What is a Record of Processing Activities (ROPA) under GDPR?

A Record of Processing Activities (ROPA) is required under Article 30 of the GDPR. It documents all personal data processing operations, including purposes, legal bases, data categories, recipients, retention periods, and technical and organisational security measures. Both controllers and processors must maintain a ROPA. Priverion automates ROPA creation and recertification for multi-entity corporate groups.

What is a Data Protection Impact Assessment (DPIA)?

A Data Protection Impact Assessment (DPIA) is mandated by Article 35 of the GDPR for processing activities that are likely to result in a high risk to individuals' rights and freedoms. It requires organisations to systematically assess the necessity, proportionality, and risks of the processing, and to identify mitigation measures. Priverion provides pre-built DPIA templates and AI-assisted risk scoring.

How does Priverion help with GDPR compliance for corporate groups?

Priverion connects ROPAs to risk assessments, vendor contracts, and data flows across all group entities. When one element changes, related records update automatically. This eliminates manual spreadsheet work and ensures audit-ready documentation. Customers report 75% less manual ROPA upkeep and 3x more work done per DPO.

Is Priverion data hosted in Switzerland?

Yes. Priverion is Swiss-hosted with ISO 27001 certified data storage in Switzerland. This provides an additional layer of data sovereignty for organisations concerned about cross-border data transfers under GDPR Chapter V.

What GDPR obligations does vendor management address?

Under Articles 28 and 29 of the GDPR, controllers must ensure that processors provide sufficient guarantees and that data processing agreements include required clauses. Priverion's vendor management module tracks every processor contract, subprocessor, and DPA in one place, providing full vendor risk visibility.

What are the GDPR breach notification requirements?

Under Article 33 of the GDPR, controllers must notify the supervisory authority within 72 hours of becoming aware of a personal data breach, unless the breach is unlikely to result in a risk to individuals. Article 34 requires notification to affected individuals when the breach is likely to result in a high risk. Priverion documents the entire breach response from detection to notification.

Sehen Sie, wie Priverion die DSGVO für Konzerngruppen meistert 30-minütiges Erstgespräch buchen

DSGVO-Compliance-Plattform

DSGVO-Compliance für Konzerngruppen — von der GAP-Analyse bis zur Auditbereitschaft

Aktualisiert am 2026-06-22

Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete DSGVO-Compliance-Plattform, die das Verarbeitungsverzeichnis, DSFA, Betroffenenanfragen und das Lieferantenrisikomanagement für Konzerngruppen mit mehreren Einheiten automatisiert.

DSGVO-Compliance ist wirklich komplex — besonders für Gruppen, die über mehrere Rechtsräume hinweg tätig sind. Wir tun nicht so, als wäre es einfach. Was wir tun, ist, die manuelle Arbeit zu eliminieren, die es unmöglich erscheinen lässt.

30-minütiges Erstgespräch buchen Noch nicht bereit?

Vertraut von 50+ privacy teams across 14 countries

Gesundheitswesen

Luftfahrt

Energie

Recht

Technologie

DSGVO-Funktionen

Alles, was Sie für die DSGVO-Rechenschaftspflicht brauchen

Anders als Tools, die die DSGVO als Abhak-Übung behandeln, verknüpft Priverion Ihre Verarbeitungsverzeichnisse mit Ihren Risikobeurteilungen, Lieferantenverträgen und Datenflüssen. Ändern Sie eines, und alles wird automatisch aktualisiert.

Zentrale DSGVO-Anforderung

Verarbeitungsverzeichnis (Art. 30 DSGVO)

Das Verzeichnis von Verarbeitungstätigkeiten dient als zentrales Dokument zum Nachweis der DSGVO-Compliance. Es erfasst alle Verarbeitungsvorgänge, ihren Zweck, die Rechtsgrundlage, Datenkategorien, Empfänger, Aufbewahrungsfristen und Sicherheitsmassnahmen — und erfüllt damit zentrale Grundsätze von der Rechtmässigkeit bis zur Speicherbegrenzung.

Ergebnis: Halten Sie jede Verarbeitungstätigkeit dokumentiert und aktuell — ohne den Fachbereichen für Aktualisierungen hinterherzulaufen. 100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses bei allen Kunden.

Rechte betroffener Personen

Transparenz- und Kommunikationsdokumente

Die Erfüllung der Transparenzpflichten erfolgt über Datenschutzhinweise, die betroffenen Personen zur Verfügung gestellt werden. Diese Hinweise beschreiben die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechtsgrundlagen, Empfänger, Aufbewahrungsfristen, Rechte und Details zu Datenübermittlungen.

Ergebnis: Erstellen Sie Datenschutzhinweise, die tatsächlich zu Ihren Verarbeitungsverzeichnissen passen — automatisch aktualisiert, sobald sich Ihr Verarbeitungsverzeichnis ändert.

DSFA-Compliance

Risiko- und Folgenabschätzungsdokumente

Verarbeitungstätigkeiten mit hohem Risiko müssen durch Datenschutz-Folgenabschätzungen (DSFA) abgesichert werden.
Ein DSFA-Register erfasst, wann und wie solche Beurteilungen durchgeführt wurden, einschliesslich identifizierter Risiken und Massnahmen zur Risikominderung. Für internationale Datenübermittlungen liefern Transfer-Folgenabschätzungen (TIAs) und die Dokumentation der Standardvertragsklauseln (SCC) Nachweise für Garantien und Sorgfaltspflicht.

Ergebnis: Schliessen Sie DSFA in Stunden statt Wochen ab — mit vorgefertigten Vorlagen und KI-gestützter Risikobewertung.

Lieferantenmanagement

Dokumente zum Management von Auftragsverarbeitern und Dritten

Verantwortliche müssen ein Register der Auftragsverarbeiterverträge führen, das alle Auftragsverarbeiter und die Verträge ausweist, die die DSGVO-Compliance sicherstellen.
Dieses Register belegt, dass Auftragsverarbeiter mit hinreichenden Garantien ausgewählt wurden und dass die Auftragsverarbeitungsverträge die erforderlichen Klauseln enthalten. Es sollte zudem etwaige Unterauftragsverarbeiter oder gemeinsame Verantwortlichkeiten erfassen.

Ergebnis: Vollständige Transparenz über Lieferantenrisiken — jeder Auftragsverarbeitervertrag, Unterauftragsverarbeiter und AVV an einem Ort erfasst.

Vorfallmanagement

Dokumente zum Sicherheits- und Vorfallmanagement

Die Informationssicherheitsrichtlinie (oder die TOM-Dokumentation) beschreibt detailliert die konkreten technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten — von Verschlüsselung über Zugriffskontrolle bis zur Reaktion auf Vorfälle.
Ergänzt wird dies durch das Verzeichnis von Datenschutzverletzungen, das alle Verletzungen des Schutzes personenbezogener Daten, ergriffene Massnahmen, vorgenommene Meldungen und gewonnene Erkenntnisse erfasst. Zusammen erfüllen diese Dokumente die Pflichten aus den Artikeln 32–34.

Ergebnis: Reaktion auf Datenschutzverletzungen lückenlos dokumentiert — von der Erkennung bis zur Meldung — als auditbereiter Nachweis für die Compliance nach Art. 33.

Verwandte Rahmenwerke

Viele Kunden steuern die DSGVO gemeinsam mit ISO 27001 und dem revidierten Datenschutzgesetz (revDSG)

75%

Weniger manuelle Pflege des Verarbeitungsverzeichnisses

Durchschnitt über alle Enterprise-Kunden

100%

Rezertifizierungsquote des Verarbeitungsverzeichnisses

Automatisierte Rezertifizierung über alle Kunden hinweg

Mehr erledigte Arbeit pro Datenschutzbeauftragtem

Basierend auf den Ergebnissen eines Flugzeugherstellers im ersten Jahr

ISO 27001 Compliance

revDSG Compliance

Bereit, Ihr Datenschutzmanagement zu vereinfachen?

Sie sind in guter Gesellschaft. Priverion ersetzt verstreute Excel-Tabellen und manuelle Abläufe durch eine einheitliche, intelligente Plattform für Datenschutz und Informationssicherheit. Unser Team begleitet Sie vom ersten Tag an, um eine reibungslose Einführung und langfristigen Erfolg sicherzustellen.

So funktioniert es

The Privacy Compliance Briefing

Monatliche Einblicke in DSGVO-Durchsetzungstrends, revDSG-Updates und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Mit dem Absenden dieses Formulars willigen Sie ein, dass wir Sie kontaktieren dürfen, um Ihnen Informationen zu unseren Produkten und Dienstleistungen bereitzustellen. Weitere Einzelheiten entnehmen Sie bitte unseren Datenschutzhinweisen.

Vielen Dank für Ihre Anmeldung zu unserem Newsletter. Wir freuen uns, Sie an Bord zu haben, und halten Sie über die neuesten Entwicklungen und Trends auf dem Laufenden.

Hoppla! Beim Absenden des Formulars ist etwas schiefgelaufen.

▸ Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick

Priverion ist eine in der Schweiz gehostete DSGVO-Compliance-Plattform, die eigens für Konzerngruppen mit mehreren Einheiten entwickelt wurde. Sie automatisiert das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen (DSFA), Betroffenenanfragen, das Lieferantenrisikomanagement und die Abläufe zur Meldung von Datenschutzverletzungen. Alle Daten werden in einer ISO 27001 zertifizierten Infrastruktur in der Schweiz gespeichert. Kunden berichten von 75 % weniger manueller Pflege des Verarbeitungsverzeichnisses und 3-mal mehr erledigter Arbeit pro Datenschutzbeauftragtem.

Definitionen

Was ist die DSGVO?

DSGVO (Datenschutz-Grundverordnung (DSGVO)) ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die die Verarbeitung personenbezogener Daten von Personen in der EU/im EWR regelt. Sie gilt seit dem 25.05.2018 und legt weltweit Pflichten für Verantwortliche und Auftragsverarbeiter fest, die Daten von EU-Bürgerinnen und -Bürgern verarbeiten.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Ein Verarbeitungsverzeichnis ist ein nach Artikel 30 DSGVO verpflichtendes Register, das jede Verarbeitungstätigkeit, ihren Zweck, die Rechtsgrundlage, Datenkategorien, Empfänger, Aufbewahrungsfristen und Sicherheitsmassnahmen dokumentiert. Sowohl Verantwortliche als auch Auftragsverarbeiter müssen eines führen.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist nach Artikel 35 DSGVO erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die EDSA-Leitlinien 4/2017 enthalten detaillierte Kriterien dafür, wann eine DSFA erforderlich ist.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein AVV ist ein nach Artikel 28 DSGVO erforderlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Er muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Pflichten des Auftragsverarbeiters festlegen.

Was sind Standardvertragsklauseln (SCCs)?

SCCs sind von der Europäischen Kommission nach dem Durchführungsbeschluss (EU) 2021/914 genehmigte Mustervertragsklauseln, die angemessene Garantien für internationale Datenübermittlungen nach Kapitel V der DSGVO bieten.

DSGVO-Durchsetzungsstatistiken

Laut dem GDPR Enforcement Tracker haben Aufsichtsbehörden in der gesamten EU/im EWR seit Inkrafttreten der Verordnung im Mai 2018 über 2'200 Bussgelder verhängt, mit kumulierten Strafen von mehr als 4,8 Milliarden Euro. Der IAPP-EY Privacy Governance Report 2023 stellte fest, dass eine durchschnittliche Organisation 5,2 Vollzeitkräfte im Datenschutz beschäftigt, jedoch 60 % der Datenschutzverantwortlichen berichten, dass manuelle Prozesse weiterhin ihre grösste operative Herausforderung darstellen. Eine koordinierte Durchsetzungsmassnahme des EDSA von 2024 zur Rolle der Datenschutzbeauftragten ergab, dass viele Organisationen nach wie vor mit einer angemessenen Ausstattung und Unabhängigkeit ihrer Datenschutzbeauftragten zu kämpfen haben.

Häufig gestellte Fragen

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) nach der DSGVO?

Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist nach Artikel 30 der DSGVO erforderlich. Es dokumentiert alle Verarbeitungsvorgänge personenbezogener Daten, einschliesslich Zwecke, Rechtsgrundlagen, Datenkategorien, Empfänger, Aufbewahrungsfristen sowie technische und organisatorische Sicherheitsmassnahmen. Sowohl Verantwortliche als auch Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis führen. Priverion automatisiert die Erstellung und Rezertifizierung des Verarbeitungsverzeichnisses für Konzerngruppen mit mehreren Einheiten.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist nach Artikel 35 der DSGVO für Verarbeitungstätigkeiten vorgeschrieben, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Sie verpflichtet Organisationen, die Notwendigkeit, Verhältnismässigkeit und Risiken der Verarbeitung systematisch zu beurteilen und Massnahmen zur Risikominderung zu identifizieren. Die EDSA-Leitlinien 4/2017 nennen neun Kriterien, die anzeigen, wann eine DSFA erforderlich ist.

Wie unterstützt Priverion die DSGVO-Compliance für Konzerngruppen?

Priverion verknüpft Verarbeitungsverzeichnisse mit Risikobeurteilungen, Lieferantenverträgen und Datenflüssen über alle Konzerneinheiten hinweg. Ändert sich ein Element, werden die zugehörigen Datensätze automatisch aktualisiert. Dies eliminiert die manuelle Tabellenarbeit und sorgt für eine auditbereite Dokumentation. Kunden berichten von 75 % weniger manueller Pflege des Verarbeitungsverzeichnisses und 3-mal mehr erledigter Arbeit pro Datenschutzbeauftragtem.

Werden die Daten von Priverion in der Schweiz gehostet?

Ja. Priverion wird in der Schweiz gehostet, mit ISO 27001 zertifizierter Datenspeicherung in der Schweiz. Dies bietet eine zusätzliche Ebene der Datensouveränität für Organisationen, die sich Gedanken über grenzüberschreitende Datenübermittlungen nach Kapitel V der DSGVO machen.

Welche DSGVO-Pflichten deckt das Lieferantenmanagement ab?

Nach Artikel 28 und 29 der DSGVO müssen Verantwortliche sicherstellen, dass Auftragsverarbeiter hinreichende Garantien bieten und dass Auftragsverarbeitungsverträge die erforderlichen Klauseln zu Gegenstand, Dauer, Art und Zweck der Verarbeitung enthalten. Das Lieferantenmanagement-Modul von Priverion erfasst jeden Auftragsverarbeitervertrag, Unterauftragsverarbeiter und AVV an einem Ort.

Welche Meldepflichten gelten bei Datenschutzverletzungen nach der DSGVO?

Nach Artikel 33 der DSGVO müssen Verantwortliche die Aufsichtsbehörde innerhalb von 72 Stunden, nachdem ihnen eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, benachrichtigen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für natürliche Personen. Artikel 34 verlangt eine Benachrichtigung der betroffenen Personen, wenn die Verletzung voraussichtlich ein hohes Risiko zur Folge hat. Die EDSA-Leitlinien 9/2022 liefern praktische Beispiele für Szenarien der Meldung von Datenschutzverletzungen.

Wie verhält sich die DSGVO zum schweizerischen Datenschutzgesetz (DSG)?

Das revidierte revidierte Datenschutzgesetz (revDSG), das seit dem 01.09.2023 in Kraft ist, wurde modernisiert, um sich eng an die DSGVO anzulehnen. Beide Gesetze verlangen Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und die Meldung von Datenschutzverletzungen. Organisationen, die sowohl in der EU als auch in der Schweiz tätig sind, können beide Rahmenwerke in der einheitlichen Plattform von Priverion steuern.

Welche Rolle spielt ISO 27001 bei der DSGVO-Compliance?

ISO/IEC 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Obwohl die ISO-27001-Zertifizierung nicht von der DSGVO verlangt wird, bietet sie ein strukturiertes Rahmenwerk für die Umsetzung der nach Artikel 32 DSGVO erforderlichen technischen und organisatorischen Massnahmen. Die Infrastruktur von Priverion ist ISO 27001 zertifiziert, und die Plattform unterstützt zudem die eigenen ISO-27001-Compliance-Programme der Kunden.

Funktionsvergleich zur DSGVO-Compliance

Funktion	Manuell / Tabelle	Priverion-Plattform
Management des Verarbeitungsverzeichnisses (Art. 30)	Statische Excel-Dateien, manuelle Aktualisierungen	Automatisiert, verknüpft mit Risikobeurteilungen und Lieferantenverträgen
DSFA-Workflow (Art. 35)	Word-Vorlagen, Wochen bis zur Fertigstellung	Vorgefertigte Vorlagen, KI-gestützte Risikobewertung, Stunden bis zur Fertigstellung
Betroffenenanfragen (Art. 15–22)	E-Mail-basierte Nachverfolgung, fehleranfällig	Strukturierter Workflow mit Fristenverfolgung und Audit-Trail
Lieferanten- / Auftragsverarbeitermanagement (Art. 28)	Verstreute Verträge, keine zentrale Übersicht	Zentrales Register mit AVV-Nachverfolgung und Überwachung von Unterauftragsverarbeitern
Management von Datenschutzverletzungen (Art. 33–34)	Ad-hoc-Dokumentation	Durchgängiger Workflow von der Erkennung bis zur Meldung an die Behörde
Rahmenwerkübergreifende Unterstützung	Separate Prozesse je Rahmenwerk	Einheitliche Plattform für DSGVO, revDSG und ISO 27001
Unterstützung für mehrere Einheiten / Gruppen	Duplizierte Dateien je Einheit	Konzernweite Transparenz mit Granularität auf Einheitenebene

Ihr vertrauenswürdiger Partner für einen intelligenteren, effizienteren Ansatz im Datenschutzmanagement.

Produkt

Priverion-Plattform Systemstatus

über uns

Über Priverion Karriere

Impressum Datenschutzerklärung Nutzungsbedingungen Rückerstattungsrichtlinie

OneTrust, TrustArc, Drata, Vanta, BigID, DataGuard, Kertos, Securiti und Sprinto sind Marken ihrer jeweiligen Inhaber. Die Priverion Solutions AG ist ein unabhängiges Schweizer Unternehmen und steht in keiner Verbindung zu diesen Unternehmen und wird von ihnen weder gesponsert noch unterstützt. Verweise auf diese Produkte erfolgen im Rahmen der Ausnahme für vergleichende Werbung (Schweizer UWG Art. 3 Abs. 1 lit. a, b, e; EU-Richtlinie 2006/114/EG Art. 4) und dienen ausschliesslich der Information potenzieller Kunden. Methodik und Quellen für vergleichende Aussagen werden auf jeder Seite offengelegt, die solche enthält; siehe auch unsere Richtlinie für vergleichende Werbung. Um eine bestimmte Aussage zu beanstanden, schreiben Sie an [email protected].