DSGVO-Leitfaden 8 Min. Lesezeit Zuletzt aktualisiert: Juni 2025

Wann benötigen Sie einen Datenschutzbeauftragten gemäss DSGVO? Ein vollständiger Leitfaden für Organisationen mit mehreren Einheiten

Aktualisiert 2026-06-22
Wichtigste Erkenntnisse: Artikel 37 DSGVO schreibt einen Datenschutzbeauftragten in drei Szenarien vor — bei öffentlichen Stellen, umfangreicher Beobachtung und der Verarbeitung besonderer Kategorien personenbezogener Daten.

Artikel 37 DSGVO schreibt einen Datenschutzbeauftragten in drei konkreten Szenarien vor, doch für Organisationen, die über Tochtergesellschaften und Jurisdiktionen hinweg tätig sind, lautet die eigentliche Frage nicht, ob Sie einen benötigen, sondern wie viele und wie sie sich koordinieren. Hier finden Sie alles, was Sie wissen müssen.

Keine Kreditkarte erforderlich. Checkliste basierend auf den Leitlinien des EDSA und der WP29.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Die DSB-Frage klingt einfach. Bis Sie 12 Einheiten in 6 Ländern verwalten

Die meisten Artikel geben Ihnen eine Lehrbuchantwort. Doch wenn Sie nach dieser Frage suchen, ist Ihre Situation wahrscheinlich kein Lehrbuchfall. Hier sind die Herausforderungen, die DSB-Pflichten für Organisationen mit mehreren Einheiten wirklich schwierig machen.

47

Tabellen, die ein Unternehmen mit 12 Tochtergesellschaften zur Verwaltung der DSGVO-Compliance nutzte, bevor es zu Priverion wechselte

Tochtergesellschaften, die eigenständige Pflichten auslösen

Eine Muttergesellschaft in Deutschland mit Tochtergesellschaften in Frankreich, Italien und Portugal kann feststellen, dass jede Einheit eigenständig DSB-Pflichten gemäss Artikel 37 Abs. 1 auslöst. Ihre Tochtergesellschaft im Gesundheitswesen verarbeitet besondere Kategorien von Daten. Ihre Marketing-Tochtergesellschaft betreibt umfangreiches Verhaltensprofiling. Jede begründet ihre eigene Pflicht, und jede benötigt einen Einblick, den der DSB oft nicht hat.

Basierend auf der Gründungserkenntnis von Priverion, beobachtet bei Unternehmen mit mehreren Tochtergesellschaften

60%

Compliance-Verwaltungszeit, die ein Flugzeughersteller vor der Automatisierung für manuelle Aktualisierungen des Verarbeitungsverzeichnisses aufwendete, erste 6 Monate

Die Falle der "leichten Erreichbarkeit" für Gruppen-DSBs

Artikel 37 Abs. 2 erlaubt einen einzigen Gruppen-DSB, aber nur, wenn dieser "von jeder Niederlassung aus leicht erreichbar" ist. In der Praxis ist ein DSB in München, der kein Portugiesisch spricht und die Leitlinien der CNPD nicht versteht, für Ihre Tochtergesellschaft in Lissabon nicht erreichbar. Ohne zentralisierte Werkzeuge verbringen Gruppen-DSBs ihre Wochen damit, Aktualisierungen über Geschäftsbereiche hinweg hinterherzujagen, anstatt strategische Datenschutzarbeit zu leisten.

Flugzeughersteller, erste 6 Monate mit Priverion, Reduktion der Compliance-Verwaltungszeit

200+

Stunden, die Medtec bei der Vorbereitung auf ISO 27001 mit Priverion einsparte

Die Bestellung eines DSB ist der Anfang, nicht das Ende

Die eigentliche Herausforderung beginnt nach der Bestellung. Ihr DSB benötigt gruppenweiten Einblick in Verarbeitungstätigkeiten, DSFAs, Vorfälle und Anfragen betroffener Personen über jede Einheit hinweg. Ohne eine zentrale Plattform bleibt er auf E-Mail-Ketten und gemeinsame Laufwerke angewiesen, genau die operativen blinden Flecken, die Aufsichtsbehörden bei einer Prüfung aufdecken werden.

Medtec, eingesparte Stunden bei der Vorbereitung auf ISO 27001 mit Priverion

Wenn Sie diese Frage googeln, ist die Wahrscheinlichkeit gross, dass die Situation Ihrer Organisation komplexer ist als eine einzige Ja/Nein-Antwort. Die Entscheidung über die Bestellung eines DSB ist nicht nur ein rechtliches Häkchen, sondern eine Entscheidung über die operative Architektur.

Erfahren Sie, wie Gruppen-DSBs Priverion nutzen

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Medtec gewann mehr als 200 Stunden zurück, die zuvor für die manuelle Dokumentation bei der Vorbereitung auf ISO 27001 aufgewendet wurden, innerhalb des ersten Jahres der Implementierung.

60%

Geringere Kosten gegenüber Altsystemen

Ein Flugzeughersteller senkte die Compliance-Verwaltungskosten in den ersten 6 Monaten um 60% mit planbarer Preisgestaltung auf Basis von Einheiten statt teurer Preisfallen pro Nutzer.

3 Mon.

Vor dem Zeitplan bei ISO 27001

Medtec beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um 3 Monate mithilfe der prüfungsbereiten Nachweispakete und automatisierten Dokumentations-Workflows von Priverion.

Die drei zwingenden Szenarien für die Bestellung eines DSB nach Artikel 37 DSGVO

Artikel 37 Abs. 1 DSGVO legt genau drei Szenarien fest, in denen die Bestellung eines Datenschutzbeauftragten zwingend ist. Das sind keine Empfehlungen, denn die unterlassene Bestellung trotz Pflicht hat in der gesamten EU Bussgelder von Aufsichtsbehörden nach sich gezogen.

Szenario 1: Oeffentliche Stellen und Einrichtungen

Artikel 37 Abs. 1 lit. a: "Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln."

Dies gilt für jede Organisation, die nach nationalem Recht als öffentliche Stelle eingestuft wird, etwa Behörden, Gemeinden, öffentliche Universitäten und staatliche Unternehmen. Die Definition variiert je nach Mitgliedstaat. In Deutschland sind öffentlich-rechtliche Rundfunkanstalten erfasst. In Frankreich hat die CNIL klargestellt, dass auch Organisationen, die öffentliche Dienstleistungen im Auftrag erbringen, in den Anwendungsbereich fallen können.

Wenn Ihre Organisation öffentliche Mittel erhält oder Dienstleistungen im Auftrag einer öffentlichen Stelle erbringt, prüfen Sie, ob Ihre nationale Datenschutzbehörde dies als Verarbeitung durch eine "öffentliche Stelle" einstuft, denn die Definition ist weiter gefasst, als die meisten erwarten.

Szenario 2: Umfangreiche, regelmässige und systematische Beobachtung

Artikel 37 Abs. 1 lit. b: "Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Beobachtung von betroffenen Personen erforderlich machen."

Hier stolpern die meisten mittelständischen Organisationen. "Kerntätigkeit" bedeutet nicht die Verarbeitung von Personal- oder Lohndaten, sondern die Verarbeitung, die für das Erreichen Ihrer Geschäftsziele zentral ist. Die Leitlinien der WP29 (mittlerweile vom EDSA bestätigt) definieren die zentralen Begriffe wie folgt:

  • "Regelmässig" bedeutet fortlaufend oder in bestimmten Abständen erfolgend, nicht einmalig. Treueprogramm-Tracking, Netzwerküberwachung und die Standortverfolgung von Beschäftigten erfüllen dies alle.
  • "Systematisch" bedeutet nach einem System erfolgend, im Voraus festgelegt, organisiert oder methodisch. Verhaltensbasierte Werbung, Kreditscoring und Betrugserkennungssysteme sind ihrem Wesen nach systematisch.
  • "Umfangreich" berücksichtigt die Zahl der betroffenen Personen, das Datenvolumen, die geografische Reichweite und die Dauer der Verarbeitung. Es gibt keinen festen Zahlenwert, aber ein stadtweites Videoüberwachungsnetz oder ein Telekommunikationsanbieter, der Millionen von Kundendatensätzen verarbeitet, erfüllt dies eindeutig.

Für Organisationen mit mehreren Einheiten vervielfacht sich hier die Komplexität. Ihre Muttergesellschaft erreicht diese Schwelle möglicherweise nicht eigenständig, aber drei Tochtergesellschaften zusammen vielleicht schon. Und jede Tochtergesellschaft, die sie erreicht, begründet ihre eigene DSB-Pflicht, sofern Sie nicht einen Gruppen-DSB nach Artikel 37 Abs. 2 bestellen.

Szenario 3: Umfangreiche Verarbeitung besonderer Kategorien oder strafrechtlicher Daten

Artikel 37 Abs. 1 lit. c: "Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäss Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."

Zu den besonderen Kategorien von Daten zählen Gesundheitsdaten, biometrische Daten, rassische oder ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, genetische Daten sowie Daten zum Sexualleben oder zur sexuellen Orientierung. Wenn eine Ihrer Tochtergesellschaften diese Art von Daten als Kerntätigkeit verarbeitet, etwa eine Tochtergesellschaft im Gesundheitswesen, ein Versicherungsunternehmen oder eine Einheit für Gentests, ist ein DSB für diese Einheit zwingend.

Auch hier gilt das Merkmal "umfangreich". Eine einzelne Arztpraxis, die Patientenakten verarbeitet, erreicht die Schwelle nicht. Ein Krankenhausverbund, der Akten in drei Ländern verarbeitet, hingegen schon.


Nationale Gesetze, die den DSGVO-Mindeststandard erweitern

Artikel 37 Abs. 4 erlaubt es den Mitgliedstaaten ausdrücklich, zusätzliche Anforderungen an die Bestellung eines DSB zu stellen. Mehrere haben dies getan und damit Fallen für Organisationen geschaffen, die nur den DSGVO-Text prüfen.

  • Deutschland (BDSG § 38): Ein DSB ist erforderlich, wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies liegt deutlich unter der Schwelle "umfangreich" der DSGVO und erfasst viele mittelständische Unternehmen, die andernfalls nicht betroffen wären.
  • Oesterreich: Das österreichische Datenschutzgesetz verlangt DSBs für Verarbeitungen, die ein hohes Risiko für die Rechte von Personen begründen, ein weiter gefasster Massstab als die drei Szenarien der DSGVO.
  • Frankreich: Zwar hat die CNIL die zwingende Bestellung nicht über Artikel 37 DSGVO hinaus ausgeweitet, doch ihre Leitlinien empfehlen die Bestellung eines DSB nachdrücklich für jede Organisation, die personenbezogene Daten als wesentlichen Teil ihrer Tätigkeit verarbeitet. In der Praxis erwarten französische Aufsichtsbehörden einen DSB oder eine gleichwertige Funktion.
  • Rumänien, Griechenland, Slowakei: Diese Mitgliedstaaten haben zusätzliche branchenspezifische DSB-Anforderungen eingeführt, insbesondere für Finanzdienstleistungen, Telekommunikation und Organisationen des Gesundheitswesens.

Für Organisationen mit mehreren Einheiten bedeutet dies, dass eine einzige Gruppen-DSB-Bewertung nicht ausreicht. Sie müssen die Pflicht jeder Tochtergesellschaft anhand des nationalen Rechts des Landes prüfen, in dem sie niedergelassen ist, nicht nur anhand des DSGVO-Mindeststandards.


Wer kommt als DSB infrage? Die Anforderungen, die die meisten Organisationen unterschätzen

Artikel 37 Abs. 5 verlangt, dass der DSB "auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt". Der EDSA hat klargestellt, dass dies Folgendes bedeutet:

  • Rechtliches und technisches Wissen: Der DSB muss sowohl den rechtlichen Rahmen als auch die technischen Abläufe der Organisation verstehen. Ein Jurist, der die IT-Infrastruktur nicht versteht, oder ein IT-Manager, der die DSGVO nicht versteht, erfüllt den Massstab nicht.
  • Unabhängigkeit: Artikel 38 Abs. 3 legt fest, dass der DSB "bei der Erfüllung seiner Aufgaben keine Anweisungen" erhalten darf. Das bedeutet, dass der DSB nicht der CISO, der Leiter der Rechtsabteilung oder eine Person sein kann, deren Rolle einen Interessenkonflikt begründet. Der EDSA hat CEO, COO, CFO, Personalleiter und IT-Leiter als von Natur aus konfliktbehaftete Rollen gekennzeichnet.
  • Angemessene Ressourcen: Artikel 38 Abs. 2 verlangt, dass die Organisation "die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen" bereitstellt. Eine DSB-Bestellung ohne Budget, Werkzeuge oder Zugang zum Verarbeitungsverzeichnis ist ein Compliance-Versagen mit Ansage.
  • Erreichbarkeit: Bei Gruppen-DSBs nach Artikel 37 Abs. 2 bedeutet "von jeder Niederlassung aus leicht erreichbar" Erreichbarkeit hinsichtlich Sprache, Verfügbarkeit und Verständnis der lokalen regulatorischen Anforderungen. Ein DSB in Zürich, der den Datenschutz für eine portugiesische Tochtergesellschaft verwaltet, benötigt entweder lokale Sprachkenntnisse oder einen lokalen Datenschutzkoordinator.

Das Gruppen-DSB-Modell: Wie sich Organisationen mit mehreren Einheiten koordinieren

Artikel 37 Abs. 2 erlaubt einer Unternehmensgruppe, einen einzigen DSB zu bestellen, sofern dieser "von jeder Niederlassung aus leicht erreichbar" ist. In der Praxis bedeutet dies, eine Koordinationsstruktur aufzubauen, die dem Gruppen-DSB echten Einblick in jede Einheit verschafft.

Was "leicht erreichbar" tatsächlich erfordert

  • Betroffene Personen in jeder Jurisdiktion müssen den DSB in ihrer Landessprache kontaktieren können, oder zumindest in einer Sprache, von der vernünftigerweise erwartet werden kann, dass sie sie verstehen
  • Der DSB muss in jeder Jurisdiktion, in der die Gruppe tätig ist, wirksam mit den lokalen Aufsichtsbehörden kommunizieren können
  • Der DSB muss operativen Einblick in die Verarbeitungstätigkeiten, Dienstleister, Vorfälle und Anfragen betroffener Personen jeder von ihm betreuten Einheit haben

Die operative Realität ohne zentralisierte Werkzeuge

Der Gründer von Priverion beobachtete ein Unternehmen mit 12 Tochtergesellschaften, das die DSGVO-Compliance über 47 Tabellen hinweg verwaltete. Der Gruppen-DSB verbrachte den Grossteil seiner Woche damit, den Geschäftsbereichen Aktualisierungen des Verarbeitungsverzeichnisses, DSFA-Statusberichte und abgeschlossene Dienstleisterbewertungen hinterherzujagen, per E-Mail, gemeinsame Laufwerke und monatliche Besprechungen, die bereits zum Zeitpunkt ihrer Durchführung veraltet waren.

Das ist die Norm, nicht die Ausnahme. Ohne eine zentrale Plattform, die gruppenweiten Einblick bietet, zerfällt das Gruppen-DSB-Modell in genau die Art von fragmentierter, undokumentierter Compliance, die Aufsichtsbehörden bei einer Prüfung infrage stellen werden.

Wie Priverion das Gruppen-DSB-Modell unterstützt

Priverion wurde speziell für diese Architektur entwickelt. Ein Gruppen-DSB, der Priverion nutzt, erhält:

  • Einheitenübergreifende Datenkartierung mit zentralisiertem Einblick in die Verarbeitungstätigkeiten über jede Tochtergesellschaft hinweg
  • Automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. AXA erreichte eine Rezertifizierungsquote von 100% mit vollständig automatisierten Workflows und beseitigte das manuelle Hinterherjagen
  • DSFA- und TIA-Automatisierung mit KI-gestützter Entwurfserstellung und Risikobewertung, wobei alle Ergebnisse vom DSB geprüft werden, bevor sie zu Compliance-Unterlagen werden
  • Workflows für das Vorfallmanagement, die Meldungen von Datenschutzverletzungen an die richtige Tochtergesellschaft und die richtige Aufsichtsbehörde weiterleiten
  • Ein DSB-Dashboard, das einen operativen Ueberblick über den Compliance-Status der gesamten Gruppe bietet

Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet, was europäische Datenresidenz und Schweizer Datensouveränität gewährleistet, ein bedeutender rechtlicher Vorteil für Organisationen, die grenzüberschreitende Datenübermittlungen in einem Umfeld nach Schrems II verwalten.


Selbst wenn Sie keinen DSB benötigen: Dokumentieren Sie Ihre Bewertung

Artikel 37 verlangt nicht in jeder Situation die Bestellung eines DSB, doch jede Aufsichtsbehörde erwartet, dass Sie bewertet haben, ob Sie einen benötigen. Das Fehlen einer dokumentierten Bewertung ist bei einer Untersuchung selbst ein Warnsignal.

Ihre Bewertung sollte Folgendes abdecken:

  • Jede Einheit innerhalb Ihrer Gruppe, bewertet anhand der drei Szenarien des Artikels 37 Abs. 1
  • Anforderungen des nationalen Rechts in jeder Jurisdiktion, in der Sie eine Niederlassung haben
  • Ob Sie die Gruppen-DSB-Regelung nach Artikel 37 Abs. 2 nutzen und wie die "leichte Erreichbarkeit" sichergestellt wird
  • Falls Sie sich gegen eine Bestellung entscheiden, die Begründung für diese Entscheidung, dokumentiert und datiert

Diese Dokumentation sollte jährlich überprüft werden oder immer dann, wenn sich Ihre Gruppenstruktur, Ihre Verarbeitungstätigkeiten oder Ihr regulatorisches Umfeld ändern.

Häufig gestellte Fragen zu DSB-Anforderungen

Kann sich eine Unternehmensgruppe einen einzigen DSB teilen?

Ja. Artikel 37 Abs. 2 erlaubt einer Unternehmensgruppe ausdrücklich, einen einzigen DSB zu benennen, sofern dieser "von jeder Niederlassung aus leicht erreichbar" ist. In der Praxis erfordert dies, dass der DSB über Sprachkenntnisse, regulatorisches Wissen und operativen Einblick in jede Einheit verfügt. Ohne zentralisierte Werkzeuge bricht dieses Modell tendenziell zusammen, sobald die Gruppe über 5 bis 10 Einheiten hinaus wächst.

Können unser CISO oder der Leiter der Rechtsabteilung auch als DSB tätig sein?

Mit grosser Wahrscheinlichkeit nicht. Artikel 38 Abs. 6 erlaubt es dem DSB, andere Aufgaben zu erfüllen, aber Artikel 38 Abs. 3 verlangt, dass diese nicht zu einem Interessenkonflikt führen. Der EDSA hat CEO, COO, CFO, Personalleiter, IT-Leiter und Marketingleiter ausdrücklich als Rollen gekennzeichnet, die von Natur aus mit den DSB-Pflichten kollidieren. Die Rolle des CISO ist besonders problematisch, weil der CISO für Sicherheitsentscheidungen verantwortlich ist, die der DSB unabhängig überwachen soll.

Was passiert, wenn wir einen DSB benötigen, aber keinen bestellen?

Aufsichtsbehörden haben Bussgelder für die unterlassene Bestellung eines DSB trotz Pflicht verhängt. Die belgische Datenschutzbehörde verhängte 2020 gegen ein Unternehmen ein Bussgeld von 50'000 EUR für diesen Verstoss. Neben Bussgeldern bedeutet das Fehlen eines DSB, dass niemand die Ueberwachungs-, Beratungs- und Kontaktstellenfunktionen wahrnimmt, die die Artikel 38 und 39 verlangen, was andere Compliance-Versäumnisse während einer Untersuchung verschärft.

Muss der DSB in der EU ansässig sein?

Die DSGVO verlangt nicht, dass der DSB physisch in der EU ansässig ist, aber das Erfordernis der "leichten Erreichbarkeit" nach Artikel 37 Abs. 2 macht dies für die meisten Organisationen praktisch notwendig. Der DSB muss für betroffene Personen und Aufsichtsbehörden innerhalb einer angemessenen Frist und in den relevanten Sprachen erreichbar sein. Ein DSB ausserhalb der europäischen Zeitzonen schafft Erreichbarkeitsprobleme, die Aufsichtsbehörden möglicherweise nicht akzeptieren.

Können wir einen externen DSB-Dienst nutzen?

Ja. Artikel 37 Abs. 6 erlaubt ausdrücklich, dass der DSB ein Beschäftigter ist oder "seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags" erfüllt. Externe DSB-Dienste sind bei mittelständischen Organisationen üblich, die das Fachwissen benötigen, aber keine Vollzeitstelle rechtfertigen können. Entscheidend ist sicherzustellen, dass der externe DSB über echte Unabhängigkeit, angemessene Ressourcen und echten Zugang zu den Verarbeitungsvorgängen verfügt, nicht nur ein Name auf dem Papier ist.

Wie unterscheidet sich das revDSG (revDSG) von der DSGVO bei den DSB-Anforderungen?

Das revDSG schreibt die Bestellung eines DSB nicht vor. Stattdessen führt es nach Artikel 10 eine freiwillige Rolle des "Datenschutzberaters" ein. Die Bestellung eines qualifizierten Datenschutzberaters bietet jedoch einen konkreten Vorteil: Sie befreit die Organisation von der Pflicht, vor einer Verarbeitung mit hohem Risiko den EDOEB (Eidgenössischer Datenschutz- und Oeffentlichkeitsbeauftragter) zu konsultieren. Für Schweizer Gruppen mit EU-Tochtergesellschaften benötigen Sie möglicherweise einen DSB nach DSGVO für Ihre EU-Einheiten, während für die Schweizer Einheiten andere Anforderungen gelten.

Wir haben freiwillig einen DSB bestellt, können wir ihn wieder abberufen?

Technisch ja, aber gehen Sie behutsam vor. Einmal bestellt, geniesst der DSB den Schutz nach Artikel 38 Abs. 3, er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Die Abberufung eines freiwillig bestellten DSB kann einer Aufsichtsbehörde zudem signalisieren, dass Sie Ihre Compliance-Aufstellung zurückfahren. Wenn Sie keinen DSB mehr benötigen, dokumentieren Sie die Begründung, stellen Sie sicher, dass andere Compliance-Funktionen abgedeckt sind, und erwägen Sie, die Rolle in einem reduzierten Umfang beizubehalten, statt sie ganz abzuschaffen.

Benötigen Sie tatsächlich einen DSB? Finden Sie es in 5 Minuten heraus.

Hören Sie auf, über die Anforderungen des Artikels 37 zu rätseln. Diese praktische Checkliste führt Sie durch die genauen Kriterien, damit Sie eine fundierte Entscheidung treffen und sie für Ihre Aufsichtsbehörde dokumentieren können.

Was enthalten ist:

  • Die drei zwingenden Auslöser für die Bestellung eines DSB nach Artikel 37 DSGVO, aufgeschlüsselt in klar formulierte Fragen, die Sie mit Ja oder Nein beantworten können
  • Länderspezifische Feinheiten: wo nationale Gesetze den DSGVO-Mindeststandard erweitern (die BDSG-Schwelle in Deutschland, die Anforderungen Oesterreichs und 6 weitere EU-Mitgliedstaaten)
  • Eine Dokumentationsvorlage zur Erfassung Ihrer DSB-Bewertung, ob Sie einen bestellen oder nicht, damit Sie prüfungsbereit sind, falls eine Aufsichtsbehörde fragt
  • Interner vs. externer DSB: ein Entscheidungsrahmen, der Kosten, Unabhängigkeit, Risiken von Interessenkonflikten und Ueberlegungen für Gruppenstrukturen mit mehreren Einheiten abdeckt

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihr Postfach.

Priverion vs. OneTrust

Warum mittelständische Teams wechseln

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und eigenen Datenschutzteams. Wenn Sie den Datenschutz über mehrere Einheiten hinweg verwalten, aber keine 400 Funktionen benötigen, die Sie nie nutzen werden, sieht der Vergleich tatsächlich so aus.

Priverion

Schweizer Datensouveränität, von Grund auf

Vollständig in der Schweiz entwickelt und gehostet. Ihre Compliance-Daten verlassen niemals die Schweizer Infrastruktur. In einer Welt nach Schrems II ist das keine Funktion, sondern eine rechtliche Notwendigkeit für grenzüberschreitende Datenübermittlungen.

Für gruppenweite Verwaltung gebaut

Compliance über mehrere Einheiten ist unsere Kernarchitektur, kein Zusatzmodul. Automatisierte Rezertifizierung, einheitenübergreifende Datenkartierung und zentralisierte DSB-Aufsicht, alles nativ. AXA erreichte eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100% über die gesamte Gruppe hinweg mit vollständig automatisierten Workflows.

AXA-Kundenergebnisse, nach der Implementierung

Planbare Preisgestaltung für den Mittelstand

Preisgestaltung auf Basis der Anzahl der Einheiten und der Organisationsgrösse, nicht pro Nutzer, nicht pro Modul. Keine Preisfallen bei der Erweiterung. Keine überraschenden Rechnungen, wenn Sie eine neue Tochtergesellschaft hinzufügen oder weitere Verantwortliche aus Geschäftsbereichen einbinden.

In Wochen einsatzbereit, nicht in Monaten

Aufgeräumte Benutzerführung, entworfen für Datenschutzpraktiker, nicht für Berater von Unternehmenssoftware. Ein Flugzeughersteller senkte die Compliance-Verwaltungszeit innerhalb der ersten 6 Monate um 60%, sein DSB wechselte von der Pflege von Tabellen zur strategischen Datenschutzarbeit.

Flugzeughersteller, erste 6 Monate der Implementierung

KI-gestützt, vom Menschen gesteuert

Die KI erstellt Entwürfe von DSFAs, bewertet Risiken und ordnet Vorschriften zu, aber jedes Ergebnis wird von Ihrem Team geprüft, bevor es zu einer Compliance-Unterlage wird. Es werden keine Kundendaten für das Modelltraining verwendet. Die gesamte Verarbeitung bleibt innerhalb der Schweizer Infrastruktur.

Typische Unternehmensplattform

US-Hauptsitz, Hosting in mehreren Regionen

Die Daten werden möglicherweise in EU-Rechenzentren gehostet, doch die Muttergesellschaft unterliegt der US-Jurisdiktion. Für Organisationen, die sich mit den Folgen von Schrems II und den Anforderungen an grenzüberschreitende Uebermittlungen auseinandersetzen, schafft dies eine fortlaufende rechtliche Komplexität, die die interne Rechtsabteilung bewältigen muss.

Mehrere Einheiten als Zusatz

Die gruppenweite Verwaltung wird oft auf eine Architektur für eine einzelne Einheit aufgesetzt. Der Rollout auf neue Tochtergesellschaften bedeutet zusätzliche Konfiguration, zusätzliche Lizenzierung und zusätzliche Kosten, jeweils ein Projekt für sich.

Preisgestaltung pro Nutzer, pro Modul

Unternehmenspreismodelle, die mit der Mitarbeiterzahl skalieren und