DSGVO-Lieferantenmanagement

Ihre Lieferanten haben Lieferanten. Wissen Sie, wohin Ihre Daten tatsächlich fliessen?

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine Schweizer-gehostete DSGVO-Lieferantenmanagement-Plattform, die Datenschutz-Assessments, TIAs, den AVV-Lebenszyklus und die Ueberwachung von Unterauftragsverarbeitern über Konzerne mit mehreren Gesellschaften hinweg automatisiert.

Die meisten Lieferantenrisiko-Tools verfolgen Sicherheitsfragebogen. Priverion verfolgt, was die DSGVO tatsächlich verlangt. DSFAs, Transfer Impact Assessments, AVV-Lebenszyklus, Unterauftragsverarbeiter-Ketten und Verarbeitungsverzeichnis-Verknüpfung, über jede Gesellschaft in Ihrem Konzern hinweg.

Schweizer-gehostet · ISO-27001-konforme Infrastruktur · Vertraut von Datenschutzteams, die über 50 Lieferanten in mehreren Jurisdiktionen verwalten

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Speziell für Datenschutz entwickelt

Lieferanten-Datenschutzrisikomanagement, integriert in Ihr Datenschutzprogramm

Priverion setzt Datenschutz nicht einfach auf ein Sicherheitstool auf. Das Lieferantenmanagement ist nativ in Ihr umfassenderes Datenschutzprogramm integriert, verbunden mit Ihrem Verarbeitungsverzeichnis, Ihren DSFAs, Ihren Transfer Impact Assessments und Ihrer Organisationsstruktur. Wenn Sie einen Lieferanten bewerten, fliessen die Ergebnisse in jedes Compliance-Artefakt ein, das von ihnen abhängt.

Strukturierte Datenschutz-Assessments, keine generischen Fragebogen

Speziell entwickelte Assessment-Vorlagen erfassen, was die DSGVO tatsächlich verlangt, Verarbeitungszwecke, Datenkategorien, Uebermittlungsmechanismen, Schutzmassnahmen, Angaben zu Unterauftragsverarbeitern und AVV-Abdeckung. Assessments sind mit der spezifischen Gesellschaft-Lieferant-Beziehung verknüpft, nicht nur mit dem Lieferanten insgesamt. Konfigurierbar nach dem Risikorahmen Ihrer Organisation, mit automatisierten Folge-Workflows, die das endlose Nachhaken per E-Mail beseitigen.

60%

Reduktion der Durchlaufzeit von Lieferanten-Assessments mit vorgefertigten DSGVO-spezifischen Vorlagen, basierend auf Implementierungsdaten von Priverion-Kunden

Transfer Impact Assessments, verknüpft mit jeder Lieferantenbeziehung

Für jeden Lieferanten, bei dem internationale Datenübermittlungen erfolgen, ermöglicht Priverion strukturierte TIAs, die die Rechtsgrundlage der Uebermittlung, den rechtlichen Rahmen des Empfängerlandes, ergänzende Massnahmen und das Restrisiko dokumentieren. TIAs werden mit dem Lieferantendatensatz und den relevanten Einträgen im Verarbeitungsverzeichnis verknüpft und schaffen so einen vollständigen Prüfpfad. Kein separates Tracking-System, keine parallelen Tabellen.

100%

Prüfbereite TIA-Dokumentationsabdeckung für internationale Lieferantenübermittlungen, ein Gesundheitsdienstleister erreichte mit Priverion eine vollständige Abdeckung der Lieferantenrisikobewertung

AVV-Lebenszyklus-Management über jede Gesellschaft hinweg

Ueberwachen Sie AVV-Status, -Version, -Ablauf und -Klauselabdeckung für jede Lieferant-Gesellschaft-Beziehung in Ihrem Konzern. Erhalten Sie automatische Benachrichtigungen, wenn Verträge auf die Verlängerung zulaufen. Erkennen Sie Lücken, bei denen Verarbeitung ohne angemessene vertragliche Abdeckung erfolgt, bevor es ein Prüfer tut. Die Beziehung jeder Gesellschaft zu einem gemeinsam genutzten Lieferanten wird unabhängig nachverfolgt und spiegelt die Realität von Betrieben mit mehreren Tochtergesellschaften wider.

Prüfbereit nach Artikel 28

Erstellen Sie strukturierte Nachweispakete für Aufsichtsbehörden in Minuten, basierend auf den Plattformfähigkeiten von Priverion über Kundenimplementierungen hinweg

KI-gestütztes Lieferantenrisiko-Scoring

KI unterstützt Ihr Team bei der Bewertung von Lieferantenantworten, dem Markieren von Inkonsistenzen und dem Vorschlagen von Risikobewertungen auf Basis des Verarbeitungskontextes, Uebermittlungsziele, Datensensibilität und vertragliche Lücken. Jeder KI-generierte Vorschlag wird von Ihrem Team geprüft, bevor er zu einem Compliance-Datensatz wird. Es werden keine Kundendaten für das Modelltraining verwendet. KI unterstützt, Menschen entscheiden.

Schweizer-gehostete KI

Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur, keine Kundendaten verlassen die europäischen Grenzen der Datenresidenz

Automatisierte Rezertifizierung und Ueberwachung von Unterauftragsverarbeitern

Lieferanten-Assessments sind keine einmaligen Ereignisse. Priverion automatisiert die periodische Rezertifizierung und stellt sicher, dass Ihr Lieferantenrisikoprofil ohne manuelles Eingreifen aktuell bleibt. Wenn sich Vorschriften ändern oder Listen von Unterauftragsverarbeitern aktualisiert werden, spiegeln Ihre Compliance-Datensätze die neue Realität wider, nicht den Stand des letzten Quartals. Die Rezertifizierungs-Workflows, die die Compliance-Abläufe des Flugzeugherstellers transformiert haben, lassen sich direkt auf das Lieferantenmanagement übertragen.

100%

Rezertifizierungsquote des Verarbeitungsverzeichnisses, die ein Schweizer Versicherer durch vollständig automatisierte Workflows erreichte, übertragbar auf Lieferantenmanagement-Prozesse

Konzernweite Lieferantentransparenz mit Massnahme auf Gesellschaftsebene

Sehen Sie Ihre gesamte Lieferantenlandschaft auf Konzernebene und behalten gleichzeitig die granulare Massnahme bei jeder Tochtergesellschaft. Ein Lieferant, mehrere Gesellschaften, unterschiedliche Verarbeitungszwecke, unterschiedliche Uebermittlungsmechanismen, unterschiedliche AVVs, alles sichtbar in einem einzigen Dashboard. Vorstandstaugliche Berichterstattung fasst das Lieferantenrisiko über Ihren gesamten Konzern hinweg zusammen, ohne dass jede Gesellschaft manuell exportieren und konsolidieren muss.

Unterstützung für 50+ Gesellschaften

Priverion betreut Konzerne, die Compliance über mehr als 50 Gesellschaften und mehrere Jurisdiktionen hinweg verwalten, basierend auf aktuellen Kundenimplementierungen

200+

Eingesparte Stunden beim Verarbeitungsverzeichnis-Management

Ein Medizintechnikunternehmen gewann während der ISO-27001-Vorbereitung mehr als 200 Stunden zurück, indem manuelle Aufzeichnungen durch automatisierte Rezertifizierungs-Workflows ersetzt wurden.

60%

Geringere Kosten gegenüber Altsystemen

Basierend auf veröffentlichten Preisvergleichen für Implementierungen mit mehreren Gesellschaften. Vorhersehbare Preisgestaltung nach Unternehmensanzahl, keine Expansionsfallen pro Nutzer oder pro Modul.

3 Mt.

Vor dem Zeitplan bei ISO 27001

Ein Medizintechnikunternehmen beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um drei Monate, indem es Priverions prüfbereite Nachweispakete und automatisierte Dokumentation nutzte.

Vergleich

Warum Mid-Market-Teams von OneTrust zu Priverion wechseln

Datenschutzmanagement auf Enterprise-Niveau sollte keine Enterprise-Budgets, keine sechsmonatigen Implementierungen und kein eigenes Admin-Team erfordern. So sieht der Wechsel tatsächlich aus.

Die typische Erfahrung mit Enterprise-Plattformen

Preisgestaltung pro Nutzer, pro Modul

Die Kosten steigen unvorhersehbar an, wenn Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. CFOs fürchten die Verlängerungssaison.

US-gehostete Infrastruktur

Im Umfeld nach Schrems II schafft US-Cloud-Hosting ein fortlaufendes rechtliches Risiko für grenzüberschreitende Datenübermittlungen.

Monatelange Implementierung

Komplexes Onboarding, das eigene Projektteams und externe Berater für die Konfiguration erfordert.

Funktionswildwuchs, den Sie nicht brauchen

ESG-Module, Ethik-Hotlines, Cookie-Einwilligung, Sie zahlen für Funktionen, die nichts mit Ihrem Datenschutzprogramm zu tun haben.

200 oberflächliche Integrationen

Eine lange Liste von Konnektoren, die beeindruckend aussieht, aber Wartungsaufwand erzeugt und selten auf tatsächliche Datenschutz-Workflows abgebildet wird.

Die Priverion-Erfahrung

Vorhersehbare, transparente Preisgestaltung

Basierend auf der Anzahl der Unternehmen und der Organisationsgrösse, nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder hinzu, ohne die Kosten in die Höhe schiessen zu sehen.

In der Schweiz entwickelt, in der Schweiz gehostet

Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur. Europäische Datenresidenz ist kein Marketing-Häckchen, sie ist eine rechtliche Anforderung für grenzüberschreitende Uebermittlungen.

Einsatzbereit in Wochen, nicht Monaten

Der Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des Compliance-Verwaltungsaufwands um 60%, einschliesslich des vollständigen Onboardings und der Einführung über die Tochtergesellschaften hinweg.

Flugzeughersteller, erste 6 Monate nach der Implementierung

Speziell für Datenschutzprogramme entwickelt

Verarbeitungsverzeichnis, DSFA/TIA, Lieferanten-Assessments, Bearbeitung von Betroffenenanfragen, Vorfallmanagement und AI-Act-Bereitschaft, alles, was ein Datenschutzbeauftragter braucht, nichts, was er nicht braucht.

Tiefe Integrationen, die zählen

Verbunden mit HR-, Beschaffungs- und IT-Asset-Management-Systemen, den Workflows, in denen Datenschutzpflichten tatsächlich angesiedelt sind. Weniger Konnektoren, null Wartungskopfschmerzen.

Ehrliche Anmerkung: Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab. Wir sind nicht für Einzelgesellschaften konzipiert. Unsere Stärke ist das konzernweite Management von Datenschutzprogrammen über mehrere Tochtergesellschaften und Jurisdiktionen hinweg.

Vertraut von Datenschutzteams in ganz Europa

Was Compliance-Teams nach dem Wechsel erleben

Reale Ergebnisse von Organisationen, die Tabellen und Altsysteme durch Priverions konzernweites Management von Datenschutzprogrammen ersetzt haben.

"Wir gingen davon, den Grossteil unserer Compliance-Verwaltungszeit damit zu verbringen, Geschäftsbereichen wegen Aktualisierungen des Verarbeitungsverzeichnisses nachzulaufen, zu einer vollständig automatisierten Rezertifizierung über. Unser Datenschutzbeauftragter konzentriert sich nun auf strategische Datenschutzarbeit statt auf Tabellenpflege."

Flugzeughersteller

60% Reduktion des Compliance-Verwaltungsaufwands, erste 6 Monate nach der Implementierung

"Eine vollständige Abdeckung der Lieferantenrisikobewertung über jede Gesellschaft hinweg war etwas, von dem wir dachten, es würde Jahre dauern. Mit Priverion erreichten wir 100% Abdeckung und können sie Aufsichtsbehörden auf Anfrage nachweisen."

Ein Gesundheitsdienstleister

100% Abdeckung der Lieferantenrisikobewertung über alle Gesellschaften hinweg

"Priverions automatisierte Dokumentation half uns, während der ISO-27001-Vorbereitung über 200 Stunden zurückzugewinnen. Wir beschleunigten unseren Zertifizierungszeitplan um drei Monate."

Ein Medizintechnikunternehmen

200+ eingesparte Stunden, ISO-27001-Zertifizierung 3 Monate vor dem Zeitplan erreicht

"Die Verwaltung der Datenschutz-Compliance über mehrere Gesellschaften hinweg mit 24/7-Datenschutzbeauftragten-Support hat unsere operative Leistungsfähigkeit komplett verändert. Jede Tochtergesellschaft ist abgedeckt, ohne den Personalbestand aufzustocken."

Ein Gesundheitsdienstleister

24/7-Datenschutzbeauftragten-Support über mehrere Gesellschaften hinweg

FAQ

Häufig gestellte Fragen zum DSGVO-Lieferantenmanagement

Antworten auf die Fragen, die Datenschutzbeauftragte und Compliance-Verantwortliche bei der Bewertung von Plattformen für das Lieferantenrisikomanagement am häufigsten stellen.

Wie unterscheidet sich Priverion von generischen Tools für das Lieferantenrisikomanagement?

Die meisten Lieferantenrisiko-Tools sind für Informationssicherheitsteams konzipiert und konzentrieren sich auf Sicherheitsfragebogen. Priverion ist für Datenschutzteams konzipiert und verfolgt, was die DSGVO konkret verlangt: Verarbeitungszwecke, Datenkategorien, Uebermittlungsmechanismen und ihre Rechtsgrundlagen, AVV-Lebenszyklus, Unterauftragsverarbeiter-Ketten und die direkte Verknüpfung mit Ihren Einträgen im Verarbeitungsverzeichnis und Ihren DSFA-Datensätzen. Jedes Lieferanten-Assessment ist mit Ihrem umfassenderen Datenschutzprogramm verbunden, nicht mit einem separaten Risikoregister.

Kann Priverion Lieferanten handhaben, die über mehrere Tochtergesellschaften mit unterschiedlichen Verarbeitungszwecken geteilt werden?

Ja, dies ist eines unserer zentralen Designprinzipien. Ein einzelner Lieferant kann bei jeder Tochtergesellschaft unterschiedliche Verarbeitungszwecke, unterschiedliche Uebermittlungsmechanismen, unterschiedliche AVVs und unterschiedliche Risikoprofile haben. Priverion verfolgt jede Gesellschaft-Lieferant-Beziehung unabhängig und bietet Ihnen gleichzeitig konzernweite Transparenz über konsolidierte Dashboards. Wir betreuen derzeit Konzerne, die mehr als 50 Gesellschaften über mehrere Jurisdiktionen hinweg verwalten.

Wie unterstützt KI bei Lieferantenrisikobewertungen?

Priverions KI-gestützte Fähigkeiten helfen Ihrem Team, Lieferantenantworten zu bewerten, Inkonsistenzen zu markieren und Risikobewertungen auf Basis des Verarbeitungskontextes vorzuschlagen, etwa Uebermittlungsziele, Datensensibilitätsstufen und vertragliche Lücken. Jeder KI-generierte Vorschlag wird zur menschlichen Prüfung vorgelegt, bevor er zu einem Compliance-Datensatz wird. Es werden keine Kundendaten für das Modelltraining verwendet, und die gesamte Verarbeitung erfolgt innerhalb der Schweizer Infrastruktur. KI unterstützt, Menschen entscheiden.

Was ist mit Transfer Impact Assessments für internationale Lieferanten?

Für jeden Lieferanten, bei dem internationale Datenübermittlungen erfolgen, ermöglicht Priverion strukturierte TIAs, die die Rechtsgrundlage der Uebermittlung, den rechtlichen Rahmen des Empfängerlandes, die angewendeten ergänzenden Massnahmen und die Bewertung des Restrisikos dokumentieren. TIAs sind direkt mit dem Lieferantendatensatz und allen relevanten Einträgen im Verarbeitungsverzeichnis verknüpft und schaffen so einen vollständigen Prüfpfad, der die Dokumentationsanforderungen nach Schrems II ohne parallele Tabellen erfüllt.

Wie lange dauert die Implementierung?

Priverion-Kunden sind in der Regel innerhalb von Wochen einsatzbereit, nicht Monaten. Der Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des Compliance-Verwaltungsaufwands um 60%, was das vollständige Onboarding und die Einführung über mehrere Tochtergesellschaften hinweg umfasste. Wir benötigen weder eigene Projektteams noch externe Berater, die Plattform ist darauf ausgelegt, dass Datenschutzfachleute sie direkt konfigurieren.

Handhabt Priverion Cookie-Einwilligung oder ESG-Compliance?

Nein. Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab. Wir sind speziell für das Management von Datenschutzprogrammen entwickelt. Verarbeitungsverzeichnis, DSFA/TIA, Lieferanten-Assessments, Bearbeitung von Betroffenenanfragen, Vorfallmanagement, Datenmapping und AI-Act-Bereitschaft. Dieser Fokus bedeutet, dass jede Funktion direkt Ihrem Datenschutzprogramm dient, anstatt die Plattform mit nicht zusammenhängenden Compliance-Modulen zu verwässern. Wenn Sie Cookie-Einwilligung benötigen, lassen wir uns gut mit spezialisierten Plattformen für das Einwilligungsmanagement integrieren.

Warum ist Schweizer Hosting für ein Lieferantenmanagement-Tool wichtig?

In einer Welt nach Schrems II ist es ebenso wichtig, wo Ihre Compliance-Plattform Daten speichert, wie die Art und Weise, wie sie Daten verarbeitet. Die Schweizer Datensouveränität bietet einen rechtlich eigenständigen Rahmen sowohl gegenüber US- als auch gegenüber EU-Jurisdiktionen und bietet starke Angemessenheitsschutzmechanismen für grenzüberschreitende Datenübermittlungen. Wenn Ihre Lieferantenrisikobewertungen Details über Verarbeitungstätigkeiten, Uebermittlungsmechanismen und vertragliche Lücken über Ihren gesamten Konzern hinweg enthalten, benötigen diese Daten das höchste verfügbare Niveau an jurisdiktionellem Schutz.

Verwalten Sie den Lieferanten-Datenschutz nicht mehr in Tabellen

Sehen Sie, wie konzernweites Lieferanten-Datenschutzmanagement tatsächlich aussieht

In 30 Minuten zeigen wir Ihnen, wie Organisationen wie der Flugzeughersteller 47 Tabellen durch automatisierte Rezertifizierung über jede Tochtergesellschaft hinweg ersetzten, und den Compliance-Verwaltungsaufwand in den ersten sechs Monaten um 60% senkten.

Wochen, nicht Monate

Durchschnittliche Zeit bis zur vollständigen Bereitstellung

Keine Preisgestaltung pro Nutzer

Vorhersehbare Kosten auf Basis der Unternehmensanzahl

100% Schweizer-gehostet

Europäische Datenresidenz garantiert

30-minütige Vorführung buchen

Keine Verpflichtung erforderlich. Wir richten die Session auf Ihre Gesellschaftsstruktur und Ihre Rahmenanforderungen aus.

Ueber diese Seite — Referenzen, Definitionen und FAQs

Das Wichtigste auf einen Blick — DSGVO-Lieferantenmanagement mit Priverion

Priverion ist eine Schweizer-gehostete DSGVO-Lieferantenmanagement-Plattform, die speziell für Konzerne mit mehreren Gesellschaften entwickelt wurde. Sie automatisiert Datenschutz-Folgenabschätzungen (DSFAs), Transfer Impact Assessments (TIAs), das Lebenszyklus-Tracking von Auftragsverarbeitungsverträgen (AVV), die Ueberwachung von Unterauftragsverarbeiter-Ketten und die Verarbeitungsverzeichnis-Verknüpfung über jede Tochtergesellschaft und Jurisdiktion hinweg. Anders als generische GRC-Tools integriert Priverion das Lieferanten-Datenschutzrisiko direkt in das umfassendere Datenschutzprogramm und stellt so jederzeit prüfbereite Compliance-Dokumentation sicher.

Definitionen

Was ist DSGVO-Lieferantenmanagement?

DSGVO-Lieferantenmanagement ist der systematische Prozess der Bewertung, Ueberwachung und Dokumentation der Datenschutzrisiken von Drittanbietern (Auftragsverarbeitern), die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Gemäss DSGVO-Artikel 28 müssen Verantwortliche sicherstellen, dass Auftragsverarbeiter "hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Massnahmen umgesetzt werden", und schriftliche Auftragsverarbeitungsverträge führen. Wirksames Lieferantenmanagement erfordert zudem Transfer Impact Assessments für internationale Uebermittlungen gemäss dem Schrems-II-Urteil des EuGH.

Was ist ein Transfer Impact Assessment (TIA)?

Ein Transfer Impact Assessment (TIA) ist eine dokumentierte Bewertung, die im Anschluss an das Schrems-II-Urteil des Gerichtshofs der Europäischen Union (Rechtssache C-311/18) erforderlich ist. Organisationen müssen beurteilen, ob der rechtliche Rahmen des Empfängerlandes einen angemessenen Schutz personenbezogener Daten bietet, und falls nicht, welche ergänzenden Massnahmen erforderlich sind. Die EDSA-Empfehlungen 01/2020 bieten detaillierte Anleitungen zur Durchführung von TIAs.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der gemäss DSGVO-Artikel 28(3) erforderlich ist. Er muss Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegen.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist eine verpflichtende Dokumentationsanforderung gemäss DSGVO-Artikel 30. Sowohl Verantwortliche als auch Auftragsverarbeiter müssen Aufzeichnungen führen, die jede Verarbeitungstätigkeit beschreiben, einschliesslich Zwecke, Datenkategorien, Empfänger, internationale Uebermittlungen, Aufbewahrungsfristen sowie technische und organisatorische Sicherheitsmassnahmen.

Häufig gestellte Fragen

Warum benötigen Organisationen dedizierte Lieferantenmanagement-Software für die DSGVO?

Manuelle Lieferantenverfolgung über Tabellen wird mit zunehmender Grösse der Organisation unhandhabbar. Laut dem IAPP-EY Privacy Governance Report 2023 verwaltet die durchschnittliche Organisation Beziehungen zu über 100 Lieferanten, die personenbezogene Daten verarbeiten. Die DSGVO stellt spezifische Pflichten auf - AVVs nach Artikel 28, TIAs für internationale Uebermittlungen nach den Artikeln 44-49 und DSFA-Anforderungen nach Artikel 35 -, die eine strukturierte, prüfbare Dokumentation erfordern. Speziell entwickelte Software automatisiert diese Workflows und pflegt die Verknüpfung zwischen Lieferantendatensätzen, Einträgen im Verarbeitungsverzeichnis und Compliance-Artefakten.

Welche DSGVO-Artikel regeln konkret Lieferanten- (Auftragsverarbeiter-) Beziehungen?

Die zentralen Bestimmungen sind: Artikel 28 (Pflichten des Auftragsverarbeiters und AVV-Anforderungen), Artikel 29 (Verarbeitung unter der Aufsicht des Verantwortlichen), Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten), Artikel 35-36 (DSFAs) und Artikel 44-49 (internationale Datenübermittlungen). Die EDSA-Leitlinien 07/2020 präzisieren zudem die Konzepte des Verantwortlichen und des Auftragsverarbeiters.

Wie profitiert das DSGVO-Lieferantenmanagement von Schweizer Hosting?

Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss (Kommissionsbeschluss 2000/518/EG), was bedeutet, dass personenbezogene Daten ohne zusätzliche Garantien von der EU in die Schweiz fliessen können. Schweizer-gehostete Infrastruktur beseitigt das rechtliche Risiko, das mit US-gehosteten Plattformen verbunden ist, nachdem der EuGH den EU-US-Datenschutzschild im Schrems-II-Urteil für ungültig erklärt hat. Für Organisationen, die sowohl der DSGVO als auch dem Schweizer Datenschutzgesetz (revDSG) unterliegen, erfüllt Schweizer Hosting beide regulatorischen Rahmenwerke gleichzeitig.

Was ist der Unterschied zwischen einer DSFA und einem TIA?

Eine Datenschutz-Folgenabschätzung (DSFA), erforderlich gemäss DSGVO-Artikel 35, bewertet die Risiken einer bestimmten Verarbeitungstätigkeit für die Rechte und Freiheiten von Einzelpersonen. Ein Transfer Impact Assessment (TIA) bewertet konkret, ob eine internationale Datenübermittlung angemessenen Schutz bietet, unter Berücksichtigung des rechtlichen Rahmens des Empfängerlandes und etwaiger ergänzender Massnahmen. Beide sind erforderlich, wenn ein Lieferant personenbezogene Daten in einem risikoreichen Kontext mit grenzüberschreitenden Uebermittlungen verarbeitet.

Wie unterscheidet sich Priverion von OneTrust für Mid-Market-Unternehmen?

Priverion bietet vorhersehbare Preisgestaltung auf Basis der Unternehmensanzahl statt Gebühren pro Nutzer oder pro Modul, Schweizer-gehostete Infrastruktur mit europäischer Datenresidenz sowie Implementierungszeiten, die sich in Wochen statt in Monaten bemessen. OneTrust ist eine breitere GRC-Plattform, die ESG-, Ethik-Hotline- und Cookie-Einwilligungs-Module umfasst - Fähigkeiten, die für Organisationen, die sich speziell auf das Management von Datenschutzprogrammen konzentrieren, Kosten und Komplexität hinzufügen. Priverions Lieferantenmanagement ist nativ mit dem Verarbeitungsverzeichnis, DSFAs, TIAs und dem Vorfallmanagement integriert.

Was sind Unterauftragsverarbeiter-Ketten und warum sind sie wichtig?

Ein Unterauftragsverarbeiter ist ein Dritter, der von einem Auftragsverarbeiter beauftragt wird, bestimmte Verarbeitungstätigkeiten im Auftrag des Verantwortlichen durchzuführen. Gemäss DSGVO-Artikel 28(2) müssen Auftragsverarbeiter vor der Beauftragung von Unterauftragsverarbeitern eine vorherige schriftliche Genehmigung des Verantwortlichen einholen. Unterauftragsverarbeiter-Ketten erzeugen kaskadierende Compliance-Pflichten - jedes Glied muss angemessene AVVs und Schutzmassnahmen führen. Priverion verfolgt diese Ketten automatisch und benachrichtigt Teams, wenn sich Listen von Unterauftragsverarbeitern ändern.

Wie funktioniert die automatisierte Rezertifizierung?

Priverion löst periodische Workflows zur Lieferanten-Rezertifizierung auf Basis konfigurierbarer Zeitpläne aus. Wenn ein Rezertifizierungszyklus beginnt, versendet die Plattform Assessment-Fragebogen an Lieferanten, verfolgt Antworten, markiert überfällige Punkte und aktualisiert Risikobewertungen automatisch. Dies stellt sicher, dass das Lieferantenrisikoprofil die aktuellen Bedingungen widerspiegelt und nicht Momentaufnahmen zu einem bestimmten Zeitpunkt. Ein Schweizer Versicherer erreichte mit Priverions automatisierten Workflows eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100%.

Welche Compliance-Rahmenwerke unterstützt Priverion über die DSGVO hinaus?

Priverion unterstützt die EU-Datenschutz-Grundverordnung (DSGVO), das Schweizer Datenschutzgesetz (revDSG) sowie das Informationssicherheitsmanagement nach ISO 27001. Die Lieferantenmanagement-Fähigkeiten der Plattform dienen allen drei Rahmenwerken gleichzeitig und reduzieren den doppelten Aufwand für Organisationen, die mehreren regulatorischen Regimen unterliegen.

Branchenstatistiken und Kontext

Laut dem IAPP-EY Privacy Governance Report 2023 gaben 60% der Organisationen an, dass das Drittanbieter-Lieferantenrisiko ihre grösste Herausforderung in der Datenschutz-Compliance darstellt. Der Jahresbericht 2023 des EDSA verzeichnete eine deutliche Zunahme von Durchsetzungsmassnahmen im Zusammenhang mit unzureichenden Auftragsverarbeitungsverträgen und Schutzmassnahmen für internationale Uebermittlungen. Der ENISA Threat Landscape Report 2023 identifizierte Lieferketten-Angriffe als eine der grössten Cybersicherheitsbedrohungen und unterstrich damit die Notwendigkeit eines strukturierten Lieferantenrisikomanagements. Organisationen, die mehr als 50 Lieferanten über mehrere Jurisdiktionen hinweg verwalten, sehen sich exponentiell steigender Komplexität gegenüber - jede Lieferant-Gesellschaft-Beziehung kann eigenständige AVVs, TIAs und Einträge im Verarbeitungsverzeichnis erfordern.

Funktionsvergleich DSGVO-Lieferantenmanagement

FunktionPriverionTypische Enterprise-GRC-Plattform
Hosting & DatenresidenzSchweizer-gehostet, europäische DatenresidenzUeberwiegend US-gehostet (AWS us-east)
PreismodellPro Unternehmensanzahl, vorhersehbarPro Nutzer + pro Modul, variabel
ImplementierungszeitWochen3-6 Monate typisch
Transfer Impact AssessmentsStrukturierte TIAs verknüpft mit Lieferant & VerarbeitungsverzeichnisManuell oder Zusatzmodul
AVV-Lebenszyklus-TrackingAutomatische Benachrichtigungen, Versions- & KlauselverfolgungEinfache Dokumentenablage
Ueberwachung von Unterauftragsverarbeiter-KettenAutomatische Aenderungserkennung & BenachrichtigungenManuelle Verfolgung
Verarbeitungsverzeichnis-IntegrationNative bidirektionale VerknüpfungSeparates Modul, begrenzte Verknüpfung
Unterstützung mehrerer Gesellschaften50+ Gesellschaften, Massnahme auf GesellschaftsebeneVerfügbar, aber komplexe Konfiguration
KI-gestütztes Risiko-ScoringSchweizer-gehostete KI, Human-in-the-LoopVariiert, oft US-verarbeitet
Lieferanten-RezertifizierungVollständig automatisierte periodische WorkflowsManuell oder halbautomatisiert