Sub-Processor-Monitoring

Verpassen Sie nie wieder eine Aenderung bei Unterauftragsverarbeitern . Automatisiertes DSGVO-Monitoring für Teams mit mehreren Einheiten

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete Plattform, die das DSGVO Sub-Processor-Monitoring, Aenderungswarnungen und auditfähige Nachweise für Teams mit mehreren Einheiten automatisiert.

Wenn ein Unterauftragsverarbeiter seine Infrastruktur ändert oder in einer neuen Jurisdiktion auffällig wird , wie schnell erfahren Sie davon? Und können Sie es gegenüber Auditoren nachweisen?

Demo buchen

30-minütige Vorführung. Keine Verpflichtung erforderlich.

Das Management von Unterauftragsverarbeitern über mehrere Einheiten, Tochtergesellschaften und Jurisdiktionen hinweg gehört zu den operativ komplexesten Herausforderungen der DSGVO-Compliance. Tabellen versagen. E-Mails gehen unter. Audit-Trails verschwinden. Diese Seite umreisst die Best Practices, denen führende Datenschutzteams folgen , und zeigt, wie Priverion jede einzelne davon automatisiert.

Vertrauen von Datenschutzteams, die über 50 Einheiten in Europa, APAC und Amerika verwalten

In der Schweiz gehostet An ISO 27001 ausgerichtet DSGVO-konform by Design KI-unterstützt, vom Menschen entschieden
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum das Sub-Processor-Monitoring scheitert

Warum die meisten Organisationen mit dem Sub-Processor-Monitoring kämpfen

Sie haben das Programm aufgebaut. Sie haben die AVVs unterzeichnet. Aber irgendwo zwischen den vierteljährlichen Prüfungen ist die Kette gerissen. Hier fällt es in der Regel auseinander.

Umfang und Tempo der Aenderungen

Grosse Auftragsverarbeiter wie AWS, Salesforce, Microsoft und Google aktualisieren ihre Listen von Unterauftragsverarbeitern mehrmals pro Jahr. Wenn Sie über 200 Verarbeitungstätigkeiten in 15 Einheiten verwalten , die sich jeweils auf überlappende Anbieter stützen , wird die manuelle Nachverfolgung dieser Aenderungen zu einem Vollzeitjob, den niemand übernehmen wollte.

Eine einzige verpasste Aktualisierung kann sich durch Ihre gesamte Compliance-Lage fortpflanzen und DSFAs sowie TIAs ungültig machen, die Sie für aktuell hielten.

Priverion überwacht Aenderungen bei Unterauftragsverarbeitern und löst automatisch einheitenspezifische Warnungen aus.

Keine zentrale Datenquelle

Informationen zu Unterauftragsverarbeitern stecken in Verträgen, AVVs, Anbieterportalen, E-Mail-Benachrichtigungen und Tabellen, die von unterschiedlichen Teams in unterschiedlichen Ländern gepflegt werden. Wenn eine Aufsichtsbehörde fragt "Wer hat Zugriff auf diese Daten?", dauert die Antwort Tage , nicht Minuten.

Der Grundsatz der Rechenschaftspflicht nach Artikel 5(2) verlangt, dass Sie die Konformität jederzeit nachweisen können. Fragmentierte Aufzeichnungen machen das unmöglich.

Das zentrale Register von Priverion verknüpft Unterauftragsverarbeiter über alle Konzerneinheiten hinweg mit dem Verarbeitungsverzeichnis.

Unterbrochene Benachrichtigungsketten

Artikel 28(2) DSGVO verlangt, dass Verantwortliche über Aenderungen bei Unterauftragsverarbeitern informiert werden und das Recht zum Widerspruch haben. In der Praxis gehen Benachrichtigungs-E-Mails an ein gemeinsames Postfach, werden von Spam-Regeln gefiltert oder von jemandem empfangen, der das Unternehmen vor sechs Monaten verlassen hat.

Ihre Widerspruchsfrist endet, bevor Sie überhaupt wissen, dass sie begonnen hat. Das ist nicht hypothetisch . das hören wir jede Woche von Datenschutzbeauftragten.

Priverion leitet Warnungen pro Einheit an den richtigen Datenschutzbeauftragten weiter , mit integrierter Verfolgung der Widerspruchsfrist.

Entkopplung von DSFA/TIA

Eine einzige Aenderung bei einem Unterauftragsverarbeiter kann ein Transfer Impact Assessment über Nacht ungültig machen , insbesondere bei Uebermittlungen in Jurisdiktionen ohne Angemessenheitsbeschluss. Die meisten Organisationen verfügen über keinen Mechanismus, dies automatisch zu kennzeichnen, sodass veraltete TIAs zu stillen Compliance-Risiken werden.

Nach Schrems II erwarten Aufsichtsbehörden, dass TIAs die aktuellen Unterauftragsverarbeitungsketten widerspiegeln, nicht die vor 18 Monaten dokumentierte.

Priverion kennzeichnet, wenn Aenderungen bei Unterauftragsverarbeitern bestehende TIAs oder DSFAs betreffen, und stösst Prüfworkflows an.

Audit-Exposition durch fehlende Nachweise

Aufsichtsbehörden erwarten zunehmend dokumentierte Nachweise einer fortlaufenden Ueberwachung , nicht nur punktuelle Bewertungen, die beim Onboarding eines Anbieters unterzeichnet wurden. Der Grundsatz der Rechenschaftspflicht verlangt den Nachweis, dass Sie das Risiko von Unterauftragsverarbeitern kontinuierlich managen, nicht dass Sie es einmal bewertet haben.

Wenn das Audit kommt, lautet die Frage nicht "Hatten Sie einen Vertrag?". Sie lautet "Können Sie uns den Monitoring-Nachweis zeigen?".

Priverion erstellt auditfähige Nachweispakete mit vollständigen Entscheidungsprotokollen in Minuten.

Die Kosten, wenn man dies falsch macht

"In einer Durchsetzungsmassnahme aus dem Jahr 2023 verhängte die österreichische Datenschutzbehörde ein erhebliches Bussgeld, unter anderem weil der Verantwortliche keine angemessene Aufsicht über die Unterauftragsverarbeitungskette eines Auftragsverarbeiters nachweisen konnte. Das Problem war nicht der Vertrag . es war das Fehlen einer fortlaufenden Ueberwachung."

Quelle: Durchsetzungsmassnahme der österreichischen DSB, 2023. Querverwiesen über GDPRhub und die jährlichen Durchsetzungsberichte des EDSA.

200+

Eingesparte Stunden beim Management des Verarbeitungsverzeichnisses

Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001, indem es die Datenschutzdokumentation konsolidierte und Rezertifizierungsworkflows automatisierte , in den ersten 6 Monaten.

60%

Geringere Gesamtkosten gegenüber Legacy-Plattformen

Ein Flugzeughersteller senkte die Compliance-Verwaltungskosten um 60% nach der Umstellung von tabellenbasierten Workflows , Preisgestaltung nach Einheiten, nicht nach Nutzererweiterung.

3 Mon.

Vor dem Zeitplan bei ISO 27001

Ein Medizintechnikunternehmen beschleunigte seinen ISO-27001-Zertifizierungszeitplan um 3 Monate mithilfe automatisierter Nachweispakete und integrierter Auditbereitschafts-Workflows.

Basierend auf verifizierten Kundenergebnissen, Q4 2023 – Q1 2025

Was unsere Kunden sagen

"Vor Priverion war die Nachverfolgung von Aenderungen bei Unterauftragsverarbeitern über unsere 12 Einheiten hinweg ein Albtraum aus Tabellen und verpassten E-Mails. Innerhalb von drei Monaten nach dem Go-Live hatten wir vollständige Transparenz über jede Anbieterbeziehung und konnten Audit-Nachweise in Minuten statt Tagen erstellen. Das hat die Arbeitsweise unseres Datenschutzteams grundlegend verändert."

Head of Data Protection

Gesundheitskonzern mit mehreren Einheiten . Priverion-Kunde seit 2023

"Wir haben OneTrust und zwei weitere Enterprise-Plattformen evaluiert. Alle nannten sechsmonatige Implementierungen und eine nutzerbasierte Preisgestaltung, die sich bei unserer Skalierung verdreifacht hätte. Priverion war innerhalb von Wochen einsatzbereit und das Preismodell passte zu unserer Konzernstruktur. Die Kostenreduktion von 60% war real."

Compliance Lead

Flugzeughersteller . Priverion-Kunde seit 2023

92% der befragten Priverion-Kunden berichten innerhalb von 90 Tagen nach der Einführung von einer verbesserten Auditbereitschaft.

Basierend auf der Priverion-Kundenzufriedenheitsumfrage, Q1 2025 (n=34)

Priverion vs. OneTrust

Für den Mittelstand entwickelt. Nicht nachträglich angeflanscht.

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und eigenen Datenschutzteams. Wenn Sie den Datenschutz über 5–50 Einheiten managen, brauchen Sie eine Plattform, die zu Ihrer Grössenordnung passt , nicht eine, die Sie zwingt, für Module zu bezahlen, die Sie nie nutzen werden.

Priverion

Eigens für das Datenschutzmanagement über mehrere Einheiten entwickelt

  • In der Schweiz gehostete Infrastruktur

    Alle Daten werden innerhalb einer Schweizer Infrastruktur verarbeitet und gespeichert. In einer Welt nach Schrems II ist dies kein Marketing-Häkchen , es ist eine rechtliche Absicherung für grenzüberschreitende Datenübermittlungen.

  • Europäische Datenresidenz, garantiert

    Ihre Compliance-Daten werden in der Schweiz gehostet, mit vollständiger Schweizer Datenhaltung und damit innerhalb der europäischen Jurisdiktion. Der Schweizer Ursprung ist unsere Identität, kein Funktionsmerkmal.

  • In Wochen einsatzbereit, nicht in Monaten

    Keine sechsmonatigen Implementierungsprojekte. Keine Voraussetzungen durch Professional Services. Ein Flugzeughersteller war innerhalb seines ersten Einführungszyklus mit automatisierter Rezertifizierung des Verarbeitungsverzeichnisses live und in Betrieb.

    Basierend auf dem Onboarding eines Flugzeugherstellers, 2023

  • Vorhersehbare, transparente Preisgestaltung

    Preisgestaltung nach Anzahl der Unternehmen und Organisationsgrösse , nicht pro Nutzer oder pro Modul. Keine Erweiterungsfallen. Ihr CFO wird die Rechnung tatsächlich verstehen.

  • All-in-One-Datenschutzplattform

    Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallmanagement, Bearbeitung von Betroffenenanfragen, KI-Register und einheitenübergreifendes Data Mapping , in einer einzigen Plattform. Keine Zusatzmodule zum Freischalten von Kernfunktionen.

  • KI-unterstützt, vom Menschen kontrolliert

    KI entwirft DSFAs, bewertet Risiken und ordnet regulatorische Anforderungen zu. Jede KI-Ausgabe wird geprüft, bevor sie zu einem Compliance-Datensatz wird. Es werden keine Kundendaten für das Modelltraining verwendet.

  • UX für Praktiker konzipiert

    Klare Oberfläche, gebaut für Datenschutzbeauftragte und Compliance-Verantwortliche, die Datenschutzprogramme im Tagesgeschäft managen , nicht für Berater, die alles einrichten und dann gehen.

Typische Enterprise-Plattform

Was Teams aus dem Mittelstand tatsächlich erleben

  • US-Hauptsitz, standardmässig in den USA gehostet

    Unterliegt den Anforderungen des US CLOUD Act und FISA 702. EU-Hosting-Optionen existieren , oft jedoch als Premium-Zusatz mit separaten Infrastrukturstufen und Zusatzkosten.

  • Datenresidenz erfordert Due Diligence

    Selbst mit EU-Verarbeitungsoptionen können Unterauftragsverarbeiter und Support-Workflows Daten weiterhin ausserhalb der europäischen Jurisdiktion leiten. Ihr Rechtsteam muss jedes Glied der Kette überprüfen.

  • Mehrmonatige Implementierungen sind üblich

    Professional-Services-Engagements, Beratungspartner, phasenweise Rollouts. Teams aus dem Mittelstand geben oft mehr für die Implementierung aus als für das erste Lizenzjahr.

  • Preisgestaltung pro Nutzer und pro Modul summiert sich

    Sie starten mit einem Modul und stellen dann fest, dass die Funktion, die Sie eigentlich brauchen, in einem anderen Paket steckt. Die Kosten skalieren unvorhersehbar, wenn Sie Nutzer, Einheiten und Funktionen hinzufügen.

  • Modular by Design , fragmentiert in der Praxis

    Ueber 200 Module klingen beeindruckend, bis Sie merken, dass jedes eine separate Beschaffungsentscheidung ist. ESG, Ethik-Hotlines, Cookie-Einwilligung , Funktionen, die den Fokus auf zentrale Datenschutzworkflows verwässern.

  • KI-Funktionen mit geringerer Transparenz

    Enterprise-KI-Funktionen werden aggressiv vermarktet, doch Datennutzungsrichtlinien, Trainingspraktiken und Anforderungen an die menschliche Aufsicht lassen sich in grossen Plattform-Oekosystemen schwerer überprüfen.

  • Für Enterprise-Komplexität gebaut

    Eine Organisation mit 50'000 Mitarbeitenden kann die Komplexität wahrscheinlich rechtfertigen. Ein Konzern mit 2'000 Personen und 15 Einheiten? Sie nutzen 20% der Plattform und zahlen für 100%.

Ein Hinweis darauf, was wir nicht tun

Wir decken kein ESG-Reporting, keine Ethik-Hotlines und keine Cookie-Einwilligung ab. Wir bieten keine 200 Integrationen , wir integrieren uns tief mit den Systemen, die für Datenschutzworkflows zählen: HR, Beschaffung und IT-Asset-Management. Und wenn Sie ein Unternehmen mit nur einer Einheit sind, passen wir wahrscheinlich nicht. Unsere Stärke ist das konzernweite Management über mehrere Einheiten und Jurisdiktionen hinweg.

Demo buchen

Sehen Sie, wie Priverion abschneidet , mit Ihren tatsächlichen Anforderungen, nicht mit einer generischen Funktionsmatrix.

Kostenloser Download

Die Sub-Processor-Monitoring-Checkliste für Datenschutzteams mit mehreren Einheiten

Hören Sie auf, Aktualisierungen von Unterauftragsverarbeitern über Tabellen und Postfächer von Tochtergesellschaften hinweg zu verfolgen. Diese Checkliste gibt Ihrem Datenschutzteam einen wiederholbaren Rahmen , aufgebaut auf der Art und Weise, wie Organisationen wie ein Flugzeughersteller und ein Gesundheitsdienstleister ihre konzernweite Anbieteraufsicht tatsächlich betreiben.

Was die Checkliste enthält:

  • Ein schrittweiser Audit-Workflow für Unterauftragsverarbeiter, der die Anforderungen von Artikel 28 über jede Tochtergesellschaft abdeckt , nicht nur über den Hauptsitz
  • Vorlagen zur Verfolgung von Benachrichtigungs- und Widerspruchsfristen, abgestimmt auf SCC-Pflichten und Transfer Impact Assessments nach Schrems II
  • Kriterien zur Risikobewertung von Aenderungen bei Unterauftragsverarbeitern , damit Ihr Team weiss, wann ein neuer Unterauftragsverarbeiter eine Aktualisierung der DSFA erfordert und wann ein einfacher Protokolleintrag genügt
  • Eine konzernweite Eskalationsmatrix für Fälle, in denen Unterauftragsverarbeiter in Jurisdiktionen ohne angemessenen Datenschutz tätig sind , mit Entscheidungsbäumen, die Ihr Rechtsteam tatsächlich nutzen wird

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.

Hören Sie auf, Datenschutz-Compliance über Tabellen zu managen. Beginnen Sie, sie aus einer Plattform heraus zu managen.

Ein Flugzeughersteller reduzierte die Compliance-Verwaltungszeit in sechs Monaten um 60%. Ein Schweizer Versicherer erreichte 100% automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001.

In 30 Minuten zeigen wir Ihnen genau, wie konzernweites Datenschutzmanagement funktioniert, wenn es für Organisationen mit mehreren Einheiten gebaut ist , nicht nachträglich angeflanscht.

In der Schweiz gehostete Datensouveränität
KI-unterstützt, vom Menschen kontrolliert
Vorhersehbare Preise, keine Nutzerfallen
Demo buchen

Keine Verpflichtung. Kein Sales-Deck. Nur ein Live-Einblick, wie Ihr Compliance-Team seine Zeit zurückgewinnt.

Kein Spam. Jederzeit abbestellbar.