? Jeder Fachbereichsleitung, die Rezertifizierungen durchführt? Nutzerbasierte Preisgestaltung macht einen breiten Rollout zu einem Budgetgespräch statt zu einer operativen Angelegenheit.
Ein Hinweis dazu, was wir nicht tun
Priverion deckt keine ESG-Berichterstattung, keine Ethik-Hotlines und keine Cookie-Einwilligung ab. Wir bieten keine 200 Integrationen. Wir gehen mit den Systemen in die Tiefe, die für Datenschutz-Workflows entscheidend sind: HR, Beschaffung und IT-Asset-Management. Und wir sind speziell für Organisationen gebaut, die Datenschutz über mehrere Gesellschaften hinweg steuern. Wenn Sie ein Unternehmen mit einer einzigen Gesellschaft sind, sind wir wahrscheinlich nicht die richtige Wahl.
30-minütige Tour buchenSchluss mit der Verwaltung des Datenschutzes in Tabellen. Steuern Sie ihn in Minuten.
Ein Flugzeughersteller senkte den Compliance-Verwaltungsaufwand in den ersten sechs Monaten um 60%. AXA erreichte eine Rezertifizierungsquote von 100% beim Verarbeitungsverzeichnis, vollständig automatisiert. Medtec sparte über 200 Stunden bei der Vorbereitung auf ISO 27001.
In 30 Minuten zeigen wir Ihnen ganz konkret, wie gruppenweites Datenschutzmanagement funktioniert, wenn es für Organisationen mit mehreren Gesellschaften gebaut ist und nicht nachträglich angefügt wurde. In der Schweiz gehostet. KI-gestützt mit vollständiger menschlicher Aufsicht. Planbare Preisgestaltung ohne nutzerbasierte Fallen.
Wochen
Zeit bis zum Go-live, nicht Monate
50+
Unterstützte Gesellschaften pro Gruppe
100%
Schweizer Datenstandort
Alle Kennzahlen basieren auf dokumentierten Kundenergebnissen. Für die Tour ist keine Verpflichtung erforderlich.


