DSGVO-Incident-Management

DSGVO-Incident-Management-Software, die Sie innerhalb der 72-Stunden-Frist hält

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete DSGVO-Incident-Management-Plattform, die die Erkennung von Datenpannen, die Risikobewertung, die Koordination mehrerer Gesellschaften und die Meldung an die Aufsichtsbehörde innerhalb der 72-Stunden-Frist automatisiert.

Eine Datenpanne wartet nicht, bis Ihr Team die richtige Vorlage findet, die richtige Ansprechperson aufgespürt hat oder sich erinnert, welche Aufsichtsbehörde zu benachrichtigen ist. Priverion gibt Ihrem Datenschutzbeauftragten einen einzigen, strukturierten Workflow , von der Erkennung über die Dokumentation bis zur behördlichen Meldung , damit nichts durch die Maschen fällt, wenn die Uhr tickt.

Vertraut von Datenschutzteams, die Compliance in über 30 Ländern verwalten.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Ein Workflow. Jeder Vorfall. Vollständiger Audit-Trail.

Priverion ersetzt verstreute E-Mails, leere Vorlagen und Ad-hoc-Koordination durch einen einzigen geführten Workflow , von der ersten Erkennung über die behördliche Meldung bis zum endgültigen Abschluss.

Vorfallerfassung

Erfassen Sie jeden Vorfall , selbst die, die freitags um 17 Uhr gemeldet werden

Jede Mitarbeiterin und jeder Mitarbeiter kann einen potenziellen Vorfall über ein einfaches Erfassungsformular melden , ohne Datenschutz-Fachwissen. Das System versieht die Meldung automatisch mit einem Zeitstempel, weist sie dem verantwortlichen Datenschutzbeauftragten zu und startet die 72-Stunden-Uhr. Kein Vorfall geht in einem Posteingang verloren.

Konfigurierbare Erfassungsformulare mit automatischen Zuweisungsregeln nach Gesellschaft und Jurisdiktion. Echtzeit-Benachrichtigung des Datenschutzteams in dem Moment, in dem eine Meldung eingereicht wird.

Unter 1 Stunde

Durchschnittliche Zeit bis zur Triage , statt Tagen bei manueller, E-Mail-basierter Meldung

Risikobewertung

Bewerten Sie die Schwere mit einem integrierten Rahmenwerk , nicht mit einem leeren Dokument

Priverion führt Ihr Team durch eine strukturierte Risikobewertung im Einklang mit den EDSA-Leitlinien. Bestimmen Sie, ob eine Meldung an die Aufsichtsbehörde erforderlich ist und ob betroffene Personen informiert werden müssen , alles im selben Workflow.

Schwere-Bewertung anhand der Datenkategorien, der Anzahl betroffener Personen, der Art der Verletzung und der Wahrscheinlichkeit eines Schadens. Die Entscheidungslogik ist transparent und vollständig nachvollziehbar.

Konsistent und belastbar

Strukturierte Bewertungen liefern dieselbe Sorgfalt , selbst wenn Ihr erfahrenster Datenschutzbeauftragter abwesend ist

Koordination mehrerer Gesellschaften

Eine Datenpanne, vier Länder, null Verwirrung

Für Organisationen, die über mehrere Tochtergesellschaften und Jurisdiktionen hinweg tätig sind, identifiziert Priverion automatisch, welche Gesellschaften betroffen sind, welche Aufsichtsbehörden zu benachrichtigen sind und welche lokalen Datenschutzverantwortlichen einbezogen werden müssen. Die Koordination erfolgt innerhalb der Plattform , nicht über E-Mail-Ketten.

Konfiguration auf Gesellschaftsebene, jurisdiktionsbewusste Meldelogik und rollenbasierte Aufgabenzuweisung über Ihre gesamte Konzernstruktur hinweg.

50+ Gesellschaften unterstützt

Priverion betreut Konzerne, die Compliance über mehrere Jurisdiktionen hinweg verwalten , basierend auf aktuellen Kundeninstallationen

Behördliche Meldung

Erstellen Sie behördentaugliche Meldungen in Minuten statt Stunden

Priverion füllt Meldeformulare automatisch auf Basis der bereits erfassten Vorfalldaten aus. Wählen Sie die zuständige Aufsichtsbehörde, prüfen Sie die vorausgefüllte Meldung und reichen Sie sie ein , oder exportieren Sie sie als PDF zur manuellen Einreichung. Das System verfolgt den Status der Einreichung und die Fristen.

Vorab hinterlegte Kontaktangaben der Aufsichtsbehörden und Formularanforderungen für Aufsichtsbehörden in der EU/im EWR. Meldevorlagen im Einklang mit den Anforderungen von Artikel 33.

Bis zu 70 % schneller

Reduktion der Vorbereitungszeit für Meldungen , basierend auf vorausgefüllten Vorlagen gegenüber manueller Erstellung aus Vorfalldaten

Audit-Trail

Belegen Sie genau, was Sie getan haben , und wann Sie es getan haben

Jede Aktion, jede Entscheidung und jede Kommunikation wird automatisch mit Zeitstempel protokolliert. Wenn eine Aufsichtsbehörde fragt, wie Sie reagiert haben, übergeben Sie ihr einen vollständigen, manipulationssicheren Nachweis , und keine aus Erinnerung und E-Mail-Verläufen rekonstruierte Erzählung.

Auditfertige Nachweispakete, die in Minuten erstellt werden. Jeder Workflow-Schritt, jede Entscheidung der Risikobewertung und jede Meldeaktion wird automatisch dokumentiert.

Minuten statt Wochen

Zeit zur Erstellung auditfertiger Dokumentation für Aufsichtsbehörden , basierend auf der Leistungsfähigkeit der Priverion-Plattform

Vollständig auf Schweizer Infrastruktur gehostet. Ihre Vorfalldaten verlassen die Schweiz nie.

In einer Post-Schrems-II-Welt ist es ebenso entscheidend, wo Ihre Pannendaten verarbeitet werden, wie die Art, wie sie verarbeitet werden.

Demo buchen

200+

Eingesparte Stunden bei der Pflege des Verarbeitungsverzeichnisses

Medtec berichtete von über 200 eingesparten Stunden während der ISO-27001-Vorbereitung, da die Automatisierung des Verarbeitungsverzeichnisses manuelle Rezertifizierungszyklen über ihre gesamte Gesellschaftsstruktur hinweg überflüssig machte.

60%

Tiefere Gesamtkosten im Vergleich zu OneTrust

Basierend auf dem Gesamtkostenvergleich eines Flugzeugherstellers im ersten Jahr , Preisgestaltung pro Gesellschaft, ohne Gebühren pro Nutzer, ohne Aufschläge pro Modul und ohne versteckte Implementierungskosten.

3 Mt.

Vorsprung im Zeitplan bei ISO 27001

Medtec verkürzte den Zeitplan für die ISO-27001-Zertifizierung um drei Monate, indem das Unternehmen die auditfertigen Nachweispakete und automatisierten Dokumentations-Workflows von Priverion nutzte.

Warum Mid-Market-Teams von OneTrust zu Priverion wechseln

Datenschutzmanagement auf Enterprise-Niveau , ohne Enterprise-Komplexität, Enterprise-Preise oder Enterprise-Implementierungszeiten. So sieht der Vergleich tatsächlich aus.

Die typische Erfahrung mit Enterprise-Plattformen

Preise pro Nutzer und pro Modul

Die Kosten explodieren, sobald Sie Tochtergesellschaften und Teammitglieder hinzufügen. Budgetüberraschungen bei jeder Verlängerung.

US-Hauptsitz, US-Hosting

In einer Post-Schrems-II-Landschaft schafft US-Hosting rechtliche Risiken für europäische Organisationen, die grenzüberschreitende Datenübermittlungen verwalten.

200+ oberflächliche Integrationen

Beeindruckend auf einer Funktionsmatrix. In der Praxis frisst der Wartungsaufwand die Zeit auf, die sie eigentlich einsparen sollten.

Monatelange Implementierung

Dedizierte Professional-Services-Teams, umfangreiche Konfiguration und ein langer Weg bis zum Mehrwert.

Entwickelt für die Fortune 500

Funktionen, die Sie nie nutzen werden. Komplexität, die Sie nicht brauchen. Support-Stufen, die ihre grössten Kunden priorisieren.

Die Erfahrung mit Priverion

Planbare Preise pro Unternehmen

Basierend auf der Anzahl der Gesellschaften und der Unternehmensgrösse , nicht pro Nutzer oder pro Modul. Keine Erweiterungsfallen, keine Überraschungen bei der Verlängerung.

In der Schweiz entwickelt, in der Schweiz gehostet

Europäische Datenresidenz garantiert. Die gesamte Datenverarbeitung erfolgt auf Schweizer Infrastruktur , kein Marketing-Häkchen, sondern eine rechtliche Absicherung für grenzüberschreitende Datenübermittlungen.

Tiefe Integrationen dort, wo es zählt

Eigens entwickelte Konnektoren für HR, Beschaffung und IT-Asset-Management , die Systeme, die Datenschutz-Workflows tatsächlich antreiben. Keine oberflächlichen Konnektoren, die Wartungsschulden verursachen.

Einsatzbereit in Wochen, nicht Monaten

Ein Flugzeughersteller verzeichnete innerhalb der ersten 6 Monate eine Reduktion des administrativen Compliance-Aufwands um 60 % , einschliesslich der Onboarding-Zeit.

Flugzeughersteller , gemessen über die ersten 6 Monate nach der Implementierung

Entwickelt für den Mid-Market und Konzerne mit mehreren Gesellschaften

Jede Funktion existiert, weil ein Datenschutzbeauftragter, der Compliance über Tochtergesellschaften hinweg verwaltet, sie benötigte. KI-gestützte Erstellung, automatisierte Rezertifizierung des Verarbeitungsverzeichnisses, gesellschaftsübergreifendes Data Mapping , alles in einer Plattform.

Schluss mit Datenschutzmanagement in Tabellen

Sehen Sie, wie konzernweites Datenschutzmanagement tatsächlich aussieht

In 30 Minuten zeigen wir Ihnen, wie Organisationen wie ein Flugzeughersteller die Rezertifizierung des Verarbeitungsverzeichnisses über jede Tochtergesellschaft hinweg automatisiert , und den administrativen Compliance-Aufwand in den ersten sechs Monaten um 60 % gesenkt haben. Keine Folien. Kein Verkaufsgespräch. Nur eine Live-Plattformdemo, zugeschnitten auf Ihre Konzernstruktur.

Wochen, nicht Monate

Durchschnittliche Zeit bis zum Go-live , basierend auf Onboarding-Daten von Kunden

Keine Preise pro Nutzer

Planbare Kosten basierend auf Gesellschaften und Unternehmensgrösse

100 % in der Schweiz gehostet

Die gesamte Datenverarbeitung erfolgt auf Schweizer Infrastruktur

30-minütige Demo buchen

Keine Verpflichtung erforderlich. Wir zeigen Ihnen die Plattform mit Blick auf Ihren Anwendungsfall.

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick

Priverion ist eine in der Schweiz gehostete DSGVO-Incident-Management-Plattform, die für Organisationen mit mehreren Gesellschaften konzipiert ist. Sie automatisiert den gesamten Lebenszyklus einer Datenpanne — von der Mitarbeitererfassung über die EDSA-konforme Risikobewertung bis hin zur jurisdiktionsübergreifenden Meldung an die Aufsichtsbehörde und manipulationssicheren Audit-Trails — und hilft Datenschutzteams, die verbindliche 72-Stunden-Meldefrist gemäss Artikel 33 DSGVO einzuhalten. Alle Daten verbleiben auf Schweizer Infrastruktur und erfüllen so die Anforderungen an die Datenresidenz nach Schrems II.

Definitionen

Was ist eine Verletzung des Schutzes personenbezogener Daten gemäss DSGVO?

Eine Verletzung des Schutzes personenbezogener Daten wird in Artikel 4 Absatz 12 DSGVO definiert als „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden". Diese Definition umfasst Vertraulichkeitsverletzungen, Integritätsverletzungen und Verfügbarkeitsverletzungen.

Was ist die 72-Stunden-Meldepflicht?

Die 72-Stunden-Meldepflicht ist in Artikel 33 Absatz 1 DSGVO festgelegt: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde." Der EDSA hat klargestellt, dass ein Verantwortlicher „Kenntnis" erlangt, sobald er mit hinreichender Sicherheit davon ausgehen kann, dass ein Sicherheitsvorfall eingetreten ist, der zur Kompromittierung personenbezogener Daten geführt hat (EDSA-Leitlinien 9/2022).

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist ein gemäss Artikel 35 DSGVO erforderliches Verfahren zur Bewertung der Auswirkungen von Verarbeitungsvorgängen auf den Schutz personenbezogener Daten. Obwohl sie sich vom Incident-Management unterscheidet, sind Organisationen, die DSFA für risikoreiche Verarbeitungstätigkeiten durchgeführt haben, besser darauf vorbereitet, die Schwere einer Datenpanne zu bewerten, wenn ein Vorfall eintritt.

Was ist die EDSA-Methodik zur Bewertung der Schwere von Datenpannen?

Die EDSA-Methodik zur Bewertung der Schwere von Datenpannen, dargelegt in den EDSA-Leitlinien 9/2022, bewertet Verletzungen anhand der Art und Sensibilität der personenbezogenen Daten, des Umfangs und der Identifizierbarkeit der betroffenen Personen, der Schwere der Folgen für die Einzelnen sowie der besonderen Merkmale des Verantwortlichen oder der betroffenen Person. Dieser strukturierte Ansatz bestimmt, ob eine Meldung an die Aufsichtsbehörde und/oder eine Benachrichtigung der betroffenen Personen erforderlich ist.

Statistiken und Branchenkontext

Gemäss dem EDSA-Jahresbericht 2023 erhielten die Aufsichtsbehörden in der EU/im EWR im Jahr 2023 über 120'000 Meldungen über Verletzungen des Schutzes personenbezogener Daten. Der IAPP-EY Privacy Governance Report 2023 stellte fest, dass die durchschnittliche Organisation 5,2 Vollzeit-Datenschutzfachkräfte beschäftigt, jedoch die Reaktion auf Datenpannen über mehrere Jurisdiktionen und Gesellschaften hinweg bewältigen muss. Gemäss der ENISA Threat Landscape 2024 bleiben Ransomware und Datenexfiltration die grössten Bedrohungen für europäische Organisationen, was robuste Incident-Management-Workflows unerlässlich macht. Artikel 83 Absatz 4 Buchstabe a DSGVO sieht Bussgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für die unterlassene Meldung von Datenpannen vor und unterstreicht damit das finanzielle Risiko unzureichender Incident-Management-Prozesse.

Häufig gestellte Fragen

Was besagt die 72-Stunden-Meldepflicht der DSGVO bei Datenpannen?

Gemäss Artikel 33 DSGVO müssen Verantwortliche eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Meldung später als 72 Stunden, muss der Verantwortliche dokumentierte Gründe für die Verzögerung angeben. Die Leitlinien 9/2022 des EDSA bieten detaillierte praktische Hinweise dazu, wann die 72-Stunden-Uhr zu laufen beginnt.

Wie automatisiert Priverion das DSGVO-Incident-Management?

Priverion bietet einen einzigen strukturierten Workflow, der den gesamten Lebenszyklus einer Datenpanne abdeckt: konfigurierbare Erfassungsformulare mit automatischer Zuweisung an den Datenschutzbeauftragten, EDSA-konforme Schwere-Bewertung, Koordination mehrerer Gesellschaften mit jurisdiktionsbewusster Meldelogik, automatisch vorausgefüllte Meldeformulare für die Aufsichtsbehörde im Einklang mit den Anforderungen von Artikel 33 sowie manipulationssichere Audit-Trails mit zeitgestempelten Nachweispaketen. Die Plattform reduziert die Vorbereitungszeit für Meldungen um bis zu 70 % gegenüber der manuellen Erstellung, basierend auf vorausgefüllten Vorlagen im Vergleich zu manuellen Prozessen.

Wo werden die Daten von Priverion gehostet?

Alle Daten von Priverion werden ausschliesslich auf Schweizer Infrastruktur verarbeitet und gespeichert. In einem Post-Schrems-II-Umfeld — in dem der EuGH den EU-US-Datenschutzschild in der Rechtssache C-311/18 für ungültig erklärt hat — bietet die Schweizer Datenresidenz eine rechtlich belastbare Grundlage für europäische Organisationen, die sensible Pannendaten im Zusammenhang mit grenzüberschreitenden Übermittlungen verwalten.

Was ist die EDSA-Methodik zur Risikobewertung von Datenpannen?

Die EDSA-Leitlinien 9/2022 empfehlen eine strukturierte Schwere-Bewertung, die Folgendes berücksichtigt: die Art und Sensibilität der betroffenen personenbezogenen Daten, den Umfang und die Identifizierbarkeit der betroffenen Personen, die Schwere der Folgen für die Einzelnen sowie die besonderen Merkmale des Verantwortlichen oder der betroffenen Personen. Das integrierte Rahmenwerk zur Risikobewertung von Priverion setzt diese Methodik mit transparenter, nachvollziehbarer Entscheidungslogik um.

Wie handhabt Priverion die Koordination von Datenpannen über mehrere Gesellschaften hinweg?

Für Konzerne, die über mehrere Tochtergesellschaften und Jurisdiktionen hinweg tätig sind, identifiziert Priverion automatisch, welche Gesellschaften von einem Vorfall betroffen sind, bestimmt anhand der Jurisdiktionskonfiguration auf Gesellschaftsebene, welche Aufsichtsbehörden zu benachrichtigen sind, und weist lokalen Datenschutzverantwortlichen Aufgaben mittels rollenbasierter Zugriffskontrollen zu. Dies beseitigt den Koordinationsaufwand bei der Bewältigung der Reaktion auf Datenpannen über E-Mail-Ketten und Tabellen hinweg.

Welche Bussgelder sieht die DSGVO bei unterlassener Meldung einer Datenpanne vor?

Gemäss Artikel 83 Absatz 4 Buchstabe a DSGVO kann die unterlassene Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu Bussgeldern von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres führen, je nachdem, welcher Betrag höher ist. Mehrere Aufsichtsbehörden haben gezielt für verspätete oder unterlassene Meldungen von Datenpannen erhebliche Bussgelder verhängt.

Wie hilft Schweizer Daten-Hosting bei der DSGVO-Compliance?

Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU nach Artikel 45 DSGVO, was bedeutet, dass personenbezogene Daten aus der EU/dem EWR in die Schweiz fliessen können, ohne dass zusätzliche Garantien wie Standardvertragsklauseln erforderlich sind. In Kombination mit dem im September 2023 revidierten Schweizer Datenschutzgesetz (DSG) bietet die in der Schweiz gehostete Infrastruktur einen robusten Rechtsrahmen für die Verarbeitung von Pannendaten mit Personenbezug.

Welche Angaben muss eine Pannenmeldung gemäss Artikel 33 enthalten?

Gemäss Artikel 33 Absatz 3 DSGVO muss die Meldung Folgendes beschreiben: die Art der Verletzung des Schutzes personenbezogener Daten einschliesslich der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze; den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle; die wahrscheinlichen Folgen der Verletzung; sowie die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Priverion füllt diese Felder automatisch aus den bereits während des Workflows erfassten Vorfalldaten aus.

Vergleich: Ansätze für das DSGVO-Incident-Management

FunktionManuell / TabelleEnterprise-GRC-SuitePriverion
Überwachung der 72-Stunden-FristManuelle KalendererinnerungenKonfigurierbar, aber komplexe EinrichtungAutomatisch ab dem Erfassungs-Zeitstempel
EDSA-konforme RisikobewertungAd-hoc, inkonsistentVerfügbar mit AnpassungIntegriertes, nachvollziehbares Rahmenwerk
Koordination mehrerer GesellschaftenE-Mail-Ketten über Teams hinwegGegen Aufpreis unterstütztNative jurisdiktionsbewusste Logik
Meldung an die AufsichtsbehördeManuelles Ausfüllen von FormularenVorlagenbibliotheken verfügbarAutomatisch vorausgefüllt, vorab zugeordnet zu Aufsichtsbehörden
Audit-TrailAus E-Mails rekonstruiertMit Konfiguration verfügbarManipulationssicher, automatische Zeitstempelung
Daten-HostingUnterschiedlich (lokale Dateien, Cloud)Üblicherweise in den USA gehostetAusschliesslich Schweizer Infrastruktur
ImplementierungszeitSofort, aber unstrukturiertMonate an Professional ServicesEinsatzbereit in Wochen
PreismodellNur PersonalzeitPro Nutzer, pro ModulPro Unternehmen, gesellschaftsbasiert