Das Wichtigste auf einen Blick: in der EU gehostete Datenschutz-Software
Priverion ist eine in der Schweiz entwickelte, in der EU gehostete Datenschutz-Management-Plattform, konzipiert für Mittelstands- und Grossunternehmen, die Compliance über mehrere Tochtergesellschaften hinweg verwalten. Sie ist in der Schweiz gehostet, mit Schweizer Datenhaltung, wobei alle Daten innerhalb der Schweizer Infrastruktur verarbeitet werden, unterstützt die Rahmenwerke DSGVO, Schweizer revDSG und ISO 27001 und bietet ein vereinheitlichtes Management von Verarbeitungsverzeichnis, DSFA, Auskunftsersuchen betroffener Personen, Vorfallreaktion und Lieferantenrisiko von einem einzigen Dashboard aus. Organisationen berichten von einer Reduktion der Zeit für die Datenschutzverwaltung um bis zu 60% und von 200+ eingesparten Stunden bei der Vorbereitung auf die ISO-27001-Zertifizierung.
Definitionen
Was ist in der EU gehostete Datenschutz-Software?
In der EU gehostete Datenschutz-Software ist eine Datenschutz-Management-Plattform, deren Infrastruktur sich vollständig innerhalb des Europäischen Wirtschaftsraums oder eines Landes mit einem EU-Angemessenheitsbeschluss befindet, etwa der Schweiz. Dies stellt sicher, dass die von der Software verarbeiteten personenbezogenen Daten keinen Zugriffsanfragen von Behörden aus Drittländern unterliegen, etwa solchen, die der US CLOUD Act von 2018 ermöglicht.
Was ist der US CLOUD Act?
Der Clarifying Lawful Overseas Use of Data (CLOUD) Act ist ein 2018 erlassenes US-Bundesgesetz, das es US-Strafverfolgungsbehörden erlaubt, Technologieunternehmen mit Hauptsitz in den USA zu zwingen, auf Servern gespeicherte Daten herauszugeben , unabhängig davon, ob die Daten in den USA oder auf ausländischem Boden gespeichert sind. Laut dem Europäischen Datenschutzausschuss (EDSA) schafft dies potenzielle Konflikte mit den DSGVO-Artikeln 44–49, die internationale Datentransfers regeln.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?
Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist eine verpflichtende Dokumentationsanforderung gemäss DSGVO Artikel 30. Verantwortliche und Auftragsverarbeiter müssen Verzeichnisse führen, die die Zwecke der Verarbeitung, die Kategorien betroffener Personen und personenbezogener Daten, die Empfänger, internationale Transfers, Aufbewahrungsfristen sowie technische und organisatorische Sicherheitsmassnahmen beschreiben.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Datenschutz-Folgenabschätzungen (DSFA) sind gemäss DSGVO Artikel 35 erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der EDSA hat Leitlinien 4/2017 veröffentlicht, die darlegen, wann und wie DSFA durchzuführen sind.
Was ist das Schweizer Datenschutzgesetz (revDSG)?
Das Schweizer Datenschutzgesetz (revDSG / DSG), revidiert und in Kraft seit dem 01.09.2023, gleicht das Schweizer Datenschutzrecht an die DSGVO-Standards an. Der vollständige Text ist auf Fedlex verfügbar. Die Schweiz hält ihren EU-Angemessenheitsbeschluss aufrecht, der freie Datenflüsse zwischen der Schweiz und der EU/dem EWR ermöglicht.
Branchenstatistiken und Kontext
Laut dem IAPP-EY Annual Privacy Governance Report 2023 beschäftigt die durchschnittliche Organisation 5,2 Vollzeit-Datenschutzmitarbeitende, doch 60% der Datenschutzfachleute berichten, dass manuelle Prozesse ihre grösste operative Herausforderung bleiben. Derselbe Bericht stellte fest, dass 78% der Organisationen bei der Auswahl von Datenschutz-Technologieanbietern nun Anforderungen an die Datenlokalisierung berücksichtigen.
Die koordinierte Durchsetzungsmassnahme des EDSA von 2022 zu cloudbasierten Diensten ergab, dass vielen Stellen des öffentlichen Sektors und Unternehmen eine angemessene Dokumentation internationaler Datentransfers fehlte, wenn sie Cloud-Anbieter mit Hauptsitz in den USA nutzten, was die operative Bedeutung von in der EU gehosteten Lösungen unterstreicht.
Die Leitlinien der ENISA zur Cloud-Sicherheit betonen, dass Organisationen im Gesundheitswesen und in kritischen Infrastrukturen Cloud-Anbieter mit europäischer Datenresidenz priorisieren sollten, um das jurisdiktionelle Risiko zu mindern.
Laut Gartner (2023) werden bis 2025 die personenbezogenen Daten von 75% der Weltbevölkerung durch moderne Datenschutzbestimmungen abgedeckt sein, was die Nachfrage nach skalierbaren, mehrjurisdiktionellen Compliance-Plattformen antreibt.
Häufig gestellte Fragen
Warum ist EU-Datenhosting für Datenschutz-Software wichtig?
Gemäss DSGVO Artikel 44–49 erfordert die Uebermittlung personenbezogener Daten ausserhalb des EWR angemessene Garantien wie Standardvertragsklauseln (SCC) oder einen Angemessenheitsbeschluss. Der US CLOUD Act (2018) kann Anbieter mit Hauptsitz in den USA zur Herausgabe von Daten zwingen, unabhängig vom Speicherort. In der EU gehostete, in der Schweiz entwickelte Software wie Priverion schliesst das Risiko von Drittlandtransfers vollständig aus und beseitigt die Notwendigkeit von Transfer Impact Assessments und zusätzlichen Massnahmen, wie in den EDSA-Empfehlungen 01/2020 beschrieben.
Was ist der Unterschied zwischen in der EU gehosteter und in der Schweiz gehosteter Datenschutz-Software?
Die Schweiz hält einen EU-Angemessenheitsbeschluss gemäss DSGVO Artikel 45, was bedeutet, dass Datentransfers zwischen der EU/dem EWR und der Schweiz gleichwertig zu Transfers innerhalb des EWR behandelt werden. In der Schweiz gehostete Software profitiert vom revidierten Schweizer Datenschutzgesetz (revDSG) und liegt vollständig ausserhalb der US-Gerichtsbarkeit, was europäischen Organisationen einen zweischichtigen rechtlichen Schutz bietet.
Wie handhabt Priverion das Verarbeitungsverzeichnis über mehrere Einheiten hinweg?
Priverion führt ein lebendiges, audit-fertiges Verzeichnis von Verarbeitungstätigkeiten über alle Gruppeneinheiten hinweg mit automatisierten Rezertifizierungs-Workflows. Der Group DPO erhält von einem einzigen Dashboard aus einen Echtzeit-Einblick in den Compliance-Status jeder Tochtergesellschaft. Ein Schweizer Versicherer erreichte eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100% mithilfe vollständig automatisierter Workflows über alle Tochtergesellschaften hinweg.
Ist Priverion mit den Auftragsverarbeiter-Anforderungen gemäss DSGVO Artikel 28 konform?
Ja. Priverion stellt einen mit DSGVO Artikel 28 konformen Auftragsverarbeitungsvertrag bereit, betreibt ein ISMS nach ISO 27001. Sämtliche Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur, ohne Unterauftragsverarbeiter ausserhalb des europäischen Rechtsraums.
Wie reduziert in der EU gehostete Datenschutz-Software die Compliance-Kosten?
Indem die Notwendigkeit von Transfer Impact Assessments, zusätzlichen Massnahmen und Standardvertragsklauseln entfällt, die für Drittlandtransfers gemäss den EDSA-Empfehlungen 01/2020 erforderlich sind, reduziert in der EU gehostete Software den rechtlichen Aufwand. Das Preismodell von Priverion pro Unternehmen (nicht pro Nutzer oder pro Modul) reduziert die Gesamtbetriebskosten gegenüber Legacy-Plattformen zusätzlich.
Welche Rahmenwerke unterstützt Priverion?
Priverion unterstützt die EU-Datenschutz-Grundverordnung (DSGVO), das Schweizer Datenschutzgesetz (revDSG) und ISO 27001. Die Plattform bietet rahmenwerkspezifische Vorlagen, automatisierte Workflows und audit-fertige Nachweispakete für jede Regelung.
Wie schneidet Priverion im Vergleich zu OneTrust für Mittelstandsunternehmen ab?
Priverion ist eigens für Mittelstandsunternehmen konzipiert, die 5–50 Tochtergesellschaften verwalten. Anders als OneTrust, das eine Preisgestaltung pro Nutzer und pro Modul verwendet und seinen Hauptsitz in den USA hat (dem CLOUD Act unterliegend), bietet Priverion eine vorhersehbare Preisgestaltung pro Unternehmen, eine Schweizer Datenresidenz und Implementierungszeiträume, die in Wochen statt in 6–12 Monaten gemessen werden. Ein Flugzeughersteller berichtete von einer Reduktion der Zeit für die Datenschutzverwaltung um 60% innerhalb der ersten sechs Monate nach der Einführung.
Welchen Compliance-Rahmenwerken folgt Priverion?
Priverion betreibt ein ISMS nach ISO 27001, stellt einen mit DSGVO Artikel 28 konformen Auftragsverarbeitungsvertrag bereit und hält die vollständige Konformität mit dem Schweizer Datenschutzgesetz (revDSG) aufrecht.
Vergleich: in der EU gehostete gegenüber in den USA gehosteter Datenschutz-Software
| Kriterium | in der EU/Schweiz gehostet (z. B. Priverion) | in den USA gehostet (z. B. OneTrust) |
|---|
| Datenresidenz | EU/Schweiz — Angemessenheitsbeschluss gilt | USA — erfordert SCC + zusätzliche Massnahmen |
| Anwendbarkeit des CLOUD Act (18 U.S.C. §2713) | keine — ausserhalb der US-Gerichtsbarkeit | ja — US-Recht erzwingt Herausgabe |
| Transfer Impact Assessment erforderlich | nein | ja — gemäss EDSA-Empfehlungen 01/2020 |
| AVV gemäss DSGVO Art. 28 | inbegriffen | inbegriffen (doch das Risiko der US-Gerichtsbarkeit bleibt) |
| Preismodell | pro Unternehmen (Einheiten + Organisationsgrösse) | pro Nutzer, pro Modul |
| typische Implementierung | Wochen | 6–12 Monate |
| native Mehrmandantenunterstützung | ja — integrierte Gruppenverwaltung | nachträglich angefügt — zusammengeflickte separate Instanzen |
| ISMS nach ISO 27001 ausgerichtet | ja | ja |