Compliance-Leitfaden · Aktualisiert 2025

Consent-or-Pay-Modell und DSGVO: Was Ihr Compliance-Team vor dem Launch wissen muss

Das «Pay or Okay»-Modell verspricht einen neuen Erlöskanal, doch eine einzige falsche Umsetzungsentscheidung kann ein behördliches Verfahren, Vorwürfe ungültiger Einwilligung und grenzüberschreitende regulatorische Probleme auslösen. Hier ist das vollständige Bild.

Berücksichtigt die EDSA-Stellungnahme 08/2024, die Meta-Entscheidung und die sich abzeichnenden Vorgaben nationaler Aufsichtsbehörden im gesamten EWR.

Vertraut von Datenschutzteams in Unternehmen in ganz Europa
In der Schweiz gehostet ISO 27001 SOC 2 Type II 100% DSGVO-konform
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Vorschau der Compliance-Checkliste

7 Anforderungen, die Ihr Consent-or-Pay-Modell erfüllen muss, um vor der DSGVO Bestand zu haben

Machen Sie bei nur einer davon einen inhaltlichen Fehler, und Ihre Rechtsgrundlage bricht zusammen. Hier sind die Punkte, bei denen es keine Kompromisse gibt, als Vorschau aus unserer vollständigen Checkliste zum Download.

01

Beurteilung der freiwillig erteilten Einwilligung

Dokumentieren Sie, warum die Einwilligung trotz der Bezahlalternative tatsächlich freiwillig bleibt. Sie müssen das Machtgefälle, Ihre Marktposition und die Frage berücksichtigen, ob für die Nutzer vergleichbare Alternativen bestehen. Die EDSA-Stellungnahme 08/2024 macht deutlich, dass grosse Plattformen hier die höchste Hürde überwinden müssen, doch der Grundsatz gilt für jeden Verantwortlichen.

Anforderung gemäss DSGVO Art. 4(11), Art. 7, Erwägungsgrund 42

02

Faire und verhältnismässige Preisgestaltung

Das Entgelt darf nicht so hoch sein, dass es zur Nötigung wird. Orientieren Sie sich an den tatsächlichen Werbeerlösen pro Nutzer, nicht an einer Wunschpreisgestaltung. Ein Abonnement für EUR 12.99/Monat für einen Dienst, der pro Nutzer EUR 3/Monat an Werbeerlösen erzielt, wird einer behördlichen Prüfung nicht standhalten. Ihre Preismethodik muss dokumentiert und belastbar sein.

Gemäss EDSA-Stellungnahme 08/2024, Abschnitt 4.2 zur Verhältnismässigkeit

03

Granulare Einwilligungsoptionen

Die Einwilligung muss für jeden Verarbeitungszweck spezifisch sein. Ein einziger «Allem zustimmen oder bezahlen»-Schalter wird einer Prüfung nicht standhalten. Nutzer müssen separat in Analytics einwilligen können, getrennt von verhaltensbasierter Werbung, getrennt von Profiling. Gebündelte Einwilligung ist nach DSGVO Art. 7(4) keine gültige Einwilligung.

Anforderung gemäss DSGVO Art. 6(1)(a) und Art. 7(4)

04

Transparente Bereitstellung der Informationen

Nutzer müssen genau verstehen, in welche Datenverarbeitung sie einwilligen, in klarer Sprache, bevor sie ihre Wahl treffen. Das bedeutet, die Kategorien der erhobenen Daten, die Zwecke für jede einzelne, die Empfänger der Daten und die Aufbewahrungsfristen anzugeben. Die Einwilligungsoberfläche selbst wird zum prüfbaren Nachweis.

Anforderung gemäss DSGVO Art. 12, Art. 13 und Erwägungsgrund 42

05

Durchführung einer DSFA

Eine Datenschutz-Folgenabschätzung (DSFA) ist mit grösster Wahrscheinlichkeit erforderlich. Die Verarbeitung umfasst grossangelegtes Profiling, den Einsatz neuer Technologien und ein Potenzial für erhebliche Auswirkungen auf betroffene Personen. Ohne eine abgeschlossene DSFA verfügen Sie über keine dokumentierte Risikobeurteilung und keine Verteidigung, falls eine Aufsichtsbehörde anklopft.

Erforderlich nach DSGVO Art. 35, insbesondere Art. 35(3)(a)

06

Audit der grenzüberschreitenden Konsistenz

Wenn Sie in mehreren EWR-Ländern tätig sind, erfassen Sie die Position jeder Aufsichtsbehörde und stellen Sie sicher, dass Ihre Umsetzung nicht gegen den strengsten anwendbaren Massstab verstösst. Die CNIL toleriert für Verlage womöglich Cookie-Paywalls, während die österreichische DSB eine härtere Linie verfolgt. Ihre Compliance-Aufstellung muss die restriktivste Auslegung berücksichtigen.

Basierend auf den divergierenden Positionen der Aufsichtsbehörden in Frankreich, Österreich, Deutschland und Italien per Q1 2025

07

Rhythmus für Rezertifizierung und Überprüfung

Die regulatorischen Vorgaben entwickeln sich vierteljährlich weiter. Ihr Consent-or-Pay-Modell braucht einen formellen Überprüfungsplan, keine «Einrichten-und-vergessen»-Umsetzung. Dokumentieren Sie Ihren Überprüfungsrhythmus, weisen Sie Verantwortlichkeiten zu und verfolgen Sie regulatorische Änderungen, die Ihren aktuellen Ansatz ungültig machen könnten. Was im Januar belastbar war, ist es im Juni womöglich nicht mehr.

AXA erreicht mit automatisierten Überprüfungszyklen eine Rezertifizierungsquote von 100% beim Verarbeitungsverzeichnis (Priverion-Kundendaten, 2024)

200+

Eingesparte Stunden bei der Pflege des Verarbeitungsverzeichnisses

Medtec gewann während der ISO-27001-Vorbereitung über 200 Stunden zurück, indem die manuelle Dokumentation durch automatisierte Compliance-Workflows ersetzt wurde, Zeit, die das Team in strategische Sicherheitsinitiativen reinvestierte.

60%

Geringere Kosten gegenüber etablierten Enterprise-Anbietern

Ein Flugzeughersteller erreichte innerhalb von sechs Monaten eine Reduktion des Compliance-Verwaltungsaufwands um 60%, mit planbarer Preisgestaltung auf Basis der Anzahl Gesellschaften statt nutzerbasierter Gebühren, die bei der Verlängerung explodieren.

3 Mt.

Vor dem Zeitplan bei ISO 27001

Medtec beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um drei Monate, mithilfe der auditfertigen Nachweispakete und automatisierten Dokumentation von Priverion, die in Minuten erstellt, wofür früher Wochen nötig waren.

Priverion vs. OneTrust

Warum Datenschutzteams im Mittelstand wechseln

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und eigenen Datenschutzteams. Sie brauchen Compliance auf Enterprise-Niveau ohne den Enterprise-Aufpreis. Das ändert sich, wenn Sie zu Priverion wechseln.

Priverion

Gebaut für die tatsächliche Arbeitsweise von Mittelstandsteams

  • In der Schweiz gehostet, in der Schweiz entwickelt, Datensouveränität

    Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. In einer Welt nach Schrems II ist das kein Marketing-Häkchen, sondern die rechtliche Grundlage für grenzüberschreitende Datenübermittlungen. Keine Exposition gegenüber dem US Cloud Act, keine Unklarheit bei Angemessenheitsbeschlüssen.

  • Europäischer Datenstandort, garantiert

    Ihre Compliance-Daten bleiben in Europa. Nicht «auf Anfrage verfügbar» oder «mit dem richtigen Vertragszusatz». Standardmässig. Von Grund auf so konzipiert.

  • Eine Plattform, kein Modul-Labyrinth

    Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Vorfallmanagement, Betroffenenanfragen, KI-Register: alles inklusive. Keine separaten Artikel, kein «Vertrieb kontaktieren zum Freischalten». Preisgestaltung auf Basis von Anzahl und Grösse der Gesellschaften, nicht nutzerbasierte Lizenzen oder modulweiser Ausbau.

  • Einsatzbereit in Wochen, nicht in Quartalen

    Ein Flugzeughersteller erreichte in den ersten 6 Monaten eine Reduktion des Compliance-Verwaltungsaufwands um 60%. AXA erzielte eine Rezertifizierungsquote von 100% beim Verarbeitungsverzeichnis, vollständig automatisiert. Sie brauchen keinen Implementierungspartner aus den Big Four, um loszulegen.

    Basierend auf von Kunden gemeldeten Ergebnissen: Flugzeughersteller (Überprüfung nach 6 Monaten), AXA (Audit nach der Implementierung)

  • UX für Datenschutzbeauftragte gestaltet, nicht für Berater

    Eine aufgeräumte Oberfläche, die Ihre Fachbereichsleitungen für die Rezertifizierung auch tatsächlich nutzen werden. Keine Plattform, die eigenes Admin-Personal oder wochenlange Schulungen zur Bedienung erfordert. Weniger Reibung bedeutet höhere Akzeptanz und damit bessere Compliance-Daten.

  • KI-gestützt, nicht KI-leichtsinnig

    KI hilft beim Entwerfen von DSFA, beim Bewerten von Risiken und beim Zuordnen von Vorschriften, aber jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird. Keine Kundendaten werden für das Modelltraining verwendet. KI unterstützt, Menschen entscheiden.

  • Planbare Preisgestaltung, mit der Sie wirklich budgetieren können

    Keine nutzerbasierten Gebühren, die anschwellen, sobald Sie die Lösung auf Tochtergesellschaften ausrollen. Keine Modul-Upsells mitten im Vertrag. Ihr CFO wird es Ihnen danken.

Typische Enterprise-Plattform

Was Mittelstandsteams typischerweise erleben

  • US-Hauptsitz, Exposition gegenüber dem US Cloud Act

    Selbst mit EU-Rechenzentren bleiben Unternehmen mit Hauptsitz in den USA staatlichen Datenzugriffsanfragen nach dem US Cloud Act unterworfen. Für viele europäische Organisationen entsteht dadurch eine fortlaufende rechtliche Unsicherheit rund um die Datensouveränität.

  • Datenstandort erfordert Vertragsverhandlungen

    Ein europäischer Datenstandort ist womöglich verfügbar, erfordert aber oft individuelle Vertragsbedingungen, höhere Tarifstufen oder spezielle Auftragsverarbeitungszusätze. Es ist eine Option, nicht die Standardarchitektur.

  • Modulare Preisgestaltung summiert sich schnell

    Datenschutz, Lieferantenrisiko, Cookie-Einwilligung, Ethik: jedes einzeln verkauft. Mittelstandsteams zahlen am Ende oft für ESG-, Ethik-Hotline- und Cookie-Einwilligungsmodule, die sie nicht brauchen, oder verzichten auf Funktionen, die sie eigentlich benötigen.

  • Monatelange Implementierungen

    Enterprise-Plattformen erfordern häufig Implementierungszyklen von 3 bis über 6 Monaten, oft mit externen Beratern. Bis Sie live sind, hat sich Ihr regulatorisches Umfeld womöglich bereits verschoben.

  • Komplexität, gebaut für dedizierte Admin-Teams

    Funktionsreich heisst komplexitätsreich. Fachbereichsleitungen benötigen oft eine Schulung, nur um grundlegende Rezertifizierungsaufgaben zu erledigen, was die Akzeptanz senkt und Schatten-Tabellen wieder aufleben lässt.

  • KI-Transparenz variiert

    Viele grosse Plattformen haben KI-Funktionen eingeführt, doch die Einzelheiten zu Datentraining, Modelltransparenz und Protokollen menschlicher Aufsicht unterscheiden sich erheblich, und die Details sind für die Glaubwürdigkeit der Compliance entscheidend.

  • Nutzerbasierte Preisgestaltung bestraft die Akzeptanz

    Möchten Sie jedem Datenschutzbeauftragten einer Tochtergesellschaft Zugriff geben? Jeder Fachbereichsleitung, die Rezertifizierungen durchführt? Nutzerbasierte Preisgestaltung macht einen breiten Rollout zu einem Budgetgespräch statt zu einer operativen Angelegenheit.

Ein Hinweis dazu, was wir nicht tun

Priverion deckt keine ESG-Berichterstattung, keine Ethik-Hotlines und keine Cookie-Einwilligung ab. Wir bieten keine 200 Integrationen. Wir gehen mit den Systemen in die Tiefe, die für Datenschutz-Workflows entscheidend sind: HR, Beschaffung und IT-Asset-Management. Und wir sind speziell für Organisationen gebaut, die Datenschutz über mehrere Gesellschaften hinweg steuern. Wenn Sie ein Unternehmen mit einer einzigen Gesellschaft sind, sind wir wahrscheinlich nicht die richtige Wahl.

30-minütige Tour buchen

Schluss mit der Verwaltung des Datenschutzes in Tabellen. Steuern Sie ihn in Minuten.

Ein Flugzeughersteller senkte den Compliance-Verwaltungsaufwand in den ersten sechs Monaten um 60%. AXA erreichte eine Rezertifizierungsquote von 100% beim Verarbeitungsverzeichnis, vollständig automatisiert. Medtec sparte über 200 Stunden bei der Vorbereitung auf ISO 27001.

In 30 Minuten zeigen wir Ihnen ganz konkret, wie gruppenweites Datenschutzmanagement funktioniert, wenn es für Organisationen mit mehreren Gesellschaften gebaut ist und nicht nachträglich angefügt wurde. In der Schweiz gehostet. KI-gestützt mit vollständiger menschlicher Aufsicht. Planbare Preisgestaltung ohne nutzerbasierte Fallen.

Wochen

Zeit bis zum Go-live, nicht Monate

50+

Unterstützte Gesellschaften pro Gruppe

100%

Schweizer Datenstandort

Alle Kennzahlen basieren auf dokumentierten Kundenergebnissen. Für die Tour ist keine Verpflichtung erforderlich.

The Privacy Compliance Briefing

Monatliche Einblicke zur DSGVO-Durchsetzung, zu Aktualisierungen des Schweizer revDSG und zu Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.