DSGVO-Grundlagen-Leitfaden

Was sind personenbezogene Daten gemäss DSGVO , und warum eine falsche Einordnung Ihr gesamtes Compliance-Programm gefährdet

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Personenbezogene Daten gemäss DSGVO umfassen alle Informationen, die eine lebende Person direkt oder indirekt identifizieren können — eine Fehlklassifizierung birgt das Risiko von Bussgeldern bis zu 20 Millionen EUR.

Jede DSGVO-Pflicht , vom Verarbeitungsverzeichnis bis zur Datenschutz-Folgenabschätzung , beginnt mit einer Frage: Verarbeiten Sie personenbezogene Daten? Eine falsche Einordnung von Daten schafft nicht nur rechtliche Risiken; sie bedeutet, dass Ihr Verarbeitungsverzeichnis unvollständig ist, Ihre DSFA kritische Risiken übersieht und Ihre Auskunftsersuchen betroffener Personen die falschen Datensätze liefern.

Dieser Leitfaden liefert Ihnen die massgebliche Aufschlüsselung, mit praktischen Beispielen und einer herunterladbaren Checkliste, die für Organisationen entwickelt wurde, die Compliance über mehrere Einheiten und Rechtsordnungen hinweg verwalten.

Kostenloses PDF. Keine Kreditkarte. Nur Ihre geschäftliche E-Mail-Adresse.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Die DSGVO spannt bewusst ein weites Netz. Artikel 4(1) definiert personenbezogene Daten als:

"Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden 'betroffene Person') beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann."

Artikel 4(1), Verordnung (EU) 2016/679

Vier Elemente machen diese Definition aus , und jedes davon ist entscheidend dafür, wie Sie Daten in Ihrer Organisation klassifizieren:

  1. "Alle Informationen" , keine Beschränkung auf ein bestimmtes Format. Text, Zahlen, Fotos, Tonaufnahmen, biometrische Vorlagen, Metadaten und Verhaltensmuster qualifizieren sich allesamt.
  2. "Die sich beziehen auf" , die Information muss die Person betreffen, sei es durch ihren Inhalt (sie beschreibt die Person), ihren Zweck (sie wird zur Bewertung der Person verwendet) oder ihr Ergebnis (ihre Verarbeitung wirkt sich auf die Person aus).
  3. "Identifiziert oder identifizierbar" , die Person muss nicht namentlich genannt werden. Wenn Sie sie durch die Kombination von Datenpunkten herausgreifen können, ist das ausreichend.
  4. "Natürliche Person" . Die DSGVO schützt lebende Personen, nicht Unternehmen. Daten über einen Einzelunternehmer oder einen namentlich genannten Mitarbeitenden sind jedoch personenbezogene Daten.

Die praktische Konsequenz: Wenn die realistische Möglichkeit besteht, dass irgendjemand , nicht nur Sie, sondern jede Partei mit Zugang , die Daten auf eine Person zurückführen könnte, handelt es sich um personenbezogene Daten gemäss DSGVO. Aus diesem Grund pflanzen sich Klassifizierungsfehler durch Ihr gesamtes Compliance-Programm fort.

Beispiele aus der Praxis: Was zählt dazu und was nicht

Die Grenze zwischen personenbezogenen und nicht personenbezogenen Daten ist weniger offensichtlich, als die meisten Organisationen annehmen. So werden gängige Datentypen gemäss DSGVO eingeordnet, basierend auf aufsichtsrechtlichen Leitlinien und der Rechtsprechung des EuGH:

Datentyp Personenbezogene Daten? Warum
Vollständiger Name Ja Identifiziert eine Person direkt
E-Mail: [email protected] Ja Identifiziert eine natürliche Person namentlich
E-Mail: [email protected] Nein Generische Adresse, keine identifizierbare Person
Dynamische IP-Adresse Ja EuGH-Urteil Breyer (C-582/14): mit ISP-Datensätzen identifizierbar
Cookie-ID / Gerätefingerabdruck Ja Online-Kennung gemäss Erwägungsgrund 30; greift einen Nutzer heraus
Mitarbeiter-ID-Nummer Ja Kennnummer, die einer bestimmten Person zugeordnet ist
GPS-Standortdaten Ja Verfolgt die Bewegungen einer Person; Standortkennung
Mit der Funktion verknüpfte Gehaltsdaten Ja In Kombination mit Abteilung/Funktion wird die Person identifiziert
Anonymisierte Umfrageergebnisse Es kommt darauf an Nur dann nicht personenbezogen, wenn eine Re-Identifizierung nicht mit vertretbarem Aufwand möglich ist
Pseudonymisierte Kundendatensätze Ja Re-Identifizierung mit dem separat aufbewahrten Schlüssel möglich
Videoüberwachungsaufnahmen Ja Bilder identifizierbarer Personen
Aggregierte Statistiken (grosser Datensatz) Nein Nur dann, wenn Personen nicht aus dem Aggregat herausgegriffen werden können
Ergebnisse von Gentests Ja (besondere Kategorie) Besondere Kategorie nach Artikel 9 , genetische Daten
Gewerkschaftszugehörigkeit Ja (besondere Kategorie) Besondere Kategorie nach Artikel 9 , ausdrücklich aufgeführt

Die Falle des "Mosaik-Effekts"

Viele Organisationen klassifizieren einzelne Datenpunkte isoliert , eine Mitarbeiternummer hier, ein Abteilungscode dort , und schliessen daraus, dass es sich nicht um personenbezogene Daten handelt. Die DSGVO betrachtet die Identifizierbarkeit jedoch über die Kombination. Wenn Ihr HR-System, Ihre Lohnabrechnungsplattform und Ihre Zugangskontrollprotokolle miteinander abgeglichen werden können, werden Daten, die in einem System anonym erscheinen, im Aggregat zu personenbezogenen Daten. Genau diese Lücke soll die einheitenübergreifende Datenkartierung schliessen.

Besondere Kategorien: Daten nach Artikel 9 erfordern zusätzlichen Schutz

Die DSGVO behandelt bestimmte Arten personenbezogener Daten als grundsätzlich risikoreich. Artikel 9 untersagt die Verarbeitung dieser Kategorien, sofern keine spezifische rechtliche Ausnahme greift , und die Strafen bei Verstössen fallen entsprechend höher aus.

Die besonderen Kategorien sind:

  • Rassische oder ethnische Herkunft , umfasst Nationalitätsfelder in HR-Systemen, wenn diese die ethnische Herkunft offenbaren
  • Politische Meinungen , Spenden an politische Parteien, Wahlregisterdaten
  • Religiöse oder weltanschauliche Ueberzeugungen , Felder zu Ernährungspräferenzen, die die Religion offenbaren (z. B. "halal" oder "koscher" in Verpflegungssystemen)
  • Gewerkschaftszugehörigkeit , Lohnabzüge für Gewerkschaftsbeiträge
  • Genetische Daten . DNA-Testergebnisse, erbliche Informationen
  • Biometrische Daten (zur Identifizierung verwendet) , Fingerabdruck-Scans, Vorlagen zur Gesichtserkennung. Hinweis: Biometrische Daten, die zur Authentifizierung verwendet werden (Entsperren eines Telefons), lösen Artikel 9 möglicherweise nicht in allen Auslegungen aus, Zugangsprotokolle mit Fingerabdruck hingegen sehr wohl
  • Gesundheitsdaten , Krankenstandsdatensätze, Vorkehrungen bei Behinderungen, arbeitsmedizinische Beurteilungen, Versicherungsansprüchse. Dies ist die in Unternehmensumgebungen am häufigsten falsch klassifizierte Kategorie
  • Sexualleben oder sexuelle Orientierung . HR-Felder zur Diversitätsüberwachung, Begünstigtenbestimmungen, die das Geschlecht des Partners offenbaren

Wo Organisationen mit mehreren Einheiten ins Stolpern geraten

Der häufigste Fehler, den wir bei Organisationen sehen, die den Datenschutz über mehrere Tochtergesellschaften hinweg verwalten: die inkonsistente Klassifizierung von Gesundheitsdaten. Ein Krankenstandsdatensatz wird in einer Tochtergesellschaft als "Standard-HR-Daten" und in einer anderen als "Gesundheitsdaten nach Artikel 9" eingestuft. Wenn eine Aufsichtsbehörde den Konzern prüft, wird die Inkonsistenz selbst zum Beleg für unzureichende Governance. Aus diesem Grund ist eine einheitliche Datentaxonomie über alle Einheiten hinweg nicht optional . sie ist die Grundlage einer belastbaren Compliance.

Rechtsgrundlagen für die Verarbeitung besonderer Kategorien

Die Verarbeitung von Daten besonderer Kategorien erfordert sowohl eine Rechtsgrundlage nach Artikel 6 als auch eine separate Ausnahme nach Artikel 9(2). Zu den am häufigsten herangezogenen Ausnahmen gehören:

  • Ausdrückliche Einwilligung (Artikel 9(2)(a)) , muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen. Eine stillschweigende Einwilligung reicht niemals aus.
  • Verpflichtungen aus dem Arbeitsrecht (Artikel 9(2)(b)) , Verarbeitung, die zur Erfüllung von Pflichten aus dem Arbeits- und Sozialversicherungsrecht erforderlich ist
  • Lebenswichtige Interessen (Artikel 9(2)(c)) , medizinische Notfallsituationen, in denen die betroffene Person nicht einwilligen kann
  • Erhebliches öffentliches Interesse (Artikel 9(2)(g)) , muss verhältnismässig sein und Schutzmassnahmen vorsehen

Pseudonymisierte vs. anonymisierte Daten: Die entscheidende Unterscheidung

Hier laufen mehr Compliance-Programme schief als fast an jeder anderen Stelle. Die Unterscheidung bestimmt, ob die DSGVO überhaupt Anwendung findet , und die Grenze ist weitaus unschärfer, als die meisten Organisationen annehmen.

Pseudonymisierte Daten = weiterhin personenbezogene Daten

Die Pseudonymisierung ersetzt direkte Kennungen durch künstliche (Tokens, Codes, Hashes) und hält den Re-Identifizierungsschlüssel separat. Die DSGVO definiert die Pseudonymisierung ausdrücklich in Artikel 4(5) und behandelt pseudonymisierte Daten durchgehend als personenbezogene Daten.

Warum? Weil eine Re-Identifizierung möglich ist. Der Schlüssel existiert irgendwo. Solange irgendeine Partei , Sie, ein Auftragsverarbeiter, ein Datenempfänger oder ein Angreifer mit vertretbarem Aufwand , das Pseudonym wieder mit der Person verbinden könnte, bleiben es personenbezogene Daten, die allen DSGVO-Pflichten unterliegen.

Die Pseudonymisierung ist eine Sicherheitsmassnahme, keine Ausnahme. Sie kann das Risiko verringern (und die DSGVO anerkennt sie in den Artikeln 25 und 32 als Schutzmassnahme), aber sie entzieht die Daten nicht dem Anwendungsbereich der DSGVO.

Anonymisierte Daten = ausserhalb des Anwendungsbereichs der DSGVO

Wirklich anonymisierte Daten , bei denen eine Re-Identifizierung unumkehrbar und durch keine Partei mit vertretbar einsetzbaren Mitteln möglich ist , fallen vollständig aus dem Anwendungsbereich der DSGVO heraus (Erwägungsgrund 26).

Der Test ist streng: Sie müssen alle Mittel berücksichtigen, die "nach allgemeinem Ermessen wahrscheinlich genutzt werden" zur Re-Identifizierung, einschliesslich künftiger technologischer Entwicklungen, der Kosten der Re-Identifizierung und der Verfügbarkeit ergänzender Datensätze. Der Europäische Datenschutzausschuss (EDSA) hat eine hohe Latte gelegt, und Aufsichtsbehörden haben wiederholt festgestellt, dass Datensätze, die Organisationen für anonym hielten, tatsächlich pseudonym waren.

Praktische Auswirkung auf Ihr Verarbeitungsverzeichnis

Wenn Ihr Verarbeitungsverzeichnis Datensätze unter der Annahme ausschliesst, dass sie "anonymisiert" sind, überprüfen Sie diese Annahme mit einer dokumentierten Risikobewertung zur Re-Identifizierung. Wenn Sie sich irren, hätten diese Datensätze von Anfang an in Ihrem Verarbeitungsverzeichnis stehen müssen , und jede Verarbeitungstätigkeit, die sie betrifft, ist undokumentiert geblieben. Die Verwaltung des Verarbeitungsverzeichnisses von Priverion umfasst Workflows zur Datenklassifizierung, die genau diese Art von Lücke über alle Konzerneinheiten hinweg kennzeichnen.

Daten über strafrechtliche Verurteilungen: Artikel 10

Daten über strafrechtliche Verurteilungen und Straftaten erhalten ihre eigene Regelung nach Artikel 10. Es handelt sich nicht um eine besondere Kategorie nach Artikel 9, doch die Verarbeitung ist auf behördliche Stellen beschränkt oder dann zulässig, wenn sie durch das Recht der EU oder eines Mitgliedstaats mit geeigneten Schutzmassnahmen erlaubt ist.

Für Arbeitgeber: Hintergrundprüfungen, Offenlegungen von Strafregistern und selbst der Vermerk, dass ein Mitarbeitender eine saubere Akte hat, fallen allesamt unter Artikel 10. Wenn Ihre Tochtergesellschaften in verschiedenen Rechtsordnungen Vorbeschäftigungsprüfungen unterschiedlich handhaben, ist die inkonsistente Behandlung von Daten nach Artikel 10 ein häufiger Prüfungsbefund.

Daten von Kindern: Erweiterter Schutz nach Artikel 8

Bei der Verarbeitung personenbezogener Daten von Kindern auf der Grundlage einer Einwilligung für Dienste der Informationsgesellschaft verlangt die DSGVO die Einwilligung der Eltern für Kinder unter 16 Jahren (Mitgliedstaaten können diese Grenze jedoch auf 13 senken). Der Verantwortliche muss angemessene Anstrengungen unternehmen, um sich zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung erteilt wird.

Wenn Ihre Organisation Daten von Minderjährigen verarbeitet , Bildungsplattformen, Familienleistungsprogramme, Jugenddienste , fügt dies eine Klassifizierungsebene hinzu, die Ihre Datenkartierung abbilden muss.

Kartierung personenbezogener Daten über eine Organisation mit mehreren Einheiten hinweg

Das Verständnis der Definition ist der Ausgangspunkt. Die eigentliche Herausforderung für Organisationen mit mehreren Tochtergesellschaften besteht darin, diese Definition konsistent über jede Einheit, jedes System und jede Rechtsordnung hinweg anzuwenden.

Hier ist der Prozess, der funktioniert , und das, was wir scheitern gesehen haben:

Was funktioniert: Zentralisierte Taxonomie, verteilte Ausführung

  1. Etablieren Sie eine konzernweite Taxonomie zur Datenklassifizierung , definieren Sie die Kategorien personenbezogener Daten über alle Einheiten hinweg identisch. "Gesundheitsdaten" bedeutet in Ihrer Schweizer Tochtergesellschaft dasselbe wie in Ihrer deutschen.
  2. Kartieren Sie Verarbeitungstätigkeiten auf Einheitenebene , jede Tochtergesellschaft dokumentiert ihre eigenen Verarbeitungstätigkeiten anhand der gemeinsamen Taxonomie. Dies gewährleistet lokale Genauigkeit bei konzernweiter Konsistenz.
  3. Identifizieren Sie einheitenübergreifende Datenflüsse , wo personenbezogene Daten zwischen Tochtergesellschaften oder zu Dritten fliessen, kartieren Sie diese Flüsse ausdrücklich. Konzerninterne Uebermittlungen erfordern weiterhin eine Rechtsgrundlage.
  4. Automatisieren Sie die Rezertifizierung , wenn sich eine Klassifizierung ändert (z. B. wenn ein neuer Datentyp zu HR-Systemen hinzugefügt wird), muss sich diese Aenderung in das Verarbeitungsverzeichnis jeder Einheit fortpflanzen. Manuelle E-Mail-Ketten skalieren nicht.
  5. Prüfen und auditieren Sie regelmässig , die Datenklassifizierung ist keine einmalige Uebung. Neue Systeme, neue Anbieter und aufsichtsrechtliche Leitlinien ändern allesamt, was als personenbezogene Daten gilt.

Was scheitert: Dezentrale Klassifizierung ohne Aufsicht

Wenn jede Tochtergesellschaft personenbezogene Daten unabhängig definiert , oder wenn der Konzern-Datenschutzbeauftragte keinen Einblick in die Klassifizierungen auf Ebene der Tochtergesellschaften hat , häufen sich Inkonsistenzen stillschweigend an. Die deutsche Tochtergesellschaft klassifiziert Ernährungspräferenzen als Gesundheitsdaten (gemäss vielen Auslegungen der Aufsichtsbehörden korrekt). Die britische Tochtergesellschaft klassifiziert dasselbe Feld als "Standard-Mitarbeiterdaten". Das Verarbeitungsverzeichnis sieht in beiden Einheiten vollständig aus, doch die Compliance-Lage des Konzerns weist eine Lücke auf, die jedes grenzüberschreitende Audit aufdecken wird.

Genau dieses Problem führte zur Gründung von Priverion: ein Unternehmen mit 12 Tochtergesellschaften, das die DSGVO-Compliance über 47 Tabellenkalkulationen hinweg verwaltete, ohne eine konsistente Möglichkeit, sicherzustellen, dass dieselben Daten überall gleich klassifiziert wurden.

Zentrale Produktfunktionen

Von der Kartierung personenbezogener Daten bis zu auditbereiten Nachweisen , ohne das Tabellenkalkulations-Chaos

Die korrekte Klassifizierung personenbezogener Daten ist nur der Ausgangspunkt. Worauf es ankommt, ist, wie diese Klassifizierung durch Ihr gesamtes Compliance-Programm fliesst , über jede Tochtergesellschaft, jede Verarbeitungstätigkeit, jede Rechtsordnung hinweg.

Verwaltung des Verarbeitungsverzeichnisses

Automatisierte Rezertifizierung über jede Konzerneinheit hinweg

Wenn sich die Klassifizierungen personenbezogener Daten ändern , oder neue Datentypen entstehen , muss Ihr Verarbeitungsverzeichnis dies überall widerspiegeln, nicht nur in der Tochtergesellschaft, die es bemerkt hat. Priverion automatisiert die Rezertifizierung des Verarbeitungsverzeichnisses über alle Einheiten hinweg, sodass sich eine Klassifizierungsaktualisierung in einer Tochtergesellschaft konzernweit fortpflanzt , ohne manuelles Hinterherjagen.

100 % Rezertifizierungsrate

AXA erreichte eine vollständig automatisierte Rezertifizierung des Verarbeitungsverzeichnisses über alle Einheiten hinweg

DSFA- / TIA-Automatisierung

KI-gestützte Folgenabschätzungen, die aufzeigen, was Sie übersehen haben

Daten besonderer Kategorien, die sich in HR-Systemen verstecken. Pseudonymisierte Datensätze, die sich nach wie vor als personenbezogene Daten qualifizieren. KI-gestütztes Entwerfen und Risiko-Scoring legt die Klassifizierungen offen, auf die es am meisten ankommt , dann prüfen und entscheiden Ihre Teams. Jedes Ergebnis bleibt innerhalb der Schweizer Infrastruktur, und es werden keine Kundendaten für das Modelltraining verwendet.

Ueber 200 Stunden eingespart

Medtec sparte mit Priverion über 200 Stunden bei der Vorbereitung auf ISO 27001

Einheitenübergreifende Datenkartierung

Eine konsistente Sicht auf personenbezogene Daten über alle Tochtergesellschaften hinweg

Derselbe Gesundheitsdatensatz eines Mitarbeitenden, der in Deutschland als "sensibel" und in einer anderen Tochtergesellschaft als "Standard" klassifiziert wird, schafft genau die Lücke, die eine Aufsichtsbehörde finden wird. Die einheitenübergreifende Datenkartierung gibt Ihrem Konzern-Datenschutzbeauftragten eine einzige, konsistente Taxonomie , sodass personenbezogene Daten überall auf dieselbe Weise klassifiziert werden und Ihre Compliance-Lage einer Prüfung standhält.

60 % weniger Verwaltungsaufwand

Ein Flugzeughersteller reduzierte den Compliance-Verwaltungsaufwand in den ersten 6 Monaten um 60 %

Lieferantenrisikobewertungen

Wissen Sie genau, welche personenbezogenen Daten Ihre Dritten berühren

Ihre Anbieter verarbeiten personenbezogene Daten in Ihrem Auftrag , und gemäss DSGVO bleiben Sie dafür verantwortlich. Priverion zentralisiert Lieferantenrisikobewertungen über alle Konzerneinheiten hinweg, verfolgt Auftragsverarbeitungsverträge und kennzeichnet Lücken, bevor Ihr nächstes Audit sie aufdeckt. Schluss mit verstreuten Lieferanten-Tabellen über die Tochtergesellschaften hinweg.

100 % Lieferantenabdeckung

Zurzach Care erreichte mit Priverion eine 100-prozentige Abdeckung der Lieferantenrisikobewertung

Bearbeitung von Betroffenenanfragen

Reagieren Sie auf Anfragen betroffener Personen mit vollständigen Datensätzen

Wenn eine betroffene Person ihr Auskunftsrecht wahrnimmt, ist die Antwort nur so gut wie Ihr Verzeichnis personenbezogener Daten. Wenn Sie sie falsch klassifiziert haben, fehlt sie in der Antwort , und das ist ein Compliance-Versagen. Priverion verbindet die Workflows für Betroffenenanfragen mit Ihrer einheitenübergreifenden Datenkarte, sodass jede Anfrage innerhalb Ihres 30-Tage-Fensters das vollständige Bild liefert.

Rund um die Uhr DPO-Support

Schweizer Datensouveränität

Alle Ihre Compliance-Daten bleiben in der Schweiz

In einer Welt nach Schrems II ist die Frage, wo Ihre Compliance-Plattform Daten speichert, selbst eine Compliance-Frage. Priverion ist in der Schweiz entwickelt und in der Schweiz gehostet . europäische Datenresidenz mit sämtlicher Verarbeitung innerhalb der Schweizer Infrastruktur. Ihre Klassifizierungen personenbezogener Daten, Ihre Einträge im Verarbeitungsverzeichnis und Ihre DSFA-Beurteilungen verlassen niemals eine Rechtsordnung, die von der EU als angemessenes Schutzniveau anerkannt wird.

In Wochen betriebsbereit

Priverion-Kunden gehen in Wochen statt Monaten live , über Kundenimplementierungen hinweg bestätigt

Checkliste zur Klassifizierung personenbezogener Daten herunterladen

Kostenloses PDF. Keine Kreditkarte. Nur Ihre geschäftliche E-Mail-Adresse.

Messbare Ergebnisse von Organisationen wie der Ihren

200+

Stunden bei der Verwaltung des Verarbeitungsverzeichnisses eingespart

Medtec gewann über 200 Stunden bei der Vorbereitung auf ISO 27001 zurück, indem die manuelle Aktenführung durch automatisierte Rezertifizierungs-Workflows ersetzt wurde.

60 %

Weniger Compliance-Verwaltungsaufwand

Ein Flugzeughersteller reduzierte den Compliance-Verwaltungsaufwand in 6 Monaten um 60 % , mit planbarer Preisgestaltung auf Basis von Einheiten, nicht auf Basis von Pro-Nutzer-Expansionsfallen.

3 Mon.

Dem Zeitplan bei ISO 27001 voraus

Medtec beschleunigte seinen ISO-27001-Zertifizierungszeitplan um 3 Monate, indem die auditbereiten Nachweispakete und die automatisierte Dokumentation von Priverion genutzt wurden.

Priverion vs. OneTrust

Gebaut für die Realität des Mittelstands, nicht für Enterprise-Theater

Sie brauchen keine Plattform, die für 50'000 Mitarbeitende und eine eigene Compliance-Abteilung mit 30 Personen gebaut wurde. Sie brauchen eine, die für Ihr dreiköpfiges Team funktioniert, das den Datenschutz über ein Dutzend Tochtergesellschaften hinweg verwaltet.

Priverion

Schweizer Datensouveränität , garantiert

Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet und gespeichert. In einer Welt nach Schrems II ist dies kein Marketing-Häkchen . es ist Rechtssicherheit für grenzüberschreitende Uebermittlungen.

Eine Plattform, ein Preis, alles inklusive

Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Betroffenenanfragen, Vorfallmanagement, KI-Register , alles in einem. Preisgestaltung auf Basis der Anzahl der Einheiten und der Unternehmensgrösse, nicht mit Pro-Nutzer- oder Pro-Modul-Fallen.

In Wochen betriebsbereit, nicht in Quartalen

Keine sechsmonatigen Implementierungsprojekte. Kein Heer von Beratern. Ein Flugzeughersteller erreichte innerhalb der ersten sechs Monate eine Reduzierung des Compliance-Verwaltungsaufwands um 60 %.

, Flugzeughersteller, erste 6 Monate nach der Implementierung

Gebaut für konzernweite Komplexität

Einheitenübergreifende Datenkartierung, automatisierte Rezertifizierung des Verarbeitungsverzeichnisses über Tochtergesellschaften hinweg und eine einzige Dashboard-Ansicht für Ihren gesamten Konzern. AXA erreichte eine 100-prozentige Rezertifizierung des Verarbeitungsverzeichnisses , vollständig automatisiert.

, AXA, automatisierte Rezertifizierung über alle Einheiten hinweg

KI-gestützt, vom Menschen entschieden

Die KI entwirft DSFA, schlägt Risiko-Scores vor und kartiert Vorschriften , doch jedes Ergebnis wird von Ihrem Team geprüft, bevor es zu einem Compliance-Datensatz wird. Es werden niemals Kundendaten für das Modelltraining verwendet.

Typische Enterprise-GRC-Plattform

In den USA gehostete Infrastruktur

Daten werden in einer US- oder Multi-Region-Cloud-Infrastruktur gespeichert. Europäische Datenresidenz ist oft als Zusatzstufe verfügbar , aber standardmässig nicht garantiert. Das Risiko grenzüberschreitender Uebermittlungen bleibt Ihr Problem.

Modul