Das Wichtigste auf einen Blick
Priverion ist eine in der Schweiz gehostete Compliance-Plattform, die DSGVO-, ISO-27001-, revDSG- und EU-AI-Act-Workflows für mittelständische Organisationen automatisiert. Sie reduziert den Aufwand für das Verarbeitungsverzeichnis um 75 %, beschleunigt die Audit-Vorbereitung um das 3-Fache und schliesst die Anwendbarkeit des US CLOUD Act (18 U.S.C. §2713) aus. Da die koordinierte Durchsetzung des EDSA 2025–2026 auf Transparenzpflichten abzielt und der EU AI Act am 02.08.2026 vollständig durchsetzbar wird, ist automatisierte Compliance für Datenschutzteams im Mittelstand keine Option mehr, sondern Pflicht.
Definitionen
Was ist die DSGVO?
DSGVO (Datenschutz-Grundverordnung (DSGVO)) ist die Verordnung (EU) 2016/679, das umfassende Datenschutzgesetz der Europäischen Union, das regelt, wie Organisationen personenbezogene Daten von Personen in der EU/im EWR erheben, verarbeiten, speichern und übermitteln. Sie ist seit dem 25.05.2018 in Kraft und sieht Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor.
Was ist ein Verarbeitungsverzeichnis?
Verarbeitungsverzeichnis (Verzeichnis von Verarbeitungstätigkeiten) ist ein nach DSGVO Art. 30 vorgeschriebenes Register. Es dokumentiert jede Verarbeitungstätigkeit, die eine Organisation an personenbezogenen Daten vornimmt, einschliesslich Zwecke, Kategorien betroffener Personen, Empfänger, Übermittlungsmechanismen und Aufbewahrungsfristen.
Was ist eine DSFA?
DSFA (Datenschutz-Folgenabschätzung (DSFA)) ist eine Risikobewertung, die nach DSGVO Art. 35 erforderlich ist, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Die EDSA-Leitlinien 4/2017 enthalten detaillierte Kriterien dafür, wann eine DSFA erforderlich ist.
Was ist das revDSG?
revDSG (revidiertes Datenschutzgesetz (revDSG), SR 235.1) ist das revidierte Datenschutzgesetz der Schweiz, das seit dem 01.09.2023 in Kraft ist. Es bringt die Schweizer Datenschutzstandards mit der DSGVO in Einklang und behält dabei den eigenständigen Regulierungsrahmen der Schweiz unter dem EDÖB bei.
Was ist der EU AI Act?
EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Sie klassifiziert KI-Systeme nach Risikostufe und verpflichtet Anbieter und Betreiber von Hochrisiko-KI-Systemen, wobei die vollständige Durchsetzung für Hochrisikosysteme am 02.08.2026 beginnt.
Was ist ISO 27001?
ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS), herausgegeben von der International Organization for Standardization. Die aktuelle Fassung, ISO/IEC 27001:2022, legt Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS im Kontext der allgemeinen Geschäftsrisiken einer Organisation fest.
DSGVO-Durchsetzungsstatistik (2026)
Laut dem Kiteworks GDPR Enforcement Trends Report übersteigen die kumulierten DSGVO-Bussgelder bis Anfang 2026 7,1 Milliarden Euro über 2'245 dokumentierte Durchsetzungsmassnahmen. Das EDPB Coordinated Enforcement Framework 2025–2026 konzentriert sich auf Transparenz- und Informationspflichten nach DSGVO Art. 12-14, wobei alle 25 EWR-Datenschutzbehörden teilnehmen. Laut dem IAPP-EY 2023 Privacy Governance Report nutzen 60 % der Organisationen mittlerweile dedizierte Datenschutz-Management-Software, gegenüber 44 % im Jahr 2020. Der EU AI Act führt Bussgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstössen gegen die Anforderungen an Hochrisiko-KI-Systeme ein, wie in Verordnung (EU) 2024/1689, Artikel 99 festgelegt.
Vergleich: DSGVO-Compliance-Ansätze für den Mittelstand
| Funktion | Manuell / Tabellenkalkulation | Enterprise-GRC-Suite | Priverion (Fokus Mittelstand) |
|---|
| Automatisierung des Verarbeitungsverzeichnisses | Keine — vollständig manuell | Verfügbar, aber komplexe Einrichtung | Automatisierte Workflows mit Benachrichtigungen an Prozessverantwortliche |
| DSFA / KI-Risikobewertung | Word-Vorlagen | Konfigurierbar, aber kostspielig | Geführte Workflows inklusive EU-AI-Act-Bereitschaft |
| Unterstützung mehrerer Einheiten | Separate Tabellen pro Einheit | Verfügbar zu Enterprise-Preisen | Integriertes entitätsübergreifendes Data-Mapping |
| Hosting & Datensouveränität | Unterschiedlich (oft US-Cloud) | Je nach Anbieter unterschiedlich | 100 % in der Schweiz gehostet, keine Anwendbarkeit des US CLOUD Act (18 U.S.C. §2713) |
| Typische Bereitstellungsdauer | Nicht zutreffend | 6–12 Monate | Wochen |
| Kosten für ein 50-köpfiges Datenschutzteam | Geringe Direktkosten, hohe Arbeitskosten | Über 100'000 Euro pro Jahr | Bis zu 60 % günstiger als Enterprise-Alternativen |
Häufig gestellte Fragen
Was ist DSGVO-Compliance-Software?
DSGVO-Compliance-Software ist eine Plattform, die Organisationen dabei unterstützt, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) der EU (Verordnung (EU) 2016/679) zu erfüllen. Sie automatisiert in der Regel das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen (DSFA), Workflows zur Meldung von Datenschutzverletzungen, das Einwilligungsmanagement und Auskunftsersuchen betroffener Personen. Laut dem IAPP-EY 2023 Privacy Governance Report nutzen 60 % der Organisationen mittlerweile dedizierte Datenschutz-Management-Software.
Warum ist Schweizer Hosting für die DSGVO-Compliance wichtig?
Schweizer Hosting stellt sicher, dass personenbezogene Daten ausserhalb der Zuständigkeit des US CLOUD Act bleiben, der US-amerikanische Cloud-Anbieter zur Herausgabe von Daten zwingen kann, unabhängig davon, wo diese gespeichert sind. Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss, sodass Datenübermittlungen zwischen der EU/dem EWR und der Schweiz keine zusätzlichen Garantien wie Standardvertragsklauseln erfordern.
Wie wirkt sich die koordinierte Durchsetzung des EDSA 2026 auf mittelständische Unternehmen aus?
Das Coordinated Enforcement Framework 2025–2026 des EDSA zielt auf die Transparenz- und Informationspflichten nach DSGVO Art. 12-14 ab. Alle 25 EWR-Datenschutzbehörden nehmen teil, was bedeutet, dass mittelständische Unternehmen in jedem EU-Mitgliedstaat einer verstärkten Prüfung ihrer Datenschutzhinweise, ihrer Kommunikation mit betroffenen Personen und ihrer Informations-Workflows ausgesetzt sind.
Was ist der EU AI Act und wann tritt er in Kraft?
Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Die Anforderungen an Hochrisiko-KI-Systeme werden am 02.08.2026 vollständig durchsetzbar. Die Bussgelder reichen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Organisationen, die KI zur Verarbeitung personenbezogener Daten einsetzen, sind einer doppelten Durchsetzungsexposition sowohl unter dem AI Act als auch unter der DSGVO ausgesetzt.
Wie handhabt Priverion die Compliance mehrerer Einheiten?
Priverion bietet ein entitätsübergreifendes Data-Mapping, das Datenschutzteams eine zentrale Wahrheitsquelle über Tochtergesellschaften und Rechtsordnungen hinweg liefert. Jede Einheit führt ihr eigenes Verarbeitungsverzeichnis, ihre DSFA-Dokumentation und ihre Workflows zur Meldung von Datenschutzverletzungen, während sie ein einheitliches Dashboard teilt. Dies ist besonders wichtig für mittelständische Unternehmensgruppen, die über mehrere EU-Mitgliedstaaten und die Schweiz hinweg tätig sind.
Welche Regelwerke deckt Priverion neben der DSGVO ab?
Priverion deckt die DSGVO (Verordnung (EU) 2016/679), ISO 27001:2022, das revDSG (SR 235.1) und die EU-AI-Act-Bereitschaft (Verordnung (EU) 2024/1689) auf einer einzigen Plattform ab. Das Tracking regulatorischer Änderungen hält Teams auf dem Laufenden, sobald neue Anforderungen entstehen.
Wie lange dauert die Einführung von Priverion?
Priverion ist auf Bereitstellungszeiten für den Mittelstand ausgelegt, die sich in Wochen messen lassen, statt der bei Enterprise-GRC-Suiten üblichen 6–12 Monate. Die Plattform umfasst vorgefertigte Vorlagen für Workflows zu Verarbeitungsverzeichnis, DSFA und Meldung von Datenschutzverletzungen, die sich an die Verarbeitungstätigkeiten und regulatorischen Pflichten jeder Organisation anpassen lassen.
Was ist der Unterschied zwischen einer DSFA und einer PIA?
Eine DSFA (Datenschutz-Folgenabschätzung (DSFA)) ist die spezifische Bewertung, die nach DSGVO Art. 35 für Verarbeitungen mit hohem Risiko erforderlich ist. Eine PIA (Privacy Impact Assessment) ist ein weiter gefasster Begriff, der in verschiedenen Rechtsordnungen und Rahmenwerken verwendet wird. Unter der DSGVO ist die gesetzlich vorgeschriebene Bewertung die DSFA. Die geführten Workflows von Priverion unterstützen sowohl DSFA- als auch allgemeine PIA-Methoden, einschliesslich Bewertungen für KI-/ML-Systeme, wie sie der EU AI Act verlangt.