DSGVO-Compliance-Leitfaden

Schluss mit dem Rätselraten, ob Sie eine DSFA benötigen: Automatisierte Compliance-Empfehlungen in Minuten

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete Plattform, die DSFA- und Datenschutz-Folgenabschätzungs-Workflows in Organisationen mit mehreren Einheiten unter DSGVO und revDSG automatisiert.

Erhalten Sie das exakte Framework, um DSFA von allgemeinen Datenschutz-Folgenabschätzungen zu unterscheiden, und automatisieren Sie anschliessend den gesamten Prozess über jede Tochtergesellschaft hinweg.

Keine Kreditkarte erforderlich. Kein Spam. Ihre Daten bleiben in Schweizer Infrastruktur.

«Wir verbrachten 60 % unserer Compliance-Verwaltungszeit damit, Geschäftsbereiche über Tochtergesellschaften hinweg für Aktualisierungen des Verarbeitungsverzeichnisses zu jagen. Innerhalb von sechs Monaten mit Priverion war die Rezertifizierung vollständig automatisiert. Endlich konzentriere ich mich auf strategische Datenschutzarbeit, anstatt Tabellen zu pflegen.»

Datenschutzbeauftragter, Flugzeughersteller

Luftfahrthersteller mit mehreren Tochtergesellschaften, DSGVO-Compliance über die Konzerneinheiten hinweg

Genutzt von Datenschutzteams bei

Flugzeughersteller ein Gesundheitsdienstleister ein Medizintechnikunternehmenein Schweizer Versicherer
In der Schweiz gehostet ISO 27001 DSGVO-konforme Infrastruktur
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Schluss mit übertriebenem Aufwand. Führen Sie Beurteilungen richtig durch.

Den Unterschied zwischen einer DSFA und einer PIA zu verstehen ist Schritt eins. Sie über jede Tochtergesellschaft hinweg operativ umzusetzen – ohne Tabellen – ist der Punkt, an dem die meisten Teams stecken bleiben.

KI-gestützte DSFA-Erstellung

Die KI von Priverion füllt die DSFA-Dokumentation auf Basis Ihrer Beschreibungen der Verarbeitungstätigkeiten vor, ordnet Risiken den EDSA-Kriterien zu und schlägt Minderungsmassnahmen vor. Sie prüfen und genehmigen jedes Ergebnis, bevor es zu einem Compliance-Nachweis wird. Die KI unterstützt, der Mensch entscheidet.

Über 200 Stunden bei der ISO-27001-Vorbereitung eingespart

Ein Medizintechnikunternehmen, erste 6 Monate der Implementierung

Automatisierte Rezertifizierung über alle Einheiten hinweg

DSFA sind keine einmaligen Übungen. Artikel 35(11) verlangt eine fortlaufende Überprüfung. Priverion löst Rezertifizierungs-Workflows automatisch aus, wenn sich Verarbeitungen ändern, Fristen ablaufen oder regulatorische Leitlinien aktualisiert werden. Schluss mit dem Hinterherlaufen über Tochtergesellschaften hinweg.

100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert

Ein Schweizer Versicherer, über alle Konzerneinheiten hinweg

Auditbereite Nachweise in Minuten

Wenn eine Aufsichtsbehörde Ihre DSFA-Dokumentation anfordert, benötigen Sie vollständige Pakete nach Artikel 35(7) – keine verstreuten Dateien auf gemeinsamen Laufwerken. Priverion erstellt strukturierte, behördentaugliche Nachweispakete mit Verarbeitungsbeschreibungen, Notwendigkeitsbeurteilungen, Risikobewertungen und Minderungsmassnahmen.

60 % weniger Compliance-Verwaltungsaufwand

Flugzeughersteller, erste 6 Monate der Implementierung

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Ein Medizintechnikunternehmen, gemessen über Dokumentation, Nachweissammlung und Auditvorbereitung im ersten Compliance-Zyklus mit Priverion

60%

Geringere Kosten gegenüber OneTrust bei gleichwertigem Datenschutzprogramm-Umfang

Flugzeughersteller, basierend auf einem Preisvergleich für Module zu Verarbeitungsverzeichnis, DSFA und Lieferantenmanagement mehrerer Einheiten bei der Vertragsprüfung

3 Mt.

Dem Zeitplan für die ISO-27001-Zertifizierung voraus

Ein Medizintechnikunternehmen, beschleunigt durch automatisierte Nachweissammlung, vorab zugeordnete Massnahmen und auditbereite Dokumentationspakete

Priverion vs. OneTrust

Datenschutzmanagement auf Enterprise-Niveau – ohne den Enterprise-Aufwand

Unternehmen im Mid-Market brauchen keine 200 oberflächlichen Integrationen oder einen sechsstelligen Vertrag, um den Datenschutz über Tochtergesellschaften hinweg zu verwalten. Hier erfahren Sie, warum sich Teams wie der Flugzeughersteller und ein Gesundheitsdienstleister für Priverion entschieden haben.

«Wir haben OneTrust und zwei weitere Plattformen evaluiert. Priverion bot uns alles, was wir für ein konzernweites Management des Verarbeitungsverzeichnisses brauchten – zu einem Bruchteil der Kosten, und wir waren in Wochen statt Monaten einsatzbereit.»

Datenschutzbeauftragter, Flugzeughersteller

60 % weniger Compliance-Verwaltungsaufwand innerhalb von 6 Monaten

Die typische Enterprise-Plattform

  • Preise pro Benutzer, pro Modul Die Kosten explodieren, sobald Sie Tochtergesellschaften, Benutzer oder Module hinzufügen. Budgetüberraschungen bei jedem Verlängerungszyklus.
  • US-Hauptsitz, in den USA gehostet Unterliegt dem CLOUD Act und FISA 702. Nach Schrems II sind grenzüberschreitende Datenübermittlungen mit anhaltender rechtlicher Unsicherheit verbunden.
  • Über 200 Integrationen, meist oberflächlich Beeindruckend auf einem Funktionsvergleichsblatt. In der Praxis: Wartungsaufwand, defekte Konnektoren und Daten, die nicht dorthin fliessen, wo Sie sie brauchen.
  • 6 bis 12 Monate Implementierung Dedizierte Implementierungsteams, Gebühren für Professional Services und Monate, bevor jemand produktiv arbeiten kann.
  • Für die Fortune 500 entwickelt Funktionsreich, aber komplex. Mid-Market-Teams zahlen am Ende für ESG-Module, Ethik-Hotlines und Cookie-Consent-Tools, die sie nie konfigurieren werden.

Priverion

  • Planbare Preise nach Unternehmensgrösse Basierend auf der Anzahl der Einheiten und der Organisationsgrösse, nicht pro Benutzer oder pro Modul. Keine Expansionsfallen. Skalieren Sie Ihren Konzern, ohne Ihre Rechnung zu skalieren.
  • In der Schweiz entwickelt, in der Schweiz gehostet Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. Europäische Datenresidenz von Grund auf. In einer Welt nach Schrems II ist das kein Marketing-Häkchen, sondern ein rechtlicher Vorteil.
  • Tiefe Integrationen, wo es zählt HR, Beschaffung, IT-Asset-Management: die Systeme, die Datenschutz-Workflows tatsächlich antreiben. Weniger Konnektoren, besserer Datenfluss, weniger Wartung.
  • In Wochen einsatzbereit, nicht in Monaten Der Flugzeughersteller reduzierte den Compliance-Verwaltungsaufwand innerhalb der ersten 6 Monate um 60 %. Ein Schweizer Versicherer erreichte eine zu 100 % vollständig automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. Basierend auf von Kunden berichteten Ergebnissen, 2023-2024
  • Für den Mid-Market mit mehreren Einheiten entwickelt Verarbeitungsverzeichnis, DSFA, Lieferantenbeurteilungen, Betroffenenanfragen, Incident-Management und Bereitschaft für den KI-Verordnung – alles in einer Plattform. Keine Module, die Sie nie nutzen. Keine Funktionen, die Sie nie konfigurieren.

Schluss mit dem Datenschutzmanagement über Tabellen. Verwalten Sie ihn über eine einzige Plattform.

Sehen Sie, wie Priverion Organisationen mit mehreren Einheiten konzernweite Transparenz, automatisierte Rezertifizierung und auditbereite Nachweise bietet – alles in der Schweiz gehostet.

«Wir gingen vom Hinterherlaufen über Tochtergesellschaften hinweg für Aktualisierungen des Verarbeitungsverzeichnisses zu einer vollständig automatisierten Rezertifizierung über. Unser Datenschutzbeauftragter konzentriert sich nun auf strategische Datenschutzarbeit statt auf die Pflege von Tabellen.»

Flugzeughersteller, 60 % weniger Compliance-Verwaltungsaufwand innerhalb von 6 Monaten

Wochen

Zeit bis zum Go-live, nicht Monate

50+

Auf einer Plattform verwaltete Einheiten

100%

Schweizer Datenresidenz

Kostenlose DSFA-Beurteilung starten

Keine Verpflichtung. Kein Verkaufsgespräch. Nur eine Live-Demonstration, zugeschnitten auf Ihre Konzernstruktur.

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein gesetzlich vorgeschriebener Prozess nach Artikel 35 DSGVO, der immer dann erforderlich ist, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Eine Privacy Impact Assessment (PIA) ist ein breiter angelegtes, freiwilliges Risikomanagement-Instrument zur Bewertung der Datenschutzauswirkungen eines beliebigen Projekts. Zu verstehen, wann welches zur Anwendung kommt – und den Workflow über Tochtergesellschaften hinweg zu automatisieren – ist entscheidend für Compliance-Programme mit mehreren Einheiten, die unter DSGVO, dem revidierten Datenschutzgesetz (revDSG) und ISO 27001 betrieben werden.

Was ist eine DSFA?

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein strukturierter Prozess, der durch Artikel 35 DSGVO vorgeschrieben ist und von Verantwortlichen verlangt, die Auswirkungen von Verarbeitungsvorgängen auf den Schutz personenbezogener Daten zu beurteilen. Sie muss vor Beginn der Verarbeitung durchgeführt werden, wenn die Tätigkeit «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat». Die EDSA-Leitlinien zu DSFA (WP248 rev.01) nennen neun Kriterien zur Bestimmung, wann eine DSFA erforderlich ist, darunter Bewertung oder Scoring, automatisierte Entscheidungsfindung mit Rechtswirkung, systematische Überwachung und umfangreiche Verarbeitung sensibler Daten.

Was ist eine Privacy Impact Assessment (PIA)?

Eine Privacy Impact Assessment (PIA) ist eine breiter angelegte Risikomanagement-Methodik, die bewertet, wie ein Projekt, System oder Prozess personenbezogene Informationen erhebt, nutzt, weitergibt und schützt. Anders als eine DSFA ist eine PIA nicht durch eine einzelne Verordnung vorgeschrieben, wird jedoch von Rahmenwerken wie ISO/IEC 29134:2023 (Leitlinien für die Privacy Impact Assessment) und NIST SP 800-122 empfohlen. PIA werden häufig in Rechtsräumen ohne DSGVO-gleichwertige DSFA-Anforderungen sowie als frühzeitiges Screening-Instrument verwendet, um festzustellen, ob eine vollständige DSFA erforderlich ist.

DSFA vs. PIA: Vergleichstabelle

KriteriumDSFA (Artikel 35 DSGVO)PIA (allgemeine Praxis)
RechtsgrundlageVerpflichtend nach Art. 35 DSGVO; Art. 22 revDSGFreiwillig; empfohlen durch ISO 29134, NIST
AuslöserHohes Risiko für die Rechte und Freiheiten der betroffenen PersonenJedes neue Projekt, System oder jeder neue Prozess mit personenbezogenen Daten
PflichtelementeVier in Art. 35(7) festgelegte Elemente: Beschreibung, Notwendigkeit, Risikobeurteilung, MinderungFlexibel; je nach Rahmenwerk unterschiedlich
Konsultation der AufsichtsbehördeErforderlich, wenn ein hohes Restrisiko verbleibt (Art. 36)Nicht erforderlich
Sanktionen bei NichteinhaltungBis zu 10 Millionen EUR oder 2 % des weltweiten Umsatzes (Art. 83(4)(a))Keine (freiwillig)
ÜberprüfungspflichtFortlaufende Überprüfung erforderlich (Art. 35(11))Bewährte Praxis; gesetzlich nicht vorgeschrieben
GeltungsbereichSpezifische VerarbeitungsvorgängeBreiterer Projekt- oder Systemumfang

Wann ist eine DSFA nach der DSGVO gesetzlich vorgeschrieben?

Artikel 35(3) DSGVO nennt drei Szenarien, in denen eine DSFA stets erforderlich ist: (a) die systematische und umfassende Bewertung persönlicher Aspekte auf der Grundlage automatisierter Verarbeitung, einschliesslich Profiling, die rechtliche Wirkung entfaltet; (b) die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9(1) oder von Daten über strafrechtliche Verurteilungen nach Artikel 10; und (c) die systematische Überwachung eines öffentlich zugänglichen Bereichs in grossem Umfang. Darüber hinaus bieten die neun Kriterien des EDSA weitere Orientierung – erfüllt eine Verarbeitungstätigkeit zwei oder mehr Kriterien, ist in der Regel eine DSFA erforderlich.

Was muss eine DSFA gemäss Artikel 35(7) DSGVO enthalten?

Gemäss Artikel 35(7) DSGVO muss eine DSFA mindestens Folgendes enthalten: (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschliesslich des vom Verantwortlichen verfolgten berechtigten Interesses; (b) eine Beurteilung der Notwendigkeit und Verhältnismässigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke; (c) eine Beurteilung der Risiken für die Rechte und Freiheiten der betroffenen Personen; und (d) die zur Bewältigung der Risiken geplanten Massnahmen, einschliesslich Garantien, Sicherheitsvorkehrungen und Verfahren zur Gewährleistung des Schutzes personenbezogener Daten.

Verlangt das revidierte Datenschutzgesetz (revDSG) DSFA?

Ja. Das revidierte Datenschutzgesetz (DSG), das am 01.09.2023 in Kraft getreten ist, verlangt nach Artikel 22 eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen zur Folge hat. Zeigt die Beurteilung, dass die geplante Bearbeitung trotz der getroffenen Massnahmen weiterhin ein hohes Risiko birgt, muss der Verantwortliche vor dem Vorgehen den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) konsultieren.

Wie oft sollte eine DSFA überprüft werden?

Artikel 35(11) DSGVO verlangt, dass Verantwortliche eine Überprüfung der DSFA durchführen, «zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind». Der EDSA empfiehlt eine fortlaufende Überprüfung, insbesondere wenn sich Art, Umfang, Kontext oder Zwecke der Verarbeitung ändern, neue Technologien eingeführt werden oder sich der organisatorische oder gesellschaftliche Kontext weiterentwickelt. Laut dem IAPP-EY Privacy Governance Report 2023 überprüfen 68 % der Organisationen mit ausgereiften Datenschutzprogrammen ihre DSFA mindestens jährlich.

Welche Sanktionen drohen, wenn eine erforderliche DSFA nicht durchgeführt wird?

Nach Artikel 83(4)(a) DSGVO kann die Unterlassung einer erforderlichen DSFA Geldbussen von bis zu 10 Millionen EUR oder 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens nach sich ziehen, je nachdem, welcher Betrag höher ist. Aufsichtsbehörden in ganz Europa haben diese Bestimmung durchgesetzt. Laut EDSA-Durchsetzungsdaten wurden DSFA-bezogene Verstösse seit 2018 in mehreren Durchsetzungsmassnahmen angeführt.

Statistiken und Branchenkontext

Laut dem IAPP-EY Privacy Governance Report 2023 beschäftigt die durchschnittliche Organisation inzwischen 5,2 Vollzeitkräfte im Datenschutz, gegenüber 3,7 im Jahr 2020 – ein Spiegelbild der wachsenden regulatorischen Komplexität. Derselbe Bericht stellte fest, dass 59 % der Organisationen für alle Verarbeitungstätigkeiten mit hohem Risiko DSFA durchführen. Eine Gartner-Prognose geht davon aus, dass bis 2025 die personenbezogenen Daten von 75 % der Weltbevölkerung durch moderne Datenschutzvorschriften abgedeckt sein werden, was strukturierte Folgenabschätzungen immer wichtiger macht. Der ENISA-Bericht zu Data Protection Engineering betont, dass DSFA in den Systementwicklungszyklus integriert werden sollten, statt als einmaliges Compliance-Häkchen behandelt zu werden.