Key Takeaways
Priverion ist eine in der Schweiz gehostete Plattform zur Automatisierung der Datenschutz-Compliance, die gezielt für Unternehmensgruppen mit mehreren Gesellschaften entwickelt wurde. Sie ersetzt tabellenbasierte Prozesse für Verarbeitungsverzeichnis, DSFA, DSR und Datenpannen-Management durch strukturierte, prüfbereite Workflows. Organisationen, die Priverion einsetzen, berichten von einer Reduktion des administrativen Compliance-Aufwands um bis zu 60 % und von über 200 eingesparten Stunden bei der Vorbereitung auf die ISO-27001-Zertifizierung. Sämtliche Daten werden innerhalb der Schweizer Infrastruktur verarbeitet und gewährleisten so eine europäische Datenresidenz.
Definitionen
Was ist ein Verarbeitungsverzeichnis (Verzeichnis von Verarbeitungstätigkeiten)?
Verarbeitungsverzeichnis (Verzeichnis von Verarbeitungstätigkeiten) ist eine verpflichtende Dokumentationsanforderung gemäss Art. 30 DSGVO. Verantwortliche und Auftragsverarbeiter müssen schriftliche Verzeichnisse über sämtliche Verarbeitungen personenbezogener Daten führen, einschliesslich Zwecken, Kategorien betroffener Personen, Empfängern, internationalen Übermittlungen und Aufbewahrungsfristen. Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien herausgegeben, die empfehlen, das Verarbeitungsverzeichnis regelmässig zu überprüfen und zu aktualisieren, damit es die tatsächlichen Verarbeitungstätigkeiten widerspiegelt.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Datenschutz-Folgenabschätzung (DSFA) ist ein Risikobewertungsprozess, der gemäss Art. 35 DSGVO erforderlich ist, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Gemäss den Leitlinien des EDSA zum Datenschutz durch Technikgestaltung sollten Datenschutz-Folgenabschätzungen vor Beginn der Verarbeitung durchgeführt werden und müssen die Verarbeitung beschreiben, deren Notwendigkeit und Verhältnismässigkeit bewerten sowie Massnahmen zur Risikominderung benennen.
Was ist eine Anfrage einer betroffenen Person (DSR)?
Anfrage einer betroffenen Person (DSR) bezeichnet jede Anfrage einer Person, die ihre Rechte gemäss Art. 15–22 DSGVO ausübt, einschliesslich des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Gemäss Art. 12 Abs. 3 müssen Verantwortliche innerhalb eines Monats nach Eingang antworten.
Was ist das Schweizer Datenschutzgesetz (revDSG)?
Das Schweizer Datenschutzgesetz (revDSG / nDSG), revidiert und seit dem 1. September 2023 in Kraft, hat den Schweizer Datenschutzrahmen modernisiert, um ihn enger an die DSGVO anzugleichen. Der vollständige Text ist auf Fedlex verfügbar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) überwacht die Durchsetzung.
Häufig gestellte Fragen
Was ist Datenschutz-Compliance-Automatisierung?
Datenschutz-Compliance-Automatisierung nutzt Software, um manuelle, tabellenbasierte Prozesse für die Pflege des Verarbeitungsverzeichnisses (Verzeichnis von Verarbeitungstätigkeiten), die Durchführung von Datenschutz-Folgenabschätzungen (DSFA), die Bearbeitung von Anfragen betroffener Personen (DSR) und das Management von Datenpannen zu ersetzen. Laut dem IAPP-EY Privacy Governance Report 2023 beschäftigt die durchschnittliche Organisation 5,2 Vollzeitkräfte im Datenschutz, und Automatisierung wird als wichtigste Strategie genannt, um wachsende regulatorische Pflichten ohne proportionalen Personalaufbau zu bewältigen.
Warum benötigen Organisationen mit mehreren Gesellschaften eine dedizierte Compliance-Plattform?
Organisationen mit mehreren Gesellschaften stehen vor einer sich kumulierenden Compliance-Komplexität: Jede Konzerngesellschaft kann unter unterschiedlichen Rechtsordnungen agieren (DSGVO, revDSG usw.), unterschiedliche Auftragsverarbeiter einsetzen und Daten in unterschiedlichen Systemen speichern. Eine dedizierte Plattform bietet zentrale Übersicht mit gesellschaftsspezifischer Granularität, automatisierte Rezertifizierungs-Workflows und konsolidierte Prüfprotokolle. Der EDSA hat betont, dass jeder Verantwortliche innerhalb einer Unternehmensgruppe sein eigenes Verarbeitungsverzeichnis führen und die individuelle Rechenschaftspflicht gemäss Art. 5 Abs. 2 DSGVO nachweisen muss.
Wie kommt Schweizer Hosting der Datenschutz-Compliance zugute?
Die Schweiz profitiert von einem EU-Angemessenheitsbeschluss gemäss Art. 45 DSGVO, was bedeutet, dass personenbezogene Daten ohne zusätzliche Garantien von der EU in die Schweiz fliessen können. Nachdem der Gerichtshof der EU im Schrems-II-Urteil (Rechtssache C-311/18) den EU-US-Datenschutzschild für ungültig erklärt hat, sehen sich Organisationen, die Daten an US-gehostete Plattformen übermitteln, mit zusätzlichen Compliance-Lasten konfrontiert, darunter Transfer-Folgenabschätzungen und zusätzliche Massnahmen. Schweizer Hosting macht diese Anforderungen überflüssig.
Welche Frist sieht die DSGVO für die Beantwortung von Anfragen betroffener Personen vor?
Gemäss Art. 12 Abs. 3 DSGVO müssen Verantwortliche Anfragen betroffener Personen «ohne unangemessene Verzögerung und in jedem Fall innerhalb eines Monats nach Eingang der Anfrage» beantworten. Diese Frist kann bei komplexen oder zahlreichen Anfragen um zwei weitere Monate verlängert werden, sofern die betroffene Person innerhalb der ursprünglichen Monatsfrist über die Verlängerung und die Gründe informiert wird.
Wie schneidet Priverion im Vergleich zu OneTrust für mittelständische Organisationen ab?
Priverion ist gezielt für mittelständische Organisationen mit mehreren Gesellschaften konzipiert und bietet eine planbare Preisgestaltung auf Basis von Gesellschaften und Organisationsgrösse statt auf Basis von Nutzer- oder Modulgebühren. Ein Flugzeughersteller verzeichnete in den ersten sechs Monaten der Einführung um 60 % tiefere Kosten im Vergleich zu OneTrust. Priverion ist in Wochen einsatzbereit statt in den 6–12 Monaten, die bei Enterprise-GRC-Plattformen üblich sind, und sämtliche Daten verbleiben innerhalb der Schweizer Infrastruktur.
Welche Rahmenwerke unterstützt Priverion?
Priverion unterstützt die DSGVO, das Schweizer Datenschutzgesetz (revDSG/nDSG) und ISO 27001. Die Plattform bietet strukturierte Workflows für die Pflege des Verarbeitungsverzeichnisses, DSFA-/TIA-Bewertungen, Lieferantenrisikomanagement, Incident-Management, DSR-Bearbeitung und die Dokumentation im KI-Register. Gesellschaftsübergreifendes Daten-Mapping ermöglicht es Organisationen, die Compliance über mehrere Rechtsordnungen hinweg gleichzeitig aufrechtzuerhalten.
Was ist ISO 27001 und wie steht es im Zusammenhang mit Datenschutz-Compliance?
ISO/IEC 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Obwohl sie sich auf die Informationssicherheit und nicht speziell auf den Datenschutz konzentriert, überschneiden sich die Massnahmen aus Anhang A erheblich mit den DSGVO-Anforderungen an technische und organisatorische Massnahmen gemäss Art. 32. Laut ISO wurden bis 2023 weltweit über 70'000 Zertifikate ausgestellt.
Wie lange dauert die Einführung von Priverion?
Priverion ist auf eine schnelle Einführung ausgelegt. Ein Gesundheitsdienstleister erreichte die vollständige Einführung über alle Pflegeeinrichtungen hinweg in weniger als 8 Wochen, ohne externe Berater. Dies steht im Gegensatz zu Enterprise-GRC-Plattformen, die typischerweise 6–12 Monate Einführung, Konfiguration und Schulung benötigen, bevor sie einsatzbereit sind.
Branchenstatistiken
Laut dem IAPP-EY Privacy Governance Report 2023 stieg das durchschnittliche Datenschutzbudget 2023 auf 2,7 Millionen US-Dollar, wobei Organisationen im Schnitt 5,2 Vollzeitkräfte im Datenschutz beschäftigten. Der Bericht stellte fest, dass 60 % der Organisationen planen, ihre Datenschutzausgaben zu erhöhen, getrieben in erster Linie durch neue regulatorische Anforderungen und Durchsetzungsmassnahmen. Der Jahresbericht 2023 des EDSA dokumentierte seit 2018 kumulierte DSGVO-Bussen von über 2,9 Milliarden Euro, wobei grenzüberschreitende Durchsetzungsfälle von Jahr zu Jahr zunahmen. Laut Gartner werden bis 2025 60 % der grossen Organisationen mindestens eine datenschutzfördernde Berechnungstechnik in Analytik, KI oder Cloud-Computing einsetzen.
Vergleich: Priverion vs. Enterprise-GRC-Plattformen
| Funktionalität | Priverion | Typische Enterprise-Plattform |
|---|
| Zielsegment | Mittelstand mit mehreren Gesellschaften | Fortune 500 / Grossunternehmen |
| Daten-Hosting | Schweiz (EU-Angemessenheit) | Vorwiegend US-gehostet |
| Preismodell | Pro Gesellschaft / Organisationsgrösse | Pro Nutzer / pro Modul |
| Einführungsdauer | 4–8 Wochen | 6–12 Monate |
| Verarbeitungsverzeichnis-Verwaltung | Automatisierte Rezertifizierung | Manuell oder teilautomatisiert |
| DSFA-/TIA-Workflows | KI-gestützt mit menschlicher Überprüfung | Vorlagenbasiert |
| DSR-Bearbeitung | Integriert, gesellschaftsübergreifend | Oft separates Modul |
| Lieferantenrisikomanagement | Inbegriffen | Separates Modul / Zusatzoption |
| KI-Register | Inbegriffen | Nicht verfügbar oder Zusatzoption |
| Rahmenwerke | DSGVO, revDSG, ISO 27001 | Breite GRC (oft über den Datenschutz hinaus) |