Doxuno
Recht & UnternehmenCH

Kostenlose Vorlage: Auftragsbearbeitungsvertrag (AVV) nach nDSG

Der Auftragsbearbeitungsvertrag (AVV) ist nach Art. 9 nDSG zwingend, sobald ein Schweizer Unternehmen die Bearbeitung von Personendaten an Dritte auslagert — etwa an Cloud-Anbieter, IT-Dienstleister, Marketing-Agenturen oder Lohnbuchhaltungen. Die Doxuno-Vorlage deckt Zweck, Datenarten, Sub-Bearbeiter, TOM, Datenexport und Meldepflichten nDSG-konform ab und berücksichtigt auch DSGVO-Anforderungen für grenzüberschreitende Konstellationen.

Kostenlos nutzbarSofort als PDFKein Konto erforderlich

PDF (kostenlos) + bearbeitbares Word (.docx) mit Expert

AUFTRAGSBEARBEITUNGSVERTRAG (AVV)
Gemäss Art. 9 Ndsg — Schweizer Datenschutzgesetz, In Kraft Seit 1. September 2023
Vertragsbeginn: 1. April 2026
Laufzeit: auf unbestimmte Dauer
VERANTWORTLICHER (AUFTRAGGEBER)
Swiss Innovations AG
UID: CHE-123.456.789
Seestrasse 20, 8002 Zürich
Ansprechperson: Anna Keller, CEO
E-Mail: datenschutz@swiss-innovations.ch
AUFTRAGSBEARBEITER
TechPartner GmbH
UID: CHE-234.567.890
Bundesplatz 3, 3011 Bern
Ansprechperson: Marco Bernasconi, Datenschutzberater
E-Mail: privacy@techpartner.ch
Die Parteien haben eine Geschäftsbeziehung, in deren Rahmen der Auftragsbearbeiter im Auftrag und nach Weisung des Verantwortlichen Personendaten bearbeitet. Zur Erfüllung der Anforderungen des revidierten Bundesgesetzes über den Datenschutz (nDSG, SR 235.1), insbesondere Art. 9, sowie — soweit anwendbar — der EU-Datenschutz-Grundverordnung (Art. 28 DSGVO), schliessen die Parteien unter Beachtung von Treu und Glauben (ZGB Art. 2) den folgenden Auftragsbearbeitungsvertrag (AVV) ab. Bei paralleler Anwendbarkeit von nDSG und DSGVO gilt jeweils der strengere Schutzstandard.
1.
GEGENSTAND, ART UND ZWECK DER BEARBEITUNG
Der Auftragsbearbeiter bearbeitet im Auftrag des Verantwortlichen Personendaten ausschliesslich zum folgenden Zweck:

Hosting und Betrieb der Kundendatenbank, Versand von transaktionalen und Marketing-E-Mails, Cloud-Speicherung sowie Analyse von Nutzungsdaten im Rahmen der Software-as-a-Service-Plattform des Verantwortlichen.

Die Bearbeitung umfasst insbesondere die Tätigkeiten der Erhebung, Speicherung, Organisation, Strukturierung, Veränderung, Abfrage, Verwendung, Offenlegung, Löschung und Vernichtung der Personendaten im Rahmen des vereinbarten Zwecks (nDSG Art. 5 lit. d). Eine Bearbeitung für eigene Zwecke des Auftragsbearbeiters oder zu anderen als den vereinbarten Zwecken ist ausgeschlossen.
2.
VERTRAGSDAUER
Dieser Vertrag beginnt am 1. April 2026 und läuft auf unbestimmte Dauer. Die Dauer entspricht der Laufzeit des Hauptvertrags, der die Datenbearbeitung veranlasst. Bei Beendigung des Hauptvertrags endet dieser AVV automatisch, ohne dass es einer gesonderten Kündigung bedarf; die Pflichten zur Rückgabe bzw. Löschung der Personendaten sowie zur Vertraulichkeit bleiben von der Beendigung unberührt und wirken fort.
3.
KATEGORIEN BETROFFENER PERSONEN UND DATENARTEN
Kategorien betroffener Personen:
Kundinnen und Kunden des Verantwortlichen, Interessenten und Newsletter-Abonnenten, Mitarbeitende und externe Beraterinnen/Berater, Nutzerinnen und Nutzer der Webplattform.

Kategorien der bearbeiteten Personendaten:
Kontaktdaten (Name, Vorname, Anschrift, E-Mail, Telefon), Vertrags- und Abrechnungsdaten, Nutzungs- und Verhaltensdaten (Loginzeiten, IP-Adressen, Browsertyp), Kommunikationsverlauf.

Art der Daten / besonders schützenswerte Personendaten (nDSG Art. 5 lit. c):
Keine besonders schützenswerten Personendaten im Sinne von nDSG Art. 5 lit. c werden regelmässig bearbeitet. Sollte ausnahmsweise eine Bearbeitung erforderlich werden, informieren sich die Parteien vorgängig gegenseitig.

Die Parteien aktualisieren die vorstehenden Angaben bei Bedarf gemeinsam in einem Nachtrag zu diesem Vertrag. Sofern beim Auftragsbearbeiter eine Pflicht zur Führung eines Bearbeitungsverzeichnisses nach nDSG Art. 12 i.V.m. DSV Art. 24 besteht, wird dieser AVV als Bestandteil dieses Verzeichnisses geführt.
4.
WEISUNGSBINDUNG UND RECHTMÄSSIGKEIT
Der Auftragsbearbeiter bearbeitet die Personendaten ausschliesslich im Rahmen dieses Vertrags sowie nach den dokumentierten Weisungen des Verantwortlichen (nDSG Art. 9 Abs. 1 lit. a). Eine darüber hinausgehende Bearbeitung oder Nutzung ist nur zulässig, wenn:
• sie durch eine Rechtsvorschrift der Schweiz oder — bei grenzüberschreitender Bearbeitung — der EU/des EWR vorgeschrieben ist; in diesem Fall teilt der Auftragsbearbeiter dem Verantwortlichen die rechtliche Verpflichtung vor der Bearbeitung mit, soweit die Mitteilung nicht aus wichtigen Gründen untersagt ist;
• der Verantwortliche einer zusätzlichen Bearbeitung ausdrücklich schriftlich zugestimmt hat.

Der Auftragsbearbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen das nDSG, die EU-DSGVO oder andere datenschutzrechtliche Bestimmungen verstösst.
5.
VERTRAULICHKEIT
Der Auftragsbearbeiter stellt sicher, dass alle mit der Bearbeitung der Personendaten betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (nDSG Art. 9 Abs. 1 lit. b). Die Vertraulichkeitspflicht besteht auch nach Beendigung der jeweiligen Tätigkeit der betreffenden Person sowie nach Beendigung dieses Vertrags fort.

Der Auftragsbearbeiter gewährt Zugriff auf die Personendaten nur denjenigen Mitarbeitenden und Beauftragten, die diesen zur Erfüllung ihrer Aufgaben im Rahmen dieses Vertrags zwingend benötigen (Grundsatz "need-to-know").
6.
UNTERAUFTRAGSBEARBEITER
Der Auftragsbearbeiter ist berechtigt, Unterauftragsbearbeiter beizuziehen. Er informiert den Verantwortlichen über beabsichtigte Änderungen mit einer Vorlauffrist von mindestens 30 Tagen, damit dieser den Änderungen aus sachlich gerechtfertigten Gründen widersprechen kann.

Der Auftragsbearbeiter verpflichtet eingesetzte Unterauftragsbearbeiter vertraglich zu Datenschutzpflichten, die denjenigen dieses Vertrags inhaltlich entsprechen (nDSG Art. 9 Abs. 3 i.V.m. DSGVO Art. 28 Abs. 4 bei paralleler Anwendung). Er haftet für das Handeln der Unterauftragsbearbeiter wie für eigenes Handeln (OR Art. 101). Eine Liste der aktuell eingesetzten Unterauftragsbearbeiter wird dem Verantwortlichen auf Anfrage offengelegt.

Aktuell eingesetzte Unterauftragsbearbeiter:
Amazon Web Services EMEA SARL, Luxembourg (Cloud-Hosting, Rechenzentren in Frankfurt DE); Twilio Ireland Limited, Dublin (E-Mail-Versand); Stripe Payments Europe Ltd., Dublin (Zahlungsabwicklung); OpenAI Ireland Ltd. (KI-Modelle für Textgenerierung, Enterprise-Tarif).
7.
STANDORT DER BEARBEITUNG UND DATENTRANSFER
Die Bearbeitung der Personendaten erfolgt im EU-/EWR-Raum, für den der Bundesrat gemäss nDSG Art. 16 Abs. 1 i.V.m. Anhang 1 DSV ein angemessenes Datenschutzniveau festgestellt hat.

Sind US-amerikanische Unterauftragsbearbeiter beteiligt, erfolgt die Bekanntgabe gestützt auf das Swiss-US Data Privacy Framework (Swiss-US DPF), in Kraft seit 15. September 2024. Der Verantwortliche und der Auftragsbearbeiter stellen sicher, dass die US-Empfänger im DPF zertifiziert und auf der Liste des U.S. Department of Commerce eingetragen sind; der Auftragsbearbeiter überwacht den fortlaufenden Zertifizierungsstatus.

Der Auftragsbearbeiter dokumentiert sämtliche Datentransfers (Empfänger, Land, Rechtsgrundlage, Schutzmassnahmen) und stellt dem Verantwortlichen die entsprechenden Nachweise auf Anfrage zur Verfügung. Bei Änderungen am Bearbeitungsstandort informiert er den Verantwortlichen rechtzeitig im Voraus.
8.
MELDEPFLICHT BEI VERLETZUNGEN DER DATENSICHERHEIT
Der Auftragsbearbeiter meldet dem Verantwortlichen jede Verletzung der Datensicherheit — insbesondere unbefugten Zugriff, Verlust, Veränderung oder Offenlegung von Personendaten — unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme.

Die Meldung enthält mindestens:
• die Art der Verletzung, einschliesslich der Kategorien und (soweit bekannt) der Anzahl der betroffenen Personen und Datensätze;
• die voraussichtlichen Folgen der Verletzung;
• die getroffenen oder vorgeschlagenen Massnahmen zur Behebung und zur Minderung möglicher nachteiliger Auswirkungen;
• Name und Kontaktdaten des Datenschutzberaters oder der Ansprechperson.

Der Verantwortliche entscheidet über die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss nDSG Art. 24 ("so rasch als möglich" bei voraussichtlich hohem Risiko — vgl. EDÖB-Leitfaden Data Breach Version 1.2 vom 23. April 2025) sowie über die Information der betroffenen Personen nach Art. 24 Abs. 4. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Erfüllung dieser Meldepflichten ohne zusätzliche Vergütung.
9.
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM)
Der Auftragsbearbeiter trifft nach dem Stand der Technik angemessene technische und organisatorische Massnahmen, um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten (nDSG Art. 7 und 8 i.V.m. DSV Art. 1-6). Insbesondere werden folgende Massnahmen umgesetzt:

Technische Massnahmen:
Verschlüsselung der Datenübertragung (TLS 1.2 oder höher) und der Datenspeicherung (AES-256 oder gleichwertig); rollenbasierte Zugriffskontrolle und Berechtigungskonzept nach "need-to-know"; Multi-Faktor-Authentifizierung für administrative Zugänge; Protokollierung und Auditierung sicherheitsrelevanter Zugriffe; Firewall und Intrusion Detection System; regelmässige Datensicherung mit getestetem Wiederherstellungsverfahren; Pseudonymisierung bzw. Anonymisierung, wo technisch sinnvoll; Patch- und Update-Management; physische Zugangskontrolle zu Rechenzentren.

Organisatorische Massnahmen:
Vertraulichkeitsverpflichtung aller mit der Bearbeitung betrauten Personen; regelmässige Datenschutz- und Informationssicherheitsschulungen; schriftliche interne Datenschutzrichtlinie; regelmässige interne und externe Audits; Notfall- und Kontinuitätsmanagement (BCM/DRP); dokumentiertes Verfahren zur Behandlung von Datenschutzverletzungen; Bestellung eines Datenschutzberaters (nDSG Art. 10) bzw. Datenschutzbeauftragten (DSGVO Art. 37) sofern erforderlich.

Der Auftragsbearbeiter überprüft die Wirksamkeit der Massnahmen mindestens jährlich sowie anlassbezogen und passt sie bei Bedarf an den aktuellen Stand der Technik und an neu erkannte Risiken an. Über wesentliche Änderungen informiert er den Verantwortlichen.
10.
UNTERSTÜTZUNG DES VERANTWORTLICHEN
Der Auftragsbearbeiter unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Massnahmen bei der Erfüllung der folgenden Pflichten:
• Beantwortung von Anfragen der betroffenen Personen auf Auskunft, Berichtigung, Einschränkung, Datenherausgabe oder Löschung (nDSG Art. 25-28);
• Durchführung von Datenschutz-Folgenabschätzungen (nDSG Art. 22), soweit erforderlich;
• Erfüllung der Informationspflichten gegenüber betroffenen Personen (nDSG Art. 19);
• Führung des Bearbeitungsverzeichnisses (nDSG Art. 12 i.V.m. DSV Art. 24).

Der Auftragsbearbeiter unterstützt den Verantwortlichen aktiv bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) nach nDSG Art. 22, insbesondere durch Bereitstellung der erforderlichen Informationen über die eingesetzten Systeme, Risiken und Schutzmassnahmen. Soweit eine Vorabkonsultation des EDÖB nach nDSG Art. 23 angezeigt ist (verbleibendes hohes Restrisiko trotz Massnahmen), unterstützt der Auftragsbearbeiter den Verantwortlichen bei der Vorbereitung der Konsultationsunterlagen.

Der Auftragsbearbeiter leitet Anfragen betroffener Personen, die direkt an ihn gerichtet werden, unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht eigenständig, sofern der Verantwortliche nichts anderes dokumentiert anweist.
11.
NACHWEIS- UND AUDITRECHTE
Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags durch den Auftragsbearbeiter zu kontrollieren. Kontrollen können durch den Verantwortlichen selbst oder durch einen von ihm beauftragten, zur Verschwiegenheit verpflichteten unabhängigen Prüfer mit einer Vorlauffrist von mindestens 14 Tagen während der ordentlichen Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs erfolgen. Die Kosten üblicher, routinemässiger Kontrollen trägt jede Partei selbst; ausserordentliche Kontrollen aus konkretem Anlass trägt der Auftragsbearbeiter, wenn ein Mangel festgestellt wird.

Der Auftragsbearbeiter legt dem Verantwortlichen auf Anfrage alle für den Nachweis der Einhaltung der Pflichten nach diesem Vertrag erforderlichen Informationen, Nachweise und Zertifikate (z.B. ISO 27001, ISO 27701, SOC 2 Typ II, ISAE 3402) vor.
12.
EINSATZ KÜNSTLICHER INTELLIGENZ (KI)
Der Auftragsbearbeiter setzt im Rahmen der Bearbeitung folgende KI-Systeme ein:

OpenAI GPT-4 / GPT-4 Turbo (Enterprise-Tarif mit no-training-Modus) für automatisierte Kundenanfrage-Klassifikation und Textgenerierung; Microsoft Azure OpenAI Service (EU-Region) für interne Dokumentenanalyse.

Der Auftragsbearbeiter stellt sicher, dass:
keine Personendaten zum Training der KI-Modelle verwendet werden, soweit dies vertraglich oder technisch (Enterprise-Tarife, no-training-Modi) abbildbar ist;
• bei kaskadierter Auftragsbearbeitung der KI-Anbieter ein gleichwertiges Datenschutzniveau gewährleistet (Unterauftragsbearbeitung nach Klausel 6);
• bei automatisierten Einzelentscheidungen die Anforderungen nach nDSG Art. 21 (Information, Stellungnahme, menschliche Überprüfung) durch geeignete Schnittstellen ermöglicht werden;
• bei Hochrisiko-Profiling (nDSG Art. 5 lit. g) eine entsprechende DSFA durchgeführt wird;
• bei extraterritorialer Anwendung des EU AI Act (VO 2024/1689) die Pflichten für Anbieter und Betreiber von KI-Systemen erfüllt werden.

Der Auftragsbearbeiter informiert den Verantwortlichen über wesentliche Änderungen seiner KI-Stack-Konfiguration und über bekannt gewordene Modell- oder Sicherheitsschwachstellen.
13.
BEENDIGUNG, RÜCKGABE UND LÖSCHUNG
Nach Beendigung dieses Vertrags — gleich aus welchem Rechtsgrund — ist der Auftragsbearbeiter nach Wahl des Verantwortlichen verpflichtet, innerhalb von 30 Tagen sämtliche Personendaten in einem gängigen Format an den Verantwortlichen zurückzugeben und anschliessend aus allen Systemen einschliesslich Sicherungen unwiderruflich zu löschen und die Löschung schriftlich zu bestätigen. Vorbehalten bleiben gesetzliche Aufbewahrungspflichten (insbesondere steuer- und handelsrechtliche Pflichten nach OR Art. 958f — 10 Jahre Geschäftsbücher; MWSTG Art. 70 — 10 Jahre MWST-Belege), die eine längere Aufbewahrung erfordern; in diesem Umfang wirkt die Vertraulichkeitspflicht fort und die Daten werden ausschliesslich zum Zweck der Aufbewahrung bearbeitet.
14.
HAFTUNG
Die Parteien haften nach den gesetzlichen Bestimmungen (OR Art. 97 ff.). Der Auftragsbearbeiter haftet insbesondere für Schäden, die aufgrund einer von ihm verschuldeten Verletzung der Pflichten nach diesem Vertrag oder nach zwingenden Datenschutzvorschriften entstehen, sowie für das Handeln seiner Hilfspersonen und Unterauftragsbearbeiter wie für eigenes Handeln (OR Art. 101). Die Haftung bei Vorsatz oder grober Fahrlässigkeit ist nach OR Art. 100 Abs. 1 zwingend und kann nicht ausgeschlossen werden. Strafrechtliche Sanktionen nach nDSG Art. 60 ff. (Busse bis CHF 250'000 für verantwortliche natürliche Personen, Verfolgung auf Antrag durch kantonale Strafbehörden) bleiben vorbehalten.
15.
SALVATORISCHE KLAUSEL, ANWENDBARES RECHT UND GERICHTSSTAND
(a) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise ungültig oder nicht durchsetzbar sein oder werden, so wird davon die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine gültige zu ersetzen, die dem wirtschaftlich Gewollten und dem Zweck des Datenschutzes möglichst nahekommt.

(b) Schriftform: Änderungen, Ergänzungen und Nebenabreden zu diesem Vertrag bedürfen zu ihrer Gültigkeit der Schriftform (OR Art. 13, 16). Dies gilt auch für den Verzicht auf das Schriftformerfordernis selbst.

(c) Anwendbares Recht: Dieser Vertrag untersteht ausschliesslich schweizerischem Recht, unter Ausschluss der kollisionsrechtlichen Verweisungsnormen. Ergänzend kommt — soweit extraterritorial anwendbar — die EU-Datenschutz-Grundverordnung (Art. 28 DSGVO) zur Anwendung; bei Konflikt gilt der strengere Schutzstandard.

(d) Gerichtsstand: Ausschliesslicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Zürich (ZPO Art. 17 — vertraglicher Gerichtsstand).

(e) Rangfolge: Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor. Bei Widerspruch zwischen diesem AVV und vereinbarten Standardvertragsklauseln (SCC) gehen die SCC vor, soweit sie zwingend sind.
ZU URKUND DESSEN haben die Parteien diese Vereinbarung am angegebenen Datum unterzeichnet.
VERANTWORTLICHER
Swiss Innovations AG
Anna Keller, CEO
Datum: ____________________
AUFTRAGSBEARBEITER
TechPartner GmbH
Marco Bernasconi, Datenschutzberater
Datum: ____________________

Verfügbar als druckfertiges PDF oder als bearbeitbares Microsoft Word (.docx).

Was ist ein Auftragsbearbeitungsvertrag?

Ein Auftragsbearbeitungsvertrag (AVV) regelt die datenschutzrechtlichen Pflichten zwischen einem Verantwortlichen und einem Auftragsbearbeiter im Sinne von nDSG Art. 5 lit. j und k. Verantwortlicher ist, wer allein oder gemeinsam über Zweck und Mittel der Bearbeitung entscheidet; Auftragsbearbeiter ist, wer Personendaten im Auftrag und nach Weisung bearbeitet — typischerweise Cloud-Provider, SaaS-Anbieter, Rechenzentren, IT-Support, Payroll-Dienstleister oder externe Callcenter.

Die Pflicht zum Abschluss eines AVV ergibt sich direkt aus nDSG Art. 9: Der Verantwortliche darf die Bearbeitung nur übertragen, wenn der Auftragsbearbeiter die Daten gleich dem Verantwortlichen schützt, die Bearbeitung auf Weisung erfolgt und die Grundsätze der Datenbearbeitung (nDSG Art. 6) eingehalten werden. Der AVV dokumentiert diese Voraussetzungen vertraglich und ist bei Prüfungen durch den EDÖB vorzuweisen.

Bei grenzüberschreitender Bearbeitung gilt zusätzlich Art. 28 DSGVO, sofern der Dienstleister in der EU ansässig ist oder der Verantwortliche EU-Betroffene bearbeitet. Die Doxuno-Vorlage berücksichtigt beide Regelwerke, damit der AVV auch für Konstellationen wie "CH-Verantwortlicher → EU-Cloud-Anbieter" oder "CH-Verantwortlicher → US-Sub-Bearbeiter mit Standardvertragsklauseln" einsetzbar ist.

Was diese Vorlage abdeckt

Die Doxuno-Vorlage deckt alle Pflichtangaben nach nDSG Art. 9 ab sowie die in der Praxis erwarteten Zusatzklauseln für Cloud- und SaaS-Konstellationen.

Gegenstand, Art und Zweck der Bearbeitung

Konkretisierung gemäss nDSG Art. 5 lit. d

Vertragsdauer

Gleichlauf mit dem Hauptvertrag, Fortwirkung der Pflichten

Kategorien betroffener Personen und Datenarten

Inkl. Markierung besonders schützenswerter Daten (nDSG Art. 5 lit. c)

Weisungsrecht des Verantwortlichen

Dokumentierte Weisungen, Zweckbindung (nDSG Art. 6 Abs. 3)

Technische und organisatorische Massnahmen (TOM)

Datensicherheit nach nDSG Art. 7 und 8

Sub-Bearbeiter

Totalverbot, Zustimmungspflicht oder Genehmigungsliste

Ort der Bearbeitung und Datenexport

Adäquanzbeschlüsse und Garantien nach nDSG Art. 16–18

Meldepflicht bei Datenverletzungen

Unterstützung der Meldung an EDÖB (nDSG Art. 24)

Unterstützung bei Betroffenenrechten

Auskunfts-, Berichtigungs- und Herausgaberechte (nDSG Art. 25–28)

Audit- und Kontrollrechte

On-site-Audit, Berichte oder unabhängige Zertifizierung

Rückgabe und Löschung der Daten

Klare Regelung zum Vertragsende

Haftung, Schadloshaltung und Gerichtsstand

ZPO Art. 17 und Haftungsregelungen

So erstellen Sie Ihren AVV

Die Vorlage ist so strukturiert, dass auch Nicht-Juristen den AVV Schritt für Schritt ausfüllen können.

  1. 1

    Erfassen Sie die Parteien

    Geben Sie Firma, Adresse, UID und Ansprechperson für Verantwortlicher (Auftraggeber) und Auftragsbearbeiter (Auftragnehmer) an. Bei grossen Organisationen benennen Sie den Datenschutzberater (DSB nach nDSG Art. 10), falls vorhanden.

  2. 2

    Definieren Sie Bearbeitung und Datenkategorien

    Beschreiben Sie Gegenstand und Zweck der Bearbeitung (z. B. "Hosting des CRM-Systems", "Lohnbuchhaltung"). Listen Sie die Kategorien betroffener Personen (Kunden, Mitarbeitende, Website-Nutzer) sowie die Datenarten (Kontaktdaten, Zahlungsdaten, Gesundheitsdaten) auf.

  3. 3

    Regeln Sie Sub-Bearbeiter und Ort der Bearbeitung

    Entscheiden Sie, ob Sub-Bearbeitung generell zulässig, zustimmungspflichtig oder verboten ist. Geben Sie den geografischen Ort der Bearbeitung an (z. B. "Schweiz", "EU", "USA mit Standardvertragsklauseln") — bei Drittländern prüfen Sie den Angemessenheitsbeschluss (nDSG Art. 16).

  4. 4

    Legen Sie TOM und Meldefristen fest

    Wählen Sie die erforderlichen technischen (Verschlüsselung, Zugriffskontrollen, Backups) und organisatorischen Massnahmen (Schulungen, Zutrittskonzepte). Bestimmen Sie die Meldefrist für Datenverletzungen (nach nDSG Art. 24 "raschmöglich"; praxisüblich 24–72 Stunden).

  5. 5

    Beendigung und Unterschrift

    Legen Sie fest, ob bei Vertragsende die Daten gelöscht oder zurückgegeben werden und innerhalb welcher Frist. Bestimmen Sie den Gerichtsstand, laden Sie das PDF herunter und lassen Sie es von beiden zeichnungsberechtigten Vertretern unterzeichnen.

Was Doxuno-Dokumente besonders macht

Vier Dinge, die unsere Vorlagen umfassender als KI-Entwürfe und aktueller als statische Vorlagenbibliotheken machen.

Geprüft

Landesspezifische Rechtsinhalte

Mit juristischer Expertise pro Rechtsordnung entworfen, deutlich umfassender als KI-Entwürfe, die generische Klauseln über Ländergrenzen hinweg kopieren.

Stets aktuell

Stets auf aktuellem Rechtsstand

Vorlagen mit Gesetzeszitaten werden laufend aktualisiert, sobald sich die Rechtslage ändert. Dein Dokument spiegelt immer den aktuellen Rechtsstand wider.

Gratis PDF

Druckfertiges PDF

Kostenloser Download. Vektortext, eingebettete Schriften und Paragraphenzitate direkt in den Klauseln. Drucken, unterschreiben, ablegen. Bereit für jeden Unterschriftenfluss, inklusive elektronischer Signatur.

Word · .docx

Bearbeitbares Word (.docx)

Bearbeite das Dokument nach dem Download direkt in Word. Eigene Klauseln ergänzen, die Vorlage für ähnliche Vereinbarungen wiederverwenden oder mit einer Kollegin teilen und gemeinsam am Entwurf feilen.

Erfordert einen Expert-Einmalkauf oder ein laufendes Doxuno-Abonnement.

Dokumente, auf die Sie sich verlassen können

Jede Vorlage entsteht originär für ihr Land, stützt sich auf die einschlägigen Vorschriften und wird von einer zugelassenen Anwältin oder einem zugelassenen Anwalt vor Ort geprüft – und bei jeder Gesetzesänderung aktualisiert.

Christian NeubauerGeprüft von Christian Neubauer · Schweiz

Rechtliche Hinweise nach Schweizer Recht

Der AVV ist ein zentraler Bestandteil der Datenschutz-Compliance. Einige Anforderungen des nDSG gehen über DSGVO-Standardvorlagen hinaus und sollten beachtet werden.

Diese Vorlage dient ausschliesslich zu Informationszwecken und ersetzt keine individuelle Rechtsberatung. Bei Bearbeitung besonders schützenswerter Personendaten (nDSG Art. 5 lit. c), umfangreichem Profiling oder Drittlandtransfers in Staaten ohne Angemessenheitsbeschluss empfehlen wir die Prüfung durch einen Datenschutzspezialisten.

Geprüft nach Schweizer Recht (nDSG, DSV, OR, ZPO)

Pflichtinhalt nach nDSG Art. 9

Art. 9 nDSG schreibt vor, dass der Auftragsbearbeiter die Daten "gleich dem Verantwortlichen" schützt. Der Vertrag muss daher regeln: Gegenstand und Zweck der Bearbeitung, Weisungsrecht, Datensicherheit (TOM nach nDSG Art. 7–8), Sub-Bearbeitung, Unterstützung bei Betroffenenrechten, Rückgabe/Löschung bei Vertragsende sowie Audit-Rechte. Fehlt eine dieser Angaben, ist die Bearbeitung rechtswidrig und kann strafrechtliche Sanktionen bis CHF 250’000 (nDSG Art. 60 ff.) nach sich ziehen.

Drittlandtransfer (nDSG Art. 16–18)

Die Bekanntgabe von Personendaten ins Ausland ist nur zulässig, wenn das Zielland einen angemessenen Schutz gewährleistet (nDSG Art. 16 Abs. 1) — der Bundesrat führt eine Liste (DSV Anhang 1). Fehlt die Angemessenheit, sind geeignete Garantien nötig (Standardvertragsklauseln der EDÖB, verbindliche unternehmensinterne Datenschutzvorschriften oder ausdrückliche Einwilligung der Betroffenen). Für Transfers in die USA nach dem "Swiss-US Data Privacy Framework" gilt nur, wenn das US-Unternehmen zertifiziert ist.

Meldung von Datenverletzungen (nDSG Art. 24)

Bei einer Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen führt, meldet der Verantwortliche dem EDÖB "raschmöglich". Der Auftragsbearbeiter muss den Verantwortlichen seinerseits unverzüglich informieren. In der Praxis sind im AVV Fristen von 24–72 Stunden üblich. Der AVV sollte die Form der Meldung (E-Mail an definierte Adresse) und den Mindestinhalt regeln.

Verhältnis zu DSGVO und Schweizer Besonderheiten

Für CH-Unternehmen, die EU-Betroffene bearbeiten oder EU-Dienstleister einsetzen, gelten nDSG und DSGVO parallel. Das nDSG kennt — anders als die DSGVO — kein formales Verbotsprinzip, sondern einen risikobasierten Ansatz mit Informations-, Auskunfts- und Meldepflichten. In der Praxis werden AVV häufig "nDSG-/DSGVO-dual" ausgestaltet; Art. 28 DSGVO und nDSG Art. 9 sind weitgehend kompatibel. Unterschiede: nDSG kennt keine CH-spezifische "Joint Controllership"-Regelung und weniger strenge Einwilligungsanforderungen.

Häufige Fragen

Erstellen Sie jetzt Ihren Auftragsbearbeitungsvertrag

nDSG- und DSGVO-konform, fachlich geprüft und sofort als PDF einsetzbar — auch für Cloud- und SaaS-Konstellationen mit Drittlandbezug.

Kostenloses PDF · Bearbeitbares Word mit Expert · Kein Konto erforderlich