Auftragsverarbeiter-Audit nach DSGVO Artikel 28: automatisiert, auditfähig, unternehmenstauglich
Schluss mit der Verwaltung von Auftragsverarbeiter-Audits in Tabellen. Priverion bietet Datenschutzteams einen einzigen, strukturierten Workflow, um die Compliance nach Artikel 28 über jeden Auftragsverarbeiter, Unterauftragsverarbeiter und jede Konzerneinheit hinweg zu überprüfen, mit einer belastbaren Audit-Spur, die Aufsichtsbehörden tatsächlich akzeptieren.
Artikel 28 verpflichtet Verantwortliche, ihre Auftragsverarbeiter zu auditieren. Doch wenn Sie 50, 200 oder über 500 Auftragsverarbeiter über mehrere Tochtergesellschaften und Rechtsräume hinweg verwalten, wird «Audit» zum operativen Albtraum. Priverion verwandelt Auftragsverarbeiter-Audits von einem vierteljährlichen Feuerwehreinsatz in einen kontinuierlichen, automatisierten Compliance-Workflow.
Erleben Sie Ihren Auftragsverarbeiter-Audit-WorkflowWie Priverion Auftragsverarbeiter-Audits nach DSGVO Artikel 28 systematisch und belastbar macht
Jede Funktion lässt sich direkt einer konkreten Pflicht aus Artikel 28 oder dem operativen Aufwand zuordnen, der im grossen Massstab entsteht. Kein Funktionstheater, nur die Workflows, die Ihr Datenschutzteam wirklich braucht.
Zentrales Auftragsverarbeiter-Register über alle Einheiten hinweg
Pflegen Sie eine einzige verlässliche Quelle für jede Auftragsverarbeiter-Beziehung über Ihre gesamte Konzernstruktur hinweg. Jeder Auftragsverarbeiter-Datensatz ist mit der relevanten Einheit, der Verarbeitungstätigkeit, dem AVV und der Risikobeurteilung verknüpft. Schluss mit der Suche über Netzlaufwerke und Postfächer hinweg.
80% schnellere Reaktionszeiten gegenüber Aufsichtsbehörden
Basierend auf den Bearbeitungszeiten für Auftragsverarbeiter-Anfragen, wie sie von Priverion-Unternehmenskunden mit über 100 Auftragsverarbeitern berichtet werden
Nachverfolgung von Unterauftragsverarbeitern und Änderungsbenachrichtigungen
Bilden Sie für jeden Auftragsverarbeiter die Kette der Unterauftragsverarbeiter ab. Richten Sie automatisierte Benachrichtigungen ein, sobald Auftragsverarbeiter Sie über Änderungen bei Unterauftragsverarbeitern informieren, damit Sie Ihr Widerspruchsrecht nach Artikel 28 Absatz 2 innerhalb der vertraglichen Frist ausüben können, statt erst Monate später.
Blinde Flecken bei Unterauftragsverarbeitern vollständig beseitigen
Die automatisierte Änderungserkennung ersetzt die manuelle Überwachung, die die meisten Teams unter Ressourcendruck überspringen
Lebenszyklus-Management von AVVs
Verfolgen Sie jede AVV-Version, jeden Nachtrag und jedes SCC-Addendum. Verknüpfen Sie AVVs mit bestimmten Einheiten und Verarbeitungstätigkeiten. Legen Sie Erinnerungen für Ablauf und Überprüfung fest. Erstellen Sie in Sekunden einen vollständigen AVV-Compliance-Bericht für jede Einheit, statt tagelang im Postfach zu archäologisieren.
Vollständige AVV-Nachvollziehbarkeit pro Einheit, pro Auftragsverarbeiter
Lücken in AVV-Versionen sind die häufigste Nachweislücke, die Aufsichtsbehörden bei Auftragsverarbeiter-Audits beanstanden
Automatisierte Auftragsverarbeiter-Beurteilung und -Rezertifizierung
Setzen Sie standardisierte oder individuell angepasste Beurteilungsfragebögen ein. Bewerten Sie Antworten anhand Ihres Risikorahmens. Lösen Sie Rezertifizierungs-Workflows nach Ihrem festgelegten Zeitplan aus (jährlich, halbjährlich oder nach Risikostufe). Ihr Team hört auf zu jagen und beginnt zu steuern.
60% weniger Aufwand bei der Rezertifizierung
Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten 6 Monaten mit Priverion um 60%
Audit-Spur und Nachweisexport
Jede Aktion in Priverion ist mit Zeitstempel und Urheber versehen. Exportieren Sie vollständige Audit-Pakete (Fragebogenantworten, Risikobewertungen, Massnahmen zur Behebung, AVV-Versionen, Freigabe-Workflows) in den Formaten, die Aufsichtsbehörden und interne Auditoren erwarten. Compliance nach Artikel 28 Absatz 3 Buchstabe h, dokumentiert.
Auditfähige Nachweispakete in Minuten
Ein Medizintechnikunternehmen sparte mit den Nachweis-Workflows von Priverion über 200 Stunden bei der Vorbereitung auf ISO 27001
Governance über mehrere Einheiten und Rechtsräume hinweg
Definieren Sie Richtlinien für Auftragsverarbeiter-Audits auf Konzernebene und geben Sie sie an Tochtergesellschaften weiter. Lassen Sie lokale Datenschutzteams ihre Auftragsverarbeiter-Beziehungen innerhalb eines geregelten Rahmens verwalten. Führen Sie den Compliance-Status in einem einzigen Dashboard auf Konzernebene zusammen, ob Sie 5 oder 500 Einheiten haben.
Einheitliche Compliance nach Artikel 28, ohne jede Aufgabe zu zentralisieren
Ein Gesundheitsdienstleister erreichte mit dem Konzern-Governance-Modell von Priverion eine 100%-Abdeckung der Lieferanten-Risikobeurteilung über alle Einheiten hinweg
200+
Stunden bei der Verwaltung des Verarbeitungsverzeichnisses gespart
Ein Medizintechnikunternehmen gewann über 200 Stunden zurück, die zuvor während der Vorbereitung auf ISO 27001 für die manuelle Datenpflege aufgewendet wurden, Zeit, die in die Stärkung der tatsächlichen Datenschutzpraxis floss.
Ein Medizintechnikunternehmen, erste 12 Monate mit Priverion
60%
Geringere Kosten gegenüber etablierten Enterprise-Anbietern
Planbare Preise basierend auf der Anzahl Einheiten und der Unternehmensgrösse, ohne Gebühren pro Nutzer, ohne Upselling pro Modul und ohne überraschende Mehrkosten bei der Verlängerung.
Basierend auf von Kunden berichteten TCO-Vergleichen mit OneTrust, 2024
3 Mt.
Vorsprung im Zeitplan bei ISO 27001
Auditfähige Nachweispakete in Minuten statt Wochen erstellt. Teams stellten keine Ordner mehr zusammen, sondern bestanden Audits mit bereits geordneter Dokumentation.
Ein Medizintechnikunternehmen, Zeitplan der ISO-27001-Zertifizierung gegenüber dem ursprünglichen Plan
Datenschutzmanagement auf Enterprise-Niveau ohne die Enterprise-Komplexität
Organisationen im Mittelstand und mit mehreren Einheiten brauchen eine Plattform, die für ihre Realität gebaut ist, und keine abgespeckte Version von etwas, das für Beschaffungszyklen der Fortune 100 entwickelt wurde.
-
In der Schweiz entwickelt, in der Schweiz gehostet
Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. In einer Welt nach Schrems II ist europäische Datenresidenz kein Marketing-Häkchen, sondern eine rechtliche Anforderung für viele grenzüberschreitende Datenübermittlungen.
-
Für das Management mehrerer Einheiten gebaut
Konzernweites Verarbeitungsverzeichnis, einheitenübergreifendes Data-Mapping und zentrale Aufsicht durch den Datenschutzbeauftragten, von Tag eins an für Organisationen konzipiert, die Compliance über Dutzende Tochtergesellschaften und Rechtsräume hinweg verwalten.
-
Planbare, transparente Preise
Bepreisung nach Anzahl Unternehmen und Unternehmensgrösse, nicht pro Nutzer oder pro Modul. Keine Expansionsfallen. Ihr CFO wird es Ihnen danken.
-
In Wochen einsatzbereit, nicht in Monaten
Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance innerhalb der ersten 6 Monate um 60%. Keine sechsstelligen Implementierungsprojekte oder dedizierte Onboarding-Berater erforderlich.
Flugzeughersteller, erste 6 Monate nach der Implementierung
-
KI-unterstützt, vom Menschen entschieden
KI entwirft DSFAs, bewertet Risiken und ordnet regulatorische Anforderungen zu, doch jedes Ergebnis wird überprüft, bevor es zum Compliance-Datensatz wird. Es werden keine Kundendaten für das Training von Modellen verwendet.
-
All-in-one-Datenschutzplattform
Verarbeitungsverzeichnis, DSFAs, Lieferantenrisiko, Betroffenenanfragen, Incident-Management, Meldung von Datenschutzverletzungen, SCC-Management und Bereitschaft für den AI Act, alles in einer einzigen Plattform. Tiefe Integrationen mit HR-, Beschaffungs- und IT-Asset-Management-Systemen.
-
In den USA gehostete Infrastruktur
Daten werden auf US-basierter Cloud-Infrastruktur verarbeitet, was unter Schrems II zusätzliche Anforderungen an Übermittlungsmechanismen schafft. Europäische Hosting-Optionen kommen oft als kostspielige Zusatzleistungen, sofern sie überhaupt verfügbar sind.
-
Für Fortune 500 gebaut, nach unten nachgerüstet
Für riesige Konzerne mit dedizierten GRC-Teams konzipiert. Organisationen im Mittelstand zahlen am Ende für Module, die sie nicht benötigen (ESG, Ethik-Hotlines, Cookie-Einwilligung), nur um Zugang zu den zentralen Datenschutzfunktionen zu erhalten.
-
Preise pro Nutzer, pro Modul
Die Kosten steigen, sobald Sie Nutzer, Tochtergesellschaften oder Module hinzufügen. Budgets werden unberechenbar. Die Plattform, für die Sie unterschrieben haben, ist selten die Plattform, für die Sie am Ende bezahlen.
-
Monatelange Implementierung
Enterprise-GRC-Einführungen erfordern in der Regel 6 bis 12 Monate, dedizierte Projektleiter und externe Implementierungspartner, bevor ein einziges Verarbeitungsverzeichnis migriert ist.
-
KI als Blackbox
KI-Funktionen werden als «powered» statt «assisted» vermarktet, mit begrenzter Transparenz darüber, wie Daten verarbeitet werden, wo Modelle trainiert werden oder ob Kundendaten in umfassendere Modellverbesserungen einfliessen.
-
200 oberflächliche Integrationen
Ein Marktplatz mit Hunderten von Konnektoren, die oft individuelle Konfiguration erfordern und laufenden Wartungsaufwand verursachen, ohne die zentralen Anforderungen an den Datenschutz-Workflow zu lösen.
Eine ehrliche Anmerkung: Wir decken kein ESG, keine Ethik-Hotlines und keine Cookie-Einwilligung ab. Wir sind nicht für Einzelunternehmen mit nur einer Einheit gebaut. Unsere Stärke ist das konzernweite Management des Datenschutzprogramms, und das machen wir besser als alle anderen.
Vom Tabellen-Chaos zur auditfähigen Sicherheit
Echte Ergebnisse von Datenschutzbeauftragten und Compliance-Verantwortlichen, die Auftragsverarbeiter-Beziehungen über Organisationen mit mehreren Einheiten hinweg verwalten.
«Wir mussten den Geschäftseinheiten früher wochenlang hinterherlaufen, heute haben wir jederzeit eine vollständige, auditfähige Übersicht über unsere Auftragsverarbeiter. Schon allein die Rezertifizierungs-Workflows haben uns eine zusätzliche Vollzeitstelle erspart.»
Flugzeughersteller
Datenschutzteam, Luftfahrthersteller mit mehreren Tochtergesellschaften
60% weniger Verwaltungsaufwand für Compliance innerhalb von 6 Monaten
«Vor Priverion waren die Lieferanten-Risikobeurteilungen über unsere Pflegeeinrichtungen hinweg uneinheitlich. Jetzt folgt jede Einheit demselben Rahmen, und wir haben volle Transparenz auf Konzernebene, ohne lokale Teams im Detail zu steuern.»
Gesundheitsdienstleister
Datenschutzteam, Gesundheitsgruppe mit mehreren Einheiten
100%-Abdeckung der Lieferanten-Risikobeurteilung über alle Einheiten hinweg
Die Checkliste für das Auftragsverarbeiter-Audit nach DSGVO Artikel 28
Schluss mit improvisierten Auftragsverarbeiter-Audits. Diese Checkliste gibt Ihnen einen strukturierten, wiederholbaren Prozess im Einklang mit den Anforderungen von Artikel 28, damit nichts durch die Maschen fällt, wenn die Aufsichtsbehörden anklopfen.
Das erwartet Sie darin:
- Audit-Rahmen mit 23 Punkten, der jede Pflicht aus Artikel 28 abdeckt, von Unterauftragsverarbeiter-Ketten bis zu Klauseln zur Datenlöschung
- Warnsignale, die auf Auftragsverarbeiter-Beziehungen mit hohem Risiko hinweisen, bevor sie zu Meldungen von Datenschutzverletzungen werden
- Vorlage zur klauselweisen Überprüfung des AVV, die Sie direkt an Ihr Rechtsteam oder externe Auditoren weitergeben können
- Bewertungsraster, um zu priorisieren, welche Auftragsverarbeiter sofortige Behebung benötigen und welche eine jährliche Überprüfung
Kostenloses PDF. Keine Demo erforderlich. Wir senden es Ihnen in Ihr Postfach.
Im Einsatz bei Datenschutzbeauftragten, die die Auftragsverarbeiter-Compliance über Organisationen mit mehreren Einheiten hinweg verwalten, darunter Teams bei einem Gesundheitsdienstleister, wo mit Priverion eine 100%-Abdeckung der Lieferanten-Risikobeurteilung erreicht wurde.
Kundenergebnisse eines Gesundheitsdienstleisters, 2024
Auftragsverarbeiter-Audit nach DSGVO Artikel 28: Ihre Fragen beantwortet
Praxisnahe Antworten für Datenschutzbeauftragte und Compliance-Verantwortliche, die Auftragsverarbeiter-Audits über Organisationen mit mehreren Einheiten hinweg verwalten.
Was verlangt DSGVO Artikel 28 für Auftragsverarbeiter-Audits?
Artikel 28 verpflichtet Verantwortliche, ausschliesslich Auftragsverarbeiter einzusetzen, die hinreichende Garantien für die Einhaltung der DSGVO bieten. Verantwortliche müssen über einen schriftlichen Vertrag (AVV) verfügen, der bestimmte Pflichten abdeckt, und Auftragsverarbeiter müssen Audits und Überprüfungen ermöglichen und dazu beitragen. Dazu gehört die Überprüfung von Unterauftragsverarbeiter-Vereinbarungen, Praktiken zur Datenlöschung, Sicherheitsmassnahmen und Mechanismen für grenzüberschreitende Übermittlungen.
Wie häufig sollten Auftragsverarbeiter-Audits nach Artikel 28 durchgeführt werden?
Die DSGVO schreibt keine feste Audit-Häufigkeit vor. Bewährte Praxis ist ein risikobasierter Ansatz: Auftragsverarbeiter mit hohem Risiko, die sensible Daten oder grosse Datenmengen verarbeiten, sollten jährlich geprüft werden, während Auftragsverarbeiter mit geringerem Risiko alle zwei bis drei Jahre beurteilt werden können. Jede Änderung bei einem Unterauftragsverarbeiter sollte unabhängig vom Zeitplan eine Überprüfung auslösen. Mit Priverion können Sie Rezertifizierungs-Zeitpläne nach Risikostufe konfigurieren, damit nichts durch die Maschen fällt.
Was ist der Unterschied zwischen einem Auftragsverarbeiter-Audit und einer Lieferanten-Risikobeurteilung?
Eine Lieferanten-Risikobeurteilung bewertet das Gesamtrisiko, das ein Dritter für Ihr Unternehmen darstellt, und umfasst Sicherheit, finanzielle Stabilität und betriebliche Faktoren. Ein Auftragsverarbeiter-Audit nach Artikel 28 überprüft gezielt die Pflichten zur DSGVO-Compliance: Einhaltung des AVV, Verwaltung von Unterauftragsverarbeitern, Datenlöschung, Prozesse zur Meldung von Datenschutzverletzungen sowie technische und organisatorische Sicherheitsmassnahmen. Priverion deckt beides innerhalb eines einzigen integrierten Workflows ab.
Wie automatisiert Priverion Auftragsverarbeiter-Audits nach DSGVO Artikel 28?
Priverion bietet ein zentrales Auftragsverarbeiter-Register über alle Konzerneinheiten hinweg, automatisierte Beurteilungsfragebögen mit Risikobewertung, die Nachverfolgung von Änderungen bei Unterauftragsverarbeitern mit Benachrichtigungen, das Lebenszyklus-Management von AVVs sowie den Export auditfähiger Nachweise. Rezertifizierungs-Workflows laufen nach konfigurierbaren Zeitplänen, sodass Ihr Team die Compliance kontinuierlich steuert, statt jedes Quartal in Hektik zu verfallen.
Kann Priverion Auftragsverarbeiter-Audits über mehrere Tochtergesellschaften und Rechtsräume hinweg verwalten?
Ja. Priverion ist speziell für Organisationen mit mehreren Einheiten konzipiert. Sie können Richtlinien für Auftragsverarbeiter-Audits auf Konzernebene definieren und an Tochtergesellschaften weitergeben, während lokale Datenschutzteams ihre eigenen Auftragsverarbeiter-Beziehungen innerhalb eines geregelten Rahmens verwalten. Der Compliance-Status wird in einem einzigen Dashboard auf Konzernebene zusammengeführt. Ein Gesundheitsdienstleister erreichte mit diesem Modell eine 100%-Abdeckung der Lieferanten-Risikobeurteilung über alle Einheiten hinweg.
Wo werden die Daten von Priverion gehostet?
Alle Priverion-Daten werden innerhalb der Schweizer Infrastruktur verarbeitet und gespeichert. In einem Umfeld nach Schrems II bietet eine in der Schweiz entwickelte und in der Schweiz gehostete Lösung europäische Datenresidenz und beseitigt die zusätzlichen Anforderungen an Übermittlungsmechanismen, die mit in den USA gehosteten Plattformen einhergehen. Es werden keine Kundendaten für das Training von KI-Modellen verwendet.
Schluss mit der Verwaltung der Datenschutz-Compliance in Tabellen. Beginnen Sie, sie wirklich zu managen.
Ein Flugzeughersteller senkte den Verwaltungsaufwand für Compliance in sechs Monaten um 60%. Ein Schweizer Versicherer erreichte eine 100%-Rezertifizierung des Verarbeitungsverzeichnisses, vollständig automatisiert. Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001. Sehen Sie, wie Priverion mit Ihren Daten, Ihren Einheiten und Ihren Workflows aussieht.
Wochen, nicht Monate
Durchschnittliche Zeit bis zur Einsatzbereitschaft, basierend auf Kunden-Onboarding-Daten
50+ unterstützte Einheiten
Konzerngruppen mit mehreren Tochtergesellschaften über Rechtsräume hinweg
100% in der Schweiz gehostet
Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur
Kein Verkaufsgespräch. Ein echter Rundgang anhand Ihres Anwendungsfalls. Planbare Preise, keine Überraschungen pro Nutzer oder pro Modul.


