DSGVO-Audit-Bereitschaft

Bestehen Sie Ihr nächstes DSGVO-Audit in der halben Zeit , auch über mehrere Gesellschaften hinweg

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete Datenschutzplattform, die Organisationen mit mehreren Gesellschaften bei der Vorbereitung auf DSGVO-Audits unterstützt , mit zentralem Verarbeitungsverzeichnis, automatisierten DSFA-Workflows und audit-fertigen Nachweispaketen.

Laden Sie die kostenlose 14-seitige Checkliste herunter, der über 200 Datenschutzteams vertrauen, um Nachweislücken zu schliessen, bevor die Aufsichtsbehörde anklopft.

Aufsichtsbehörden verschicken keine Kalendereinladungen. Wenn das Audit-Schreiben eintrifft, bleiben Ihnen nur Tage, um Nachweise über jede Gesellschaft, jede Verarbeitungstätigkeit und jede Datenübermittlung vorzulegen. Holen Sie sich die Checkliste, die sicherstellt, dass Sie vorbereitet sind, bevor dieses Schreiben eintrifft.

Kostenloses 14-seitiges PDF. Keine Demo erforderlich. Sofort in Ihr Postfach geliefert.

200+ Stunden eingespart . Medizintechnikunternehmen 60% weniger Verwaltungsaufwand . Flugzeughersteller 100% in der Schweiz gehostet

Compliance-Teams vertrauen darauf bei

Pilatus Aircraft Openmedical AXA Switzerland

Basierend auf einer Kundenbefragung, Q1 2025

Datenschutzteams in ganz Europa vertrauen darauf

5/5

«Wir haben über 200 Stunden bei der Vorbereitung auf unsere ISO-27001-Zertifizierung eingespart. Die Audit-Nachweispakete von Priverion lieferten uns alles, was wir brauchten, in einem Format, das die Auditoren ohne Rückfragen akzeptiert haben.»

Head of Compliance bei einem Medizintechnikunternehmen

5/5

«Innerhalb von sechs Monaten haben wir den Verwaltungsaufwand für Compliance um 60% reduziert. Unsere Datenschutzbeauftragte verbringt ihre Zeit nun mit strategischer Datenschutzarbeit, statt Tabellen über Tochtergesellschaften hinweg hinterherzujagen. Der ROI war bereits im ersten Quartal offensichtlich.»

Group Data Protection Officer bei einem Flugzeughersteller

5/5

«Wir haben im ersten Jahr eine 100%ige Rezertifizierung des Verarbeitungsverzeichnisses über alle Konzerngesellschaften hinweg erreicht , etwas, das mit unserem bisherigen manuellen Prozess schlicht unmöglich war. Die automatisierten Rezertifizierungsaufforderungen haben den Unterschied gemacht.»

Privacy Program Manager bei einem Schweizer Versicherer

100% in der Schweiz gehostet

Alle Daten bleiben in Schweizer Hoheitsgebiet

ISO 27001-konform ausgerichtet

Nachweispakete den ISO-Massnahmen zugeordnet

Konform mit Artikel 30 DSGVO

Vollständige Unterstützung des Verzeichnisses von Verarbeitungstätigkeiten

Bereit für das revDSG

Unterstützt das neue revidierte Datenschutzgesetz (revDSG)

Warum die Audit-Vorbereitung im grossen Massstab scheitert

Jeder Checklistenpunkt verlangt einen Nachweis. Priverion hält ihn automatisch aktuell.

Die nachstehende Checkliste deckt acht Audit-Bereiche ab. Diese drei Fähigkeiten entscheiden darüber, ob Sie Nachweise in Minuten erbringen , oder wochenlang darum kämpfen.

Zentrales Verarbeitungsverzeichnis mit automatisierter Rezertifizierung

Auditoren verlangen Ihre Aufzeichnungen sortiert nach Gesellschaft, Zweck oder Datenkategorie , oft mit nur wenigen Stunden Vorlauf. Wenn Ihr Verarbeitungsverzeichnis in 47 Tabellen über Tochtergesellschaften verteilt liegt, ist das Erstellen solcher Ansichten der Punkt, an dem Audits scheitern. Priverion pflegt ein einziges, stets aktuelles Verzeichnis über jede Konzerngesellschaft hinweg. Prozessverantwortliche erhalten automatisierte Aufforderungen, ihre Einträge zu prüfen und zu bestätigen. Exportieren Sie jede Ansicht mit einem Klick.

100%

Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert

Ein Schweizer Versicherer , erreicht im ersten Jahr nach der Einführung

DSFA- und TIA-Workflows, die belastbar bleiben

Nach Schrems II sind Transfer Impact Assessments ein vorrangiger Audit-Punkt. Auditoren wollen nicht nur sehen, dass Sie diese einmal durchgeführt haben , sie wollen Nachweise einer laufenden Überwachung und Neubewertung. Das KI-gestützte DSFA- und TIA-Modul von Priverion umfasst eine integrierte Schwellenwertprüfung, geführte Workflows und automatische Hinweise, wenn sich das Risikoprofil einer Übermittlung aufgrund regulatorischer Entwicklungen ändert. Jede Bewertung ist versioniert und mit Zeitstempel versehen.

200+ Stunden eingespart

bei der Vorbereitung der Compliance-Dokumentation

Ein Medizintechnikunternehmen , während der Vorbereitung auf das ISO-27001-Audit

Audit-fertige Nachweispakete auf Abruf

Wenn eine Aufsichtsbehörde Unterlagen anfordert, beginnt die Uhr sofort zu ticken. Sie benötigen Nachweise über Dienstleisterbewertungen, Protokolle zu Betroffenenanfragen, Zeitleisten zur Meldung von Datenschutzverletzungen und Verarbeitungsaufzeichnungen , konsolidiert über jede Tochtergesellschaft hinweg. Priverion erstellt vollständige, audit-fertige Nachweispakete in Minuten statt in Wochen. Jedes Dokument ist versionskontrolliert, mit Zeitstempel versehen und mit seinem Quelldatensatz verknüpft, sodass Auditoren jede Feststellung bis zu ihrem Ursprung zurückverfolgen können.

60% weniger Verwaltungsaufwand für Compliance

Datenschutzbeauftragter konzentriert sich nun auf strategische Datenschutzarbeit

Flugzeughersteller , erreicht innerhalb der ersten 6 Monate

200+

Stunden bei der Verwaltung des Verarbeitungsverzeichnisses eingespart

Ein Medizintechnikunternehmen gewann während der ISO-27001-Vorbereitung über 200 Stunden zurück , Zeit, die zuvor in die manuelle Pflege von Aufzeichnungen über mehrere Gesellschaften hinweg floss.

60%

Geringere Kosten gegenüber Altsystemen

Der Flugzeughersteller erreichte innerhalb von 6 Monaten eine Reduktion der Compliance-Verwaltungskosten um 60% , mit planbaren Preisen und ohne versteckte Kostenfallen bei der Nutzeranzahl.

3 Mt.

Vorsprung im Zeitplan bei ISO 27001

Ein Medizintechnikunternehmen beschleunigte seinen ISO-27001-Zertifizierungszeitplan um 3 Monate , dank der audit-fertigen Nachweispakete und der automatisierten Dokumentation von Priverion.

Wettbewerbsbewusst

Sie brauchen keinen Flugzeugträger. Sie brauchen das Schiff, das tatsächlich zu Ihrer Flotte passt.

OneTrust bedient Fortune-500-Unternehmen mit breiterem GRC-Umfang und eigenen Datenschutzteams. Organisationen im Mittelstand verdienen Compliance auf Enterprise-Niveau , ohne den Enterprise-Ballast.

Priverion

Schweizer Datensouveränität

Vollständig in der Schweiz entwickelt und gehostet. Ihre Compliance-Daten verlassen nie das Schweizer Hoheitsgebiet , ein rechtlicher Vorteil in einer Welt nach Schrems II, nicht bloss ein Marketingversprechen.

In wenigen Wochen einsatzbereit

Eine klare Oberfläche, konzipiert für Datenschutzbeauftragte und Compliance-Verantwortliche , nicht für Berater. Der Flugzeughersteller war voll einsatzbereit und reduzierte den Compliance-Verwaltungsaufwand innerhalb der ersten 6 Monate um 60%.

Flugzeughersteller, erste 6 Monate nach der Einführung

Europäischer Datenstandort

Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. Keine transatlantischen Datenübermittlungen, keine Sorge um Angemessenheitsbeschlüsse, keine rechtlichen Grauzonen für Ihre grenzüberschreitende Compliance.

Planbare Preise für den Mittelstand

Bepreist nach Anzahl der Unternehmen und Organisationsgrösse , nicht pro Nutzer, nicht pro Modul. Keine überraschenden Mehrkosten, wenn Ihr Team wächst oder Sie eine Tochtergesellschaft hinzufügen.

All-in-One-Datenschutzplattform

Verarbeitungsverzeichnis, DSFA, Dienstleisterrisiko, Vorfallmanagement, Bearbeitung von Betroffenenanfragen, KI-Register und vorstandstaugliche Dashboards , vereint in einer einzigen Plattform. Keine Zusatzmodule, die verhandelt werden müssen.

Typische Enterprise-GRC-Plattformen

In den USA gehostete Infrastruktur

Die meisten grossen Plattformen haben ihren Hauptsitz in den USA und werden dort gehostet. Nachdem Schrems II den Privacy Shield für ungültig erklärt hat, entsteht daraus eine anhaltende rechtliche Unsicherheit für europäische Organisationen, die sensible personenbezogene Daten verarbeiten.

Einführungen über 12–18 Monate

Komplexe Einführungen, die eigene Implementierungsberater erfordern. Viele Teams im Mittelstand berichten, dass sie ein Jahr nach dem Go-live noch immer 70% der Funktionen, für die sie bezahlen, nicht nutzen.

Risiko transatlantischer Übermittlungen

Compliance-Daten, die ausserhalb des europäischen Hoheitsgebiets verarbeitet werden, bringen regulatorische Risiken mit sich , insbesondere da Aufsichtsbehörden die Durchsetzung bei Verstössen gegen grenzüberschreitende Datenübermittlungen verschärfen.

Preise pro Nutzer und pro Modul

Die Kosten steigen, sobald Sie Nutzer, Module und Tochtergesellschaften hinzufügen. Was als überschaubarer Posten beginnt, wird zu einer sechsstelligen Verpflichtung , die den Mehrwert für Teams im Mittelstand oft bei Weitem übersteigt.

Funktionswildwuchs über den Datenschutz hinaus

ESG, ethische Meldestellen, Cookie-Einwilligung, Drittparteienrisiko über alle Bereiche hinweg , am Ende bezahlen Sie für eine ganze GRC-Suite, obwohl Sie nur ein fokussiertes Datenschutzprogramm-Management brauchten.

Kostenloser Download

Holen Sie sich die Checkliste, mit der ein Medizintechnikunternehmen über 200 Stunden bei der Audit-Vorbereitung eingespart hat

Schluss mit der Hektik, wenn die Aufsichtsbehörde anklopft. Diese 14-seitige Checkliste deckt jeden Nachweis und jede Dokumentationslücke ab, die Datenschutzbeauftragte typischerweise übersehen , damit Sie Ihr nächstes Audit mit Zuversicht statt mit Anspannung angehen.

Das erwartet Sie im Inneren:

  • Eine Schritt-für-Schritt-Prüfung der Vollständigkeit des Verarbeitungsverzeichnisses , genau die Felder, die Aufsichtsbehörden zuerst prüfen, zugeordnet zu den Anforderungen aus Artikel 30 über jede Tochtergesellschaft hinweg
  • DSFA- und TIA-Dokumentationsstandards mit den häufigsten Lücken, die Durchsetzungsmassnahmen auslösen , basierend auf veröffentlichten Entscheidungen der Aufsichtsbehörden aus den Jahren 2023–2024
  • Eine Bewertungsmatrix zur Bereitschaft der Dienstleisterrisiko-Beurteilung , inklusive Verwaltung der Standardvertragsklauseln, Dokumentation grenzüberschreitender Übermittlungen und Ketten von Unterauftragsverarbeitern über die Konzerngesellschaften hinweg
  • Überprüfung des Workflows zur Meldung von Datenschutzverletzungen , um sicherzustellen, dass Ihr 72-Stunden-Reaktionsprozess unter Druck tatsächlich standhält und nicht nur auf dem Papier funktioniert

Ein Medizintechnikunternehmen nutzte einen ähnlichen Dokumentationsrahmen, um über 200 Stunden bei der Vorbereitung auf das ISO-27001-Audit einzusparen. Diese Checkliste überträgt diese Prinzipien auf DSGVO-spezifische Prüfungen durch Aufsichtsbehörden.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es in Ihr Postfach.

Sie haben die Checkliste noch nicht?

Seien Sie audit-bereit, bevor das Schreiben eintrifft

Schliessen Sie sich über 200 Datenschutzteams an, die diese Checkliste nutzen, um Nachweislücken über jede Gesellschaft, jede Verarbeitungstätigkeit und jede Datenübermittlung hinweg zu schliessen , damit das nächste Audit Routine statt Krise ist.

14 Seiten

Decken 8 Audit-Bereiche ab

200+ Teams

Nutzen diese Checkliste bereits

100% kostenlos

Keine Demo oder Verpflichtung erforderlich

Kostenlose Checkliste herunterladen

Kostenloses PDF, geliefert in Ihr Postfach. Keine Verkaufsgespräche, keine Verpflichtung.


Oder buchen Sie eine 30-minütige Tour durch Priverion
Kostenlose Checkliste herunterladen
Über diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick

Diese Seite stellt eine kostenlose 14-seitige DSGVO-Audit-Checkliste zur Vorbereitung bereit, die für Organisationen mit mehreren Gesellschaften konzipiert ist. Sie deckt die acht zentralen Audit-Bereiche ab, die Aufsichtsbehörden prüfen – Verarbeitungsverzeichnis, DSFA, TIA, Sorgfaltsprüfung von Dienstleistern, Bearbeitung von Betroffenenanfragen, Meldung von Datenschutzverletzungen, Governance-Dokumentation und grenzüberschreitende Übermittlungen. Priverion ist eine in der Schweiz gehostete Datenschutz-Management-Plattform, die diese Nachweise konzernweit zentralisiert und es Compliance-Teams ermöglicht, audit-fertige Unterlagen in Minuten statt in Wochen zu erstellen.

Definitionen

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist eine verpflichtende Dokumentation gemäss Artikel 30 DSGVO. Verantwortliche müssen die Zwecke der Verarbeitung, die Kategorien betroffener Personen, die Empfänger, internationale Übermittlungen, Aufbewahrungsfristen sowie technische und organisatorische Sicherheitsmassnahmen dokumentieren. Aufsichtsbehörden können das Verarbeitungsverzeichnis während eines Audits jederzeit anfordern.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung (DSFA) ist eine Risikobewertung, die gemäss Artikel 35 DSGVO vor einer Verarbeitung erforderlich ist, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Die EDSA-Leitlinien 4/2017 liefern detaillierte Kriterien dafür, wann eine DSFA verpflichtend ist.

Was ist ein Transfer Impact Assessment (TIA)?

Das Transfer Impact Assessment (TIA) ist eine dokumentierte Bewertung des Rechtsschutzes in einem Drittland, die infolge des Schrems-II-Urteils des Gerichtshofs der Europäischen Union (Rechtssache C-311/18, Juli 2020) erforderlich ist. Die EDSA-Empfehlungen 01/2020 beschreiben eine sechsstufige Methodik zur Beurteilung, ob für internationale Datenübermittlungen zusätzliche Massnahmen erforderlich sind.

Was ist das Schweizer Datenschutzgesetz (DSG)?

Das Schweizer Datenschutzgesetz (DSG), revidiert und seit dem 01.09.2023 in Kraft, ist das umfassende Datenschutzgesetz der Schweiz. Der vollständige Text ist unter fedlex.admin.ch verfügbar. Das revDSG orientiert sich eng an der DSGVO, behält jedoch Schweiz-spezifische Anforderungen bei, darunter die obligatorische Meldung von Datenschutzverletzungen an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).

Statistiken und Branchenkontext

Laut dem IAPP-EY 2023 Privacy Governance Report gaben 60% der Organisationen an, dass ihre Datenschutzbudgets gegenüber dem Vorjahr gestiegen sind, doch nur 30% fühlten sich auf ein Audit durch eine Aufsichtsbehörde vollständig vorbereitet. Derselbe Bericht stellte fest, dass Organisationen mit automatisierten Datenschutz-Management-Tools die Audit-Vorbereitungszeit gegenüber Organisationen mit manuellen Prozessen um durchschnittlich 40% reduzierten.

Die GDPR Data Breach Survey 2024 von DLA Piper berichtete, dass europäische Aufsichtsbehörden seit Beginn der Durchsetzung kumuliert über 2,1 Milliarden Euro an DSGVO-Bussgeldern verhängt haben, wobei Dokumentationsmängel – insbesondere unvollständige Verarbeitungsverzeichnisse und fehlende DSFA – zu den am häufigsten genannten Verstössen zählten.

Der Bericht ENISA Threat Landscape 2024 hob hervor, dass Ransomware und Angriffe auf die Lieferkette die grössten Bedrohungen für personenbezogene Daten bleiben, was die Bedeutung dokumentierter Verfahren zur Vorfallreaktion und der Dienstleisterrisiko-Beurteilung als zentrale Audit-Nachweise unterstreicht.

Häufig gestellte Fragen

Was ist eine DSGVO-Audit-Checkliste zur Vorbereitung?

Eine DSGVO-Audit-Checkliste zur Vorbereitung ist ein strukturiertes Dokument, das jede Anforderung der EU-Datenschutz-Grundverordnung (DSGVO) den konkreten Nachweisen zuordnet, die eine Organisation vorlegen muss, wenn eine Aufsichtsbehörde Unterlagen anfordert. Sie deckt in der Regel das Verarbeitungsverzeichnis, DSFA, TIA, Verfahren für Betroffenenrechte, Protokolle zur Meldung von Datenschutzverletzungen, die Sorgfaltsprüfung von Dienstleistern und die Governance-Dokumentation ab. Die Rechtsgrundlage für diese Anforderungen umfasst Artikel 30, Artikel 35 und Artikel 5 Absatz 2 (Rechenschaftspflicht) der DSGVO.

Wie lange dauert die Vorbereitung auf ein DSGVO-Audit?

Laut dem IAPP-EY 2023 Privacy Governance Report benötigen Organisationen ohne zentrale Datenschutz-Management-Tools im Durchschnitt 6–12 Wochen, um die Audit-Nachweise vorzubereiten. Mit automatisierten Plattformen wie Priverion berichten Kunden wie ein Medizintechnikunternehmen, über 200 Stunden bei der Vorbereitung von ISO-27001- und DSGVO-Audits eingespart zu haben.

Was verlangt Artikel 30 DSGVO für das Verzeichnis von Verarbeitungstätigkeiten?

Artikel 30 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, ein schriftliches Verzeichnis von Verarbeitungstätigkeiten zu führen, das die Zwecke der Verarbeitung, die Kategorien betroffener Personen und personenbezogener Daten, die Empfänger, internationale Übermittlungen, Aufbewahrungsfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen umfasst. Diese Aufzeichnungen müssen der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Was ist ein Transfer Impact Assessment (TIA) im Rahmen der DSGVO?

Ein Transfer Impact Assessment (TIA) ist eine dokumentierte Bewertung, die infolge des Schrems-II-Urteils (EuGH-Rechtssache C-311/18) erforderlich ist, um zu beurteilen, ob der rechtliche Rahmen eines Drittlands einen angemessenen Schutz für personenbezogene Daten bietet, die auf Grundlage von Standardvertragsklauseln oder anderen Garantien übermittelt werden. Die EDSA-Empfehlungen 01/2020 beschreiben ein sechsstufiges Verfahren zur Durchführung von TIAs.

Welchen Vorteil bietet das Schweizer Daten-Hosting für die DSGVO-Compliance?

Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss gemäss Artikel 45 DSGVO, sodass personenbezogene Daten ohne zusätzliche Garantien frei aus der EU in die Schweiz fliessen können. Das Hosting von Compliance-Daten in der Schweiz vermeidet die rechtliche Unsicherheit transatlantischer Übermittlungen nach Schrems II und profitiert zugleich vom starken Rahmen des Schweizer Datenschutzgesetzes (DSG).

Was sind die häufigsten DSGVO-Audit-Feststellungen durch Aufsichtsbehörden?

Laut den Jahresberichten des EDSA und der GDPR Data Breach Survey 2024 von DLA Piper zählen zu den häufigsten Audit-Feststellungen unvollständige oder veraltete Verarbeitungsverzeichnisse, fehlende oder unzureichende DSFA für risikoreiche Verarbeitungen, eine mangelhafte Dokumentation der Verfahren für Betroffenenrechte, fehlende Transfer Impact Assessments für internationale Übermittlungen sowie unzureichende Nachweise der Sorgfaltsprüfung von Dienstleistern.

Was ist der Unterschied zwischen einer DSFA und einem TIA?

Eine DSFA (Artikel 35) bewertet die Risiken einer bestimmten Verarbeitungstätigkeit für die Rechte und Freiheiten von Personen, insbesondere bei risikoreichen Verarbeitungen wie umfangreichem Profiling oder systematischer Überwachung. Ein TIA bewertet gezielt den in einem Drittland verfügbaren Rechtsschutz, wenn personenbezogene Daten international auf Grundlage der Garantien nach Artikel 46 übermittelt werden. Beide sind während eines DSGVO-Audits erforderliche Dokumentationsnachweise.

Wie können Organisationen mit mehreren Gesellschaften die DSGVO-Compliance effizient steuern?

Organisationen mit mehreren Gesellschaften profitieren von zentralen Datenschutz-Management-Plattformen, die eine einzige verlässliche Datenquelle für Verarbeitungsverzeichnisse, DSFA, Dienstleisterbewertungen und Vorfallprotokolle über alle Tochtergesellschaften hinweg pflegen. Automatisierte Rezertifizierungsaufforderungen stellen sicher, dass Prozessverantwortliche ihre Einträge termingerecht prüfen und bestätigen. Laut dem IAPP-EY 2023 Report waren Organisationen, die automatisierte Tools nutzen, 2,5-mal häufiger audit-bereit als jene, die sich auf Tabellen verliessen.

Vergleichstabelle der DSGVO-Audit-Bereiche

Audit-BereichDSGVO-ArtikelErforderliche KernnachweiseHäufiger Schwachpunkt
Verzeichnis von VerarbeitungstätigkeitenArt. 30Vollständiges Verarbeitungsverzeichnis pro Gesellschaft, Zweck, DatenkategorieVeraltete oder fragmentierte Aufzeichnungen über Tochtergesellschaften hinweg
Datenschutz-FolgenabschätzungArt. 35DSFA-Berichte für risikoreiche VerarbeitungenFehlende DSFA oder kein Nachweis laufender Überprüfung
Transfer Impact AssessmentArt. 46 + Schrems IITIA-Dokumentation pro internationaler ÜbermittlungKeine Neubewertung nach regulatorischen Änderungen
BetroffenenrechteArt. 15–22Protokolle zu Betroffenenanfragen mit ZeitstempelnVerpasste 30-Tage-Antwortfristen
Meldung von DatenschutzverletzungenArt. 33–34Vorfallregister, Nachweis der 72-Stunden-MeldungUnvollständige Dokumentation von Datenschutzverletzungen
Sorgfaltsprüfung von DienstleisternArt. 28Auftragsverarbeitungsverträge (AVV), RisikobewertungenKeine laufende Überwachung der Dienstleister
Governance & RechenschaftspflichtArt. 5 Abs. 2, Art. 24Datenschutzrichtlinien, Schulungsnachweise, Bestellung des DatenschutzbeauftragtenRichtlinien nach regulatorischen Änderungen nicht aktualisiert
Technische & organisatorische MassnahmenArt. 32Dokumentation der Sicherheitsmassnahmen, ZugriffsprotokolleKein Nachweis regelmässiger Sicherheitsüberprüfungen