Das Wichtigste auf einen Blick
Priverion ist eine in der Schweiz gehostete Plattform für das Management von Datenschutzprogrammen, die speziell für Organisationen entwickelt wurde, die über mehrere Jurisdiktionen und Tochtergesellschaften hinweg tätig sind. Sie vereint Verzeichnisse von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen (DSFA), das Management von Anfragen betroffener Personen, Lieferantenrisikobeurteilungen und ISO-27001-Dokumentation in einem einzigen Dashboard. Zu den verifizierten Kundenergebnissen zählen eine Verkürzung der Erstellungszeit für Verarbeitungsverzeichnisse um 70 %, vollständig automatisierte Rezertifizierungsquoten von 100 % und eine Reduktion des Verwaltungsaufwands für Compliance um 60 %. Die Preisgestaltung basiert auf der Anzahl der Einheiten und der Unternehmensgrösse – nicht pro Nutzer oder pro Modul.
Definitionen
Was ist jurisdiktionsübergreifende Datenschutz-Compliance?
Jurisdiktionsübergreifende Datenschutz-Compliance bezeichnet die Praxis, die Datenschutzgesetze jedes Landes oder jeder Region, in der eine Organisation personenbezogene Daten verarbeitet, gleichzeitig einzuhalten. Für europäische Unternehmen bedeutet dies in der Regel die EU-Datenschutz-Grundverordnung (DSGVO), die UK GDPR und das schweizerische revidierte Datenschutzgesetz (revDSG/nDSG). Gemäss Artikel 3 DSGVO gilt die Verordnung für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet, unabhängig davon, wo die Organisation niedergelassen ist. DSGVO Art. 3 – Räumlicher Anwendungsbereich (EUR-Lex)
Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?
Das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist eine verpflichtende Dokumentationsanforderung gemäss Artikel 30 DSGVO. Verantwortliche und Auftragsverarbeiter müssen schriftliche Verzeichnisse aller Verarbeitungstätigkeiten führen, einschliesslich Zwecke, Datenkategorien, Empfänger, Transfer-Schutzmassnahmen und Aufbewahrungsfristen. Für Konzerne mit mehreren Einheiten ist das Führen konsistenter Verarbeitungsverzeichnisse über jede Tochtergesellschaft hinweg eine der ressourcenintensivsten Compliance-Aufgaben.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Die Datenschutz-Folgenabschätzung (DSFA) ist ein strukturierter Risikobeurteilungsprozess, der gemäss Artikel 35 DSGVO vor der Durchführung von Verarbeitungen erforderlich ist, die «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben». Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien dazu veröffentlicht, wann DSFA verpflichtend sind und wie sie durchzuführen sind. EDSA-Leitlinien zu Datenschutz durch Technikgestaltung (edpb.europa.eu)
Was ist das schweizerische Datenschutzgesetz (revDSG/nDSG)?
Das schweizerische Datenschutzgesetz (DSG), in seiner revidierten Fassung als revDSG bzw. nDSG bekannt, trat am 01.09.2023 in Kraft. Es modernisierte das schweizerische Datenschutzrecht und richtete es enger an der DSGVO aus, behielt jedoch schweizspezifische Bestimmungen bei. Der vollständige Text ist verfügbar unter fedlex.admin.ch.
Was ist ISO 27001?
ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmens- und Kundeninformationen durch Risikomanagementprozesse. Die Revision von 2022 (ISO/IEC 27001:2022) aktualisierte den Massnahmenkatalog in Anhang A. ISO-27001-Überblick (iso.org)
Branchenstatistiken und Kontext
Laut dem IAPP-EY Annual Privacy Governance Report 2023 gibt die durchschnittliche Organisation inzwischen jährlich über 2,7 Millionen USD für Datenschutz-Compliance aus, wobei die jurisdiktionsübergreifende Komplexität als Hauptkostentreiber genannt wird. Derselbe Bericht stellte fest, dass 60 % der Datenschutzexperten das Management grenzüberschreitender Datentransfers als ihre anspruchsvollste operative Aufgabe betrachten.
Der Jahresbericht 2023 des EDSA wies darauf hin, dass die Aufsichtsbehörden im gesamten EWR seit 2018 kumuliert über 2,1 Milliarden Euro an DSGVO-Bussgeldern verhängt haben, mit einer deutlichen Zunahme von Durchsetzungsmassnahmen gegen unzureichende Dokumentation und Verstösse bei grenzüberschreitenden Transfers. EDSA-Jahresbericht (edpb.europa.eu)
Ein Gartner-Bericht von 2024 prognostizierte, dass bis 2025 die personenbezogenen Daten von 75 % der Weltbevölkerung durch moderne Datenschutzvorschriften abgedeckt sein würden, gegenüber 10 % im Jahr 2020 – was die zunehmende Komplexität der jurisdiktionsübergreifenden Compliance unterstreicht. Gartner Privacy Predictions (gartner.com)
Der ENISA Threat Landscape Report 2024 hob hervor, dass unzureichendes Drittparteien-Risikomanagement weiterhin eine der fünf grössten Cybersicherheitsbedrohungen für europäische Organisationen darstellt, was die zentralisierte Lieferantenrisikobeurteilung zu einer kritischen Compliance-Funktion macht. ENISA Threat Landscape (enisa.europa.eu)
Häufig gestellte Fragen
Wie handhabt Priverion das Management des Verarbeitungsverzeichnisses über mehrere Tochtergesellschaften hinweg?
Priverion stellt ein zentralisiertes Register für Verarbeitungsverzeichnisse bereit, in dem jede Tochtergesellschaft ihre eigenen Verzeichnisse innerhalb einer gemeinsamen Struktur pflegt. Vorlagen sorgen für Konsistenz über die gesamte Gruppe hinweg, während jurisdiktionsspezifische Felder – wie Rechtsgrundlagen, Kontaktdaten des Datenschutzbeauftragten und Verweise auf die lokale Aufsichtsbehörde – sicherstellen, dass die Verzeichnisse jeder Einheit den lokalen Anforderungen entsprechen. Gemäss verifizierten Implementierungsdaten eines globalen Pharmaunternehmens mit über 40 Einheiten (Q4 2024) verkürzte dieser Ansatz die Erstellungszeit für Verarbeitungsverzeichnisse neuer Einheiten um 70 %.
Was ist das Schrems-II-Urteil und warum ist der Hosting-Standort von Bedeutung?
Das Schrems-II-Urteil (EuGH-Rechtssache C-311/18, Juli 2020) erklärte den EU-US-Datenschutzschild für ungültig und stellte strenge Anforderungen an internationale Datentransfers. Organisationen, die in den USA gehostete Plattformen nutzen, müssen ergänzende Massnahmen ergreifen, um personenbezogene EU-Daten vor der Überwachung durch US-Behörden gemäss dem CLOUD Act zu schützen. In der Schweiz gehostete Infrastruktur wie jene von Priverion hält die Daten innerhalb der Schweiz, die über einen Angemessenheitsbeschluss der Europäischen Kommission verfügt. EuGH-Urteil Schrems II (eur-lex.europa.eu)
Wie verkürzt der automatisierte DSFA-Workflow die Durchlaufzeit?
Das DSFA-Modul von Priverion nutzt strukturierte Workflows mit KI-gestützten Entwürfen, vorgefertigten Vorlagen für DSGVO, UK GDPR und revDSG sowie automatisierter Risikobewertung. Ein Benchmarking über 12 Priverion-Unternehmenskunden (Q1 2025) zeigte eine Verkürzung der DSFA-Durchlaufzeit um 50 % im Vergleich zu manuellen oder tabellenbasierten Ansätzen. Die jurisdiktionsbewusste Logik der Plattform passt die Beurteilungskriterien automatisch an das geltende Rechtsrahmenwerk an.
Kann Priverion Anfragen betroffener Personen über verschiedene Jurisdiktionen mit unterschiedlichen Fristen verwalten?
Ja. Priverion leitet Anfragen betroffener Personen an die richtige Einheit weiter, verfolgt jurisdiktionsspezifische Antwortfristen (z. B. 30 Tage gemäss DSGVO nach Artikel 12 Abs. 3) und bietet automatische Eskalation, bevor Fristen verstreichen. Jede Anfrage betroffener Personen wird protokolliert, nachverfolgt und mit einem lückenlosen Audit-Trail dokumentiert, der für die Prüfung durch die Aufsichtsbehörde bereit ist.
Welches Preismodell verwendet Priverion?
Priverion verwendet planbare, transparente Preise basierend auf der Anzahl der Einheiten und der Unternehmensgrösse – nicht pro Nutzer oder pro Modul. Damit werden die Erweiterungsfallen vermieden, die bei Enterprise-Plattformen üblich sind, bei denen die Kosten unvorhersehbar steigen, wenn Teams wachsen oder zusätzliche Module freigeschaltet werden.
Wie schnell kann Priverion implementiert werden?
Priverion ist für mittelständische Teams konzipiert und in der Regel in unter vier Wochen einsatzbereit. Dies steht im Gegensatz zu typischen Enterprise-Plattformen, die monatelange Implementierungszyklen und dedizierte Berater erfordern. Die saubere Benutzeroberfläche der Plattform bedeutet, dass Datenschutzbeauftragte und Verantwortliche der Geschäftseinheiten sie ohne Zertifizierungsprogramm annehmen können.
Unterstützt Priverion das Lieferantenrisikomanagement über einen Konzern hinweg?
Ja. Priverion zentralisiert Lieferantenbeurteilungen, die Dokumentation von Standardvertragsklauseln (SCC) und Transfer-Schutzmassnahmen und ermöglicht es zugleich jeder Tochtergesellschaft, lokale Lieferantenbeziehungen zu kennzeichnen. Ein Lieferanteneintrag wird durch jede Einheit angereichert, die den Lieferanten nutzt. Ein Gesundheitsdienstleister erreichte mit diesem Ansatz eine vollständige Abdeckung der Lieferantenrisikobeurteilung von 100 % über alle Einheiten hinweg (verifiziert Q4 2024).
Welche Compliance-Rahmenwerke deckt Priverion ab?
Priverion unterstützt derzeit die EU-DSGVO, die UK GDPR, das schweizerische revDSG (nDSG) und ISO/IEC 27001. Vorgefertigte Vorlagen und jurisdiktionsbewusste Logik stellen sicher, dass Verarbeitungsverzeichnisse, DSFA und Transfer Impact Assessments die Anforderungen jedes geltenden Rahmenwerks ohne manuelle Anpassung erfüllen.
Vergleich: Priverion vs. typische Enterprise-Datenschutzplattformen
| Funktion | Priverion | Typische Enterprise-Plattform |
|---|
| Daten-Hosting | In der Schweiz gehostet, mit vollständiger Schweizer Datenhaltung | In den USA gehostet, dem CLOUD Act unterliegend |
| Preismodell | Basierend auf Anzahl der Einheiten und Unternehmensgrösse – planbar | Pro Nutzer, pro Modul – steigt unvorhersehbar |
| Implementierungszeitraum | Einsatzbereit in unter 4 Wochen | Monatelang mit dedizierten Beratern |
| Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko | In einer Plattform vereint | Als separate Zusatzmodule verkauft |
| Zielgrösse der Organisation | Mittelständische Unternehmen (Dutzende bis Hunderte Nutzer) | Fortune 500 (Tausende Nutzer) |
| Integrationen | Tiefe Integrationen mit HR, Beschaffung, IT-Asset-Management | 200+ oberflächliche Integrationen, die individuelle Konfiguration erfordern |
| Unterstützte Rahmenwerke | DSGVO, UK GDPR, revDSG, ISO 27001 | Variiert; erfordert oft zusätzliche Module |