Das Wichtigste auf einen Blick
Priverion ist eine in der Schweiz gehostete Datenschutz-Management-Plattform, die für Konzerne mit mehreren Gesellschaften entwickelt wurde, die Compliance nach DSGVO, dem revidierten Datenschutzgesetz (revDSG) der Schweiz und ISO 27001 verwalten. Sämtliche Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur — einem EU-angemessenen Rechtsraum nach Artikel 45 DSGVO — wodurch die Anwendbarkeit des US CLOUD Act (18 U.S.C. §2713) und die Notwendigkeit von Standardvertragsklauseln entfallen. Die Plattform umfasst sechs integrierte Module: Verwaltung des Verarbeitungsverzeichnisses, DSFA/TIA-Arbeitsabläufe, Bearbeitung von Betroffenenanfragen, Pannenmanagement, Lieferantenrisikobeurteilung und Steuerung über mehrere Gesellschaften hinweg mit rollenbasierter Zugriffssteuerung.
Definitionen
Was ist eine Datenschutz-Management-Plattform?
Der Begriff Datenschutz-Management-Plattform bezeichnet Software, die das Datenschutzprogramm einer Organisation — einschliesslich Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Folgenabschätzungen, Betroffenenanfragen, Reaktion auf Datenpannen und Lieferantenaufsicht — in einem einzigen gesteuerten System zentralisiert. Laut dem IAPP-EY Privacy Governance Report 2023 nutzen mittlerweile 60 % der Organisationen dedizierte Datenschutz-Management-Technologie, gegenüber 44 % im Jahr 2020.
Was ist ein EU-Angemessenheitsbeschluss?
Ein EU-Angemessenheitsbeschluss ist eine förmliche Feststellung der Europäischen Kommission nach Artikel 45 DSGVO, dass ein Drittland ein im Wesentlichen gleichwertiges Datenschutzniveau bietet. Die Schweiz erhielt ihren Angemessenheitsbeschluss im Jahr 2000 (Kommissionsbeschluss 2000/518/EG), was freie Datenflüsse aus der EU/dem EWR ohne zusätzliche Übermittlungsgarantien ermöglicht.
Was ist das revidierte Datenschutzgesetz (revDSG) der Schweiz?
Das revidierte Datenschutzgesetz (revDSG) der Schweiz, im Deutschen als nDSG bekannt, ist das umfassende Datenschutzgesetz der Schweiz. Das revidierte revDSG trat am 01.09.2023 in Kraft und orientiert sich eng an den Grundsätzen der DSGVO. Der vollständige Text ist verfügbar unter fedlex.admin.ch.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?
Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist eine zwingende Dokumentationspflicht nach Artikel 30 DSGVO. Verantwortliche und Auftragsverarbeiter müssen schriftliche Verzeichnisse führen, die jede Verarbeitungstätigkeit, ihre Zwecke, Datenkategorien, Empfänger, Übermittlungsmechanismen und Aufbewahrungsfristen beschreiben.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Artikel 35 DSGVO erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Die EDSA-Leitlinien bieten detaillierte Kriterien dafür, wann eine DSFA zwingend ist.
Branchenstatistiken und Kontext
Der globale Markt für Datenschutz-Management-Software wächst rasant. Laut Gartner überstiegen die Datenschutzbudgets grosser Organisationen bis 2025 jährlich 2,5 Millionen USD, getrieben von zunehmenden regulatorischen Pflichten und der Komplexität grenzüberschreitender Datenübermittlungen. Der IAPP-EY Privacy Governance Report 2023 stellte fest, dass eine durchschnittliche Organisation 5,2 Vollzeit-Datenschutzkräfte beschäftigt, jedoch Compliance über durchschnittlich 8 Rechtsräume hinweg verwaltet. Die DSGVO-Durchsetzung verschärft sich weiter: Der EDSA berichtete, dass die Datenschutzbehörden der EU/des EWR bis 2023 kumulativ über 2,9 Milliarden Euro an Bussen verhängten. Unterdessen hob ENISAs Threat-Landscape-Bericht 2023 hervor, dass Datenpannen weiterhin zu den fünf grössten Cybersicherheitsbedrohungen für europäische Organisationen zählen, was die operative Bedeutung strukturierter Pannenmanagement-Arbeitsabläufe unterstreicht.
Häufig gestellte Fragen
Was ist eine in der EU gehostete Datenschutz-Management-Plattform?
Eine in der EU gehostete Datenschutz-Management-Plattform ist eine Softwarelösung, deren Infrastruktur sich vollständig innerhalb der EU oder eines EU-angemessenen Rechtsraums wie der Schweiz befindet. Dies stellt sicher, dass jede Verarbeitung personenbezogener Daten die Übermittlungsanforderungen von Kapitel V der DSGVO erfüllt, ohne auf Mechanismen wie Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften (BCR) angewiesen zu sein. Priverions Schweizer Hosting nutzt den EU-Angemessenheitsbeschluss für die Schweiz, um eine saubere Rechtsgrundlage für Datenübermittlungen zu bieten.
Warum ist Schweizer Hosting für die DSGVO-Compliance wichtig?
Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss nach Artikel 45 DSGVO, was bedeutet, dass personenbezogene Daten frei aus der EU/dem EWR in die Schweiz fliessen können , ohne zusätzliche Garantien. Entscheidend ist, dass in der Schweiz ansässige und in der Schweiz betriebene Unternehmen nicht dem US CLOUD Act unterliegen, der US-ansässige Anbieter zur Offenlegung im Ausland gespeicherter Daten zwingen kann — ein Anliegen, das im Schrems-II-Urteil hervorgehoben wurde (EuGH-Rechtssache C-311/18).
Wie handhabt Priverion das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?
Priverion automatisiert die Erstellung und Rezertifizierung des Verarbeitungsverzeichnisses über jede Rechtseinheit eines Konzerns hinweg. Verantwortliche der Geschäftsbereiche erhalten automatisierte Aufforderungen, Erinnerungen und Eskalationen gemäss den Anforderungen von Artikel 30 DSGVO. Organisationen mit über 50 Gesellschaften verzeichnen typischerweise eine Reduktion des Pflegeaufwands für das Verarbeitungsverzeichnis um 70 % im ersten Einführungsjahr.
Was ist der Unterschied zwischen Priverion und OneTrust für Organisationen im Mittelstand?
Priverion wird in der Schweiz gehostet und ist gezielt für Datenschutzprogramme mit mehreren Gesellschaften im Mittelstand konzipiert , mit planbaren Preisen pro Gesellschaft und einer Einführung in Wochen. Enterprise-Plattformen wie OneTrust haben ihren Hauptsitz typischerweise in den USA, erfordern eine monatelange, beratergeführte Implementierung und nutzen eine Preisgestaltung pro Nutzer und Modul. Laut dem IAPP-EY-Bericht 2023 ist die Implementierungskomplexität das grösste Hindernis für die Einführung von Datenschutztechnologie bei Organisationen im Mittelstand.
Unterstützt Priverion DSFA und Transfer Impact Assessments?
Ja. Priverion bietet strukturierte, wiederholbare Arbeitsabläufe für Datenschutz-Folgenabschätzungen (DSFA) nach Artikel 35 DSGVO und Transfer Impact Assessments (TIA) gemäss den Empfehlungen der EDSA-Empfehlungen 01/2020. KI-gestützte Erstellung beschleunigt die ersten Beurteilungen, während vorgefertigte Vorlagen sich an den Leitlinien des EDSA orientieren. Jede DSFA ist direkt mit dem laufend gepflegten Verarbeitungsverzeichnis der Organisation verknüpft.
Wie stellt Priverion KI-Transparenz in Compliance-Arbeitsabläufen sicher?
Alle KI-gestützten Funktionen — einschliesslich Erstellung, Risikobewertung und regulatorischer Zuordnung — werden innerhalb der Schweizer Infrastruktur verarbeitet. Jedes KI-Ergebnis wird von einem Menschen geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet. Dieser Ansatz steht im Einklang mit den Grundsätzen der Transparenz und Rechenschaftspflicht in Artikel 5 DSGVO.
Welche Rahmenwerke unterstützt Priverion?
Priverion unterstützt drei zentrale Rahmenwerke: die EU-Datenschutz-Grundverordnung (DSGVO), das revidierte Datenschutzgesetz (revDSG) der Schweiz (revDSG/nDSG) und ISO 27001. Die Plattform bietet integrierte Module für das Verarbeitungsverzeichnis, DSFA/TIA, Betroffenenanfragen, Pannenmanagement, Lieferantenrisiko und die Steuerung über mehrere Gesellschaften hinweg.
Wie schnell lässt sich Priverion einführen?
Priverion ist typischerweise innerhalb von Wochen einsatzbereit. Ein Flugzeughersteller beispielsweise war voll betriebsbereit und erreichte innerhalb der ersten sechs Monate nach der Implementierung eine Reduktion des administrativen Compliance-Aufwands um 60 % — verglichen mit den mehrere Quartale umfassenden Zeitplänen, die bei Enterprise-GRC-Plattformen üblich sind.
Vergleich: In der Schweiz gehostete vs. US-gehostete Datenschutzplattformen
| Kriterium | In der Schweiz gehostet (Priverion) | US-gehostet (typische Enterprise) |
|---|
| Datenstandort | Schweiz (EU-angemessen nach Art. 45 DSGVO) | USA primär; EU-Optionen erfordern separate Verträge |
| Anwendbarkeit des CLOUD Act (18 U.S.C. §2713) | Keine — in der Schweiz ansässig, in der Schweiz betrieben | Unterliegt der erzwungenen Offenlegung nach US CLOUD Act |
| Erforderlicher Übermittlungsmechanismus | Keiner — Angemessenheitsbeschluss gilt | SCC, BCR oder EU-US Data Privacy Framework |
| Typische Einführungsdauer | Wochen | Monate (beratergeführt) |
| Preismodell | Pro Gesellschaft, alle Module inklusive | Pro Nutzer, pro Modul, steigend bei Verlängerung |
| KI-Datenverarbeitung | Schweizer Infrastruktur; kein Modelltraining mit Kundendaten | Variiert; Bedingungen der Unterauftragsverarbeiter sorgfältig prüfen |
| Architektur für mehrere Gesellschaften | Nativ — für Konzerne gebaut | Oft nachträglich angeschraubt; zusätzliche Konfiguration erforderlich |