Konvergenz von DORA und DSGVO

Steuern Sie DORA- und DSGVO-Compliance in einer Plattform – ohne Arbeit über Einheiten hinweg zu duplizieren

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete Plattform, die das DORA-IKT-Risikomanagement und die DSGVO-Datenschutz-Compliance für Finanzorganisationen mit mehreren Einheiten vereint.

Finanzunternehmen müssen die IKT-Risikovorgaben von DORA und die Datenschutzpflichten der DSGVO erfüllen – oft über Dutzende von Einheiten und Jurisdiktionen hinweg. Priverion gibt Ihrem Datenschutzteam eine einzige Plattform, um beides zu steuern, ohne Arbeit zu duplizieren oder Prüfpfade zu verlieren.

DORA-fokussierte Demo buchen

«Innerhalb von sechs Monaten nach der Einführung von Priverion war die Rezertifizierung unseres Verarbeitungsverzeichnisses vollständig automatisiert. Endlich habe ich Zeit für strategische Datenschutzarbeit statt für die Pflege von Tabellen.»

Datenschutzbeauftragter, Flugzeughersteller

60 % weniger Verwaltungsaufwand für Compliance – erste 6 Monate

DORA (Verordnung (EU) 2022/2554) führt Anforderungen an IKT-Risikomanagement, Incident-Reporting, Drittparteienaufsicht und Resilienztests ein, die sich direkt mit bestehenden Datenschutzprogrammen überschneiden. Von Datenschutzteams in Banken, Versicherungen und Finanzdienstleistungen wird heute erwartet, nachzuweisen, wie ihre DSFA, Lieferantenbeurteilungen und Prozesse zur Reaktion auf Datenschutzverletzungen mit DORA übereinstimmen – zusätzlich zu allem, was sie bereits unter der DSGVO verwalten. Die Frage ist nicht, ob sich diese Anforderungen überschneiden. Sie lautet, ob Ihre Werkzeuge die Überschneidung bewältigen, ohne operatives Chaos zu erzeugen.

In der Schweiz gehostete Infrastruktur Vertraut von Datenschutzteams, die 50+ Einheiten verwalten Sicherheit auf Enterprise-Niveau
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Wie Priverion das löst

Eine Plattform für DORA-Datenschutzanforderungen – über jede Einheit hinweg

Jede der folgenden Funktionen adressiert direkt einen Schmerzpunkt, mit dem Ihr Team bereits umgeht. Der Unterschied: Sie hören auf, parallele Systeme zu jonglieren, und führen stattdessen einen einzigen, prüfbaren Workflow.

Einheitliche Incident-Response-Workflows

Verwalten Sie die DORA-IKT-Vorfallsklassifizierung und DSGVO-Meldungen von Datenschutzverletzungen aus einem einzigen Vorfallsdatensatz. Priverion erkennt automatisch, wann ein IKT-Vorfall Pflichten bei einer Verletzung des Schutzes personenbezogener Daten auslöst, leitet Meldungen je Einheit und Jurisdiktion an die richtigen Behörden weiter und führt einen lückenlosen Prüfpfad – damit Ihr Team nie wieder zwei parallele Prozesse abgleichen muss.

60 % weniger Koordinationszeit bei der Incident-Response

Im Vergleich zur Verwaltung von DORA- und DSGVO-Vorfalls-Workflows in parallelen Systemen

Integrierte Drittparteienrisiko- und Datenschutzbeurteilungen

Führen Sie die von DORA geforderte IKT-Drittparteien-Due-Diligence gemeinsam mit Transfer Impact Assessments und Prüfungen von Unterauftragsverarbeitern in einem Workflow durch. Verknüpfen Sie Lieferantendatensätze direkt mit Verarbeitungstätigkeiten in Ihrem Verarbeitungsverzeichnis, damit nichts durch die Maschen fällt, wenn Aufsichtsbehörden nach Nachweisen einer koordinierten Aufsicht über beide Rahmenwerke fragen.

100 % Abdeckung der Lieferantenrisikobeurteilung

Ein Gesundheitsdienstleister erreichte eine vollständige Lieferantenabdeckung mit dem einheitlichen Beurteilungs-Workflow von Priverion

DSFA-Vorlagen, vorab auf DORA-Szenarien abgebildet

Priverion enthält KI-gestützte DSFA-Vorlagen, die DORA-spezifische Verarbeitungstätigkeiten berücksichtigen: Resilienztests, bedrohungsgeleitete Penetrationstests nach Artikel 26, IKT-Änderungsmanagement und die Abbildung kritischer Funktionen. Ihr Team muss diese nicht von Grund auf erstellen – und jeder KI-generierte Entwurf wird von einem Menschen geprüft, bevor er zu einem Compliance-Datensatz wird.

DORA-konforme DSFA in Stunden statt Wochen erstellen

KI-gestützte Entwurfserstellung mit menschlicher Aufsicht – keine Kundendaten werden für das Modelltraining verwendet

Automatisierte Rezertifizierung des Verarbeitungsverzeichnisses über alle Konzerneinheiten hinweg

DORA ändert Ihre Pflichten zum Verarbeitungsverzeichnis nicht – es erweitert sie. Neue Verarbeitungstätigkeiten rund um IKT-Risikomanagement, Vorfallsprotokollierung und Drittparteien-Monitoring müssen alle erfasst werden. Die automatisierten Rezertifizierungs-Workflows von Priverion spielen Aktualisierungen gleichzeitig an jede relevante Einheit aus und beenden das Hinterherjagen über Geschäftsbereiche hinweg.

100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert

Ein Schweizer Versicherer erreichte mit Priverion eine vollständig automatisierte Rezertifizierung

Jurisdiktionsbewusstes Reporting und Dokumentation

Erstellen Sie DORA-Compliance-Dokumentation und Datenschutzberichte, die auf die zuständige nationale Behörde und die Datenschutzbehörde jeder Einheit zugeschnitten sind. Priverion bildet die regulatorischen Anforderungen je Jurisdiktion ab, damit Ihr Team jedes Mal den richtigen Bericht für die richtige Aufsichtsbehörde erstellt – ohne divergierende nationale Umsetzungen manuell verfolgen zu müssen.

40 % weniger Zeit für die Berichtserstellung

Im Vergleich zur manuellen, jurisdiktionsspezifischen Berichtserstellung über Konzerngruppen mit mehreren Einheiten hinweg

Schweizer Datensouveränität – eingebaut, nicht angeflanscht

Jedes Stück DORA- und Datenschutz-Compliance-Daten – Vorfallsdatensätze, Lieferantenbeurteilungen, DSFA, Verarbeitungsverzeichnisse – bleibt innerhalb der Schweizer Infrastruktur. In einer Post-Schrems-II-Welt, in der Finanzaufsichtsbehörden die Abhängigkeit von Cloud-Anbietern genau prüfen, ist «in der Schweiz gehostet» kein Marketing-Häkchen. Es ist die rechtliche Grundlage für Vertrauen bei grenzüberschreitenden Datenübermittlungen.

Europäische Datenresidenz garantiert

Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur – in der Schweiz entwickelt und gehostet

DORA-fokussierte Demo buchen DORA-Funktionen in Ihrem Dashboard entdecken

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Ein Medizintechnikunternehmen verlagerte im ersten Jahr mit Priverion über 200 Stunden von der manuellen Pflege des Verarbeitungsverzeichnisses hin zur ISO-27001-Vorbereitung

60%

Geringere Gesamtkosten als OneTrust

Basierend auf veröffentlichten Preisvergleichen für Mid-Market-Organisationen, die 10+ Einheiten mit gleichwertiger Modulabdeckung verwalten

92%

Kundenzufriedenheitswert

Basierend auf einer Kundenumfrage, Q1 2025 – über Organisationen hinweg, die Datenschutzprogramme mit mehreren Einheiten verwalten

Priverion vs. OneTrust

Datenschutzmanagement auf Enterprise-Niveau – ohne die Enterprise-Kopfschmerzen

Mid-Market-Organisationen brauchen Compliance-Tiefe, keinen Funktionswildwuchs. Hier ist, warum Datenschutzteams, die mehrere Einheiten über europäische Jurisdiktionen hinweg verwalten, wechseln.

Die OneTrust-Erfahrung

Preise, die Wachstum bestrafen

Eine Preisgestaltung pro Nutzer und pro Modul bedeutet, dass die Kosten explodieren, wenn Sie Tochtergesellschaften aufschalten. Fünf Nutzer zu einer neuen Einheit hinzufügen? Das ist eine weitere Verhandlung über einen Posten.

In den USA gehostete Infrastruktur

Auf US-Infrastruktur verarbeitete Daten unterliegen weiterhin der US-Jurisdiktion. In einer Post-Schrems-II-Welt entsteht dadurch ein Übermittlungsrisiko, das Ihr Rechtsteam dokumentieren und verteidigen muss.

Gebaut für die Fortune 500

Hunderte von Funktionen über GRC, ESG, Ethik und Cookie-Einwilligung hinweg. Leistungsstark – doch Mid-Market-Teams berichten von monatelangen Implementierungen und Funktionen, die sie nie nutzen werden.

200+ oberflächliche Integrationen

Eine lange Integrationsliste macht sich in einer Vergleichsmatrix gut. Doch Konnektoren, die nur Teildaten liefern oder ständige Wartung erfordern, schaffen mehr Arbeit, nicht weniger.

Komplexes Onboarding

Enterprise-Implementierungszeiträume in Monaten gemessen, mit dedizierten Projektmanagern und Budgets für Professional Services zusätzlich zur Lizenzgebühr.

Die Priverion-Erfahrung

Vorhersehbare All-inclusive-Preise

Bepreist nach Anzahl der Gesellschaften und Unternehmensgrösse – nicht pro Nutzer oder Modul. Fügen Sie über jede Tochtergesellschaft hinweg so viele Nutzer hinzu, wie Sie brauchen, ohne Ihren Vertrag neu zu verhandeln.

In der Schweiz entwickelt, in der Schweiz gehostet

Sämtliche Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur – einer der wenigen Jurisdiktionen mit einem Angemessenheitsbeschluss der EU. Europäische Datenresidenz ist kein Häkchen; sie ist unsere Architektur.

Speziell für den Datenschutz über mehrere Einheiten gebaut

Jede Funktion existiert, um das konzernweite Management von Datenschutzprogrammen zu lösen: Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Betroffenenanfragen, Workflows bei Datenschutzverletzungen und einheitsübergreifendes Data Mapping – nichts Überflüssiges.

Tiefe Integrationen, wo es darauf ankommt

Aussagekräftige Verbindungen zu HR-, Beschaffungs- und IT-Asset-Management-Systemen – den Workflows, die Datenschutz-Compliance tatsächlich vorantreiben. Weniger Konnektoren, reichhaltigere Daten.

In Wochen einsatzbereit

Ein Flugzeughersteller kam von der Vertragsunterzeichnung zur automatisierten Rezertifizierung des Verarbeitungsverzeichnisses über mehrere Tochtergesellschaften hinweg. Keine sechsmonatige Implementierung. Keine Überraschung bei den Professional Services.

Basierend auf dem Einsatz beim Flugzeughersteller – 60 % weniger Verwaltungsaufwand für Compliance innerhalb der ersten 6 Monate

Um transparent zu sein: Wir decken weder ESG noch Ethik-Hotlines oder Cookie-Einwilligung ab. Wenn Sie diese benötigen, ist OneTrust eine solide Wahl. Wenn Sie fokussiertes Management von Datenschutzprogrammen über mehrere Einheiten hinweg mit europäischer Datenresidenz benötigen – genau dafür haben wir Priverion gebaut.

Was Praktiker sagen

Ergebnisse von Datenschutzteams wie dem Ihren

«Wir verbrachten den Grossteil unserer Compliance-Verwaltungszeit damit, Geschäftsbereichen über mehrere Tochtergesellschaften hinweg wegen Aktualisierungen des Verarbeitungsverzeichnisses hinterherzulaufen. Innerhalb von sechs Monaten nach der Einführung von Priverion war die Rezertifizierung vollständig automatisiert. Endlich habe ich Zeit für strategische Datenschutzarbeit statt für die Pflege von Tabellen.»

Datenschutzbeauftragter, Flugzeughersteller

60 % weniger Verwaltungsaufwand für Compliance – erste 6 Monate

«Die prüfbereiten Nachweispakete von Priverion ersparten uns über 200 Stunden Vorbereitungsarbeit. Wir beschleunigten unsere ISO-27001-Zertifizierung um drei Monate – und die Qualität der Dokumentation war besser als das, was wir manuell produzierten.»

Compliance Lead bei einem Medizintechnikunternehmen

200+ eingesparte Stunden bei der ISO-27001-Vorbereitung

«Vor Priverion hatten wir Lücken in unseren Lieferantenrisikobeurteilungen – uns fehlte schlicht die Kapazität, jede dritte Partei abzudecken. Jetzt haben wir 100 % Abdeckung mit einem einheitlichen Workflow, der sowohl Datenschutz- als auch IKT-Risikoanforderungen bewältigt.»

Privacy Officer bei einem Gesundheitsdienstleister

100 % Abdeckung der Lieferantenrisikobeurteilung erreicht

Kostenloser Leitfaden

DORA trifft DSGVO: Die Datenschutzanforderungen, die Ihr Finanzunternehmen nicht ignorieren kann

DORA führte IKT-Risikopflichten ein, die sich mit bestehenden Datenschutzrahmenwerken überschneiden – und ihnen manchmal widersprechen. Dieser Leitfaden bildet jede Schnittstelle ab, damit Ihr Datenschutzbeauftragter und Ihr CISO keine Arbeit duplizieren oder Lücken hinterlassen.

Das ist enthalten:

  • Eine klauselweise Zuordnung der DORA-Artikel 5–15 zu den DSGVO-Anforderungen – die zeigt, wo sich Pflichten überschneiden, wo sie auseinandergehen und wo sich Lücken verbergen
  • Anforderungen an das IKT-Drittparteienrisikomanagement nach DORA und wie sie Ihre Datenschutzbeurteilungen von Lieferanten und Ihre SCC-Pflichten verändern
  • Meldefristen für Vorfälle im direkten Vergleich – die 4-Stunden-Erstmeldung von DORA gegenüber dem 72-Stunden-Fenster der DSGVO und wie Sie einen einzigen Workflow aufbauen, der beiden genügt
  • Eine praktische Checkliste für die konzernweite Umsetzung über mehrere Einheiten und Jurisdiktionen hinweg – aufgebaut aus echten Compliance-Programmen mit mehreren Tochtergesellschaften

Kostenloses PDF. Keine Demo erforderlich. Wir senden es Ihnen in Ihr Postfach.

FAQ

DORA-Datenschutz-Compliance: Häufige Fragen

Ersetzt DORA die DSGVO für Finanzunternehmen?

Nein. DORA und DSGVO sind sich ergänzende Verordnungen mit unterschiedlichen Geltungsbereichen. DORA konzentriert sich auf IKT-Risikomanagement und digitale operative Resilienz für Finanzunternehmen, während die DSGVO den Schutz personenbezogener Daten regelt. Finanzunternehmen müssen beide gleichzeitig einhalten. Die Herausforderung besteht darin, dass sich viele DORA-Anforderungen – insbesondere rund um Incident-Reporting, Drittparteienrisikomanagement und Informationssicherheit – direkt mit DSGVO-Pflichten überschneiden. Priverion hilft Ihnen, beide Anforderungssätze in einem einzigen Workflow zu verwalten, damit Sie Doppelarbeit und Lücken vermeiden.

Wie wirkt die Meldefrist von DORA für Vorfälle mit der 72-Stunden-Meldung der DSGVO bei Datenschutzverletzungen zusammen?

DORA verlangt eine erste IKT-Vorfallsmeldung innerhalb von 4 Stunden nach der Klassifizierung, gefolgt von Zwischen- und Abschlussberichten. Die DSGVO verlangt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, nachdem eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Betrifft ein IKT-Vorfall auch personenbezogene Daten, laufen beide Fristen gleichzeitig – und Sie müssen verschiedene Behörden mit unterschiedlichen Informationen benachrichtigen. Der einheitliche Vorfalls-Workflow von Priverion erkennt automatisch, wann ein IKT-Vorfall DSGVO-Pflichten bei einer Datenschutzverletzung auslöst, und leitet die richtigen Meldungen je Einheit und Jurisdiktion an jede Behörde weiter.

Kann Priverion die DORA-Compliance für Organisationen mit 50+ Einheiten bewältigen?

Ja. Priverion ist speziell für das konzernweite Management von Datenschutzprogrammen über mehrere Einheiten und Jurisdiktionen hinweg gebaut. Wir betreuen Organisationen mit 50+ Einheiten und bieten einheitsübergreifendes Data Mapping, automatisierte Rezertifizierung des Verarbeitungsverzeichnisses über alle Tochtergesellschaften hinweg sowie jurisdiktionsbewusstes Reporting. Die Preisgestaltung basiert auf der Anzahl der Gesellschaften und der Unternehmensgrösse – nicht pro Nutzer –, sodass die Skalierung über Einheiten hinweg keine Kostenüberraschungen auslöst.

Wie hilft das Hosting in der Schweiz bei der DORA- und DSGVO-Compliance?

Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU, das heisst Datenübermittlungen in die Schweiz werden unter der DSGVO wie EU-interne Übermittlungen behandelt. Für Finanzunternehmen, die den DORA-Anforderungen rund um das IKT-Drittparteienrisiko unterliegen – einschliesslich der Prüfung von Abhängigkeiten von Cloud-Anbietern und der Datenresidenz –, bietet eine in der Schweiz gehostete Infrastruktur eine rechtlich vertretbare Grundlage. Sämtliche Compliance-Daten in Priverion bleiben innerhalb der Schweizer Infrastruktur und beseitigen das grenzüberschreitende Übermittlungsrisiko, das mit in den USA gehosteten Alternativen einhergeht.

Setzt Priverion KI für die DORA-Compliance ein? Ist das sicher?

Priverion nutzt KI-gestützte Funktionen für die DSFA-Erstellung, das Risiko-Scoring und das regulatorische Mapping – einschliesslich DORA-spezifischer Szenarien. Alle KI-Ausgaben werden von einem Menschen geprüft, bevor sie zu Compliance-Datensätzen werden. Es werden keine Kundendaten für das Modelltraining verwendet. Sämtliche Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur. KI unterstützt die Entscheidungsfindung Ihres Teams; sie ersetzt sie nie.

Was deckt Priverion nicht ab?

Wir konzentrieren uns ausschliesslich auf das Management von Datenschutzprogrammen. Wir decken weder ESG-Reporting noch Ethik-Hotlines oder das Management von Cookie-Einwilligungen ab. Wir sind auch nicht für Organisationen mit nur einer Einheit gebaut – unsere Stärke ist das konzernweite Management über mehrere Tochtergesellschaften und Jurisdiktionen hinweg. Wenn Sie eine breite GRC-Plattform benötigen, die alles abdeckt, sind OneTrust oder ähnliche Tools möglicherweise die bessere Wahl. Wenn Sie fokussierte Datenschutz-Compliance über mehrere Einheiten hinweg mit europäischer Datenresidenz benötigen – genau dafür haben wir Priverion gebaut.

Ihr Compliance-Team verdient bessere Werkzeuge

Verwalten Sie die Überschneidung von DORA und DSGVO nicht länger in Tabellen. Beginnen Sie damit in 30 Minuten.

Sehen Sie, wie Organisationen wie ein Flugzeughersteller ihren Compliance-Verwaltungsaufwand in den ersten sechs Monaten um 60 % senkten – mit automatisierter Rezertifizierung des Verarbeitungsverzeichnisses, KI-gestützten DSFA und konzernweiter Sichtbarkeit über jede Tochtergesellschaft und Jurisdiktion hinweg.

In der Schweiz entwickelt. In der Schweiz gehostet. Vorhersehbare Preise ohne Pro-Nutzer-Fallen. Ein einziger Rundgang reicht, um den Unterschied zu sehen.

DORA-fokussierte Demo buchen

Keine Verpflichtung erforderlich. Kein Verkaufsgespräch – nur ein geführter Einblick, wie Priverion den Datenschutz über mehrere Einheiten hinweg handhabt, damit Sie entscheiden können, ob es zu Ihrem Programm passt.

The Privacy Compliance Briefing

Monatliche Einblicke zur DSGVO-Durchsetzung, zu revDSG-Aktualisierungen und zu Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.

Über diese Seite – Referenzen, Definitionen und FAQs

Das Wichtigste auf einen Blick – DORA-Datenschutzanforderungen

Finanzunternehmen in der gesamten EU müssen sowohl DORA (Verordnung (EU) 2022/2554) als auch die DSGVO gleichzeitig einhalten. Die beiden Rahmenwerke weisen erhebliche Überschneidungen bei Incident-Reporting, Drittparteienrisikomanagement und Folgenabschätzungen auf. Priverion ist eine in der Schweiz gehostete GRC-Plattform, die speziell für Organisationen mit mehreren Einheiten gebaut ist, die sowohl die DORA-IKT-Resilienzvorgaben als auch die DSGVO-Datenschutzpflichten aus einem einzigen, prüfbaren Workflow steuern müssen – wodurch Doppelarbeit über Tochtergesellschaften und Jurisdiktionen hinweg entfällt.

Was ist DORA (Digital Operational Resilience Act)?

DORA – der Digital Operational Resilience Act – ist die Verordnung (EU) 2022/2554, die einen umfassenden Rahmen für das IKT-Risikomanagement für EU-Finanzunternehmen schafft. Sie umfasst die IKT-Risiko-Governance, die Klassifizierung und Meldung von Vorfällen, das Testen der digitalen operativen Resilienz (einschliesslich bedrohungsgeleiteter Penetrationstests), die Aufsicht über IKT-Drittdienstleister sowie Vereinbarungen zum Informationsaustausch. DORA gilt seit dem 17.01.2025.

Was ist eine DSFA nach der DSGVO?

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Artikel 35 DSGVO immer dann erforderlich, wenn eine Verarbeitung «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat». Viele von DORA geforderte Tätigkeiten – etwa bedrohungsgeleitete Penetrationstests nach Artikel 26 und die Abbildung kritischer Funktionen – beinhalten eine Verarbeitung personenbezogener Daten, die diese Schwelle auslöst.

Was ist die Pflicht zum Verarbeitungsverzeichnis?

Das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) wird durch Artikel 30 DSGVO vorgeschrieben. Verantwortliche und Auftragsverarbeiter müssen ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten führen. DORA erweitert den Umfang der zu dokumentierenden Verarbeitungstätigkeiten, einschliesslich Protokollen zum IKT-Risikomanagement, Vorfallsdatensätzen und Drittparteien-Monitoring-Aktivitäten.

Statistiken: Die DORA- und DSGVO-Compliance-Landschaft

Laut dem Bericht ENISA Threat Landscape 2024 entfielen auf den Finanzsektor rund 9 % aller gemeldeten Cybervorfälle in der EU, was die Notwendigkeit eines einheitlichen Managements von IKT- und Datenschutzvorfällen unterstreicht. Der IAPP-EY 2023 Privacy Governance Report stellte fest, dass 60 % der Organisationen die Datenschutz-Compliance nach wie vor mit Tabellen oder manuellen Prozessen verwalten, was ein erhebliches Risiko von Lücken schafft, wenn sich überschneidende Rahmenwerke wie DORA und DSGVO gleichzeitig zu behandeln sind. Der Europäische Datenschutzausschuss stellte in seinen Leitlinien 01/2021 zu Beispielen für die Meldung von Datenschutzverletzungen fest, dass IKT-Vorfälle in Finanzdienstleistungen häufig personenbezogene Daten betreffen und eine koordinierte Meldung nach den Fristen von DORA und DSGVO erfordern.

Wie überschneidet sich das DORA-Incident-Reporting mit der DSGVO-Meldung von Datenschutzverletzungen?

DORA verpflichtet Finanzunternehmen, schwerwiegende IKT-bezogene Vorfälle nach einem strukturierten Zeitplan zu klassifizieren und der zuständigen nationalen Behörde zu melden. Betrifft derselbe Vorfall personenbezogene Daten, verlangt Artikel 33 DSGVO eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. Organisationen müssen einen einzigen Vorfallsdatensatz führen, der beiden Rahmenwerken genügt, um widersprüchliche Fristen und doppelte Meldungen zu vermeiden. Der einheitliche Vorfalls-Workflow von Priverion erkennt automatisch, wann ein IKT-Vorfall Pflichten bei einer Verletzung des Schutzes personenbezogener Daten auslöst, und leitet die Meldungen entsprechend weiter.

Wer muss DORA einhalten?

DORA gilt für Kreditinstitute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Zahlungsinstitute, E-Geld-Institute, Zentralverwahrer, Anbieter von Krypto-Dienstleistungen sowie ihre kritischen IKT-Drittdienstleister. Der vollständige Geltungsbereich ist in Artikel 2 der Verordnung (EU) 2022/2554 definiert. Praktisch jedes regulierte Finanzunternehmen in der EU fällt in den Geltungsbereich.

Warum ist das Hosting in der Schweiz für die DORA- und DSGVO-Compliance wichtig?

Die Schweiz profitiert von einem Angemessenheitsbeschluss der EU (Beschluss 2000/518/EG), das heisst Übermittlungen personenbezogener Daten aus der EU in die Schweiz erfordern keine zusätzlichen Garantien wie Standardvertragsklauseln. Im Post-Schrems-II-Umfeld, in dem der EuGH das EU-US Privacy Shield für ungültig erklärte, bietet eine in der Schweiz gehostete Infrastruktur eine rechtlich robuste Grundlage für europäische Datenresidenz – besonders wichtig für Finanzunternehmen, deren Aufsichtsbehörden die Abhängigkeit von Cloud-Anbietern genau prüfen.

Wie ist das Verhältnis zwischen der DORA-Drittparteienaufsicht und dem Auftragsverarbeitermanagement der DSGVO?

Kapitel V der DORA schafft einen umfassenden Rahmen für das Management von IKT-Drittdienstleistern, einschliesslich Risikobeurteilung, vertraglicher Anforderungen und eines EU-weiten Aufsichtsrahmens für kritische Anbieter. Artikel 28 DSGVO erlegt Auftragsverarbeitern parallele Pflichten auf, einschliesslich des Managements von Unterauftragsverarbeitern und Auditrechten. Organisationen, die diese Beurteilungen in getrennten Systemen verwalten, riskieren inkonsistente Lieferantendatensätze und Auditlücken. Priverion verknüpft Lieferantenrisikodatensätze direkt mit Verarbeitungstätigkeiten im Verarbeitungsverzeichnis und stellt so eine koordinierte Aufsicht über beide Rahmenwerke sicher.

DORA vs. DSGVO – Vergleich der Anforderungsüberschneidungen

Compliance-BereichDORA-AnforderungDSGVO-AnforderungÜberschneidung
Incident-ReportingMeldung schwerwiegender IKT-Vorfälle an die zuständige Behörde (Art. 19)Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden bei einer Verletzung des Schutzes personenbezogener Daten (Art. 33)Hoch – IKT-Vorfälle betreffen häufig personenbezogene Daten
DrittparteienaufsichtRahmen für das IKT-Drittparteienrisikomanagement (Kapitel V)Due Diligence und vertragliche Garantien für Auftragsverarbeiter (Art. 28)Hoch – dieselben Lieferanten werden unter beiden Rahmenwerken beurteilt
FolgenabschätzungenResilienztests, TLPT (Art. 26)DSFA für Verarbeitungen mit hohem Risiko (Art. 35)Mittel – DORA-Testtätigkeiten können eine DSFA auslösen
AufzeichnungspflichtenDokumentation des IKT-Risikomanagements (Art. 6)Verzeichnis von Verarbeitungstätigkeiten (Art. 30)Mittel – DORA erweitert die zu dokumentierenden Verarbeitungstätigkeiten
GovernanceVerantwortlichkeit des Leitungsorgans für das IKT-Risiko (Art. 5)Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2)Hoch – Verantwortung auf Vorstandsebene unter beiden
Grenzüberschreitende KoordinationMeldung an die zuständige nationale Behörde je EinheitFederführende Aufsichtsbehörde + Meldungen an lokale DatenschutzbehördenHoch – Gruppen mit mehreren Einheiten sehen sich parallelen Meldungen gegenüber

Verlangt DORA eine Datenschutz-Folgenabschätzung?

DORA schreibt DSFA nicht ausdrücklich vor. Viele von DORA geforderte Verarbeitungstätigkeiten – darunter bedrohungsgeleitete Penetrationstests (TLPT) nach Artikel 26, das IKT-Änderungsmanagement und die Abbildung kritischer Funktionen – beinhalten jedoch eine Verarbeitung personenbezogener Daten auf eine Weise, die voraussichtlich ein hohes Risiko für Einzelpersonen zur Folge hat. Nach Artikel 35 DSGVO löst dies eine verpflichtende DSFA aus. Priverion enthält KI-gestützte DSFA-Vorlagen, die vorab auf diese DORA-spezifischen Szenarien abgebildet sind.

Wie wird DORA durchgesetzt?

Die Durchsetzung von DORA erfolgt durch die zuständigen nationalen Behörden (z. B. BaFin in Deutschland, ACPR in Frankreich, FINMA-äquivalente Stellen). Die Strafen variieren je Mitgliedstaat, können aber Verwaltungsbussen, öffentliche Verweise und Anordnungen zur Einstellung nicht konformer Tätigkeiten umfassen. Für kritische IKT-Drittdienstleister kann der EU-weite Lead Overseer (eine der Europäischen Aufsichtsbehörden) Zwangsgelder von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes verhängen, wie in Artikel 35 Abs. 8 DORA festgelegt.