Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis): So erstellen Sie ein konformes Verzeichnis - selbst über Dutzende von Entitäten hinweg
Wenn Sie für die DSGVO-Compliance verantwortlich sind, wissen Sie bereits, dass Artikel 30 die Führung eines Verzeichnisses von Verarbeitungstätigkeiten verlangt. Was Ihnen niemand sagt: Wie mühsam dies wird, wenn Sie Verarbeitungsverzeichnisse über 10, 50 oder mehr als 200 Konzernentitäten hinweg verwalten - jede mit anderen Prozessen, Rechtsgrundlagen und lokalen Anforderungen.
Dieser Leitfaden liefert Ihnen ein klares, schrittweises Rahmenkonzept zur Erstellung und Pflege Ihres Verarbeitungsverzeichnisses - egal, ob Sie bei null beginnen oder einen Tabellenkalkulations-Albtraum bereinigen wollen.
Warum sich die meisten Organisationen schwertun, ihr Verarbeitungsverzeichnis zu erstellen (und zu pflegen)
Fünf Fehlermuster, die wir in nahezu jedem Datenschutzprogramm von Unternehmen sehen - und das eine, mit dem Sie wahrscheinlich gerade leben.
Tabellenkalkulations-Chaos
Die meisten Teams beginnen mit Excel. Innerhalb von sechs Monaten haben Sie 37 Versionen über 12 Tochtergesellschaften, und niemand weiss, welche aktuell ist. Datenschutzteams verbringen am Ende mehr Zeit damit, die Tabelle zu verwalten, als den Datenschutz.
60 %
der Datenschutzteams verlassen sich für die Verwaltung des Verarbeitungsverzeichnisses nach wie vor auf Tabellenkalkulationen, und die Mehrheit räumt ein, dass ihre Verzeichnisse unvollständig oder veraltet sind.
Quelle: IAPP Privacy Governance Report, 2023
Keine einzige verlässliche Quelle
Wenn Ihr Verarbeitungsverzeichnis auf gemeinsamen Laufwerken und in E-Mail-Verläufen lebt, ist eine Rezertifizierung unmöglich. Sie jagen am Ende lokalen Datenschutzbeauftragten hinterher, um Aktualisierungen zu erhalten, die nie eintreffen, und Ihr konzernweites Compliance-Bild ist stets drei Monate veraltet.
60 %
der Verwaltungszeit für Compliance wurden bei einem Flugzeughersteller für manuelle Aktualisierungen des Verarbeitungsverzeichnisses aufgewendet, bevor mit einer zentralen Plattform automatisiert wurde.
Flugzeughersteller, erste 6 Monate mit Priverion
Komplexität über mehrere Rechtsordnungen
DSGVO Artikel 30 ist die Grundlinie, doch das revDSG, die UK GDPR und branchenspezifische Vorschriften fügen jeweils eigene Anforderungen hinzu. Ein Verarbeitungsverzeichnis, das für Ihre deutsche Entität funktioniert, kann für Ihre Schweizer oder brasilianischen Tochtergesellschaften unter dem revDSG oder LGPD nicht konform sein.
5+
sich überschneidende Datenschutz-Frameworks (DSGVO, revDSG, UK GDPR, LGPD, NIST), die Gruppen mit mehreren Rechtsordnungen in einem einzigen Verzeichnis in Einklang bringen müssen.
Basierend auf den Enterprise-Implementierungen von Priverion
Rezertifizierung als nachgelagerter Gedanke
Das Verarbeitungsverzeichnis einmal zu erstellen ist schwierig. Es im Laufe der Zeit aktuell zu halten (während sich Prozesse ändern, Anbieter wechseln und neue Entitäten hinzugekauft werden) ist der Punkt, an dem die meisten Programme scheitern. Ohne automatisierte Rezertifizierung verfällt Ihr Verarbeitungsverzeichnis innerhalb von Wochen nach Fertigstellung.
100 %
Rezertifizierungsquote für das Verarbeitungsverzeichnis, die AXA nach der Einführung vollständig automatisierter Rezertifizierungs-Workflows erreichte.
AXA, automatisierte Rezertifizierung mit Priverion
Sorge um die Prüfungsbereitschaft
Wenn eine Aufsichtsbehörde Ihr Verarbeitungsverzeichnis anfordert, sollten Sie es in Minuten vorlegen können, nicht in Wochen. Wenn Ihr Team zwei Wochen braucht, um aus verstreuten Dateien ein vorzeigbares Verzeichnis zusammenzustellen, sind Sie nicht nur ineffizient, sondern auch angreifbar.
200+
eingesparte Stunden bei der Vorbereitung der Compliance-Dokumentation bei Medtec durch den Wechsel vom manuellen Sammeln von Nachweisen zu prüfungsbereiten Paketen.
Medtec, ISO-27001-Vorbereitung mit Priverion
Wenn Ihnen etwas davon bekannt vorkommt, sind Sie nicht allein - und Sie sind hier genau richtig. Lassen Sie uns gemeinsam durchgehen, wie Sie ein Verarbeitungsverzeichnis aufbauen, das tatsächlich funktioniert.
200+
Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses
Medtec sparte mehr als 200 Stunden bei der Vorbereitung auf ISO 27001 und die Rezertifizierung des Verarbeitungsverzeichnisses im ersten Jahr mit Priverion
60 %
Geringere Kosten gegenüber etablierten Plattformen
Ein Flugzeughersteller senkte die Verwaltungskosten für Compliance in den ersten 6 Monaten um 60 %, mit planbaren Preisen und ohne Kostenfallen bei der Nutzererweiterung
3 Mon.
Dem Zeitplan bei ISO 27001 voraus
Medtec beschleunigte die ISO-27001-Vorbereitung um 3 Monate mithilfe der prüfungsbereiten Nachweispakete und automatisierten Dokumentation von Priverion
Datenschutzmanagement auf Enterprise-Niveau - ohne den Enterprise-Aufpreis
Organisationen im Mittelstand brauchen leistungsfähige Compliance-Werkzeuge, nicht eine Plattform, die für Fortune-100-Budgets und 18-monatige Implementierungen gebaut wurde. Hier erfahren Sie, warum Datenschutzteams umsteigen.
Das erhalten Sie mit Priverion
Garantierte Schweizer Datensouveränität
In der Schweiz entwickelt und gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. Das ist nicht nur ein Häckchen, sondern ein rechtlicher Vorteil für grenzüberschreitende Uebermittlungen in einer Welt nach Schrems II.
Einsatzbereit in Wochen, nicht Monaten
Eine Benutzeroberfläche, die für Datenschutzpraktiker konzipiert ist, nicht für IT-Berater. Ihr Team beginnt sofort mit dem Compliance-Management, ohne dass ein Zertifizierungskurs erforderlich ist. Ein Flugzeughersteller war innerhalb seines ersten Engagement-Zeitraums vollständig einsatzbereit.
Basierend auf dem Onboarding-Zeitplan eines Flugzeugherstellers, 2023
Planbare Preise für den Mittelstand
Die Preisgestaltung basiert auf der Anzahl der Unternehmen und der Organisationsgrösse, nicht auf Lizenzen pro Nutzer oder Modulzusätzen. Keine Kostenfallen bei der Erweiterung. Ihr CFO wird die Verlängerung tatsächlich ohne Diskussion genehmigen.
All-in-one-Datenschutzplattform
Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Bearbeitung von Betroffenenanfragen, Vorfallsmanagement, Data Mapping und KI-Verordnungs-Bereitschaft - alles in einer Plattform. Kein Zusammenschustern von Einzellösungen und kein Bezahlen für Module, die Sie "irgendwann" aktivieren werden.
KI, die unterstützt, aber nie entscheidet
KI-gestütztes Verfassen, Risikobewertung und regulatorische Zuordnung - wobei jedes Ergebnis von Ihrem Team geprüft wird, bevor es zu einem Compliance-Datensatz wird. Keine Nutzung von Kundendaten zum Modelltraining. Volle Transparenz, volle Massnahme.
Womit Sie bei OneTrust festsitzen
In den USA gehostete Infrastruktur
Daten werden auf in den USA ansässiger Cloud-Infrastruktur verarbeitet. Für europäische Organisationen, die grenzüberschreitende Uebermittlungen verwalten, entsteht so genau das rechtliche Risiko, das Sie zu lösen versuchen. EU-Rechenzentren sind verfügbar, doch das ist nicht dasselbe wie die Schweizer Rechtsordnung.
Implementierung in Quartalen gemessen
Komplexe Einführungen, die dedizierte Implementierungspartner, umfangreiche Konfiguration und Schulungsprogramme erfordern. Mittelständische Teams stellen oft fest, dass sie für eine Plattform bezahlen, die für Organisationen der zehnfachen Grösse gebaut wurde.
Erweiterung pro Nutzer, pro Modul
Modulare Preise, die günstig beginnen und mit jeder neuen Nutzerlizenz, jeder Entität und jeder Funktion wachsen. Jährliche Verlängerungen bringen regelmässig unwillkommene Kostenüberraschungen mit sich, besonders wenn Ihr Datenschutzprogramm reift und mehr von der Plattform benötigt.
Breite Plattform, breite Komplexität
ESG, Ethik-Hotlines, Cookie-Einwilligung, GRC: OneTrust kann vieles. Doch wenn Sie in erster Linie Datenschutzprogramm-Management über mehrere Entitäten hinweg benötigen, bezahlen Sie für einen Flugzeugträger, wenn Sie ein präzises Schiff brauchen.
KI mit weniger Klarheit
KI-Funktionen werden über die Plattform hinweg ausgebaut, doch die Transparenz hinsichtlich Datennutzung zum Modelltraining, Verarbeitungsrechtsordnung und menschlichen Eingriffsmöglichkeiten variiert. Für regulierte Branchen ist "KI-gestützt" ohne klare Leitplanken ein Risiko, keine Funktion.
So erstellen Sie Ihr Verarbeitungsverzeichnis: ein Rahmenkonzept für die Praxis
Egal, ob Sie von Grund auf aufbauen oder ein bestehendes Verzeichnis umstrukturieren - folgen Sie diesen sieben Schritten, um ein Verarbeitungsverzeichnis zu erstellen, das Artikel 30 erfüllt und tatsächlich aktuell bleibt.
Definieren Sie Ihren Geltungsbereich und Ihre Entitätsstruktur
Bevor Sie eine einzige Verarbeitung dokumentieren, kartieren Sie, welche Entitäten im Geltungsbereich liegen. Für konzernweite Compliance bedeutet dies, jede juristische Person, Tochtergesellschaft und Niederlassung zu identifizieren, die personenbezogene Daten verarbeitet, und zu klären, ob die jeweilige Stelle als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter handelt.
- Listen Sie jede juristische Person Ihres Konzerns und ihre Rechtsordnung auf
- Klären Sie für jede Entität den Status als Verantwortlicher oder Auftragsverarbeiter
- Identifizieren Sie den verantwortlichen Datenschutzbeauftragten oder Datenschutzverantwortlichen pro Entität
- Dokumentieren Sie alle gemeinsamen Verarbeitungen zwischen Entitäten
Tipp für Mehr-Entitäten-Strukturen: An dieser Stelle beginnen tabellenbasierte Verarbeitungsverzeichnisse zu scheitern. Eine Plattform mit Entitätshierarchie ermöglicht es Ihnen, ein einziges massgebliches Verzeichnis zu führen und zugleich die eigenständige Compliance-Lage jeder Entität zu bewahren.
Identifizieren Sie alle Verarbeitungstätigkeiten
Arbeiten Sie mit den Verantwortlichen der Geschäftsbereiche zusammen, um jede Verarbeitung in Ihrer Organisation zu inventarisieren. Denken Sie über das Offensichtliche hinaus (Lohnabrechnung und Marketing) und beziehen Sie Mitarbeiterüberwachung, Videoüberwachung, Besucherlisten, Kundenanalysen und die Datenweitergabe an Dritte ein.
- Führen Sie strukturierte Gespräche mit den Abteilungsleitern
- Prüfen Sie bestehende Datenschutzhinweise und Datenfluss-Dokumentationen
- Prüfen Sie Lieferantenverträge auf Auftragsverarbeitungstätigkeiten
- Identifizieren Sie jede Verarbeitung, die besondere Kategorien von Daten umfasst
Häufige Lücke: Die meisten Organisationen übersehen beim ersten Durchgang 30 bis 40 % der Verarbeitungstätigkeiten. Automatisiertes Data Mapping bringt die Tätigkeiten ans Licht, die Ihre Geschäftsbereiche vergessen zu erwähnen - oder von denen sie nicht wussten, dass sie als Verarbeitung gelten.
Dokumentieren Sie die nach Artikel 30 erforderlichen Felder
Für jede Verarbeitung verlangt DSGVO Artikel 30 bestimmte Angaben. Dies ist das gesetzliche Minimum, keine Empfehlung. Fehlende Felder gehören zu den häufigsten Feststellungen bei Prüfungen durch Aufsichtsbehörden.
- Name und Kontaktdaten des Verantwortlichen (und des Datenschutzbeauftragten)
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und personenbezogener Daten
- Kategorien von Empfängern (einschliesslich Drittländer)
- Internationale Uebermittlungen und Garantien (SCCs, Angemessenheitsbeschlüsse)
- Aufbewahrungsfristen für jede Datenkategorie
- Allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen
Profi-Tipp: Gehen Sie über das gesetzliche Minimum hinaus. Die Aufnahme von Rechtsgrundlage, DSFA-Verknüpfung und Datenquelle verbessert die Prüfungsbereitschaft und macht Ihr Verarbeitungsverzeichnis zu einem wirklich nützlichen operativen Werkzeug, nicht nur zu einem Compliance-Artefakt.
Weisen Sie Eigentümerschaft und Verantwortlichkeit zu
Jede Verarbeitung braucht einen benannten Eigentümer, typischerweise den für diesen Prozess verantwortlichen Leiter des Geschäftsbereichs. Ohne klare Eigentümerschaft veralten Einträge im Verarbeitungsverzeichnis innerhalb von Wochen, weil sich niemand dafür verantwortlich fühlt, sie aktuell zu halten.
- Weisen Sie jeder Verarbeitung einen Prozess-Eigentümer zu
- Legen Sie die Prüfhäufigkeit fest (quartalsweise ist das Minimum für dynamische Organisationen)
- Richten Sie Eskalationswege ein, wenn Eigentümer nicht reagieren
- Dokumentieren Sie, wer befugt ist, Aenderungen zu genehmigen
Realitätscheck: Dies ist der Schritt, vor dem die meisten Datenschutzbeauftragten zurückschrecken. Den Geschäftsbereichen wegen Aktualisierungen hinterherzulaufen ist der Punkt, an dem 60 % der Verwaltungszeit für Compliance verschwinden, wie ein Flugzeughersteller erlebte, bevor er seine Rezertifizierungs-Workflows automatisierte.
Kartieren Sie Datenflüsse und Uebermittlungen an Dritte
Dokumentieren Sie, wohin personenbezogene Daten fliessen: zwischen Entitäten, an Auftragsverarbeiter und insbesondere in Drittländer. Nach Schrems II achten Aufsichtsbehörden genau auf internationale Uebermittlungen. Ihr Verarbeitungsverzeichnis sollte jede Uebermittlung klar mit ihrem rechtlichen Mechanismus verknüpfen.
- Kartieren Sie konzerninterne Datenflüsse zwischen Entitäten
- Dokumentieren Sie alle Auftragsverarbeiter und Unterauftragsverarbeiter Dritter
- Identifizieren Sie alle Uebermittlungen in Länder ausserhalb der EU/des EWR/der Schweiz
- Verknüpfen Sie jede Uebermittlung mit ihrer Garantie (SCCs, Angemessenheitsbeschluss, BCRs)
Entscheidend für Mehr-Entitäten-Gruppen: Beim entitätsübergreifenden Data Mapping wird konzernweite Sichtbarkeit unverzichtbar. Ohne sie verlassen Sie sich darauf, dass jede Tochtergesellschaft ihre Uebermittlungen korrekt selbst meldet - ein Rezept für Compliance-Lücken.
Verbinden Sie Ihr Verarbeitungsverzeichnis mit DSFA und Risikobewertungen
Ein eigenständiges Verarbeitungsverzeichnis ist ein Compliance-Häckchen. Ein Verarbeitungsverzeichnis, das mit DSFA, TIA, Lieferantenrisikobewertungen und Vorfallsdatensätzen verknüpft ist, wird zu einem Werkzeug für das Datenschutzprogramm-Management. Diese Integration unterscheidet Organisationen, die "ein Verarbeitungsverzeichnis haben", von solchen, die es operativ nutzen.
- Markieren Sie Verarbeitungstätigkeiten, die DSFA-Anforderungen auslösen
- Verknüpfen Sie bestehende DSFA und TIA mit ihren entsprechenden Einträgen im Verarbeitungsverzeichnis
- Verbinden Sie Lieferantenrisikobewertungen mit auftragsverarbeitungsbezogenen Tätigkeiten
- Stellen Sie sicher, dass Vorfallsdatensätze auf die betroffenen Verarbeitungstätigkeiten verweisen
Plattformvorteil: Dies ist in Tabellenkalkulationen kaum aufrechtzuerhalten. Eine integrierte Plattform verknüpft DSFA, Lieferantenbewertungen und Vorfälle automatisch mit ihren Einträgen im Verarbeitungsverzeichnis und hält alles ohne manuelle Querverweise synchron.
Richten Sie eine automatisierte Rezertifizierung ein
Ihr Verarbeitungsverzeichnis ist nur so gut wie seine letzte Aktualisierung. Richten Sie einen Rezertifizierungsrhythmus ein, der Prozess-Eigentümer dazu veranlasst, ihre Einträge zu prüfen und zu bestätigen (oder zu aktualisieren). Ohne dies wird selbst das gründlichste anfängliche Verarbeitungsverzeichnis innerhalb eines Quartals veraltet sein.
- Legen Sie Rezertifizierungspläne fest (quartalsweise bei hohem Risiko, jährlich bei geringem Risiko)
- Automatisieren Sie Erinnerungen und Eskalationen an die Prozess-Eigentümer
- Verfolgen Sie die Abschlussquoten über alle Entitäten hinweg
- Erzeugen Sie Prüfpfade, die zeigen, wann jeder Eintrag zuletzt geprüft wurde
Der Goldstandard: AXA erreichte über alle Entitäten hinweg eine 100-prozentige Rezertifizierung des Verarbeitungsverzeichnisses, nachdem es vollständig automatisierte Workflows eingeführt hatte - und verwandelte so, was früher eine quartalsweise Feuerwehrübung war, in einen Hintergrundprozess, der von selbst läuft.
Laden Sie die Vorlage und Compliance-Checkliste für das Verarbeitungsverzeichnis herunter
Erhalten Sie eine praxiserprobte Vorlage für das Verarbeitungsverzeichnis, die alle nach DSGVO Artikel 30 erforderlichen Felder abdeckt, sowie eine Compliance-Checkliste für Mehr-Entitäten-Organisationen. Erstellt aus echten Enterprise-Implementierungen.
- Vollständige Feldvorlage nach Artikel 30 (Versionen für Verantwortliche und Auftragsverarbeiter)
- Compliance-Checkliste für Mehr-Entitäten-Strukturen mit rechtsordnungsspezifischen Anforderungen
- Leitfaden für den Rezertifizierungs-Workflow
- Beispielvorlage für das Datenfluss-Mapping
Kein Spam. Wir senden Ihnen die Vorlage und eine Folge-E-Mail. Das war's. Ihre Daten bleiben in der Schweiz.
Verwalten Sie Compliance nicht länger in Tabellenkalkulationen
Holen Sie sich Ihre Freitagnachmittage zurück
Sehen Sie, wie konzernweites Datenschutzmanagement funktioniert, wenn es von Anfang an für Mehr-Entitäten-Organisationen gebaut ist - mit automatisierter Rezertifizierung, KI-gestützten Bewertungen und garantierter Schweizer Datensouveränität. Keine Preisüberraschungen pro Nutzer. Einsatzbereit in Wochen, nicht Monaten.
60 %
weniger Verwaltungszeit für Compliance
Flugzeughersteller, erste 6 Monate
200+
eingesparte Stunden bei der ISO-27001-Vorbereitung
Medtec
100 %
automatisierte Rezertifizierung des Verarbeitungsverzeichnisses
AXA
Keine Verpflichtung erforderlich. Wir zeigen Ihnen die Plattform anhand Ihres Anwendungsfalls, nicht anhand eines generischen Demo-Skripts.
Häufig gestellte Fragen zu Verarbeitungsverzeichnissen
Wer ist nach der DSGVO verpflichtet, ein Verarbeitungsverzeichnis zu führen?
Nach Artikel 30 muss jeder Verantwortliche und Auftragsverarbeiter ein Verarbeitungsverzeichnis führen. Die Ausnahme für Organisationen mit weniger als 250 Beschäftigten ist sehr eng: Sie greift nur, wenn Ihre Verarbeitung gelegentlich erfolgt, keine besonderen Kategorien von Daten umfasst und voraussichtlich kein Risiko für die Rechte der betroffenen Personen mit sich bringt. In der Praxis benötigt nahezu jede Organisation, die personenbezogene Daten verarbeitet, ein solches.
Was ist der Unterschied zwischen dem Verarbeitungsverzeichnis eines Verantwortlichen und dem eines Auftragsverarbeiters?
Das Verarbeitungsverzeichnis eines Verantwortlichen (Artikel 30(1)) dokumentiert Zwecke der Verarbeitung, Kategorien betroffener Personen, Empfänger, internationale Uebermittlungen, Aufbewahrungsfristen und Sicherheitsmassnahmen. Das Verarbeitungsverzeichnis eines Auftragsverarbeiters (Artikel 30(2)) ist enger gefasst; es dokumentiert die Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitungen, internationale Uebermittlungen und Sicherheitsmassnahmen. Wenn Ihre Organisation sowohl als Verantwortlicher als auch als Auftragsverarbeiter handelt, benötigen Sie beide Versionen.
Wie häufig sollte ein Verarbeitungsverzeichnis aktualisiert werden?
Es gibt keine gesetzlich vorgeschriebene Häufigkeit, doch Aufsichtsbehörden erwarten, dass Ihr Verarbeitungsverzeichnis "aktuell" ist. In der Praxis ist eine quartalsweise Rezertifizierung das Minimum für Organisationen mit aktiven Verarbeitungsänderungen. Verarbeitungstätigkeiten mit hohem Risiko sollten immer dann überprüft werden, wenn sich Zweck, Datenkategorie oder Empfänger ändern. Automatisierte Rezertifizierungs-Workflows (wie die 100-prozentige Rezertifizierungsquote von AXA) sind der zuverlässigste Ansatz.
Können wir eine Tabellenkalkulation für unser Verarbeitungsverzeichnis verwenden?
Technisch ja. Artikel 30 verlangt, dass das Verarbeitungsverzeichnis "schriftlich, einschliesslich in elektronischer Form" geführt wird. Eine Tabellenkalkulation erfüllt dies. Doch für Organisationen, die mehrere Entitäten verwalten, schaffen Tabellenkalkulationen Probleme bei der Versionskontrolle, es fehlen Prüfpfade, sie können keine Rezertifizierung erzwingen und machen die Berichterstattung an Aufsichtsbehörden zu einem manuellen Kraftakt. Der Privacy Governance Report 2023 der IAPP ergab, dass die Mehrheit der Teams, die Tabellenkalkulationen verwenden, einräumt, dass ihre Verzeichnisse unvollständig oder veraltet sind.
Was passiert, wenn eine Aufsichtsbehörde unser Verarbeitungsverzeichnis anfordert und es nicht bereit ist?
Das Versäumnis, ein angemessenes Verarbeitungsverzeichnis zu führen, kann nach Artikel 83(4) der DSGVO Geldbussen von bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes nach sich ziehen. Ueber Geldbussen hinaus signalisiert ein unvollständiges Verarbeitungsverzeichnis breitere Compliance-Schwächen und löst oft tiefer gehende Untersuchungen aus. Die Fähigkeit, ein vollständiges, aktuelles Verzeichnis innerhalb von Minuten und nicht von Wochen vorzulegen, ist zunehmend die Erwartung.
Wie unterscheidet sich das revDSG von der DSGVO bei den Anforderungen an das Verarbeitungsverzeichnis?
Das revidierte Schweizer Datenschutzgesetz (revDSG), in Kraft seit September 2023, verlangt ebenfalls ein Verzeichnis der Verarbeitungstätigkeiten nach Artikel 12. Die Anforderungen sind weitgehend an DSGVO Artikel 30 angelehnt, es bestehen jedoch Unterschiede bei den Ausnahmeschwellen und den konkret erforderlichen Feldern. Organisationen, die sowohl in der EU als auch in der Schweiz tätig sind, brauchen eine Struktur des Verarbeitungsverzeichnisses, die beide Frameworks ohne Doppelung abbildet - ein Grund, warum eine Mehr-Framework-Plattform wichtig ist.
Ist Priverion für Einzel-Entitäten-Unternehmen geeignet?
Ehrlich gesagt liegt unsere Stärke im konzernweiten Management über mehrere Entitäten und Rechtsordnungen hinweg. Wenn Sie eine Einzel-Entitäten-Organisation mit unkomplizierter Verarbeitung sind, gibt es einfachere Werkzeuge, die besser passen könnten. Wir sind speziell für die Komplexität konzipiert, die mit der Verwaltung von Datenschutzprogrammen über 10, 50 oder mehr als 200 Entitäten einhergeht - und genau dort liefern wir den grössten Nutzen.


