Das Wichtigste auf einen Blick
Priverion ist eine in der Schweiz gehostete Datenschutz-Compliance-Plattform, die eigens für Mehrgesellschaftsorganisationen entwickelt wurde, die Schrems-II-Konformität durch Architektur statt durch Behelfslösung benötigen. Alle personenbezogenen Daten — Verarbeitungsverzeichnisse, DSFA, TIA, Pannendokumentation und Anfragen betroffener Personen — bleiben innerhalb des Schweizer Rechtsraums, für den ein EU-Angemessenheitsbeschluss nach Artikel 45 DSGVO vorliegt. Dies beseitigt Uebermittlungsrisiken nach Kapitel V durch das Compliance-Tool selbst und schliesst die Meta-Compliance-Lücke, die Plattformen mit Hauptsitz in den USA betrifft, die FISA Section 702 und dem CLOUD Act unterliegen.
Definitionen
Was ist Schrems II?
Schrems II bezeichnet das Urteil des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache C-311/18 (Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems), ergangen am 16. Juli 2020. Das Urteil erklärte den EU-US-Datenschutzschild für ungültig und erlegte Organisationen, die Standardvertragsklauseln (SCC) für internationale Datenübermittlungen nutzen, zusätzliche Pflichten auf. EuGH-Rechtssache C-311/18 (EUR-Lex)
Was ist ein Transfer Impact Assessment (TIA)?
Ein Transfer Impact Assessment (TIA) ist eine Bewertung, die nach den EDSA-Empfehlungen 01/2020 (angenommen am 18. Juni 2021) erforderlich ist, wenn sich eine Organisation auf Uebermittlungsmechanismen nach Artikel 46 DSGVO wie Standardvertragsklauseln stützt. Das TIA bewertet, ob der Rechtsrahmen des datenimportierenden Landes ein Schutzniveau bietet, das dem innerhalb des EWR gewährleisteten im Wesentlichen gleichwertig ist. EDSA-Empfehlungen 01/2020
Was ist FISA Section 702?
FISA Section 702 ist eine Bestimmung des US Foreign Intelligence Surveillance Act, die US-Geheimdienste ermächtigt, US-ansässige Anbieter elektronischer Kommunikationsdienste zur Offenlegung von Daten von Nicht-US-Personen ausserhalb der Vereinigten Staaten zu zwingen, ohne individuelle gerichtliche Genehmigung. Dies war ein zentrales Anliegen im Schrems-II-Urteil. IAPP US Privacy Legislation Tracker
Was ist das revidierte Schweizer Datenschutzgesetz (revDSG)?
Das revDSG, revidiert und seit dem 1. September 2023 in Kraft, ist das Schweizer Bundesgesetz über den Datenschutz. Es ist eng an die DSGVO angelehnt und wird vom Eidgenössischen Datenschutz- und Oeffentlichkeitsbeauftragten (EDOEB) durchgesetzt. revDSG auf Fedlex
Häufig gestellte Fragen
Was ist Schrems II und warum betrifft es Compliance-Software?
Schrems II (Rechtssache C-311/18, EuGH 2020) hat den EU-US-Datenschutzschild für ungültig erklärt und strenge Anforderungen an internationale Datenübermittlungen nach Kapitel V der DSGVO gestellt. Wenn Compliance-Software personenbezogene Daten — Verarbeitungsverzeichnisse, DSFA, Pannendokumentation, Informationen über betroffene Personen — in einer in den USA gehosteten Infrastruktur verarbeitet, kann das Tool selbst eine unrechtmässige Uebermittlung darstellen, die ergänzende Massnahmen erfordert. Gemäss den EDSA-Empfehlungen 01/2020 müssen Organisationen für jede solche Uebermittlung ein Transfer Impact Assessment durchführen. Priverion beseitigt dieses Risiko vollständig, indem es ausschliesslich in der Schweiz hostet, für die ein EU-Angemessenheitsbeschluss nach Artikel 45 DSGVO vorliegt.
Wie gewährleistet das Hosting in der Schweiz die Schrems-II-Konformität?
Die Schweiz gehört zu einer begrenzten Anzahl von Ländern, denen die Europäische Kommission ein angemessenes Datenschutzniveau nach Artikel 45 DSGVO zuerkennt. Datenübermittlungen aus der EU/dem EWR in die Schweiz erfordern keine Standardvertragsklauseln oder ergänzenden Massnahmen. Die Infrastruktur von Priverion wird ausschliesslich in Schweizer Rechenzentren gehostet, sodass keine personenbezogenen Daten US-Ueberwachungsgesetzen wie FISA Section 702 oder Executive Order 12333 ausgesetzt sind. Dies ist strukturelle Compliance, keine vertragliche Behelfslösung.
Was ist die Meta-Compliance-Lücke?
Die Meta-Compliance-Lücke entsteht, wenn das Tool, das zur Verwaltung der Datenschutz-Compliance verwendet wird, selbst nicht den Regeln für Datenübermittlungen entspricht. Beispielsweise kann ein Datenschutzbeauftragter, der eine in den USA gehostete Plattform zur Verwaltung von EU-Verarbeitungsdatensätzen nutzt, unbeabsichtigt eine Uebermittlung personenbezogener Daten nach Kapitel V in einen Rechtsraum ohne angemessenen Schutz schaffen. Gemäss dem EDSA erfordert dies dieselben ergänzenden Massnahmen wie jede andere internationale Uebermittlung.
Unterstützt Priverion die Compliance für Mehrgesellschaftsgruppen?
Ja. Priverion ist eigens für Organisationen entwickelt, die Datenschutzprogramme über mehrere Tochtergesellschaften, Entitäten und Rechtsräume hinweg verwalten. Es bietet eine zentrale Aufsicht mit Granularität auf Entitätsebene, eine automatisierte Rezertifizierung von Verarbeitungsverzeichnissen über Konzernstrukturen hinweg sowie entitätenübergreifendes Data Mapping. Gemäss dem IAPP-EY Privacy Governance Report 2023 berichten 78 % der Organisationen, dass die Verwaltung des Datenschutzes über mehrere Entitäten hinweg ihre grösste operative Herausforderung darstellt.
Wie schneidet Priverion im Vergleich zu Compliance-Plattformen mit Hauptsitz in den USA ab?
Plattformen mit Hauptsitz in den USA unterliegen FISA Section 702 und dem CLOUD Act, die die Offenlegung von überall auf der Welt gespeicherten Daten erzwingen können. Selbst mit EU-Datenhaltungsoptionen bleibt die Rechtseinheit der US-Gerichtsbarkeit unterstellt. Priverion ist ein Schweizer Unternehmen mit gesamter Infrastruktur in der Schweiz und beseitigt diese rechtlichen Risiken. Die Preise richten sich nach Anzahl der Unternehmen statt pro Nutzer oder pro Modul, was gemäss Kundendaten für einen Flugzeughersteller im Vergleich zu klassischen Enterprise-Plattformen zu 60 % geringeren Gesamtkosten führte.
Welche Datenschutz-Rahmenwerke unterstützt Priverion?
Priverion unterstützt die EU-Datenschutz-Grundverordnung (DSGVO), das revidierte Schweizer Datenschutzgesetz (revDSG) und ISO 27001. Die Plattform umfasst die Verwaltung von Verarbeitungsverzeichnissen, DSFA-/TIA-Workflows, Lieferanten-Risikobewertungen, Vorfallmanagement, die Bearbeitung von Anfragen betroffener Personen, ein KI-Register und Compliance-Dashboards — alles in einer einzigen, in der Schweiz gehosteten Umgebung.
Statistiken und Branchenkontext
Gemäss dem IAPP-EY Privacy Governance Report 2023 beschäftigt die durchschnittliche Organisation inzwischen 5,4 Vollzeit-Datenschutzkräfte, gegenüber 3,2 im Jahr 2020, was die wachsende regulatorische Komplexität widerspiegelt. Derselbe Bericht stellte fest, dass 78 % der Organisationen mit dem Datenschutzmanagement für mehrere Entitäten kämpfen. Die EDSA-Empfehlungen 01/2020 verlangen ein einzelfallbezogenes Transfer Impact Assessment für jede internationale Uebermittlung, die sich auf Standardvertragsklauseln stützt — eine Anforderung, die für Compliance-Tools selbst gilt, wenn sie personenbezogene Daten ausserhalb des EWR verarbeiten. Gemäss Gartner werden bis 2025 75 % der Weltbevölkerung personenbezogene Daten haben, die unter moderne Datenschutzvorschriften fallen, was die Nachfrage nach von Grund auf konformer Infrastruktur antreibt.
Vergleich: In der Schweiz gehostete vs. in den USA ansässige Compliance-Plattformen
| Kriterium | In den USA ansässige Plattform | Priverion (in der Schweiz gehostet) |
|---|
| Rechtsraum des Daten-Hostings | US- oder EU-Rechenzentren; Rechtseinheit nach US-Recht | Ausschliesslich Schweiz; EU-Angemessenheitsbeschluss nach Art. 45 DSGVO |
| Anwendbarkeit von FISA 702 / CLOUD Act (18 U.S.C. §2713) | Ja — US-Rechtseinheit unterliegt erzwungener Offenlegung | Nein — Schweizer Unternehmen, kein US-Rechtsbezug |
| Standardvertragsklauseln für eigenes Tool erforderlich | In der Regel ja, plus TIA-Pflicht | Nein — der Angemessenheitsbeschluss beseitigt die Anforderung |
| Unterstützung für mehrere Entitäten | Verfügbar, erfordert aber oft professionelle Dienstleistungen | Eingebaut: entitätenübergreifendes Mapping, automatisierte Rezertifizierung |
| Preismodell | Pro Nutzer, pro Modul; eskaliert mit dem Wachstum | Nach Anzahl der Unternehmen; vorhersehbar, keine Gebühren pro Nutzer |
| Zeit bis zur Einsatzbereitschaft | 6 bis 12 Monate typische Implementierung | Wochen; Flugzeughersteller in unter 6 Monaten mit voller Automatisierung einsatzbereit |
| Abdeckung von Datenschutz-Rahmenwerken | Breite GRC (ESG, Ethik, Cookies, Datenschutz) | Fokussiert: DSGVO, revDSG, ISO 27001 mit tiefer Workflow-Integration |