Schrems-II-konform durch Architektur

Ihre Compliance-Software sollte nicht Ihr nächstes Compliance-Problem sein

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete Compliance-Plattform, die das Schrems-II-Risiko für Datenschutzbeauftragte beseitigt, die Datenschutzprogramme für Mehrgesellschaftsgruppen über europäische Rechtsräume hinweg verwalten.

Priverion ist Schrems-II-konforme Compliance-Software, vollständig in der Schweiz gehostet, entwickelt für Datenschutzbeauftragte, die sich weigern, Datenschutzprogramme auf Plattformen zu verwalten, die genau jene Vorschriften verletzen, die sie durchsetzen.

Jedes Verarbeitungsverzeichnis, jede DSFA, jedes TIA, jede Information über betroffene Personen, die Sie in Ihr Compliance-Tool eingeben, ist ein personenbezogenes Datum. Wo verarbeitet Ihr aktuelles Tool diese Daten?

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Architektur, keine Behelfslösung

Schrems-II-konform durch Konzeption, nicht per Häkchen

Die meisten Plattformen bieten EU-Datenhaltung als kostenpflichtige Zusatzoption an, unterliegen aber weiterhin US-Ueberwachungsrecht. Priverion ist strukturell anders. Europäische Souveränität ist das Fundament, kein Upselling.

Europäische Datensouveränität

Jedes Byte bleibt im europäischen Rechtsraum

Priverion wird ausschliesslich in der Schweiz und der EU gehostet. Nicht als Premium-Stufe. Nicht als Konfigurationsoption. Jedes Verarbeitungsverzeichnis, jede DSFA, jedes TIA, jede Pannendokumentation, jede Anfrage betroffener Personen: All das bleibt standardmässig innerhalb des europäischen Rechtsraums.

Keine US-Entität hat rechtlichen Zugriff auf Ihre Compliance-Daten. Kein FISA-702-Risiko. Kein Risiko durch Executive Order 12333. Kein Bedarf an ergänzenden Massnahmen gegen Ihr eigenes Compliance-Tool.

Ergebnis: Keine Uebermittlungen nach Kapitel V von Ihrer Compliance-Plattform, wodurch die Meta-Compliance-Lücke vollständig beseitigt wird.

Mehrgesellschaftsverwaltung

Konzernweite Compliance, Massnahme auf Entitätsebene

Priverion ist eigens für Organisationen entwickelt, die Datenschutzprogramme über mehrere Tochtergesellschaften, Entitäten und Rechtsräume hinweg verwalten. Zentrale Aufsicht mit Granularität auf Entitätsebene, sodass Sie das Gesamtbild sehen, ohne die lokale Präzision zu verlieren.

Die automatisierte Rezertifizierung von Verarbeitungsverzeichnissen über Ihre gesamte Konzernstruktur hinweg bedeutet, dass Sie den Geschäftsbereichen nicht mehr manuell hinterherlaufen müssen. Dies ist kein Tool für Startups mit einer einzelnen Entität; es ist Datenschutzprogramm-Management auf Unternehmensniveau für komplexe Organisationsstrukturen.

Ergebnis: Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten 6 Monaten mit automatisierter Rezertifizierung über Tochtergesellschaften hinweg um 60 %.

Fallstudie eines Flugzeugherstellers, Prüfung nach 6 Monaten Implementierung

Integrierter DSFA- & TIA-Workflow

Transfer Impact Assessments dort, wo Ihre Datensätze liegen

Führen Sie DSFA und TIA in derselben Plattform durch, in der Ihre Verarbeitungsdatensätze liegen. Verknüpfen Sie Bewertungen direkt mit den relevanten Verarbeitungstätigkeiten. KI-gestützte Entwürfe und Risikobewertung beschleunigen Ihre Arbeit, während Sie die volle Kontrolle über jede Entscheidung behalten.

Führen Sie einen lebendigen, prüfbaren Datensatz, der jeder Datenschutzbehörde Compliance nachweist - kein statisches PDF, das in einem geteilten Laufwerk vergraben ist. Erstellen Sie prüfungsbereite Nachweispakete in Minuten, wenn eine Aufsichtsbehörde anklopft.

Ergebnis: Medtec sparte mit den integrierten Bewertungs-Workflows von Priverion über 200 Stunden bei der Vorbereitung der ISO-27001-Zertifizierung.

Implementierungsdaten des Kunden Medtec

Ehrlicher Hinweis: Priverion deckt weder ESG-Reporting noch Ethik-Hotlines oder Cookie-Einwilligung ab. Wir integrieren uns tief in die für Datenschutz-Workflows entscheidenden Systeme (HR, Beschaffung, IT-Asset-Management), statt 200 oberflächliche Konnektoren anzubieten, die Wartungsaufwand erzeugen.

200+

Eingesparte Stunden bei der Verwaltung von Verarbeitungsverzeichnissen

Medtec verlagerte über 200 Stunden von manuellen ROPA-Aktualisierungen auf die ISO-27001-Vorbereitung und schloss die Zertifizierung 3 Monate vor dem Zeitplan ab.

60 %

Geringere Kosten als bei klassischen Plattformen

Basierend auf dem Gesamtkostenvergleich eines Flugzeugherstellers, mit vorhersehbaren Preisen nach Anzahl der Unternehmen, nicht nach Nutzerplatz oder Zusatzmodulen.

3 Mon.

Vor dem Zeitplan bei ISO 27001

Medtec nutzte die prüfungsbereiten Nachweispakete von Priverion, um die ISO-27001-Vorbereitung von geplanten 9 Monaten auf unter 6 zu verkürzen.

Vergleich

Die OneTrust-Alternative, die Unternehmen im Mittelstand tatsächlich nutzen wollen

Sie sollten kein sechsstelliges Budget und kein eigenes Implementierungsteam benötigen, nur um Ihr Datenschutzprogramm zu verwalten. Hier ist, warum wachsende Mehrgesellschaftsorganisationen wechseln.

Typische Enterprise-Plattformen

Datenhaltung

Hauptsitz in den USA, Daten werden oft in US- oder EU-Rechenzentren verarbeitet. Nach Schrems II schafft dies Rechtsunsicherheit für grenzüberschreitende Uebermittlungen und erfordert zusätzliche Schutzmassnahmen.

Benutzererlebnis

Funktionsreich, aber komplex. Implementierungen dauern häufig 6 bis 12 Monate. Fachanwender benötigen oft eigene Schulungen, bevor sie grundlegende Aufgaben erledigen können.

Preismodell

Preise pro Nutzer und pro Modul, die mit Ihrem Wachstum eskalieren. Eine neue Tochtergesellschaft oder ein neues Team hinzuzufügen bedeutet oft, Ihren Vertrag und Ihr Budget neu zu verhandeln.

Plattformumfang

Breite GRC-Suite, die ESG, Ethik-Hotlines, Cookie-Einwilligung und mehr abdeckt. Mächtig, wenn Sie alles brauchen, aber die meisten Mittelstandsteams zahlen für Module, die sie nie aktivieren.

Mehrgesellschaftsverwaltung

Unterstützt, aber nachgerüstet. Konzernweite Transparenz erfordert oft individuelle Konfigurationen, professionelle Dienstleistungen und zusätzliche Lizenzstufen.

Priverion

Schweizer Datensouveränität

In der Schweiz entwickelt, in der Schweiz gehostet. Die gesamte Datenverarbeitung bleibt innerhalb Schweizer Infrastruktur, einem der wenigen Rechtsräume mit einem EU-Angemessenheitsbeschluss. Keine zusätzlichen rechtlichen Verrenkungen für grenzüberschreitende Uebermittlungen.

Auf Einfachheit ausgelegt

Einsatzbereit in Wochen, nicht in Monaten. Fachanwender erledigen Aufgaben ohne Handbücher. Ein Flugzeughersteller ging in den ersten 6 Monaten von 47 Tabellen zu einer vollständig automatisierten Rezertifizierung über.

Flugzeughersteller, erste 6 Monate nach der Implementierung

Vorhersehbare Preise

Preise nach Anzahl der Unternehmen und Organisationsgrösse, nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder hinzu, ohne dass Ihre Rechnung steigt. Ihre Finanzleitung wird die Vorhersehbarkeit schätzen.

All-in-One-Datenschutzplattform

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallmanagement, Bearbeitung von Anfragen betroffener Personen, KI-Register und Compliance-Dashboards, alles inklusive. Wir decken weder ESG noch Cookie-Einwilligung ab, weil wir uns darauf konzentrieren, das Management von Datenschutzprogrammen aussergewöhnlich gut zu machen.

Konzernweit konzipiert

Mehrgesellschaftsverwaltung ist kein Aufsatz; sie ist das Fundament. Entitätenübergreifendes Data Mapping, zentrale Dashboards und automatisierte Rezertifizierung über jede Tochtergesellschaft hinweg. Wir bedienen Gruppen mit über 50 Entitäten in mehreren Rechtsräumen.

60 %

Weniger Verwaltungsaufwand für Compliance

Flugzeughersteller, erste 6 Monate

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec

100 %

Rezertifizierungsquote der Verarbeitungsverzeichnisse

AXA, vollständig automatisiert

30-minütige Vorführung buchen

Sehen Sie, wie der Wechsel funktioniert. Die meisten Teams sind innerhalb von Wochen einsatzbereit

Schluss mit dem Datenschutzmanagement in Tabellen

Ihre Freitagnachmittage haben Besseres verdient als die Pflege von Verarbeitungsverzeichnissen

Sehen Sie, wie Priverion die konzernweite Datenschutz-Compliance über jede Tochtergesellschaft und jeden Rechtsraum hinweg automatisiert, mit eingebauter Schweizer Datensouveränität, nicht nachträglich aufgesetzt. In 30 Minuten gehen wir Ihre spezifischen Herausforderungen als Mehrgesellschaftsgruppe durch und zeigen Ihnen genau, wie Organisationen wie ein Flugzeughersteller den Verwaltungsaufwand für Compliance um 60 % reduziert haben.

60 %

Weniger Verwaltungsaufwand für Compliance (Flugzeughersteller, erste 6 Monate)

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung (Medtec)

Wochen

Zeit bis zur Einsatzbereitschaft, nicht Monate

30-minütige Vorführung buchen

Kein Verkaufsgespräch. Kein Druck. Nur ein gezielter Blick darauf, wie Datenschutzmanagement für Mehrgesellschaftsgruppen wirklich funktioniert, mit vorhersehbaren Preisen, ohne Fallstricke pro Nutzer.

Ueber diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick

Priverion ist eine in der Schweiz gehostete Datenschutz-Compliance-Plattform, die eigens für Mehrgesellschaftsorganisationen entwickelt wurde, die Schrems-II-Konformität durch Architektur statt durch Behelfslösung benötigen. Alle personenbezogenen Daten — Verarbeitungsverzeichnisse, DSFA, TIA, Pannendokumentation und Anfragen betroffener Personen — bleiben innerhalb des Schweizer Rechtsraums, für den ein EU-Angemessenheitsbeschluss nach Artikel 45 DSGVO vorliegt. Dies beseitigt Uebermittlungsrisiken nach Kapitel V durch das Compliance-Tool selbst und schliesst die Meta-Compliance-Lücke, die Plattformen mit Hauptsitz in den USA betrifft, die FISA Section 702 und dem CLOUD Act unterliegen.

Definitionen

Was ist Schrems II?

Schrems II bezeichnet das Urteil des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache C-311/18 (Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems), ergangen am 16. Juli 2020. Das Urteil erklärte den EU-US-Datenschutzschild für ungültig und erlegte Organisationen, die Standardvertragsklauseln (SCC) für internationale Datenübermittlungen nutzen, zusätzliche Pflichten auf. EuGH-Rechtssache C-311/18 (EUR-Lex)

Was ist ein Transfer Impact Assessment (TIA)?

Ein Transfer Impact Assessment (TIA) ist eine Bewertung, die nach den EDSA-Empfehlungen 01/2020 (angenommen am 18. Juni 2021) erforderlich ist, wenn sich eine Organisation auf Uebermittlungsmechanismen nach Artikel 46 DSGVO wie Standardvertragsklauseln stützt. Das TIA bewertet, ob der Rechtsrahmen des datenimportierenden Landes ein Schutzniveau bietet, das dem innerhalb des EWR gewährleisteten im Wesentlichen gleichwertig ist. EDSA-Empfehlungen 01/2020

Was ist FISA Section 702?

FISA Section 702 ist eine Bestimmung des US Foreign Intelligence Surveillance Act, die US-Geheimdienste ermächtigt, US-ansässige Anbieter elektronischer Kommunikationsdienste zur Offenlegung von Daten von Nicht-US-Personen ausserhalb der Vereinigten Staaten zu zwingen, ohne individuelle gerichtliche Genehmigung. Dies war ein zentrales Anliegen im Schrems-II-Urteil. IAPP US Privacy Legislation Tracker

Was ist das revidierte Schweizer Datenschutzgesetz (revDSG)?

Das revDSG, revidiert und seit dem 1. September 2023 in Kraft, ist das Schweizer Bundesgesetz über den Datenschutz. Es ist eng an die DSGVO angelehnt und wird vom Eidgenössischen Datenschutz- und Oeffentlichkeitsbeauftragten (EDOEB) durchgesetzt. revDSG auf Fedlex

Häufig gestellte Fragen

Was ist Schrems II und warum betrifft es Compliance-Software?

Schrems II (Rechtssache C-311/18, EuGH 2020) hat den EU-US-Datenschutzschild für ungültig erklärt und strenge Anforderungen an internationale Datenübermittlungen nach Kapitel V der DSGVO gestellt. Wenn Compliance-Software personenbezogene Daten — Verarbeitungsverzeichnisse, DSFA, Pannendokumentation, Informationen über betroffene Personen — in einer in den USA gehosteten Infrastruktur verarbeitet, kann das Tool selbst eine unrechtmässige Uebermittlung darstellen, die ergänzende Massnahmen erfordert. Gemäss den EDSA-Empfehlungen 01/2020 müssen Organisationen für jede solche Uebermittlung ein Transfer Impact Assessment durchführen. Priverion beseitigt dieses Risiko vollständig, indem es ausschliesslich in der Schweiz hostet, für die ein EU-Angemessenheitsbeschluss nach Artikel 45 DSGVO vorliegt.

Wie gewährleistet das Hosting in der Schweiz die Schrems-II-Konformität?

Die Schweiz gehört zu einer begrenzten Anzahl von Ländern, denen die Europäische Kommission ein angemessenes Datenschutzniveau nach Artikel 45 DSGVO zuerkennt. Datenübermittlungen aus der EU/dem EWR in die Schweiz erfordern keine Standardvertragsklauseln oder ergänzenden Massnahmen. Die Infrastruktur von Priverion wird ausschliesslich in Schweizer Rechenzentren gehostet, sodass keine personenbezogenen Daten US-Ueberwachungsgesetzen wie FISA Section 702 oder Executive Order 12333 ausgesetzt sind. Dies ist strukturelle Compliance, keine vertragliche Behelfslösung.

Was ist die Meta-Compliance-Lücke?

Die Meta-Compliance-Lücke entsteht, wenn das Tool, das zur Verwaltung der Datenschutz-Compliance verwendet wird, selbst nicht den Regeln für Datenübermittlungen entspricht. Beispielsweise kann ein Datenschutzbeauftragter, der eine in den USA gehostete Plattform zur Verwaltung von EU-Verarbeitungsdatensätzen nutzt, unbeabsichtigt eine Uebermittlung personenbezogener Daten nach Kapitel V in einen Rechtsraum ohne angemessenen Schutz schaffen. Gemäss dem EDSA erfordert dies dieselben ergänzenden Massnahmen wie jede andere internationale Uebermittlung.

Unterstützt Priverion die Compliance für Mehrgesellschaftsgruppen?

Ja. Priverion ist eigens für Organisationen entwickelt, die Datenschutzprogramme über mehrere Tochtergesellschaften, Entitäten und Rechtsräume hinweg verwalten. Es bietet eine zentrale Aufsicht mit Granularität auf Entitätsebene, eine automatisierte Rezertifizierung von Verarbeitungsverzeichnissen über Konzernstrukturen hinweg sowie entitätenübergreifendes Data Mapping. Gemäss dem IAPP-EY Privacy Governance Report 2023 berichten 78 % der Organisationen, dass die Verwaltung des Datenschutzes über mehrere Entitäten hinweg ihre grösste operative Herausforderung darstellt.

Wie schneidet Priverion im Vergleich zu Compliance-Plattformen mit Hauptsitz in den USA ab?

Plattformen mit Hauptsitz in den USA unterliegen FISA Section 702 und dem CLOUD Act, die die Offenlegung von überall auf der Welt gespeicherten Daten erzwingen können. Selbst mit EU-Datenhaltungsoptionen bleibt die Rechtseinheit der US-Gerichtsbarkeit unterstellt. Priverion ist ein Schweizer Unternehmen mit gesamter Infrastruktur in der Schweiz und beseitigt diese rechtlichen Risiken. Die Preise richten sich nach Anzahl der Unternehmen statt pro Nutzer oder pro Modul, was gemäss Kundendaten für einen Flugzeughersteller im Vergleich zu klassischen Enterprise-Plattformen zu 60 % geringeren Gesamtkosten führte.

Welche Datenschutz-Rahmenwerke unterstützt Priverion?

Priverion unterstützt die EU-Datenschutz-Grundverordnung (DSGVO), das revidierte Schweizer Datenschutzgesetz (revDSG) und ISO 27001. Die Plattform umfasst die Verwaltung von Verarbeitungsverzeichnissen, DSFA-/TIA-Workflows, Lieferanten-Risikobewertungen, Vorfallmanagement, die Bearbeitung von Anfragen betroffener Personen, ein KI-Register und Compliance-Dashboards — alles in einer einzigen, in der Schweiz gehosteten Umgebung.

Statistiken und Branchenkontext

Gemäss dem IAPP-EY Privacy Governance Report 2023 beschäftigt die durchschnittliche Organisation inzwischen 5,4 Vollzeit-Datenschutzkräfte, gegenüber 3,2 im Jahr 2020, was die wachsende regulatorische Komplexität widerspiegelt. Derselbe Bericht stellte fest, dass 78 % der Organisationen mit dem Datenschutzmanagement für mehrere Entitäten kämpfen. Die EDSA-Empfehlungen 01/2020 verlangen ein einzelfallbezogenes Transfer Impact Assessment für jede internationale Uebermittlung, die sich auf Standardvertragsklauseln stützt — eine Anforderung, die für Compliance-Tools selbst gilt, wenn sie personenbezogene Daten ausserhalb des EWR verarbeiten. Gemäss Gartner werden bis 2025 75 % der Weltbevölkerung personenbezogene Daten haben, die unter moderne Datenschutzvorschriften fallen, was die Nachfrage nach von Grund auf konformer Infrastruktur antreibt.

Vergleich: In der Schweiz gehostete vs. in den USA ansässige Compliance-Plattformen

KriteriumIn den USA ansässige PlattformPriverion (in der Schweiz gehostet)
Rechtsraum des Daten-HostingsUS- oder EU-Rechenzentren; Rechtseinheit nach US-RechtAusschliesslich Schweiz; EU-Angemessenheitsbeschluss nach Art. 45 DSGVO
Anwendbarkeit von FISA 702 / CLOUD Act (18 U.S.C. §2713)Ja — US-Rechtseinheit unterliegt erzwungener OffenlegungNein — Schweizer Unternehmen, kein US-Rechtsbezug
Standardvertragsklauseln für eigenes Tool erforderlichIn der Regel ja, plus TIA-PflichtNein — der Angemessenheitsbeschluss beseitigt die Anforderung
Unterstützung für mehrere EntitätenVerfügbar, erfordert aber oft professionelle DienstleistungenEingebaut: entitätenübergreifendes Mapping, automatisierte Rezertifizierung
PreismodellPro Nutzer, pro Modul; eskaliert mit dem WachstumNach Anzahl der Unternehmen; vorhersehbar, keine Gebühren pro Nutzer
Zeit bis zur Einsatzbereitschaft6 bis 12 Monate typische ImplementierungWochen; Flugzeughersteller in unter 6 Monaten mit voller Automatisierung einsatzbereit
Abdeckung von Datenschutz-RahmenwerkenBreite GRC (ESG, Ethik, Cookies, Datenschutz)Fokussiert: DSGVO, revDSG, ISO 27001 mit tiefer Workflow-Integration