Compliance nach DSGVO Artikel 28

Auftragsverarbeiter-Audit nach DSGVO Artikel 28: automatisiert, auditfähig, unternehmenstauglich

Schluss mit der Verwaltung von Auftragsverarbeiter-Audits in Tabellen. Priverion bietet Datenschutzteams einen einzigen, strukturierten Workflow, um die Compliance nach Artikel 28 über jeden Auftragsverarbeiter, Unterauftragsverarbeiter und jede Konzerneinheit hinweg zu überprüfen, mit einer belastbaren Audit-Spur, die Aufsichtsbehörden tatsächlich akzeptieren.

Artikel 28 verpflichtet Verantwortliche, ihre Auftragsverarbeiter zu auditieren. Doch wenn Sie 50, 200 oder über 500 Auftragsverarbeiter über mehrere Tochtergesellschaften und Rechtsräume hinweg verwalten, wird «Audit» zum operativen Albtraum. Priverion verwandelt Auftragsverarbeiter-Audits von einem vierteljährlichen Feuerwehreinsatz in einen kontinuierlichen, automatisierten Compliance-Workflow.

Erleben Sie Ihren Auftragsverarbeiter-Audit-Workflow

Vertrauen von Datenschutzteams in über 80 Organisationen in 15 Rechtsräumen

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Wie Priverion Auftragsverarbeiter-Audits nach DSGVO Artikel 28 systematisch und belastbar macht

Jede Funktion lässt sich direkt einer konkreten Pflicht aus Artikel 28 oder dem operativen Aufwand zuordnen, der im grossen Massstab entsteht. Kein Funktionstheater, nur die Workflows, die Ihr Datenschutzteam wirklich braucht.

Zentrales Auftragsverarbeiter-Register über alle Einheiten hinweg

Pflegen Sie eine einzige verlässliche Quelle für jede Auftragsverarbeiter-Beziehung über Ihre gesamte Konzernstruktur hinweg. Jeder Auftragsverarbeiter-Datensatz ist mit der relevanten Einheit, der Verarbeitungstätigkeit, dem AVV und der Risikobeurteilung verknüpft. Schluss mit der Suche über Netzlaufwerke und Postfächer hinweg.

80% schnellere Reaktionszeiten gegenüber Aufsichtsbehörden

Basierend auf den Bearbeitungszeiten für Auftragsverarbeiter-Anfragen, wie sie von Priverion-Unternehmenskunden mit über 100 Auftragsverarbeitern berichtet werden

Nachverfolgung von Unterauftragsverarbeitern und Änderungsbenachrichtigungen

Bilden Sie für jeden Auftragsverarbeiter die Kette der Unterauftragsverarbeiter ab. Richten Sie automatisierte Benachrichtigungen ein, sobald Auftragsverarbeiter Sie über Änderungen bei Unterauftragsverarbeitern informieren, damit Sie Ihr Widerspruchsrecht nach Artikel 28 Absatz 2 innerhalb der vertraglichen Frist ausüben können, statt erst Monate später.

Blinde Flecken bei Unterauftragsverarbeitern vollständig beseitigen

Die automatisierte Änderungserkennung ersetzt die manuelle Überwachung, die die meisten Teams unter Ressourcendruck überspringen

Lebenszyklus-Management von AVVs

Verfolgen Sie jede AVV-Version, jeden Nachtrag und jedes SCC-Addendum. Verknüpfen Sie AVVs mit bestimmten Einheiten und Verarbeitungstätigkeiten. Legen Sie Erinnerungen für Ablauf und Überprüfung fest. Erstellen Sie in Sekunden einen vollständigen AVV-Compliance-Bericht für jede Einheit, statt tagelang im Postfach zu archäologisieren.

Vollständige AVV-Nachvollziehbarkeit pro Einheit, pro Auftragsverarbeiter

Lücken in AVV-Versionen sind die häufigste Nachweislücke, die Aufsichtsbehörden bei Auftragsverarbeiter-Audits beanstanden

Automatisierte Auftragsverarbeiter-Beurteilung und -Rezertifizierung

Setzen Sie standardisierte oder individuell angepasste Beurteilungsfragebögen ein. Bewerten Sie Antworten anhand Ihres Risikorahmens. Lösen Sie Rezertifizierungs-Workflows nach Ihrem festgelegten Zeitplan aus (jährlich, halbjährlich oder nach Risikostufe). Ihr Team hört auf zu jagen und beginnt zu steuern.

60% weniger Aufwand bei der Rezertifizierung

Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten 6 Monaten mit Priverion um 60%

Audit-Spur und Nachweisexport

Jede Aktion in Priverion ist mit Zeitstempel und Urheber versehen. Exportieren Sie vollständige Audit-Pakete (Fragebogenantworten, Risikobewertungen, Massnahmen zur Behebung, AVV-Versionen, Freigabe-Workflows) in den Formaten, die Aufsichtsbehörden und interne Auditoren erwarten. Compliance nach Artikel 28 Absatz 3 Buchstabe h, dokumentiert.

Auditfähige Nachweispakete in Minuten

Ein Medizintechnikunternehmen sparte mit den Nachweis-Workflows von Priverion über 200 Stunden bei der Vorbereitung auf ISO 27001

Governance über mehrere Einheiten und Rechtsräume hinweg

Definieren Sie Richtlinien für Auftragsverarbeiter-Audits auf Konzernebene und geben Sie sie an Tochtergesellschaften weiter. Lassen Sie lokale Datenschutzteams ihre Auftragsverarbeiter-Beziehungen innerhalb eines geregelten Rahmens verwalten. Führen Sie den Compliance-Status in einem einzigen Dashboard auf Konzernebene zusammen, ob Sie 5 oder 500 Einheiten haben.

Einheitliche Compliance nach Artikel 28, ohne jede Aufgabe zu zentralisieren

Ein Gesundheitsdienstleister erreichte mit dem Konzern-Governance-Modell von Priverion eine 100%-Abdeckung der Lieferanten-Risikobeurteilung über alle Einheiten hinweg

200+

Stunden bei der Verwaltung des Verarbeitungsverzeichnisses gespart

Ein Medizintechnikunternehmen gewann über 200 Stunden zurück, die zuvor während der Vorbereitung auf ISO 27001 für die manuelle Datenpflege aufgewendet wurden, Zeit, die in die Stärkung der tatsächlichen Datenschutzpraxis floss.

Ein Medizintechnikunternehmen, erste 12 Monate mit Priverion

60%

Geringere Kosten gegenüber etablierten Enterprise-Anbietern

Planbare Preise basierend auf der Anzahl Einheiten und der Unternehmensgrösse, ohne Gebühren pro Nutzer, ohne Upselling pro Modul und ohne überraschende Mehrkosten bei der Verlängerung.

Basierend auf von Kunden berichteten TCO-Vergleichen mit OneTrust, 2024

3 Mt.

Vorsprung im Zeitplan bei ISO 27001

Auditfähige Nachweispakete in Minuten statt Wochen erstellt. Teams stellten keine Ordner mehr zusammen, sondern bestanden Audits mit bereits geordneter Dokumentation.

Ein Medizintechnikunternehmen, Zeitplan der ISO-27001-Zertifizierung gegenüber dem ursprünglichen Plan

Datenschutzmanagement auf Enterprise-Niveau ohne die Enterprise-Komplexität

Organisationen im Mittelstand und mit mehreren Einheiten brauchen eine Plattform, die für ihre Realität gebaut ist, und keine abgespeckte Version von etwas, das für Beschaffungszyklen der Fortune 100 entwickelt wurde.

Priverion
  • In der Schweiz entwickelt, in der Schweiz gehostet

    Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. In einer Welt nach Schrems II ist europäische Datenresidenz kein Marketing-Häkchen, sondern eine rechtliche Anforderung für viele grenzüberschreitende Datenübermittlungen.

  • Für das Management mehrerer Einheiten gebaut

    Konzernweites Verarbeitungsverzeichnis, einheitenübergreifendes Data-Mapping und zentrale Aufsicht durch den Datenschutzbeauftragten, von Tag eins an für Organisationen konzipiert, die Compliance über Dutzende Tochtergesellschaften und Rechtsräume hinweg verwalten.

  • Planbare, transparente Preise

    Bepreisung nach Anzahl Unternehmen und Unternehmensgrösse, nicht pro Nutzer oder pro Modul. Keine Expansionsfallen. Ihr CFO wird es Ihnen danken.

  • In Wochen einsatzbereit, nicht in Monaten

    Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance innerhalb der ersten 6 Monate um 60%. Keine sechsstelligen Implementierungsprojekte oder dedizierte Onboarding-Berater erforderlich.

    Flugzeughersteller, erste 6 Monate nach der Implementierung

  • KI-unterstützt, vom Menschen entschieden

    KI entwirft DSFAs, bewertet Risiken und ordnet regulatorische Anforderungen zu, doch jedes Ergebnis wird überprüft, bevor es zum Compliance-Datensatz wird. Es werden keine Kundendaten für das Training von Modellen verwendet.

  • All-in-one-Datenschutzplattform

    Verarbeitungsverzeichnis, DSFAs, Lieferantenrisiko, Betroffenenanfragen, Incident-Management, Meldung von Datenschutzverletzungen, SCC-Management und Bereitschaft für den AI Act, alles in einer einzigen Plattform. Tiefe Integrationen mit HR-, Beschaffungs- und IT-Asset-Management-Systemen.

Typische Enterprise-GRC-Plattformen
  • In den USA gehostete Infrastruktur

    Daten werden auf US-basierter Cloud-Infrastruktur verarbeitet, was unter Schrems II zusätzliche Anforderungen an Übermittlungsmechanismen schafft. Europäische Hosting-Optionen kommen oft als kostspielige Zusatzleistungen, sofern sie überhaupt verfügbar sind.

  • Für Fortune 500 gebaut, nach unten nachgerüstet

    Für riesige Konzerne mit dedizierten GRC-Teams konzipiert. Organisationen im Mittelstand zahlen am Ende für Module, die sie nicht benötigen (ESG, Ethik-Hotlines, Cookie-Einwilligung), nur um Zugang zu den zentralen Datenschutzfunktionen zu erhalten.

  • Preise pro Nutzer, pro Modul

    Die Kosten steigen, sobald Sie Nutzer, Tochtergesellschaften oder Module hinzufügen. Budgets werden unberechenbar. Die Plattform, für die Sie unterschrieben haben, ist selten die Plattform, für die Sie am Ende bezahlen.

  • Monatelange Implementierung

    Enterprise-GRC-Einführungen erfordern in der Regel 6 bis 12 Monate, dedizierte Projektleiter und externe Implementierungspartner, bevor ein einziges Verarbeitungsverzeichnis migriert ist.

  • KI als Blackbox

    KI-Funktionen werden als «powered» statt «assisted» vermarktet, mit begrenzter Transparenz darüber, wie Daten verarbeitet werden, wo Modelle trainiert werden oder ob Kundendaten in umfassendere Modellverbesserungen einfliessen.

  • 200 oberflächliche Integrationen

    Ein Marktplatz mit Hunderten von Konnektoren, die oft individuelle Konfiguration erfordern und laufenden Wartungsaufwand verursachen, ohne die zentralen Anforderungen an den Datenschutz-Workflow zu lösen.

Eine ehrliche Anmerkung: Wir decken kein ESG, keine Ethik-Hotlines und keine Cookie-Einwilligung ab. Wir sind nicht für Einzelunternehmen mit nur einer Einheit gebaut. Unsere Stärke ist das konzernweite Management des Datenschutzprogramms, und das machen wir besser als alle anderen.

Vom Tabellen-Chaos zur auditfähigen Sicherheit

Echte Ergebnisse von Datenschutzbeauftragten und Compliance-Verantwortlichen, die Auftragsverarbeiter-Beziehungen über Organisationen mit mehreren Einheiten hinweg verwalten.

«Wir mussten den Geschäftseinheiten früher wochenlang hinterherlaufen, heute haben wir jederzeit eine vollständige, auditfähige Übersicht über unsere Auftragsverarbeiter. Schon allein die Rezertifizierungs-Workflows haben uns eine zusätzliche Vollzeitstelle erspart.»

Flugzeughersteller

Datenschutzteam, Luftfahrthersteller mit mehreren Tochtergesellschaften

60% weniger Verwaltungsaufwand für Compliance innerhalb von 6 Monaten

«Vor Priverion waren die Lieferanten-Risikobeurteilungen über unsere Pflegeeinrichtungen hinweg uneinheitlich. Jetzt folgt jede Einheit demselben Rahmen, und wir haben volle Transparenz auf Konzernebene, ohne lokale Teams im Detail zu steuern.»

Gesundheitsdienstleister

Datenschutzteam, Gesundheitsgruppe mit mehreren Einheiten

100%-Abdeckung der Lieferanten-Risikobeurteilung über alle Einheiten hinweg

Kostenloser Download

Die Checkliste für das Auftragsverarbeiter-Audit nach DSGVO Artikel 28

Schluss mit improvisierten Auftragsverarbeiter-Audits. Diese Checkliste gibt Ihnen einen strukturierten, wiederholbaren Prozess im Einklang mit den Anforderungen von Artikel 28, damit nichts durch die Maschen fällt, wenn die Aufsichtsbehörden anklopfen.

Das erwartet Sie darin:

  • Audit-Rahmen mit 23 Punkten, der jede Pflicht aus Artikel 28 abdeckt, von Unterauftragsverarbeiter-Ketten bis zu Klauseln zur Datenlöschung
  • Warnsignale, die auf Auftragsverarbeiter-Beziehungen mit hohem Risiko hinweisen, bevor sie zu Meldungen von Datenschutzverletzungen werden
  • Vorlage zur klauselweisen Überprüfung des AVV, die Sie direkt an Ihr Rechtsteam oder externe Auditoren weitergeben können
  • Bewertungsraster, um zu priorisieren, welche Auftragsverarbeiter sofortige Behebung benötigen und welche eine jährliche Überprüfung

Kostenloses PDF. Keine Demo erforderlich. Wir senden es Ihnen in Ihr Postfach.

Im Einsatz bei Datenschutzbeauftragten, die die Auftragsverarbeiter-Compliance über Organisationen mit mehreren Einheiten hinweg verwalten, darunter Teams bei einem Gesundheitsdienstleister, wo mit Priverion eine 100%-Abdeckung der Lieferanten-Risikobeurteilung erreicht wurde.

Kundenergebnisse eines Gesundheitsdienstleisters, 2024

Auftragsverarbeiter-Audit nach DSGVO Artikel 28: Ihre Fragen beantwortet

Praxisnahe Antworten für Datenschutzbeauftragte und Compliance-Verantwortliche, die Auftragsverarbeiter-Audits über Organisationen mit mehreren Einheiten hinweg verwalten.

Was verlangt DSGVO Artikel 28 für Auftragsverarbeiter-Audits?

Artikel 28 verpflichtet Verantwortliche, ausschliesslich Auftragsverarbeiter einzusetzen, die hinreichende Garantien für die Einhaltung der DSGVO bieten. Verantwortliche müssen über einen schriftlichen Vertrag (AVV) verfügen, der bestimmte Pflichten abdeckt, und Auftragsverarbeiter müssen Audits und Überprüfungen ermöglichen und dazu beitragen. Dazu gehört die Überprüfung von Unterauftragsverarbeiter-Vereinbarungen, Praktiken zur Datenlöschung, Sicherheitsmassnahmen und Mechanismen für grenzüberschreitende Übermittlungen.

Wie häufig sollten Auftragsverarbeiter-Audits nach Artikel 28 durchgeführt werden?

Die DSGVO schreibt keine feste Audit-Häufigkeit vor. Bewährte Praxis ist ein risikobasierter Ansatz: Auftragsverarbeiter mit hohem Risiko, die sensible Daten oder grosse Datenmengen verarbeiten, sollten jährlich geprüft werden, während Auftragsverarbeiter mit geringerem Risiko alle zwei bis drei Jahre beurteilt werden können. Jede Änderung bei einem Unterauftragsverarbeiter sollte unabhängig vom Zeitplan eine Überprüfung auslösen. Mit Priverion können Sie Rezertifizierungs-Zeitpläne nach Risikostufe konfigurieren, damit nichts durch die Maschen fällt.

Was ist der Unterschied zwischen einem Auftragsverarbeiter-Audit und einer Lieferanten-Risikobeurteilung?

Eine Lieferanten-Risikobeurteilung bewertet das Gesamtrisiko, das ein Dritter für Ihr Unternehmen darstellt, und umfasst Sicherheit, finanzielle Stabilität und betriebliche Faktoren. Ein Auftragsverarbeiter-Audit nach Artikel 28 überprüft gezielt die Pflichten zur DSGVO-Compliance: Einhaltung des AVV, Verwaltung von Unterauftragsverarbeitern, Datenlöschung, Prozesse zur Meldung von Datenschutzverletzungen sowie technische und organisatorische Sicherheitsmassnahmen. Priverion deckt beides innerhalb eines einzigen integrierten Workflows ab.

Wie automatisiert Priverion Auftragsverarbeiter-Audits nach DSGVO Artikel 28?

Priverion bietet ein zentrales Auftragsverarbeiter-Register über alle Konzerneinheiten hinweg, automatisierte Beurteilungsfragebögen mit Risikobewertung, die Nachverfolgung von Änderungen bei Unterauftragsverarbeitern mit Benachrichtigungen, das Lebenszyklus-Management von AVVs sowie den Export auditfähiger Nachweise. Rezertifizierungs-Workflows laufen nach konfigurierbaren Zeitplänen, sodass Ihr Team die Compliance kontinuierlich steuert, statt jedes Quartal in Hektik zu verfallen.

Kann Priverion Auftragsverarbeiter-Audits über mehrere Tochtergesellschaften und Rechtsräume hinweg verwalten?

Ja. Priverion ist speziell für Organisationen mit mehreren Einheiten konzipiert. Sie können Richtlinien für Auftragsverarbeiter-Audits auf Konzernebene definieren und an Tochtergesellschaften weitergeben, während lokale Datenschutzteams ihre eigenen Auftragsverarbeiter-Beziehungen innerhalb eines geregelten Rahmens verwalten. Der Compliance-Status wird in einem einzigen Dashboard auf Konzernebene zusammengeführt. Ein Gesundheitsdienstleister erreichte mit diesem Modell eine 100%-Abdeckung der Lieferanten-Risikobeurteilung über alle Einheiten hinweg.

Wo werden die Daten von Priverion gehostet?

Alle Priverion-Daten werden innerhalb der Schweizer Infrastruktur verarbeitet und gespeichert. In einem Umfeld nach Schrems II bietet eine in der Schweiz entwickelte und in der Schweiz gehostete Lösung europäische Datenresidenz und beseitigt die zusätzlichen Anforderungen an Übermittlungsmechanismen, die mit in den USA gehosteten Plattformen einhergehen. Es werden keine Kundendaten für das Training von KI-Modellen verwendet.

Schluss mit der Verwaltung der Datenschutz-Compliance in Tabellen. Beginnen Sie, sie wirklich zu managen.

Ein Flugzeughersteller senkte den Verwaltungsaufwand für Compliance in sechs Monaten um 60%. Ein Schweizer Versicherer erreichte eine 100%-Rezertifizierung des Verarbeitungsverzeichnisses, vollständig automatisiert. Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001. Sehen Sie, wie Priverion mit Ihren Daten, Ihren Einheiten und Ihren Workflows aussieht.

Wochen, nicht Monate

Durchschnittliche Zeit bis zur Einsatzbereitschaft, basierend auf Kunden-Onboarding-Daten

50+ unterstützte Einheiten

Konzerngruppen mit mehreren Tochtergesellschaften über Rechtsräume hinweg

100% in der Schweiz gehostet

Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur

Kein Verkaufsgespräch. Ein echter Rundgang anhand Ihres Anwendungsfalls. Planbare Preise, keine Überraschungen pro Nutzer oder pro Modul.