Multi-Entity-Datenschutzprogramm-Management

Skalieren Sie Ihr DSGVO-Compliance-Programm über jede Entität hinweg — ohne das Chaos

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Verarbeitungsverzeichnis, DSFA, Auskunftsbegehren und Lieferantenrisikomanagement über Multi-Entity-Organisationen hinweg für eine skalierbare DSGVO-Compliance vereint.

Sie haben kein DSGVO-Problem. Sie haben ein Koordinationsproblem. Priverion gibt Datenschutzbeauftragten und Datenschutzteams eine einzige Plattform, um Verarbeitungsverzeichnis, DSFA, Auskunftsbegehren und Reaktion auf Datenpannen über jede Tochtergesellschaft, jeden Rechtsraum und jede Geschäftseinheit hinweg zu verwalten — mit vollständigen Audit-Trails und null Abhängigkeit von Tabellenkalkulationen.

Wenn Sie die DSGVO-Compliance über eine Multi-Entity-Organisation hinweg verwalten, kennen Sie die Realität bereits: fragmentierte Tabellen, uneinheitliche Prozesse zwischen Tochtergesellschaften, lokale Teams, die Datenschutz als das Problem anderer betrachten, und Auditanfragen, deren Beantwortung Wochen dauert. Sie sind aus Ihrem aktuellen Werkzeug herausgewachsen. Diese Seite zeigt Ihnen genau, wie Sie das beheben.

In der Schweiz entwickelt und gehostet. Einsatzbereit in Wochen, nicht Monaten. Vertraut von Pilatus Aircraft, Zurzach Care und Multi-Entity-Organisationen in ganz Europa.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Was Sie mit Priverion tun können — über jede Entität hinweg

Jede Funktion ist auf eine Governance auf Konzernebene ausgelegt und respektiert zugleich die Autonomie der lokalen Entitäten. So sieht das in der Praxis aus.

Konzernweites Verarbeitungsverzeichnis-Management mit automatisierter Rezertifizierung

Pflegen Sie ein zentrales, lebendiges Verzeichnis von Verarbeitungstätigkeiten über alle Entitäten hinweg. Jede Tochtergesellschaft verwaltet ihre eigenen Verarbeitungstätigkeiten innerhalb eines standardisierten Rahmens. Automatisierte Rezertifizierungs-Workflows stellen sicher, dass Verarbeitungsverzeichnisse nach einem festgelegten Zeitplan überprüft werden — nicht erst, wenn ein Audit ansteht.

60% weniger Verwaltungsaufwand für Compliance

Aircraft manufacturer — erste 6 Monate nach der Einführung

Schluss mit der «Verzeichnisjagd» — die Aufzeichnungen jeder Entität in einer standardisierten Ansicht, stets aktuell.

Standardisierte DSFA und Transfer Impact Assessments

Führen Sie DSFA und TIA mit einheitlichen, konfigurierbaren Methoden über den gesamten Konzern hinweg durch. KI-gestützte Erstellung und Risikobewertung beschleunigen die Beurteilungen, während Menschen die volle Entscheidungshoheit behalten. Zentralisieren Sie alles in einem Repository mit Versionshistorie und Genehmigungs-Workflows.

Über 200 Stunden bei der Vorbereitung von Beurteilungen eingespart

Ein Medizintechnikunternehmen — ISO-27001-Vorbereitungszyklus

Eine Methodik, jede Entität, vollständige Nachvollziehbarkeit. Lücken erkennen, bevor es die Aufsichtsbehörden tun.

Zentralisiertes Auskunftsbegehren- und Datenpannen-Management

Leiten Sie Anfragen betroffener Personen automatisch an die richtige Entität weiter. Behalten Sie jede 30-Tage-Frist über den gesamten Konzern hinweg im Blick. Wenn eine Datenpanne auftritt, koordinieren Sie Benachrichtigungs-Workflows über betroffene Entitäten und Rechtsräume hinweg — mit vollständiger Dokumentation für die Aufsichtsbehörden.

24/7-DPO-Support über mehrere Entitäten hinweg

Kein Rätselraten mehr, welche Entität die Daten hält oder wer für die Reaktion zuständig ist.

Lieferantenrisiko und Überwachung von Datenflüssen Dritter

Erhalten Sie eine konzernweite Übersicht über jede Lieferantenbeziehung, jeden Übermittlungsmechanismus und jede SCC über alle Entitäten hinweg. Standardisieren Sie Lieferantenrisikobeurteilungen, damit keine Tochtergesellschaft mit veralteten TIA oder nicht genehmigten Auftragsverarbeitern arbeitet. Verwalten Sie grenzüberschreitende Datenübermittlungen mit Zuversicht in einer Welt nach Schrems II.

100% Abdeckung der Lieferantenrisikobeurteilung

Ein Gesundheitsdienstleister — über alle Drittbeziehungen hinweg

Eine einzige Lieferantenpanne sollte sich nicht über Ihren Konzern ausbreiten, nur weil niemand das Gesamtbild hatte.

Vorstandstaugliche Compliance-Dashboards und Reporting

Beantworten Sie «Wie ist unsere Datenschutz-Risikolage?» in Echtzeit, nicht erst nach wochenlanger manueller Konsolidierung. Dashboards zeigen den Compliance-Status nach Entität, Rechtsraum und Rahmenwerk — und geben CISOs, der Rechtsabteilung und dem Vorstand die nötige Transparenz. Erstellen Sie prüffähige Nachweispakete in Minuten.

100% Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert

Ein Schweizer Versicherer — laufender konzernweiter Compliance-Betrieb

Datenschutz wird auf Vorstandsebene zum Vertrauensvorteil — nicht zum Haftungsthema.

Schweizer Datensouveränität mit KI-gestützter Compliance

Alle Daten werden innerhalb Schweizer Infrastruktur verarbeitet — nicht nur in Europa gehostet, sondern in der Schweiz entwickelt und betrieben. KI-gestützte Funktionen beschleunigen die Erstellung von DSFA, die Risikobewertung und das regulatorische Mapping und behalten dabei den Menschen die Massnahme. Keine Kundendaten werden jemals für das Modelltraining verwendet. KI unterstützt, Menschen entscheiden.

Einsatzbereit in Wochen, nicht Monaten

Durchschnittliche Einführungsdauer von Priverion bei Enterprise-Kunden

In einer Welt nach Schrems II ist Swiss-hosted kein Marketing-Häkchen — es ist eine rechtliche Voraussetzung für grenzüberschreitende Datenübermittlungen.

200+

Stunden beim Verarbeitungsverzeichnis-Management eingespart

Ein Medizintechnikunternehmen — gemessen während der ISO-27001-Vorbereitung über das gesamte Datenschutzprogramm hinweg

60%

Geringere Gesamtkosten gegenüber Legacy-Plattformen

Aircraft manufacturer — auf Basis vergleichbaren Funktionsumfangs, erste 6 Monate der Einführung

3 Mt.

Dem Zeitplan voraus bei der ISO-27001-Bereitschaft

Ein Medizintechnikunternehmen — prüffähige Nachweispakete in Minuten statt Wochen erstellt

Für den Mittelstand gebaut. Nicht aus dem Enterprise-Bereich abgespeckt.

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und dedizierten Datenschutzteams. Priverion wurde für Multi-Entity-Organisationen entwickelt, die Compliance auf Enterprise-Niveau benötigen — ohne den Enterprise-Overhead.

Typische OneTrust-Erfahrung

Datenstandort

Hauptsitz in den USA mit Hosting in mehreren Regionen. In einer Welt nach Schrems II ist «EU-Region verfügbar» nicht dasselbe wie garantierte europäische Datensouveränität.

Preismodell

Preise pro Modul und pro Nutzer, die sich unvorhersehbar ausweiten. Cookie-Einwilligung, Lieferantenrisiko und DSFA werden jeweils separat verkauft. Die Budgets explodieren nach dem ersten Jahr.

Komplexität

Gebaut für Fortune-500-Compliance-Teams mit dedizierten Administratoren. Monatelange Implementierung. Funktionen, die für Anwendungsfälle entworfen wurden, denen die meisten mittelständischen Unternehmen nie begegnen.

Konzernweites Management

Multi-Entity-Unterstützung ist vorhanden, erfordert jedoch erhebliche Konfiguration und oft Professional Services, um Tochterstrukturen korrekt abzubilden.

Integrationen

Über 200 Konnektoren, die Breite abdecken. Viele sind oberflächlich und erzeugen Wartungsaufwand ohne sinnvolle Workflow-Automatisierung.

Der Priverion-Unterschied

Garantierte Schweizer Datensouveränität

In der Schweiz entwickelt, in der Schweiz gehostet. Sämtliche Datenverarbeitung innerhalb Schweizer Infrastruktur. Europäischer Datenstandort ist keine Konfigurationsoption — er ist unsere Architektur. Sicherheit bei grenzüberschreitenden Übermittlungen standardmässig.

Vorhersehbare, transparente Preise

Preis nach Anzahl der Unternehmen und Organisationsgrösse — nicht pro Nutzer oder pro Modul. Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Bearbeitung von Auskunftsbegehren und Incident Management sind alle inbegriffen. Keine Erweiterungsfallen, keine Überraschungen im zweiten Jahr.

Einsatzbereit in Wochen, nicht Monaten

Eine UX, die für Datenschutzbeauftragte und Compliance-Verantwortliche mit vielen Hüten entworfen wurde — nicht für Teams mit dedizierten Tool-Administratoren. Aircraft manufacturer erzielte innerhalb von sechs Monaten nach dem Go-live eine Reduktion des Compliance-Verwaltungsaufwands um 60%.

Aircraft manufacturer — erste 6 Monate nach der Implementierung

Multi-Entity von Grund auf

Konzernweites Datenschutzprogramm-Management ist kein Add-on — es ist der Grund, warum Priverion existiert. Bilden Sie Tochterstrukturen ab, automatisieren Sie die entitätsübergreifende Rezertifizierung des Verarbeitungsverzeichnisses und pflegen Sie eine einzige zuverlässige Datenquelle über mehr als 50 Entitäten und Rechtsräume hinweg.

Tiefe Integrationen, wo sie zählen

Fokussierte Integrationen mit HR-, Beschaffungs- und IT-Asset-Management-Systemen — den Workflows, die Datenschutz-Compliance tatsächlich antreiben. Weniger Konnektoren, tiefere Automatisierung, geringerer Wartungsaufwand.

Vom Tabellenchaos zur konzernweiten Governance in vier Schritten

Die Implementierung erfolgt in Wochen, nicht Monaten. So sieht der typische Weg vom ersten Gespräch bis zur vollständigen konzernweiten Compliance aus.

1

Ihre Konzernstruktur abbilden

Wir richten Priverion auf Ihre tatsächliche Tochter- und Rechtsraumstruktur aus. Jede Entität erhält einen eigenen Arbeitsbereich innerhalb einer einheitlichen Konzernansicht. Keine kundenspezifische Entwicklung — es ist genau dafür gebaut.

2

Importieren und standardisieren

Migrieren Sie bestehende Verarbeitungsverzeichnisse, DSFA und Lieferantenbestände — ob sie in Tabellen, SharePoint oder einem anderen Tool liegen. KI-gestütztes Mapping hilft, uneinheitliche Daten über Entitäten hinweg zu normalisieren.

3

Wiederkehrende Workflows automatisieren

Legen Sie Rezertifizierungspläne, Routing-Regeln für Auskunftsbegehren und Lieferantenüberprüfungszyklen fest. Automatisierte Erinnerungen ersetzen die manuelle Jagd. Lokale Teams beteiligen sich, ohne ein komplexes Tool erlernen zu müssen.

4

Mit Zuversicht berichten

Erstellen Sie vorstandstaugliche Dashboards und Audit-Nachweispakete über jede Entität hinweg. Beantworten Sie Anfragen von Aufsichtsbehörden in Minuten. Verbringen Sie Ihre Zeit mit strategischer Datenschutzarbeit, nicht mit der Pflege von Tabellen.

Ergebnisse von Organisationen, die Compliance über mehrere Entitäten hinweg verwalten

Das sind keine generischen Referenzen. Jede spiegelt ein konkretes Ergebnis von Organisationen wider, die mit denselben Multi-Entity-Koordinationsherausforderungen konfrontiert waren, mit denen Sie es heute zu tun haben.

«Vor Priverion verbrachte unser Datenschutzbeauftragter den Grossteil seiner Zeit damit, Geschäftseinheiten über die Tochtergesellschaften hinweg wegen Aktualisierungen des Verarbeitungsverzeichnisses zu verfolgen. Jetzt läuft die Rezertifizierung automatisch, und wir haben diese Zeit auf strategische Datenschutzinitiativen umgelenkt, die das organisatorische Risiko tatsächlich verringern.»

Aircraft manufacturer

Luftfahrthersteller mit mehreren Tochtergesellschaften, Schweiz

60% weniger Compliance-Verwaltungsaufwand — erste 6 Monate nach der Einführung

«Wir brauchten eine vollständige Verarbeitungsverzeichnis-Abdeckung über den gesamten Konzern hinweg — nicht 80% Abdeckung mit Lücken, die wir während eines Audits entdecken würden. Priverion verschaffte uns eine Rezertifizierungsquote von 100% mit automatisierten Workflows, die unsere lokalen Teams tatsächlich nutzen.»

Ein Schweizer Versicherer

Multi-Entity-Organisation mit konzernweiten Compliance-Anforderungen

100% Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert über alle Entitäten hinweg

«Unsere ISO-27001-Vorbereitung verschlang Wochen manuellen Dokumentationsaufwands. Die prüffähigen Nachweispakete und strukturierten Beurteilungs-Workflows von Priverion sparten uns über 200 Stunden und brachten uns drei Monate dem Zeitplan voraus.»

Ein Medizintechnikunternehmen

Healthcare-Technologieunternehmen, Schweiz

Über 200 Stunden eingespart, 3 Monate dem Zeitplan voraus bei der ISO-27001-Bereitschaft

«Das Lieferantenrisiko war unser blinder Fleck. Verschiedene Tochtergesellschaften hatten unterschiedliche Beurteilungsprozesse — manche überhaupt keine. Priverion standardisierte unseren Ansatz und verschaffte uns eine vollständige Abdeckung über jede Drittbeziehung hinweg.»

Ein Gesundheitsdienstleister

Gesundheitsgruppe mit mehreren Pflegeeinrichtungen, Schweiz

100% Abdeckung der Lieferantenrisikobeurteilung über alle Drittbeziehungen hinweg

Fragen, die uns gestellt werden — und die offenen Antworten

Wir gehen lieber direkt auf Ihre Bedenken ein, als dass Sie rätseln. Hier sind die häufigsten Fragen von Datenschutzverantwortlichen, die Priverion evaluieren.

«Skaliert es wirklich auf über 50 Entitäten in mehreren Rechtsräumen?»

Ja. Multi-Entity- und mehrere Rechtsräume umfassendes Management ist der zentrale Grund, warum Priverion existiert. Unsere Architektur wurde von Anfang an für Konzerne mit komplexen Tochterstrukturen entworfen — nicht nachträglich aus einem Single-Entity-Tool umgebaut. Jede Entität pflegt ihren eigenen Arbeitsbereich innerhalb einer einheitlichen Konzernansicht, mit standardisierten Workflows und zentralisiertem Reporting. Wir bedienen heute Organisationen mit über 50 Entitäten in der EU, der Schweiz und Drittländern.

«Sie haben weniger Integrationen als OneTrust. Ist das ein Problem?»

Es kommt darauf an, was Sie benötigen. Wir integrieren tief mit den Systemen, die Datenschutz-Workflows tatsächlich antreiben: HR-Systeme, Beschaffungsplattformen und IT-Asset-Management-Tools. Das sind die Integrationen, die automatisiertes Daten-Mapping, Lieferantenrisikobeurteilungen und die Entdeckung von Verarbeitungstätigkeiten ermöglichen. Wir haben uns bewusst für Tiefe statt Breite entschieden. Wenn Sie 200 oberflächliche Konnektoren für Systeme benötigen, die selten personenbezogene Daten berühren, sind wir nicht die richtige Wahl. Wenn Sie sinnvolle Automatisierung für zentrale Datenschutz-Workflows benötigen, sind wir es.

«Ist KI für Compliance-Arbeit sicher? Was, wenn sie einen Fehler macht?»

Genau deshalb verwenden wir den Begriff «KI-gestützt» und nicht «KI-betrieben». KI in Priverion beschleunigt die Erstellung, schlägt Risikobewertungen vor und bildet regulatorische Anforderungen ab — aber jede KI-Ausgabe wird von einem Menschen überprüft, bevor sie zu einem Compliance-Datensatz wird. Sämtliche Datenverarbeitung erfolgt innerhalb Schweizer Infrastruktur. Keine Kundendaten werden für das Modelltraining verwendet. KI unterstützt das Urteilsvermögen Ihres Teams; sie ersetzt es nie.

«Wir nutzen derzeit Tabellen. Wie schmerzhaft ist die Migration?»

Das ist unser häufigster Ausgangspunkt. Die meisten Organisationen, mit denen wir arbeiten, migrieren von Tabellen, SharePoint oder einem Flickwerk lokaler Tools. Unser Onboarding-Prozess umfasst strukturierte Import-Workflows und KI-gestützte Datennormalisierung, um uneinheitliche Aufzeichnungen in ein standardisiertes Format zu bringen. Typische Time-to-Value: einsatzbereit in Wochen, nicht Monaten. Aircraft manufacturer war live und sah innerhalb der ersten sechs Monate Ergebnisse.

«Was machen Sie nicht?»

Wir sind hier gern offen. Priverion deckt weder ESG-Reporting noch Ethik-Hotlines oder das Management der Cookie-Einwilligung ab. Wir sind auch nicht für Single-Entity-Unternehmen gebaut — unsere Stärke ist das konzernweite Datenschutzprogramm-Management. Wenn Sie eine in der Schweiz gehostete Plattform benötigen, die bei Verarbeitungsverzeichnis, DSFA, Auskunftsbegehren, Lieferantenrisiko und Incident Management über mehrere Entitäten hinweg in die Tiefe geht, dann brillieren wir genau dort. Wenn Sie eine breitere GRC-Plattform benötigen, sind wir möglicherweise nicht die richtige Wahl.

«Warum Swiss-hosted? Macht das wirklich einen Unterschied?»

Nach Schrems II macht es mehr Unterschied, als die meisten Organisationen ahnen. Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss, was bedeutet, dass Datenübermittlungen zwischen der EU und der Schweiz keine zusätzlichen Schutzmassnahmen wie SCC erfordern. Das Schweizer Datenschutzrecht (revDSG) bietet starke, international anerkannte Schutzbestimmungen. Für Organisationen, die grenzüberschreitende Datenübermittlungen verwalten, ist Schweizer Datensouveränität kein Marketing-Unterscheidungsmerkmal — sie vereinfacht Ihre Rechtsgrundlage für die Datenverarbeitung und verringert das Übermittlungsrisiko über den gesamten Konzern hinweg.

Kostenlose Checkliste

Die Checkliste zur Skalierung der Multi-Entity-DSGVO

Ein praktischer, schrittweiser Rahmen für Datenschutzbeauftragte und Compliance-Verantwortliche, die Datenschutzprogramme über mehrere Tochtergesellschaften und Rechtsräume hinweg verwalten. Basierend auf dem, was tatsächlich funktioniert — nicht auf Theorie.

Das ist enthalten:

  • Ein 12-Punkte-Audit zur Beurteilung Ihrer aktuellen konzernweiten Compliance-Reife — identifizieren Sie genau, wo Ihre Lücken über die Entitäten hinweg liegen
  • Der Rezertifizierungs-Workflow des Verarbeitungsverzeichnisses, der bei Aircraft manufacturer 60% des Compliance-Verwaltungsaufwands eliminierte — angepasst zu einer wiederverwendbaren Vorlage
  • Ein Entscheidungsbaum für grenzüberschreitende Datenübermittlungen für das SCC-Management nach Schrems II über EU-, Schweizer und Drittland-Tochtergesellschaften hinweg
  • Eine Priorisierungsmatrix für Lieferantenrisiken, um von reaktiven Beurteilungen zu einem strukturierten, konzernweiten Drittparteien-Management überzugehen

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.

Praktische Details für Ihre Evaluierung

Welche Compliance-Rahmenwerke unterstützt Priverion?

DSGVO (EU), Schweizer revDSG, ISO 27001, ISO 27701, NIST-Privacy-Framework-Mapping und das Management von Standardvertragsklauseln (SCC). Wir umfassen zudem ein KI-Register für die Compliance-Bereitschaft zum EU AI Act. Wenn Sie ein bestimmtes Rahmenwerk benötigen, das hier nicht aufgeführt ist, fragen Sie uns — unsere regulatorische Beobachtung hält uns auf dem Laufenden, während sich die Vorschriften weiterentwickeln.

Wie ist die Preisgestaltung strukturiert?

Basierend auf der Anzahl der Unternehmen in Ihrem Konzern und der Organisationsgrösse — nicht pro Nutzer oder pro Modul. Jede Kernfunktion (Verarbeitungsverzeichnis, DSFA, Auskunftsbegehren, Lieferantenrisiko, Incident Management, Dashboards) ist inbegriffen. Keine Erweiterungsfallen, keine überraschenden Add-ons. Wir sind überzeugt, dass Datenschutzteams ihre Kosten vorhersagen können sollten, statt sie bei jedem Verlängerungszyklus neu zu verhandeln.

Wie lange dauert die Implementierung?

Typischerweise Wochen, nicht Monate. Der genaue Zeitrahmen hängt von der Komplexität Ihres Konzerns ab — Anzahl der Entitäten, Umfang der zu migrierenden bestehenden Aufzeichnungen und Integrationsanforderungen. Unser Onboarding umfasst strukturierte Import-Workflows und KI-gestützte Datennormalisierung. Aircraft manufacturer sah innerhalb der ersten sechs Monate messbare Ergebnisse, darunter eine Reduktion des Compliance-Verwaltungsaufwands um 60%.

Können lokale Entitätsteams die Plattform ohne umfangreiche Schulung nutzen?

Ja. Die UX ist für Datenschutzbeauftragte und Compliance-Verantwortliche mit vielen Hüten entworfen — nicht für Teams mit dedizierten Tool-Administratoren. Lokale Teams arbeiten mit geführten Workflows für ihre spezifischen Aufgaben (Aktualisierung von Verarbeitungstätigkeiten, Durchführung von Beurteilungen, Beantwortung von Auskunftsbegehren), ohne die gesamte Plattform verstehen zu müssen. Der Konzern-Datenschutzbeauftragte erhält die zentralisierte Ansicht und Massnahme.

Was geschieht mit unseren Daten, wenn wir Priverion verlassen?

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick — Multi-Entity-DSGVO-Compliance

Die Skalierung der DSGVO-Compliance über einen Unternehmensverbund hinweg erfordert eine zentralisierte Governance, ohne die Autonomie der lokalen Entitäten zu opfern. Priverion ist eine in der Schweiz entwickelte und gehostete Plattform, die das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen (DSFA), Auskunftsbegehren betroffener Personen, Lieferantenrisikomanagement und die Reaktion auf Datenpannen in einem einzigen prüffähigen System vereint. Vertraut von Organisationen wie Aircraft manufacturer und einem Gesundheitsdienstleister, ist die Plattform in Wochen einsatzbereit und nach Unternehmensanzahl bepreist — nicht pro Nutzer oder pro Modul.

Definitionen

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist eine verpflichtende Dokumentationsanforderung gemäss DSGVO Artikel 30. Verantwortliche und Auftragsverarbeiter müssen schriftliche Aufzeichnungen führen, die jede Verarbeitungstätigkeit, ihren Zweck, Kategorien betroffener Personen und personenbezogener Daten, Empfänger, internationale Übermittlungen, Aufbewahrungsfristen sowie technische und organisatorische Sicherheitsmassnahmen beschreiben. Für Multi-Entity-Organisationen ist die Pflege einheitlicher und aktueller Verarbeitungsverzeichnisse über jede Tochtergesellschaft hinweg eine der ressourcenintensivsten Compliance-Pflichten.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäss DSGVO Artikel 35 erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zu DSFA (WP248 rev.01) veröffentlicht, die klären, wann Beurteilungen verpflichtend sind und wie sie systematisch durchzuführen sind.

Was ist ein Auskunftsbegehren (DSAR)?

Ein Auskunftsbegehren (DSAR) ist die Ausübung des Auskunftsrechts gemäss DSGVO Artikel 15. Organisationen müssen innerhalb eines Monats antworten und eine Kopie der verarbeiteten personenbezogenen Daten zusammen mit ergänzenden Informationen über Zwecke, Empfänger und Aufbewahrung bereitstellen. Für Multi-Entity-Konzerne ist es eine erhebliche operative Herausforderung, Auskunftsbegehren an die richtige Entität weiterzuleiten und die 30-Tage-Frist über die Rechtsräume hinweg einzuhalten.

Was ist das Schrems-II-Urteil?

Das Schrems-II-Urteil (Rechtssache C-311/18, Gerichtshof der Europäischen Union, Juli 2020) erklärte das EU-US-Privacy-Shield-Rahmenwerk für ungültig und verschärfte die Anforderungen an Standardvertragsklauseln (SCC) für internationale Datenübermittlungen. Das Urteil verlangt von Organisationen, Transfer Impact Assessments (TIA) durchzuführen, um zu überprüfen, dass das rechtliche Rahmenwerk des Empfängerlandes einen angemessenen Schutz bietet. Der vollständige Text ist bei EUR-Lex verfügbar.

Was ist das Schweizer Datenschutzgesetz (revDSG)?

Das revidierte Schweizer Datenschutzgesetz (revDSG), in Kraft seit dem 1. September 2023, modernisierte das Schweizer Datenschutzrahmenwerk, um es enger an die DSGVO anzugleichen, und behält zugleich Schweiz-spezifische Bestimmungen bei. Der vollständige Text ist bei Fedlex verfügbar. Der Angemessenheitsstatus der Schweiz gemäss DSGVO Artikel 45 macht in der Schweiz gehostete Plattformen zu einer rechtlich robusten Wahl für den europäischen Datenstandort.

Statistiken und Branchenkontext

Laut dem IAPP-EY Annual Privacy Governance Report 2023 beschäftigt die durchschnittliche Organisation heute 5,2 Vollzeit-Datenschutzkräfte — dennoch berichten 60% der Datenschutzverantwortlichen, dass ihre Teams im Verhältnis zu den regulatorischen Anforderungen unterausgestattet sind. Derselbe Bericht stellte fest, dass 47% der Organisationen für zentrale Datenschutzvorgänge weiterhin auf Tabellen oder manuelle Prozesse angewiesen sind.

Der EDSA-Jahresbericht 2023 dokumentierte über 1'400 grenzüberschreitende Fälle, die über den Kohärenzmechanismus bearbeitet wurden, was die zunehmende Komplexität der grenzüberschreitenden Compliance unterstreicht. Der Threat-Landscape-2024-Bericht von ENISA hebt hervor, dass Datenpannen weiterhin zu den grössten Bedrohungen für Organisationen zählen, was eine koordinierte Reaktion auf Datenpannen über Entitäten hinweg zu einer kritischen Fähigkeit macht.

Gartner prognostiziert, dass bis 2026 60% der grossen Organisationen über eine zentralisierte Plattform für das Datenschutzprogramm-Management verfügen werden, gegenüber rund 30% im Jahr 2023 (Gartner Cybersecurity Predictions 2024).

Häufig gestellte Fragen

Wie skalieren Sie die DSGVO-Compliance über mehrere Entitäten hinweg?

Die Skalierung der DSGVO-Compliance über mehrere Entitäten hinweg erfordert eine zentralisierte Plattform, die das Verarbeitungsverzeichnis-Management, DSFA, die Bearbeitung von Auskunftsbegehren und die Reaktion auf Datenpannen standardisiert und zugleich die Autonomie der lokalen Entitäten respektiert. Gemäss DSGVO Artikel 30 muss jeder Verantwortliche seine eigenen Aufzeichnungen führen — aber eine Plattform auf Konzernebene kann einheitliche Vorlagen, automatisierte Rezertifizierungspläne und ein einheitliches Reporting durchsetzen. Priverion stellt diese Architektur bereit und ermöglicht es Datenschutzbeauftragten, eine einzige zuverlässige Datenquelle über mehr als 50 Entitäten und Rechtsräume hinweg zu pflegen.

Was ist der Unterschied zwischen Priverion und OneTrust für mittelständische Unternehmen?

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang, modularer Preisgestaltung und standardmässig in den USA gehosteter Infrastruktur. Priverion ist speziell für mittelständische Multi-Entity-Organisationen entwickelt: Die Preisgestaltung erfolgt nach Unternehmensanzahl (nicht pro Nutzer oder pro Modul), die Einführung wird in Wochen gemessen, und die Schweizer Datensouveränität ist architektonisch — keine Konfigurationsoption. Priverion deckt weder ESG-Reporting noch Ethik-Hotlines oder Cookie-Einwilligung ab; es geht beim Datenschutzprogramm-Management in die Tiefe.

Warum ist Schweizer Daten-Hosting für die DSGVO-Compliance nach Schrems II von Bedeutung?

Nachdem das Schrems-II-Urteil das EU-US Privacy Shield für ungültig erklärt hat, sehen sich Organisationen einer verschärften Prüfung grenzüberschreitender Datenübermittlungen gegenüber. Die Schweiz profitiert von einem EU-Angemessenheitsbeschluss gemäss DSGVO Artikel 45, was bedeutet, dass Datenübermittlungen in die Schweiz keine SCC oder ergänzenden Massnahmen erfordern. Das macht in der Schweiz gehostete Plattformen zu einer rechtlich robusten Wahl für den europäischen Datenstandort — ein struktureller Vorteil gegenüber US-Anbietern mit Hauptsitz, die ein Hosting nach dem Motto «EU-Region verfügbar» anbieten.

Wie lange dauert es, eine Multi-Entity-Datenschutzplattform einzuführen?

Priverion ist typischerweise in Wochen einsatzbereit, nicht in Monaten. Die Plattform ist für Datenschutzbeauftragte und Compliance-Verantwortliche mit vielen Hüten entworfen, mit einer UX, die keine dedizierten Tool-Administratoren erfordert. Im Gegensatz dazu erfordern Legacy-Enterprise-Plattformen wie OneTrust oft monatelange Implementierungen mit Professional-Services-Engagements, um Tochterstrukturen abzubilden.

Welche DSGVO-Pflichten gelten speziell für Multi-Entity-Unternehmensverbünde?

Multi-Entity-Unternehmensverbünde unterliegen spezifischen Pflichten, darunter: die Führung getrennter Verarbeitungsverzeichnisse pro verantwortlicher Entität (Artikel 30), die Durchführung von DSFA für risikoreiche Verarbeitungen über die Tochtergesellschaften hinweg (Artikel 35), die Koordination von Antworten auf Auskunftsbegehren, wenn Daten über mehrere Entitäten gehalten werden (Artikel 15), und die Verwaltung von Meldungen über Datenpannen innerhalb von 72 Stunden über betroffene Rechtsräume hinweg (Artikel 33). Konzerne können zudem im Rahmen des One-Stop-Shop-Mechanismus eine federführende Aufsichtsbehörde bestimmen (Artikel 56).

Was ist Lieferantenrisikomanagement gemäss DSGVO?

Gemäss DSGVO Artikel 28 dürfen Verantwortliche nur Auftragsverarbeiter einsetzen, die «hinreichende Garantien» für eine DSGVO-konforme Verarbeitung bieten. Dies erfordert die Durchführung von Due-Diligence-Beurteilungen der Lieferanten, die Pflege von Auftragsverarbeitungsverträgen und die fortlaufende Überwachung der Compliance. Für Multi-Entity-Konzerne stellt die Standardisierung von Lieferantenrisikobeurteilungen sicher, dass keine Tochtergesellschaft mit veralteten Transfer Impact Assessments oder nicht genehmigten Auftragsverarbeitern arbeitet.

Multi-Entity-DSGVO-Compliance — Funktionsvergleich

FunktionPriverionTypische Legacy-Plattform
DatenstandortIn der Schweiz entwickelt und gehostet — sämtliche Verarbeitung innerhalb Schweizer InfrastrukturHauptsitz in den USA mit optionalem Hosting in der EU-Region
PreismodellNach Anzahl der Unternehmen und Organisationsgrösse — alle Module inbegriffenPro Modul, pro Nutzer — Cookie-Einwilligung, Lieferantenrisiko, DSFA separat verkauft
EinführungsdauerEinsatzbereit in WochenMonatelange Implementierung mit Professional Services
Multi-Entity-ArchitekturVon Grund auf für konzernweite Governance gebautAdd-on, das erhebliche Konfiguration erfordert
Verarbeitungsverzeichnis-RezertifizierungAutomatisierte Workflows nach festgelegten ZeitplänenManuell oder halbautomatisiert
DSFA-MethodikStandardisiert, über alle Entitäten hinweg konfigurierbar mit KI-gestützter ErstellungVariiert je nach Modul und Konfiguration
Auskunftsbegehren-RoutingAutomatisches Routing an die richtige Entität mit Nachverfolgung der 30-Tage-FristManuelle Zuweisung in den meisten Konfigurationen
Abdeckung des LieferantenrisikosKonzernweite Übersicht über alle Lieferantenbeziehungen, SCC und ÜbermittlungsmechanismenSichtbarkeit auf Entitätsebene, die manuelle Konsolidierung erfordert