Auftragsbearbeitungsvertrag (AVV): Vorlage und nDSG-Pflichten
Seit dem Inkrafttreten des neuen Datenschutzgesetzes (nDSG) am 1. September 2023 sind Schweizer Unternehmen verpflichtet, die Weitergabe von Personendaten an externe Dienstleister vertraglich zu regeln. Dieses Dokument nennt sich Auftragsbearbeitungsvertrag – kurz AVV – und ist das Schweizer Pendant zum deutschen Auftragsverarbeitungsvertrag bzw. zum englischen Data Processing Agreement (DPA).
Wer heute ohne AVV arbeitet, riskiert nicht nur Bussen, sondern auch Vertrauensverlust bei Kunden und Partnern. In diesem Artikel erfahren Sie, wann ein AVV erforderlich ist, welche Klauseln hineingehören und worauf Sie bei der Prüfung achten müssen.
Was ist ein AVV gemäss Art. 9 nDSG?
Artikel 9 nDSG regelt die sogenannte Auftragsbearbeitung: Sobald ein Unternehmen (der Verantwortliche) die Bearbeitung von Personendaten einem Dritten (dem Auftragsbearbeiter) überträgt, muss sichergestellt sein, dass dieser die Daten nur so bearbeitet, wie es der Verantwortliche angeordnet hat.
Die zwei zentralen Rollen:
- Verantwortlicher: Das Unternehmen, das den Zweck und die Mittel der Datenbearbeitung festlegt – also Sie als Auftraggeber. Sie tragen die Hauptverantwortung gegenüber den betroffenen Personen und dem EDÖB.
- Auftragsbearbeiter: Der externe Dienstleister, der Personendaten ausschliesslich nach Weisung des Verantwortlichen bearbeitet. Er handelt nicht eigenständig, sondern im Auftrag.
Der AVV ist der Vertrag, der diese Beziehung regelt. Er schützt Sie rechtlich, definiert Pflichten des Dienstleisters und stellt sicher, dass Ihre Kundendaten nicht zweckentfremdet werden.
Wann brauchen Sie einen AVV?
Die Faustregel lautet: Immer dann, wenn ein externer Anbieter Zugang zu Personendaten hat, die Sie kontrollieren. Typische Fälle in Schweizer KMU:
Cloud-Hosting und Infrastruktur Ob Infomaniak, AWS, Microsoft Azure oder Google Cloud – wer Ihre Daten speichert oder verarbeitet, ist Auftragsbearbeiter. Ohne AVV fehlt die rechtliche Grundlage.
E-Mail-Marketing Mailchimp, Brevo, CleverReach: Ihre Kontaktlisten mit Namen und E-Mail-Adressen sind Personendaten. Der Dienstleister, der Ihre Newsletter versendet, braucht einen AVV.
Web-Analyse Google Analytics, Matomo, Plausible: Selbst technische Daten wie IP-Adressen oder Sitzungs-IDs gelten als Personendaten nach nDSG. Besonders bei Google Analytics ist ein AVV unumgänglich.
CRM-Systeme Salesforce, HubSpot, Zoho: Kundendaten in einem CRM sind Personendaten. Der CRM-Anbieter verarbeitet diese in Ihrem Auftrag.
Zahlungsabwicklung Stripe, Datatrans, Payrexx: Zahlungsdienstleister verarbeiten Daten Ihrer Kunden. Die meisten grossen Anbieter stellen standardisierte AVV bereit.
HR- und Lohnsoftware Abacus, Sage, Personio: Lohndaten, Krankmeldungen, Vertragsdetails – hier geht es um besonders schützenswerte Personendaten. Ein AVV ist hier besonders wichtig.
Support und Ticketing Zendesk, Freshdesk, Intercom: Support-Tickets enthalten häufig Personendaten Ihrer Kundinnen und Kunden.
Pflichtklauseln eines nDSG-konformen AVV
Ein rechtskonformer AVV muss folgende Punkte abdecken:
1. Bearbeitung nur nach Weisung Der Auftragsbearbeiter darf Personendaten ausschliesslich gemäss Ihren dokumentierten Weisungen bearbeiten. Eine eigenständige Nutzung für Werbezwecke, Modelltraining oder Drittauswertungen ist unzulässig.
2. Vertraulichkeit Alle Personen, die Zugang zu Ihren Daten haben, müssen zur Verschwiegenheit verpflichtet sein. Das gilt für Mitarbeitende des Dienstleisters wie auch für allfällige Unterauftragsbearbeiter.
3. Technische und organisatorische Massnahmen (TOM) Der Auftragsbearbeiter muss geeignete Sicherheitsmassnahmen beschreiben und umsetzen: Verschlüsselung (at rest und in transit), Zugriffskontrolle, Logging, Backup-Konzepte, Patch-Management und Incident-Response-Verfahren.
4. Unterauftragsbearbeiter Der AVV muss regeln, ob und unter welchen Bedingungen der Dienstleister Unterauftragsbearbeiter einsetzen darf. Sie sollten entweder eine Genehmigung im Einzelfall verlangen oder zumindest über Änderungen informiert werden und ein Widerspruchsrecht haben.
5. Unterstützung bei Betroffenenrechten Wenn Ihre Kundinnen oder Mitarbeitenden Auskunft, Berichtigung oder Löschung verlangen, muss der Dienstleister Sie dabei unterstützen – auch wenn die betreffenden Daten bei ihm liegen.
6. Meldepflicht bei Datenschutzverletzungen Bei einem Sicherheitsvorfall muss der Auftragsbearbeiter Sie unverzüglich informieren (idealerweise innert 72 Stunden), damit Sie Ihre eigene Meldepflicht gegenüber dem EDÖB einhalten können.
7. Rückgabe oder Vernichtung der Daten Nach Vertragsende müssen Sie sämtliche Daten in einem nutzbaren Format zurückbekommen. Der Dienstleister muss bestätigen, dass alle Kopien gelöscht wurden.
8. Auditrechte Sie müssen das Recht haben, die Einhaltung der Datenschutzpflichten zu überprüfen – direkt oder über einen beauftragten Dritten. Viele grosse Anbieter ersetzen dieses Recht durch anerkannte Zertifizierungen (ISO 27001, SOC 2 Typ II).
nDSG-AVV vs. DSGVO Art. 28: Die Unterschiede
Wer die europäische Datenschutz-Grundverordnung (DSGVO) kennt, findet im nDSG viele Parallelen. Aber es gibt wichtige Unterschiede:
| Aspekt | nDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Rechtsgrundlage | Art. 9 nDSG | Art. 28 DSGVO |
| Aufsichtsbehörde | EDÖB | Nationale Behörde (z.B. BfDI) |
| Sanktionen | Bis CHF 250'000 (strafrechtlich, persönlich) | Bis 4% des weltweiten Jahresumsatzes |
| Besonders schützenswerte Daten | Gesundheit, Religion, Biometrie, etc. | Zusätzlich genetische Daten |
| Internationale Transfers | Angemessenheitsbeschluss Bundesrat | Angemessenheitsbeschluss + SCCs |
| AVV-Pflicht | Art. 9 nDSG | Art. 28 DSGVO zwingend |
Wichtig: Falls Ihr Unternehmen Daten von Personen in der EU bearbeitet, müssen Sie beide Rechtsrahmen einhalten. Ein DSGVO-konformer AVV deckt in der Regel auch die wesentlichen nDSG-Anforderungen ab, sollte aber auf schweizspezifische Punkte geprüft werden.
Musterstruktur eines AVV
So könnte ein praxistauglicher AVV für ein Schweizer KMU aussehen:
Präambel
- Identifikation der Parteien (Verantwortlicher und Auftragsbearbeiter)
- Verweis auf den Hauptdienstleistungsvertrag
- Gegenstand und Laufzeit der Bearbeitung
Abschnitt 1 — Gegenstand und Umfang
- Art der bearbeiteten Personendaten (Kategorien, geschätztes Volumen)
- Zweck der Bearbeitung
- Kategorien betroffener Personen
Abschnitt 2 — Pflichten des Auftragsbearbeiters
- Bearbeitung nur nach Weisung
- Vertraulichkeitspflicht des Personals
- Technische und organisatorische Massnahmen (Anhang B)
- Regelung zu Unterauftragsbearbeitern
Abschnitt 3 — Unterstützungspflichten
- Betroffenenrechte
- Meldung von Datenschutzverletzungen
- Datenschutz-Folgeabschätzung (wenn anwendbar)
Abschnitt 4 — Ende der Bearbeitung
- Rückgabe oder Vernichtung der Daten
- Frist und Format der Rückgabe
- Löschbestätigung
Abschnitt 5 — Audit und Kontrolle
- Auditmodalitäten
- Akzeptierte Zertifizierungen als Ersatz
Anhang A — Beschreibung der Bearbeitung Anhang B — Technische und organisatorische Massnahmen Anhang C — Genehmigte Unterauftragsbearbeiter
Warnsignale in AVV-Entwürfen
Nicht jeder AVV ist gleichwertig. Diese Red Flags sollten Sie aufmerksam machen:
"Wir dürfen Daten zur Verbesserung unserer Dienste verwenden" Diese vage Formulierung kann eine Nutzung für KI-Training oder interne Analysen verbergen. Verlangen Sie eine klare Abgrenzung zwischen Auftragsbearbeitung und eigener Nutzung.
Keine Liste der Unterauftragsbearbeiter Wenn ein Dienstleister seine eigenen Subunternehmer nicht offenlegt, können Sie das Risiko nicht beurteilen. Bestehen Sie auf Transparenz.
"Meldung in angemessener Frist" Eine unklare Frist bei Datenschutzverletzungen ist unpraktikabel. Fordern Sie eine definierte Frist von maximal 72 Stunden.
Auditrecht nur mit unverhältnismässigen Auflagen Wenn ein Audit nur mit 6 Monaten Vorankündigung und zu prohibitiven Kosten möglich ist, ist das Recht de facto wertlos. Hinterfragen Sie solche Klauseln.
Gerichtsstand in einem Land ohne Adäquanzentscheid Wenn der Dienstleister einem Rechtssystem untersteht, das die Schweiz nicht als gleichwertig anerkannt hat, brauchen Sie zusätzliche Garantien.
Grenzüberschreitende Datenweitergabe im AVV
Das nDSG reguliert die Bekanntgabe von Personendaten ins Ausland streng (Art. 16–17 nDSG). Ihr AVV muss dies berücksichtigen:
Land mit Adäquanzentscheid (EU/EWR, Kanada, Grossbritannien usw.): Ein Standard-AVV genügt ohne zusätzliche Klauseln.
Land ohne Adäquanzentscheid (z.B. USA ausserhalb DPF, Indien): Sie benötigen ergänzende Standardvertragsklauseln (SVK), die vom EDÖB anerkannt sind, oder andere vom Bundesrat zugelassene Garantien.
Für US-amerikanische Dienstleister prüfen Sie, ob sie dem Swiss-U.S. Data Privacy Framework (DPF) angehören. Wenn ja, entfallen zusätzliche Klauseln. Wenn nein, sind SVK zwingend.
Tipp: Viele grosse SaaS-Anbieter bieten in ihren Datenschutzeinstellungen oder im Vertragsanhang eine «Data Processing Addendum»-Sektion mit vorausgefüllten Standardvertragsklauseln an.
So fordern Sie einen AVV bei bestehenden Dienstleistern an
Haben Sie noch keinen AVV mit einem Ihrer Dienstleister? So gehen Sie vor:
-
Inventar erstellen: Erfassen Sie alle Dienstleister, die Personendaten in Ihrem Auftrag bearbeiten. Ein Verarbeitungsverzeichnis nach Art. 12 nDSG hilft dabei.
-
Bestehende Dokumentation prüfen: Grosse Anbieter (Google, Microsoft, Stripe, Infomaniak) stellen standardisierte AVV bereit – oft unter «Rechtliches», «Datenschutz» oder in den Kontoeinstellungen.
-
Kontakt aufnehmen: Schreiben Sie dem Dienstleister formell und fordern Sie einen AVV an. Legen Sie bei Bedarf Ihr eigenes Muster bei.
-
Kritische Klauseln verhandeln: Unterzeichnen Sie keinen AVV, der klar unzureichend ist. Wenn der Dienstleister Verhandlungen verweigert, prüfen Sie einen Anbieterwechsel.
-
Archivieren: Bewahren Sie alle unterzeichneten AVV zentral auf, mit Datum der Unterzeichnung und Ablauf. Ein Erinnerungssystem für Verlängerungen ist hilfreich.
AVV-Verwaltung mit PrivaGuard Business
Die manuelle Verwaltung von zehn oder zwanzig AVV in Ordnern und Tabellen ist fehleranfällig und zeitintensiv. PrivaGuard Business bietet ein integriertes Verarbeitungsverzeichnis (Art. 12 nDSG), das Ihnen erlaubt:
- Alle Auftragsbearbeiter mit AVV-Status zu erfassen
- Vertragsdetails und Unterzeichnungsdaten zu dokumentieren
- Ablaufdaten zu überwachen und Erinnerungen zu erhalten
- Compliance-Berichte für interne Audits oder EDÖB-Anfragen zu generieren
So behalten Sie den Überblick und können Ihre Datenschutz-Compliance jederzeit nachweisen.
Zusammenfassung: Das Wichtigste auf einen Blick
- AVV ist Pflicht nach Art. 9 nDSG, sobald ein Dritter Personendaten in Ihrem Auftrag bearbeitet.
- Pflichtklauseln: Weisung, Vertraulichkeit, TOM, Unterauftragsbearbeiter, Betroffenenrechte, Datenschutzverletzung, Datenlöschung, Auditkontrolle.
- Internationale Transfers erfordern bei Ländern ohne Adäquanzentscheid zusätzliche Garantien (SVK).
- Red Flags wie vage Formulierungen, fehlende Unteraufträgerlisten oder unzumutbare Auditbedingungen sind ernst zu nehmen.
- Regelmässige Überprüfung: Dienstleister ändern ihre AGB – halten Sie Ihre AVV aktuell.
Möchten Sie wissen, welche Drittanbieter auf Ihrer Website aktiv sind und für welche Sie einen AVV benötigen? Starten Sie jetzt einen kostenlosen Scan mit PrivaScan – unser Tool erkennt automatisch Tracker, Cookies und externe Dienste und hilft Ihnen, Ihr Auftragsbearbeiter-Inventar aufzubauen.