Zum Hauptinhalt springen
Third-Party-Risikomanagement

Third-Party-Risikomanagement für DSGVO-Datenschutz-Compliance

Aktualisiert 2026-06-22
Key Takeaways: Priverion ist eine in der Schweiz gehostete Plattform, die das DSGVO-Third-Party-Risikomanagement automatisiert — DSFA, TIA, SCC und Compliance nach Artikel 28 — über Konzerne mit mehreren Gesellschaften hinweg.

Ihre Auftragsverarbeiter, Unterauftragsverarbeiter und grenzüberschreitenden Übermittlungen erzeugen Datenschutzrisiken, die generische Lieferantenmanagement-Tools nicht beurteilen können. Priverion bietet Datenschutzteams einen strukturierten, automatisierten Weg, DSFA, Transfer Impact Assessments, SCC und Compliance nach Artikel 28 zu steuern — über jede Gesellschaft in Ihrem Konzern hinweg.

Schweizer Hosting

Sämtliche Daten in Schweizer Infrastruktur

50+ Konzerngruppen

Vertrauen von Datenschutzteams mit mehreren Gesellschaften

100% Lieferantenabdeckung

Zurzach Care — vollständige Abdeckung der Lieferantenrisikobewertung

Datenschutz-spezifisch

DSFA, TIA, SCC — keine Cybersecurity-Checklisten

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
So löst Priverion das

Ein strukturierter Ansatz für das DSGVO-Third-Party-Risikomanagement

Jede Funktion adressiert direkt einen Schmerzpunkt, mit dem Datenschutzteams täglich konfrontiert sind — von fragmentierten Auftragsverarbeiter-Registern bis zu veralteten Übermittlungsmechanismen, die in geteilten Laufwerken vergraben sind.

Zentrales Auftragsverarbeiter-Register über alle Gesellschaften

Eine einzige Quelle der Wahrheit für jede Beziehung zu Auftragsverarbeitern und Unterauftragsverarbeitern in Ihrem gesamten Konzern. Jeder Datensatz verknüpft die Gesellschaften, denen er dient, die unterstützten Verarbeitungstätigkeiten, die betroffenen Datenkategorien und die anwendbare Rechtsgrundlage — sodass Sie nie wieder einer Tabelle hinterherjagen müssen.

Über Gesellschaften hinweg geteilte Auftragsverarbeiter-Beziehungen werden automatisch markiert und ermöglichen eine konsistente Überwachung ohne doppelten Aufwand.

100%

Abdeckung der Lieferantenrisikobewertung, erreicht von Zurzach Care mit dem zentralen Register von Priverion

Automatisiertes DSFA-Management für Auftragsverarbeiter-Engagements

Lösen Sie DSFA anhand von Risikokriterien der Verarbeitungstätigkeit aus — nicht nur beim Onboarding, sondern fortlaufend. Jede DSFA wird direkt mit der Auftragsverarbeiter-Beziehung und der Verarbeitungstätigkeit in Ihrem Verarbeitungsverzeichnis verknüpft und schafft so einen lebendigen Compliance-Nachweis statt eines vergessenen PDFs.

KI-gestützte Entwürfe und Risikobewertung beschleunigen den Beurteilungsprozess. Automatisierte Rezertifizierungs-Workflows fordern eine Neubewertung an, wenn sich Verarbeitungsbedingungen ändern oder nach einem festgelegten Zeitplan.

60%

Reduktion des Compliance-Verwaltungsaufwands, erreicht von einem Flugzeughersteller in den ersten 6 Monaten mit Priverion

Transfer Impact Assessments für grenzüberschreitende Datenflüsse

Ein strukturierter TIA-Workflow beurteilt den Rechtsrahmen des Empfängerlandes, die vorhandenen ergänzenden Massnahmen und die spezifischen Risiken für betroffene Personen — im Einklang mit den EDSA-Empfehlungen zu ergänzenden Massnahmen nach Schrems II.

Jede TIA wird mit dem relevanten Auftragsverarbeiter, der spezifischen Übermittlung und dem anwendbaren SCC-Modul verknüpft. Erstellen Sie auditfertige Dokumentation für Aufsichtsbehörden in Minuten statt Wochen.

Schweizer Hosting — sämtliche Daten werden innerhalb Schweizer Infrastruktur verarbeitet

SCC- und Übermittlungsmechanismus-Tracking

Verfolgen Sie, welches SCC-Modul für jede Übermittlung gilt — Verantwortlicher-zu-Auftragsverarbeiter, Auftragsverarbeiter-zu-Auftragsverarbeiter, Verantwortlicher-zu-Verantwortlichem — mit voller Transparenz über jede Gesellschaft in Ihrem Konzern.

SCC von vor Juni 2021, die ersetzt werden müssen, werden automatisch markiert. Fristenverfolgung und automatisierte Erinnerungen sorgen dafür, dass Übergangsfristen und Erneuerungstermine nie durchrutschen.

Kein Wühlen mehr in Vertragsmanagement-Systemen, um herauszufinden, ob eine SCC aktuell ist.

Compliance-Überwachung nach Artikel 28

Verfolgen Sie den AVV-Status für jede Auftragsverarbeiter-Beziehung: unterzeichnet, ausstehend, abgelaufen oder aktualisierungsbedürftig. Überwachen Sie die Pflichten von Auftragsverarbeitern, einschliesslich Auditrechten, Benachrichtigungspflichten zu Unterauftragsverarbeitern sowie Klauseln zur Löschung oder Rückgabe von Daten.

Zentrale Aufzeichnungen über Audit-Ergebnisse und Compliance-Status von Auftragsverarbeitern liefern Ihnen auditfertige Nachweispakete, sobald eine Aufsichtsbehörde danach fragt.

200+

Stunden eingespart bei der Vorbereitung der Compliance-Dokumentation durch Medtec mit Priverion

Governance über mehrere Gesellschaften und Rechtsräume

Aggregieren Sie Drittparteienrisiken über alle Gesellschaften in einem einzigen Dashboard auf Konzernebene — oder gehen Sie in gesellschaftsspezifische Ansichten für lokale Datenschutzbeauftragte hinein, während Ihr Konzern-Datenschutzteam die zentrale Übersicht behält.

Eine rechtsraumbewusste Logik wendet automatisch die richtigen Anforderungen anhand von Gesellschaftsstandort und Datenfluss-Geografie an. Zehn Tochtergesellschaften in sechs Ländern bedeuten nicht länger zehn separate Prozesse — sondern eine Plattform mit zehn Ansichten.

100%

Rezertifizierungsquote des Verarbeitungsverzeichnisses, erreicht von AXA mit den automatisierten Multi-Entity-Workflows von Priverion

200+

Stunden eingespart bei der Verwaltung des Verarbeitungsverzeichnisses

Medtec gewann über 200 Stunden während der ISO-27001-Vorbereitung zurück, indem das manuelle Tracking des Verarbeitungsverzeichnisses durch automatisierte Rezertifizierungs-Workflows ersetzt wurde.

60%

Geringere Kosten als OneTrust

Basierend auf veröffentlichten Preisvergleichen für Mid-Market-Organisationen mit über 10 Gesellschaften. Keine Pro-Nutzer-Gebühren, keine Pro-Modul-Erweiterungsfallen.

3 Mte.

Dem Zeitplan voraus bei ISO 27001

Medtec beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um drei Monate mithilfe der auditfertigen Nachweispakete und der automatisierten Dokumentation von Priverion.

Priverion vs. OneTrust

Compliance auf Enterprise-Niveau ohne die Enterprise-Komplexität

Mid-Market-Organisationen mit 5–50 Tochtergesellschaften benötigen ein konzernweites Datenschutzmanagement. Sie brauchen keine Plattform, die für Fortune-100-Budgets und 18-monatige Implementierungen gebaut wurde.

Die typische Erfahrung mit Enterprise-Plattformen

Monate bis zur Betriebsbereitschaft

Komplexe Onboarding-Zyklen, die dedizierte Implementierungsteams und Professional Services erfordern, bevor auch nur ein einziges Verarbeitungsverzeichnis migriert ist.

Pro-Nutzer- und Pro-Modul-Preisfallen

Was als wettbewerbsfähiges Angebot beginnt, wird unberechenbar, sobald Sie Tochtergesellschaften, Nutzer oder Compliance-Module hinzufügen. Jede Erweiterung löst ein neues kommerzielles Gespräch aus.

US-gehostete Infrastruktur

In einer Post-Schrems-II-Landschaft erzeugt die Speicherung von Datenschutz-Compliance-Daten — einschliesslich Aufzeichnungen zu grenzüberschreitenden Übermittlungen — auf US-Infrastruktur genau das Risiko, das Ihr Compliance-Programm eigentlich mindern soll.

200 oberflächliche Integrationen

Eine lange Integrationsliste wirkt in einer Demo beeindruckend. In der Praxis sind die meisten oberflächliche Konnektoren, die manuelle Konfiguration und laufende Wartung erfordern — Ressourcen, die Mid-Market-Teams nicht haben.

Funktionsüberladung, für die Sie zahlen, die Sie aber nicht nutzen

ESG-Module, Ethik-Hotlines, Cookie-Consent — eingebündelt in einen Plattformpreis, ob Ihr Datenschutzteam sie braucht oder nicht.

Die Priverion-Erfahrung

Betriebsbereit in Wochen, nicht Monaten

Eine Plattform, die für die tatsächliche Arbeitsweise von Datenschutzteams mit mehreren Gesellschaften konzipiert ist. Ein Flugzeughersteller erreichte 60% Reduktion des Compliance-Verwaltungsaufwands in den ersten 6 Monaten — inklusive vollständigem Onboarding und Migration.

Flugzeughersteller — erste 6 Monate nach der Implementierung

Vorhersehbare Preise nach Unternehmens- und Organisationsgrösse

Keine Pro-Nutzer-Gebühren. Keine Pro-Modul-Erweiterung. Sie wissen, was Sie dieses und nächstes Jahr zahlen — auch wenn Ihr Team von 5 auf 50 Nutzer wächst. CFOs können mit Zuversicht budgetieren, statt sich auf Überraschungen bei der Verlängerung gefasst zu machen.

In der Schweiz entwickelt, in der Schweiz gehostet — von Grund auf

Sämtliche Datenverarbeitung erfolgt innerhalb Schweizer Infrastruktur. Europäische Datenresidenz ist keine Zusatzstufe — sie ist die einzige Art, wie wir arbeiten. In einer Post-Schrems-II-Welt ist das kein Marketing-Häkchen. Es ist eine rechtliche Anforderung für grenzüberschreitende Datenübermittlungen.

Tiefe Integrationen dort, wo es zählt

Wir verbinden uns mit den Systemen, die Datenschutz-Workflows antreiben — HR, Beschaffung, IT-Asset-Management — mit Integrationen, die tief genug sind, um echte Arbeit zu automatisieren. Keine 200 oberflächlichen Konnektoren, die mehr Wartung als Nutzen schaffen.

All-in-One-Datenschutzplattform, nichts, was Sie nicht brauchen

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Incident-Management, Anfragen betroffener Personen, Data Mapping, KI-Register und Compliance-Dashboards — alles inklusive. Wir machen kein ESG, keine Ethik-Hotlines und kein Cookie-Consent. Genau dieser Fokus macht jede Funktion herausragend.

60%

Weniger Compliance-Verwaltungsaufwand

Flugzeughersteller — erste 6 Monate

200+

Stunden eingespart bei der ISO-27001-Vorbereitung

Medtec

100%

Automatisierte Rezertifizierung des Verarbeitungsverzeichnisses

AXA — vollständig automatisiert

Schluss mit Datenschutz in Tabellen

Sehen Sie, wie konzernweites Datenschutzmanagement aussieht, wenn es wirklich funktioniert

In 30 Minuten zeigen wir Ihnen, wie Organisationen wie ein Flugzeughersteller die Rezertifizierung des Verarbeitungsverzeichnisses über jede Tochtergesellschaft automatisiert haben — und den Compliance-Verwaltungsaufwand in den ersten sechs Monaten um 60% senkten. Keine Folien. Kein Verkaufsgespräch. Nur die Plattform, Ihre Fragen und ehrliche Antworten.

Wochen, nicht Monate

Durchschnittliche Zeit bis zum Go-live

Keine Pro-Nutzer-Preise

Vorhersehbare Kosten, keine Erweiterungsfallen

100% Schweizer Hosting

Europäische Datenresidenz garantiert

30-minütigen Rundgang buchen

Keine Verpflichtung erforderlich. Wir zeigen Ihnen die Plattform mit Blick auf Ihren Anwendungsfall — und wenn wir nicht der richtige Partner sind, sagen wir es Ihnen.

Über diese Seite — Quellen, Definitionen und FAQs

Key Takeaways

Das DSGVO-Third-Party-Risikomanagement verlangt von Verantwortlichen, jede Beziehung zu Auftragsverarbeitern und Unterauftragsverarbeitern systematisch zu bewerten und zu überwachen. Zu den zentralen Pflichten gehören die Durchführung von DSFA für risikoreiche Verarbeitungen (Artikel 35 DSGVO), die Durchführung von Transfer Impact Assessments für grenzüberschreitende Datenflüsse nach dem Schrems-II-Urteil, die Aktualität von Standardvertragsklauseln gemäss dem Rahmen von 2021 sowie die Sicherstellung von Artikel-28-konformen Auftragsverarbeitungsverträgen. Priverion zentralisiert diese Workflows in einer in der Schweiz gehosteten Plattform, die für Konzerne mit mehreren Gesellschaften konzipiert ist.

Definitionen

Was ist Third-Party-Risikomanagement (TPRM)?

Third-Party-Risikomanagement ist der Prozess der Identifizierung, Bewertung, Überwachung und Minderung von Risiken, die aus den Beziehungen einer Organisation zu externen Dienstleistern, Lieferanten und Partnern entstehen. Unter der DSGVO konzentriert sich TPRM speziell auf Datenschutzrisiken, die durch Auftragsverarbeiter und Unterauftragsverarbeiter entstehen. Artikel 28 DSGVO legt den rechtlichen Rahmen für Beziehungen zwischen Verantwortlichem und Auftragsverarbeiter fest.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung ist ein strukturierter Prozess, der nach Artikel 35 DSGVO erforderlich ist, um die Notwendigkeit, Verhältnismässigkeit und Risiken von Verarbeitungsvorgängen zu bewerten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge haben. Der EDSA hat Leitlinien dazu veröffentlicht, wann DSFA verpflichtend sind. Quelle: EDSA-Leitlinien.

Was ist ein Transfer Impact Assessment (TIA)?

Ein Transfer Impact Assessment ist eine einzelfallbezogene Bewertung, ob der Rechtsrahmen eines Drittlandes ein im Wesentlichen gleichwertiges Schutzniveau für personenbezogene Daten bietet. TIA wurden nach dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18) zu einer praktischen Notwendigkeit. Die EDSA-Empfehlungen 01/2020 beschreiben eine sechsstufige Methodik zur Durchführung von TIA und zur Ermittlung ergänzender Massnahmen.

Was sind Standardvertragsklauseln (SCC)?

Standardvertragsklauseln sind von der Europäischen Kommission unter dem Durchführungsbeschluss (EU) 2021/914 verabschiedete, vorab genehmigte Vertragsvorlagen, die nach Artikel 46 Abs. 2 Bst. c DSGVO geeignete Garantien für internationale Datenübermittlungen bieten. Die SCC von 2021 ersetzten die früheren Versionen mit einer verbindlichen Übergangsfrist bis zum 27.12.2022.

Statistiken und Branchenkontext

Laut dem IAPP-EY Annual Privacy Governance Report 2023 gaben 60% der Organisationen an, dass die Steuerung von Datenschutzrisiken durch Dritte zu ihren drei grössten Compliance-Herausforderungen zählt. Derselbe Bericht stellte fest, dass die durchschnittliche Organisation Beziehungen zu über 100 Auftragsverarbeitern unterhält. Eine Gartner-Analyse 2023 prognostizierte, dass bis 2025 60% der Organisationen Cybersecurity-Risiken als primären Faktor bei der Durchführung von Drittparteien-Transaktionen heranziehen werden. Der Durchsetzungs-Tracker des EDSA für 2023 zeigt, dass auftragsverarbeiterbezogene Verstösse einen erheblichen Anteil der DSGVO-Bussgelder ausmachten, wobei sich die Strafen allein 2023 laut vom EDSA veröffentlichten Durchsetzungsdaten auf über 1,2 Milliarden Euro beliefen.

Häufig gestellte Fragen

Was ist Third-Party-Risikomanagement unter der DSGVO?

Third-Party-Risikomanagement unter der DSGVO ist der strukturierte Prozess, mit dem Verantwortliche die aus Beziehungen zu Auftragsverarbeitern und Unterauftragsverarbeitern entstehenden Datenschutzrisiken identifizieren, bewerten und minimieren. Artikel 28 DSGVO verlangt, dass Verantwortliche nur Auftragsverarbeiter einsetzen, die hinreichende Garantien für geeignete technische und organisatorische Massnahmen bieten. TPRM umfasst DSFA, TIA, SCC sowie die laufende Überwachung der Compliance-Pflichten von Auftragsverarbeitern.

Warum sind Transfer Impact Assessments nach Schrems II erforderlich?

Das Schrems-II-Urteil des EuGH (Rechtssache C-311/18, Juli 2020) erklärte das EU-US-Privacy-Shield für ungültig und verpflichtete Datenexporteure, vor der Übermittlung personenbezogener Daten eine einzelfallbezogene Beurteilung der Rechtsrahmen von Drittländern vorzunehmen. Die EDSA-Empfehlungen 01/2020 beschreiben einen sechsstufigen Prozess zur Bewertung, ob die Gesetze des Bestimmungslandes ein im Wesentlichen gleichwertiges Schutzniveau gewährleisten.

Was verlangt Artikel 28 DSGVO für Auftragsverarbeiter-Verträge?

Artikel 28 DSGVO schreibt vor, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder Rechtsakts erfolgt, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegt. Der Vertrag muss Bestimmungen zur Unterauftragsverarbeitung, zu Auditrechten, zur Löschung oder Rückgabe von Daten sowie zur Pflicht des Auftragsverarbeiters enthalten, bei DSFA und Anfragen betroffener Personen zu unterstützen.

Wann ist eine DSFA für Auftragsverarbeiter-Engagements erforderlich?

Artikel 35 DSGVO verlangt eine DSFA, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Dazu zählen systematisches und umfassendes Profiling, die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten sowie die systematische Überwachung öffentlich zugänglicher Bereiche. Die nationalen Aufsichtsbehörden veröffentlichen Listen von Verarbeitungsvorgängen, die eine DSFA erfordern.

Was sind die vier SCC-Module und wann gelten sie?

Der Durchführungsbeschluss 2021/914 der Europäischen Kommission sieht vier Module vor: Modul 1 (Verantwortlicher-zu-Verantwortlichem), Modul 2 (Verantwortlicher-zu-Auftragsverarbeiter), Modul 3 (Auftragsverarbeiter-zu-Auftragsverarbeiter) und Modul 4 (Auftragsverarbeiter-zu-Verantwortlichem). Organisationen müssen das korrekte Modul anhand der Rollen von Datenexporteur und Datenimporteur auswählen. Die SCC von vor Juni 2021 liefen am 27.12.2022 aus.

Wie kommt Schweizer Hosting DSGVO-Compliance-Programmen zugute?

Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss nach Artikel 45 DSGVO, sodass personenbezogene Daten ohne zusätzliche Garantien aus der EU/dem EWR in die Schweiz fliessen können. Das revidierte Schweizer Datenschutzgesetz (revDSG), seit dem 01.09.2023 in Kraft, orientiert sich eng an den DSGVO-Standards. Das Hosting von Compliance-Daten in der Schweiz vermeidet die rechtlichen Komplexitäten einer US-basierten Cloud-Infrastruktur, die durch das Schrems-II-Urteil hervorgehoben wurden. Quelle: Schweizer revDSG auf Fedlex.

Vergleich DSGVO-Third-Party-Risikomanagement

FunktionGenerisches LieferantenmanagementPriverion TPRM
DSFA-Automatisierung verknüpft mit VerarbeitungsverzeichnisNicht verfügbar — DSFA separat verwaltetDSFA automatisch verknüpft mit Verarbeitungstätigkeiten und Auftragsverarbeiter-Datensätzen
Transfer Impact AssessmentsManuell oder nicht vorhandenStrukturierter TIA-Workflow im Einklang mit den EDSA-Empfehlungen 01/2020
SCC-Modul-TrackingIn Vertragsmanagement-Systemen erfasstÜbermittlungsbezogenes SCC-Modul-Tracking mit Ablaufwarnungen
AVV-Überwachung nach Artikel 28Grundlegendes Tracking des VertragsstatusVollständiger AVV-Lebenszyklus: unterzeichnet, ausstehend, abgelaufen, aktualisierungsbedürftig
Aggregation über Konzern mit mehreren GesellschaftenGesellschaft-für-Gesellschaft-SilosDashboard auf Konzernebene mit gesellschaftsspezifischem Drill-down
Daten-HostingÜblicherweise US-gehostete CloudSchweizer Hosting-Infrastruktur (EU-Angemessenheitsbeschluss)