Das Wichtigste auf einen Blick
Lieferanten-Datenschutzbewertungen sind eine regulatorische Anforderung gemäss DSGVO Artikel 28, dem revDSG und ISO 27001. Manuelle Prozesse mit Tabellenkalkulationen und E-Mail skalieren nicht über eine Handvoll Lieferanten hinaus. Priverion zentralisiert Lieferantenregister, automatisiert die Verteilung von Fragebogen und die Rezertifizierung, integriert Transfer Impact Assessments in den Arbeitsablauf und erstellt audit-fertige Dokumentation — alles aus in der Schweiz gehosteter Infrastruktur mit standardmässiger europäischer Datenresidenz.
Definitionen
Was ist eine Lieferanten-Datenschutzbewertung?
Eine Lieferanten-Datenschutzbewertung ist der Prozess der Beurteilung der Datenschutzpraktiken, technischen Schutzmassnahmen und vertraglichen Verpflichtungen eines Drittanbieters, um die Einhaltung der einschlägigen Datenschutzvorschriften sicherzustellen. DSGVO Artikel 28 verlangt von Verantwortlichen, nur Auftragsverarbeiter einzusetzen, die "hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Massnahmen umgesetzt werden" (DSGVO Art. 28).
Was ist ein Transfer Impact Assessment (TIA)?
Ein Transfer Impact Assessment ist eine dokumentierte Bewertung, die erforderlich ist, wenn personenbezogene Daten in ein Drittland ausserhalb des EWR übermittelt werden. Im Anschluss an das Schrems-II-Urteil (EuGH C-311/18) empfiehlt der EDSA Organisationen, den Rechtsrahmen des Empfängerlandes zu beurteilen und ergänzende Massnahmen zu identifizieren, wenn Standardvertragsklauseln allein unzureichend sind (EDSA-Empfehlungen 01/2020).
Was ist DSGVO Artikel 28?
DSGVO Artikel 28 regelt das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern. Er schreibt schriftliche Verträge vor, die Einzelheiten der Verarbeitung festlegen, und verlangt von Verantwortlichen, vor und während des Einsatzes eine Sorgfaltsprüfung der Auftragsverarbeiter durchzuführen (DSGVO Art. 28 Volltext).
Was ist das revidierte Schweizer Datenschutzgesetz (revDSG)?
Das revDSG (revidiert, in Kraft seit 1. September 2023) ist das Bundesdatenschutzgesetz der Schweiz. Es orientiert sich eng an den Grundsätzen der DSGVO, einschliesslich Anforderungen an Auftragsverarbeitungsverträge und Garantien für grenzüberschreitende Uebermittlungen (Fedlex — revDSG Volltext).
Branchenstatistiken und Kontext
Laut dem IAPP-EY 2023 Privacy Governance Report gaben 60 % der Organisationen an, dass das Drittanbieter-Risikomanagement eine ihrer drei grössten Herausforderungen im Datenschutzprogramm ist (IAPP-EY 2023 Report). Derselbe Report stellte fest, dass das durchschnittliche Datenschutzteam Beziehungen zu mehr als 100 Lieferanten verwaltet. Gartner prognostiziert, dass bis 2026 60 % der Grossunternehmen standardisierte Drittanbieter-Risikobewertungen als Voraussetzung für das Onboarding von Lieferanten vorschreiben werden (Gartner 2023 Privacy Predictions). Der ENISA Threat Landscape Report 2023 hebt Lieferketten-Angriffe als eine der grössten Bedrohungen für europäische Organisationen hervor und bekräftigt damit die Notwendigkeit einer gründlichen Sorgfaltsprüfung von Lieferanten (ENISA Threat Landscape 2023).
Häufig gestellte Fragen
Was ist ein Prozess zur Lieferanten-Datenschutzbewertung?
Ein Prozess zur Lieferanten-Datenschutzbewertung ist ein strukturierter Arbeitsablauf, den Organisationen nutzen, um die Datenschutzpraktiken von Drittanbietern zu beurteilen. Er umfasst in der Regel die Verteilung von Datenschutzfragebogen, die Risikobewertung anhand der Antworten, die Durchführung von Transfer Impact Assessments für grenzüberschreitende Datenübermittlungen sowie die Pflege audit-fertiger Dokumentation, um die Einhaltung von DSGVO Artikel 28, des revDSG und weiterer einschlägiger Rahmenwerke nachzuweisen.
Warum benötigen Organisationen automatisierte Lieferanten-Datenschutzbewertungen?
Manuelle Lieferantenbewertungen mit Tabellenkalkulationen und E-Mail-Ketten skalieren nicht. Der IAPP-EY 2023 Privacy Governance Report stellte fest, dass 60 % der Organisationen das Drittanbieter-Risikomanagement als eine der grössten Datenschutzherausforderungen nennen. Automatisierung reduziert den Abstimmungsaufwand, stellt sicher, dass Rezertifizierungsfristen eingehalten werden, und liefert Echtzeit-Risiko-Dashboards über Tochtergesellschaften und Rechtsräume hinweg.
Was verlangt DSGVO Artikel 28 für das Lieferantenmanagement?
DSGVO Artikel 28 verlangt von Verantwortlichen, nur Auftragsverarbeiter einzusetzen, die "hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Massnahmen umgesetzt werden". Verantwortliche müssen einen schriftlichen Vertrag abschliessen, der Gegenstand, Dauer, Art und Zweck der Verarbeitung festlegt. Die EDSA-Leitlinien bekräftigen, dass regelmässige Bewertungen der Compliance des Auftragsverarbeiters bewährte Praxis sind.
Wie handhabt Priverion Transfer Impact Assessments (TIAs)?
Priverion integriert Transfer Impact Assessments direkt in den Arbeitsablauf der Lieferantenbewertung. Wenn ein Lieferant Daten ausserhalb des EWR verarbeitet, fordert die Plattform die Nutzer auf, ergänzende Massnahmen zu dokumentieren, den Rechtsrahmen des Drittlands zu beurteilen und einen vollständigen Audit-Trail zu führen — alles innerhalb desselben Tools, das für die primäre Lieferantenbewertung verwendet wird. Dies steht im Einklang mit den EDSA-Empfehlungen 01/2020 zu ergänzenden Massnahmen.
Was ist der Unterschied zwischen Priverion und OneTrust bei Lieferantenbewertungen?
Priverion ist schweizerisch entwickelt und in der Schweiz gehostet und bietet standardmässig europäische Datenresidenz mit einer auf Einheiten basierenden Preisgestaltung, die für mittelständische Organisationen konzipiert ist, die Compliance über mehrere Tochtergesellschaften hinweg verwalten. OneTrust hat seinen Hauptsitz in den USA, einen breiteren GRC-Umfang einschliesslich ESG- und Ethik-Modulen, eine Preisgestaltung pro Nutzer/pro Modul sowie Einführungszeiträume, die sich für mittelständische Teams über Monate erstrecken können. Priverion konzentriert sich ausschliesslich auf das Datenschutzprogramm-Management — Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallsmanagement, Bearbeitung von Betroffenenanfragen und KI-Register.
Wie lange dauert die Einführung von Priverion für Lieferanten-Datenschutzbewertungen?
Priverion ist in der Regel innerhalb von Wochen einsatzbereit, nicht von Monaten. Die Plattform ist so konzipiert, dass die Verantwortlichen der Geschäftseinheiten ihre Aufgaben ohne Handbücher erledigen können. Die Multi-Entity-Verwaltung ist in die Kernarchitektur integriert, sodass die Einführung über Tochtergesellschaften hinweg keine individuelle Konfiguration oder Professional-Services-Einsätze erfordert.
Welche Vorschriften verlangen Lieferanten-Datenschutzbewertungen?
Mehrere Vorschriften verlangen oder empfehlen nachdrücklich Lieferanten-Datenschutzbewertungen: DSGVO Artikel 28 und 44–49 schreiben die Sorgfaltsprüfung von Auftragsverarbeitern und Uebermittlungsgarantien vor. Das revDSG (revidiert 2023) auferlegt ähnliche Pflichten. ISO 27001 Anhang A Control A.5.19 behandelt die Informationssicherheit in Lieferantenbeziehungen.
Verwendet Priverion Kundendaten für das KI-Modelltraining?
Nein. Die Ergebnisse der KI-gestützten Risikobewertung von Priverion werden von Menschen geprüft, bevor sie zu Compliance-Datensätzen werden. Es werden keine Kundendaten für das Modelltraining verwendet. Die Plattform folgt einem "Human-in-the-Loop"-Ansatz, bei dem die KI bei der Priorisierung unterstützt, Compliance-Entscheidungen jedoch beim Datenschutzteam verbleiben.
Vergleich: Ansätze zur Lieferanten-Datenschutzbewertung
| Funktion | Manuell (Tabellenkalkulationen & E-Mail) | Enterprise-GRC (z. B. OneTrust) | Priverion |
|---|
| Datenresidenz | Unterschiedlich (lokale Dateien) | Hauptsitz in den USA, mehrere Rechtsräume | In der Schweiz gehostet, europäische Datenresidenz |
| Einführungszeit | Sofort, aber nicht skalierbar | Monate (Professional Services) | Wochen |
| Multi-Entity-Verwaltung | Manueller Abgleich | Nachträglich angebaut, individuelles Reporting | Kernarchitektur |
| Preismodell | Kostenlos (versteckte Arbeitskosten) | Pro Nutzer, pro Modul | Auf Einheiten basierend, vorhersehbar |
| TIA-Integration | Separate Dokumente | Separates Modul | In den Lieferanten-Arbeitsablauf integriert |
| Rezertifizierungsverfolgung | Kalendererinnerungen | Mit Konfiguration verfügbar | Automatisierte Auslöser |
| Audit-fertiger Export | Manuelle Zusammenstellung (Wochen) | Verfügbar | Ein-Klick-Export (Minuten) |