Wann brauche ich einen Auftragsbearbeitungsvertrag?

Sobald Sie die Bearbeitung von Personendaten an einen externen Dienstleister übertragen, der die Daten nach Ihrer Weisung bearbeitet. Typische Fälle: Cloud-Hosting (AWS, Azure, Google Cloud), SaaS-Tools (Salesforce, HubSpot, Notion), Newsletter-Anbieter (Mailchimp), Lohnbuchhaltungs-Provider, externe IT-Support-Firmen, Callcenter. Nicht nötig ist der AVV bei reinen Werkleistungen ohne Datenzugriff oder wenn der Dienstleister die Daten eigenverantwortlich bearbeitet (eigene Zweckbestimmung).

Was ist der Unterschied zwischen Verantwortlichem und Auftragsbearbeiter?

Der Verantwortliche (nDSG Art. 5 lit. j) entscheidet über Zweck und Mittel der Bearbeitung — in der Regel das Unternehmen, das die Kundenbeziehung hat. Der Auftragsbearbeiter (lit. k) bearbeitet die Daten ausschliesslich im Auftrag und nach Weisung. Wenn ein Dienstleister eigene Zwecke verfolgt (z. B. Analytics-Anbieter, der Daten für eigene Modelle nutzt), wird er zum eigenen Verantwortlichen — dann greift kein AVV, sondern eine Datenübermittlung mit separater Rechtsgrundlage.

Darf mein Dienstleister Sub-Bearbeiter einsetzen?

Nur mit Zustimmung des Verantwortlichen. Die Vorlage bietet drei Optionen: Totalverbot, generelle Zustimmung mit Informationspflicht, oder Zustimmung nur für eine vorab genehmigte Liste (Allowlist). In der Praxis wählen grosse Cloud-Anbieter meist die "Liste mit Änderungsmitteilungspflicht"-Variante. Wichtig: der Hauptbearbeiter haftet gegenüber dem Verantwortlichen auch für das Verhalten des Sub-Bearbeiters und muss ihn zu gleichwertigen Pflichten verpflichten.

Welche TOM sind mindestens erforderlich?

nDSG Art. 7 und 8 verlangen "geeignete technische und organisatorische Massnahmen" entsprechend Risiko und Stand der Technik. Standard-TOM umfassen: SSL/TLS-Verschlüsselung, Zugriffskontrollen mit Rollen- und Berechtigungskonzept, Zwei-Faktor-Authentifizierung, regelmässige verschlüsselte Backups, Intrusion-Detection, Logging, Schulung der Mitarbeitenden, Datenschutz-Folgenabschätzung bei hohem Risiko (nDSG Art. 22). Die Datenschutzverordnung (DSV) konkretisiert diese Anforderungen in Art. 1–6.

Wie lang muss der Auftragsbearbeiter Daten aufbewahren?

Grundsätzlich nur solange, wie der Zweck es erfordert (nDSG Art. 6 Abs. 4 — Grundsatz der Datenminimierung). Nach Vertragsende sind die Daten entweder zurückzugeben oder zu löschen — der AVV regelt welche Option gilt und innerhalb welcher Frist (üblich: 30 bis 90 Tage). Ausnahme: gesetzliche Aufbewahrungspflichten (z. B. OR Art. 958f — 10 Jahre für Geschäftsbücher). In diesem Fall sind die Daten einzuschränken (gesperrt, nur noch für den Aufbewahrungszweck zugänglich).

Was passiert bei einer Datenpanne?

Der Auftragsbearbeiter muss den Verantwortlichen unverzüglich nach Kenntnis informieren (praxisüblich innert 24 Stunden). Der Verantwortliche entscheidet dann über die Meldung an den EDÖB nach nDSG Art. 24 — verpflichtend bei hohem Risiko für die betroffenen Personen. Zusätzlich kann nach nDSG Art. 24 Abs. 2 eine Information der Betroffenen erforderlich sein. Der AVV sollte die Inhalte der Meldung definieren: Art und Umfang der Verletzung, betroffene Kategorien, Folgen, Massnahmen.

Reicht ein DSGVO-AVV auch für die Schweiz aus?

In den meisten Fällen ja, wenn er nDSG-spezifische Angaben ergänzt: Verweis auf nDSG Art. 9 (statt oder neben Art. 28 DSGVO), Schweizer Gerichtsstand, Meldung an EDÖB (nicht nur an Landesdatenschutzbehörde) und Schweizer Datenschutzverletzungs-Terminologie ("Verletzung der Datensicherheit" statt "Datenschutzverletzung"). Doxuno bietet die Vorlage in nDSG-Primärfassung mit optionalem DSGVO-Zusatzkapitel für grenzüberschreitende Konstellationen.

Muss der AVV notariell beglaubigt werden?

Nein. Der AVV unterliegt keinem Formzwang; die Schriftform ist aus Beweisgründen üblich und empfohlen. Eigenhändige Unterschrift oder qualifizierte elektronische Signatur nach ZertES (OR Art. 14 Abs. 2bis) genügen. Viele Cloud-Anbieter (AWS, Microsoft, Google) bieten vorformulierte AVV als Click-Through-Vereinbarung an — die Doxuno-Vorlage eignet sich insbesondere für KMU und individuelle Dienstleisterbeziehungen, bei denen eigene Vertragsbedingungen verhandelt werden.

Recht & UnternehmenCH

Kostenlose Vorlage: Auftragsbearbeitungsvertrag (AVV) nach nDSG

Der Auftragsbearbeitungsvertrag (AVV) ist nach Art. 9 nDSG zwingend, sobald ein Schweizer Unternehmen die Bearbeitung von Personendaten an Dritte auslagert — etwa an Cloud-Anbieter, IT-Dienstleister, Marketing-Agenturen oder Lohnbuchhaltungen. Die Doxuno-Vorlage deckt Zweck, Datenarten, Sub-Bearbeiter, TOM, Datenexport und Meldepflichten nDSG-konform ab und berücksichtigt auch DSGVO-Anforderungen für grenzüberschreitende Konstellationen.

Auftragsbearbeitungsvertrag (AVV) erstellen

Kostenlos nutzbarSofort als PDFKein Konto erforderlich

AUFTRAGSBEARBEITUNGSVERTRAG (AVV)

Gemäss Art. 9 Ndsg — Schweizer Datenschutzgesetz

Vertragsbeginn: 1. April 2026

Laufzeit: auf unbestimmte Dauer

VERANTWORTLICHER (AUFTRAGGEBER)

Swiss Innovations AG

UID: CHE-123.456.789 · Seestrasse 20, 8002 Zürich · Ansprechperson: Anna Keller, CEO · E-Mail: datenschutz@swiss-innovations.ch

AUFTRAGSBEARBEITER

TechPartner GmbH

UID: CHE-234.567.890 · Bundesplatz 3, 3011 Bern · Ansprechperson: Marco Bernasconi, Datenschutzberater · E-Mail: privacy@techpartner.ch

Die Parteien haben eine Geschäftsbeziehung, in deren Rahmen der Auftragsbearbeiter im Auftrag und nach Weisung des Verantwortlichen Personendaten bearbeitet. Zur Erfüllung der Anforderungen des neuen Bundesgesetzes über den Datenschutz (nDSG, SR 235.1), insbesondere Art. 9, sowie — soweit anwendbar — der EU-Datenschutz-Grundverordnung (Art. 28 DSGVO), schliessen die Parteien unter Beachtung von Treu und Glauben (ZGB Art. 2) den folgenden Auftragsbearbeitungsvertrag (AVV) ab.

GEGENSTAND, ART UND ZWECK DER BEARBEITUNG

Der Auftragsbearbeiter bearbeitet im Auftrag des Verantwortlichen Personendaten ausschliesslich zum folgenden Zweck:

Hosting und Betrieb der Kundendatenbank, Versand von transaktionalen und Marketing-E-Mails, Cloud-Speicherung sowie Analyse von Nutzungsdaten im Rahmen der Software-as-a-Service-Plattform des Verantwortlichen.

Die Bearbeitung umfasst insbesondere die Tätigkeiten der Erhebung, Speicherung, Organisation, Strukturierung, Veränderung, Abfrage, Verwendung, Offenlegung, Löschung und Vernichtung der Personendaten im Rahmen des vereinbarten Zwecks (nDSG Art. 5 lit. d). Eine Bearbeitung für eigene Zwecke des Auftragsbearbeiters oder zu anderen als den vereinbarten Zwecken ist ausgeschlossen.

VERTRAGSDAUER

Dieser Vertrag beginnt am 1. April 2026 und läuft auf unbestimmte Dauer. Die Dauer entspricht der Laufzeit des Hauptvertrags, der die Datenbearbeitung veranlasst. Bei Beendigung des Hauptvertrags endet dieser AVV automatisch, ohne dass es einer gesonderten Kündigung bedarf; die Pflichten zur Rückgabe bzw. Löschung der Personendaten sowie zur Vertraulichkeit bleiben von der Beendigung unberührt und wirken fort.

KATEGORIEN BETROFFENER PERSONEN UND DATENARTEN

Kategorien betroffener Personen:
Kundinnen und Kunden des Verantwortlichen, Interessenten und Newsletter-Abonnenten, Mitarbeitende und externe Beraterinnen/Berater, Nutzerinnen und Nutzer der Webplattform.

Kategorien der bearbeiteten Personendaten:
Kontaktdaten (Name, Vorname, Anschrift, E-Mail, Telefon), Vertrags- und Abrechnungsdaten, Nutzungs- und Verhaltensdaten (Loginzeiten, IP-Adressen, Browsertyp), Kommunikationsverlauf.

Art der Daten / besonders schützenswerte Personendaten:
Keine besonders schützenswerten Personendaten im Sinne von nDSG Art. 5 lit. c werden regelmässig bearbeitet. Sollte ausnahmsweise eine Bearbeitung erforderlich werden, informieren sich die Parteien vorgängig gegenseitig.

Die Parteien werden die vorstehenden Angaben bei Bedarf gemeinsam aktualisieren und in einem Nachtrag zu diesem Vertrag festhalten (nDSG Art. 12 — Bearbeitungsverzeichnis).

WEISUNGSBINDUNG UND RECHTMÄSSIGKEIT

Der Auftragsbearbeiter bearbeitet die Personendaten ausschliesslich im Rahmen dieses Vertrags sowie nach den dokumentierten Weisungen des Verantwortlichen (nDSG Art. 9 Abs. 1 lit. a). Eine darüber hinausgehende Bearbeitung oder Nutzung ist nur zulässig, wenn:
• sie durch eine Rechtsvorschrift der Schweiz oder — bei grenzüberschreitender Bearbeitung — der EU/des EWR vorgeschrieben ist; in diesem Fall teilt der Auftragsbearbeiter dem Verantwortlichen die rechtliche Verpflichtung vor der Bearbeitung mit, soweit die Mitteilung nicht aus wichtigen Gründen untersagt ist;
• der Verantwortliche einer zusätzlichen Bearbeitung ausdrücklich schriftlich zugestimmt hat.

Der Auftragsbearbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen das nDSG, die EU-DSGVO oder andere datenschutzrechtliche Bestimmungen verstösst.

VERTRAULICHKEIT

Der Auftragsbearbeiter stellt sicher, dass alle mit der Bearbeitung der Personendaten betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (nDSG Art. 9 Abs. 1 lit. b). Die Vertraulichkeitspflicht besteht auch nach Beendigung der jeweiligen Tätigkeit der betreffenden Person sowie nach Beendigung dieses Vertrags fort.

Der Auftragsbearbeiter gewährt Zugriff auf die Personendaten nur denjenigen Mitarbeitenden und Beauftragten, die diesen zur Erfüllung ihrer Aufgaben im Rahmen dieses Vertrags zwingend benötigen (Grundsatz «need-to-know»).

UNTERAUFTRAGSBEARBEITER

Der Auftragsbearbeiter ist berechtigt, Unterauftragsbearbeiter beizuziehen. Er informiert den Verantwortlichen über beabsichtigte Änderungen mit einer Vorlauffrist von mindestens 30 Tagen, damit dieser den Änderungen aus sachlich gerechtfertigten Gründen widersprechen kann.

Der Auftragsbearbeiter verpflichtet eingesetzte Unterauftragsbearbeiter vertraglich zu Datenschutzpflichten, die denjenigen dieses Vertrags inhaltlich entsprechen (nDSG Art. 9 Abs. 3). Er haftet für das Handeln der Unterauftragsbearbeiter wie für eigenes Handeln. Eine Liste der aktuell eingesetzten Unterauftragsbearbeiter wird dem Verantwortlichen auf Anfrage offengelegt.

Aktuell eingesetzte Unterauftragsbearbeiter:
Amazon Web Services EMEA SARL, Luxembourg (Cloud-Hosting, Rechenzentren in Frankfurt DE); Twilio Ireland Limited, Dublin (E-Mail-Versand); Stripe Payments Europe Ltd., Dublin (Zahlungsabwicklung).

STANDORT DER BEARBEITUNG UND DATENTRANSFER

Die Bearbeitung der Personendaten erfolgt im EU-/EWR-Raum, in dem gemäss nDSG Art. 16 ein angemessenes Datenschutzniveau besteht. Eine Bekanntgabe ins Ausland erfolgt ausschliesslich unter Einhaltung der Voraussetzungen gemäss nDSG Art. 16-18. Der Auftragsbearbeiter dokumentiert Datentransfers und stellt dem Verantwortlichen auf Anfrage die entsprechenden Nachweise zur Verfügung. Bei Änderungen am Bearbeitungsstandort informiert der Auftragsbearbeiter den Verantwortlichen rechtzeitig im Voraus.

MELDEPFLICHT BEI VERLETZUNGEN DER DATENSICHERHEIT

Der Auftragsbearbeiter meldet dem Verantwortlichen jede Verletzung der Datensicherheit — insbesondere unbefugten Zugriff, Verlust, Veränderung oder Offenlegung von Personendaten — unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme.

Die Meldung enthält mindestens:
• die Art der Verletzung, einschliesslich der Kategorien und (soweit bekannt) der Anzahl der betroffenen Personen und Datensätze;
• die voraussichtlichen Folgen der Verletzung;
• die getroffenen oder vorgeschlagenen Massnahmen zur Behebung und zur Minderung möglicher nachteiliger Auswirkungen;
• Name und Kontaktdaten des Datenschutzberaters oder der Ansprechperson.

Der Verantwortliche entscheidet über die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nach nDSG Art. 24 sowie über allfällige Informationen an die betroffenen Personen. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Erfüllung dieser Meldepflichten.

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM)

Der Auftragsbearbeiter trifft nach dem Stand der Technik angemessene technische und organisatorische Massnahmen, um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten (nDSG Art. 7 und 8). Insbesondere werden folgende Massnahmen umgesetzt:

Technische Massnahmen:
Verschlüsselung der Datenübertragung (TLS) und der Datenspeicherung (AES-256 oder gleichwertig); rollenbasierte Zugriffskontrolle und Berechtigungskonzept; Multi-Faktor-Authentifizierung für administrative Zugänge; Protokollierung und Auditierung sicherheitsrelevanter Zugriffe; Firewall und Intrusion Detection; regelmässige Datensicherung mit getestetem Wiederherstellungsverfahren; Pseudonymisierung bzw. Anonymisierung, wo technisch sinnvoll; Patch- und Update-Management; physische Zugangskontrolle zu Rechenzentren.

Organisatorische Massnahmen:
Vertraulichkeitsverpflichtung aller mit der Bearbeitung betrauten Personen; regelmässige Datenschutz- und Informationssicherheitsschulungen; schriftliche interne Datenschutzrichtlinie; regelmässige interne und externe Audits; Notfall- und Kontinuitätsmanagement; dokumentiertes Verfahren zur Behandlung von Datenschutzverletzungen; Bestellung eines Datenschutzberaters.

Der Auftragsbearbeiter überprüft die Wirksamkeit der Massnahmen regelmässig und passt sie bei Bedarf an den aktuellen Stand der Technik und an neu erkannte Risiken an.

10.

UNTERSTÜTZUNG DES VERANTWORTLICHEN

Der Auftragsbearbeiter unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Massnahmen bei der Erfüllung der folgenden Pflichten:
• Beantwortung von Anfragen der betroffenen Personen auf Auskunft, Berichtigung, Einschränkung, Datenherausgabe oder Löschung (nDSG Art. 25-28);
• Durchführung von Datenschutz-Folgenabschätzungen (nDSG Art. 22), soweit erforderlich;
• Erfüllung der Informationspflichten gegenüber betroffenen Personen (nDSG Art. 19);
• Führung des Bearbeitungsverzeichnisses (nDSG Art. 12).

Der Auftragsbearbeiter leitet Anfragen betroffener Personen, die direkt an ihn gerichtet werden, unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht eigenständig, sofern der Verantwortliche nichts anderes dokumentiert anweist.

11.

NACHWEIS- UND AUDITRECHTE

Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags durch den Auftragsbearbeiter zu kontrollieren. Kontrollen können durch den Verantwortlichen selbst oder durch einen von ihm beauftragten, zur Verschwiegenheit verpflichteten unabhängigen Prüfer mit einer Vorlauffrist von mindestens 14 Tagen während der ordentlichen Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs erfolgen. Die Kosten üblicher, routinemässiger Kontrollen trägt jede Partei selbst; ausserordentliche Kontrollen aus konkretem Anlass trägt der Auftragsbearbeiter, wenn ein Mangel festgestellt wird.

Der Auftragsbearbeiter legt dem Verantwortlichen auf Anfrage alle für den Nachweis der Einhaltung der Pflichten nach diesem Vertrag erforderlichen Informationen, Nachweise und Zertifikate (z.B. ISO 27001, SOC 2, ISAE 3402) vor.

12.

BEENDIGUNG, RÜCKGABE UND LÖSCHUNG

Nach Beendigung dieses Vertrags — gleich aus welchem Rechtsgrund — ist der Auftragsbearbeiter nach Wahl des Verantwortlichen verpflichtet, innerhalb von 30 Tagen sämtliche Personendaten in einem gängigen Format an den Verantwortlichen zurückzugeben und anschliessend aus allen Systemen einschliesslich Sicherungen unwiderruflich zu löschen und die Löschung schriftlich zu bestätigen. Vorbehalten bleiben gesetzliche Aufbewahrungspflichten (insbesondere steuer- und handelsrechtliche Pflichten nach OR Art. 958f), die eine längere Aufbewahrung erfordern; in diesem Umfang wirkt die Vertraulichkeitspflicht fort und die Daten werden ausschliesslich zum Zweck der Aufbewahrung bearbeitet.

13.

HAFTUNG

Die Parteien haften nach den gesetzlichen Bestimmungen (OR Art. 97 ff.). Der Auftragsbearbeiter haftet insbesondere für Schäden, die aufgrund einer von ihm verschuldeten Verletzung der Pflichten nach diesem Vertrag oder nach zwingenden Datenschutzvorschriften entstehen, sowie für das Handeln seiner Hilfspersonen und Unterauftragsbearbeiter wie für eigenes Handeln (OR Art. 101). Die Haftung bei Vorsatz oder grober Fahrlässigkeit ist nach OR Art. 100 Abs. 1 zwingend. Strafrechtliche Sanktionen nach nDSG Art. 60 ff. bleiben vorbehalten.

14.

SALVATORISCHE KLAUSEL, ANWENDBARES RECHT UND GERICHTSSTAND

(a) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise ungültig oder nicht durchsetzbar sein oder werden, so wird davon die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine gültige zu ersetzen, die dem wirtschaftlich Gewollten und dem Zweck des Datenschutzes möglichst nahekommt.

(b) Schriftform: Änderungen, Ergänzungen und Nebenabreden zu diesem Vertrag bedürfen zu ihrer Gültigkeit der Schriftform (OR Art. 13, 16). Dies gilt auch für den Verzicht auf das Schriftformerfordernis selbst.

(c) Anwendbares Recht: Dieser Vertrag untersteht ausschliesslich schweizerischem Recht, unter Ausschluss der kollisionsrechtlichen Verweisungsnormen. Ergänzend kommt — soweit extraterritorial anwendbar — die EU-Datenschutz-Grundverordnung (Art. 28 DSGVO) zur Anwendung.

(d) Gerichtsstand: Ausschliesslicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Zürich (ZPO Art. 17 — vertraglicher Gerichtsstand).

(e) Rangfolge: Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

ZU URKUND DESSEN haben die Parteien diese Vereinbarung zum oben genannten Datum des Inkrafttretens unterzeichnet.

VERANTWORTLICHER

Swiss Innovations AG

Datum: ____________________

AUFTRAGSBEARBEITER

TechPartner GmbH

Datum: ____________________

Was ist ein Auftragsbearbeitungsvertrag?

Ein Auftragsbearbeitungsvertrag (AVV) regelt die datenschutzrechtlichen Pflichten zwischen einem Verantwortlichen und einem Auftragsbearbeiter im Sinne von nDSG Art. 5 lit. j und k. Verantwortlicher ist, wer allein oder gemeinsam über Zweck und Mittel der Bearbeitung entscheidet; Auftragsbearbeiter ist, wer Personendaten im Auftrag und nach Weisung bearbeitet — typischerweise Cloud-Provider, SaaS-Anbieter, Rechenzentren, IT-Support, Payroll-Dienstleister oder externe Callcenter.

Die Pflicht zum Abschluss eines AVV ergibt sich direkt aus nDSG Art. 9: Der Verantwortliche darf die Bearbeitung nur übertragen, wenn der Auftragsbearbeiter die Daten gleich dem Verantwortlichen schützt, die Bearbeitung auf Weisung erfolgt und die Grundsätze der Datenbearbeitung (nDSG Art. 6) eingehalten werden. Der AVV dokumentiert diese Voraussetzungen vertraglich und ist bei Prüfungen durch den EDÖB vorzuweisen.

Bei grenzüberschreitender Bearbeitung gilt zusätzlich Art. 28 DSGVO, sofern der Dienstleister in der EU ansässig ist oder der Verantwortliche EU-Betroffene bearbeitet. Die Doxuno-Vorlage berücksichtigt beide Regelwerke, damit der AVV auch für Konstellationen wie "CH-Verantwortlicher → EU-Cloud-Anbieter" oder "CH-Verantwortlicher → US-Sub-Bearbeiter mit Standardvertragsklauseln" einsetzbar ist.

Was diese Vorlage abdeckt

Die Doxuno-Vorlage deckt alle Pflichtangaben nach nDSG Art. 9 ab sowie die in der Praxis erwarteten Zusatzklauseln für Cloud- und SaaS-Konstellationen.

Gegenstand, Art und Zweck der Bearbeitung

Konkretisierung gemäss nDSG Art. 5 lit. d

Vertragsdauer

Gleichlauf mit dem Hauptvertrag, Fortwirkung der Pflichten

Kategorien betroffener Personen und Datenarten

Inkl. Markierung besonders schützenswerter Daten (nDSG Art. 5 lit. c)

Weisungsrecht des Verantwortlichen

Dokumentierte Weisungen, Zweckbindung (nDSG Art. 6 Abs. 3)

Technische und organisatorische Massnahmen (TOM)

Datensicherheit nach nDSG Art. 7 und 8

Sub-Bearbeiter

Totalverbot, Zustimmungspflicht oder Genehmigungsliste

Ort der Bearbeitung und Datenexport

Adäquanzbeschlüsse und Garantien nach nDSG Art. 16–18

Meldepflicht bei Datenverletzungen

Unterstützung der Meldung an EDÖB (nDSG Art. 24)

Unterstützung bei Betroffenenrechten

Auskunfts-, Berichtigungs- und Herausgaberechte (nDSG Art. 25–28)

Audit- und Kontrollrechte

On-site-Audit, Berichte oder unabhängige Zertifizierung

Rückgabe und Löschung der Daten

Klare Regelung zum Vertragsende

Haftung, Schadloshaltung und Gerichtsstand

ZPO Art. 17 und Haftungsregelungen

So erstellen Sie Ihren AVV

Die Vorlage ist so strukturiert, dass auch Nicht-Juristen den AVV Schritt für Schritt ausfüllen können.

1
Erfassen Sie die Parteien
Geben Sie Firma, Adresse, UID und Ansprechperson für Verantwortlicher (Auftraggeber) und Auftragsbearbeiter (Auftragnehmer) an. Bei grossen Organisationen benennen Sie den Datenschutzberater (DSB nach nDSG Art. 10), falls vorhanden.
2
Definieren Sie Bearbeitung und Datenkategorien
Beschreiben Sie Gegenstand und Zweck der Bearbeitung (z. B. "Hosting des CRM-Systems", "Lohnbuchhaltung"). Listen Sie die Kategorien betroffener Personen (Kunden, Mitarbeitende, Website-Nutzer) sowie die Datenarten (Kontaktdaten, Zahlungsdaten, Gesundheitsdaten) auf.
3
Regeln Sie Sub-Bearbeiter und Ort der Bearbeitung
Entscheiden Sie, ob Sub-Bearbeitung generell zulässig, zustimmungspflichtig oder verboten ist. Geben Sie den geografischen Ort der Bearbeitung an (z. B. "Schweiz", "EU", "USA mit Standardvertragsklauseln") — bei Drittländern prüfen Sie den Angemessenheitsbeschluss (nDSG Art. 16).
4
Legen Sie TOM und Meldefristen fest
Wählen Sie die erforderlichen technischen (Verschlüsselung, Zugriffskontrollen, Backups) und organisatorischen Massnahmen (Schulungen, Zutrittskonzepte). Bestimmen Sie die Meldefrist für Datenverletzungen (nach nDSG Art. 24 "raschmöglich"; praxisüblich 24–72 Stunden).
5
Beendigung und Unterschrift
Legen Sie fest, ob bei Vertragsende die Daten gelöscht oder zurückgegeben werden und innerhalb welcher Frist. Bestimmen Sie den Gerichtsstand, laden Sie das PDF herunter und lassen Sie es von beiden zeichnungsberechtigten Vertretern unterzeichnen.

Rechtliche Hinweise nach Schweizer Recht

Der AVV ist ein zentraler Bestandteil der Datenschutz-Compliance. Einige Anforderungen des nDSG gehen über DSGVO-Standardvorlagen hinaus und sollten beachtet werden.

Diese Vorlage dient ausschliesslich zu Informationszwecken und ersetzt keine individuelle Rechtsberatung. Bei Bearbeitung besonders schützenswerter Personendaten (nDSG Art. 5 lit. c), umfangreichem Profiling oder Drittlandtransfers in Staaten ohne Angemessenheitsbeschluss empfehlen wir die Prüfung durch einen Datenschutzspezialisten.

Geprüft nach Schweizer Recht (nDSG, DSV, OR, ZPO)

Pflichtinhalt nach nDSG Art. 9

Art. 9 nDSG schreibt vor, dass der Auftragsbearbeiter die Daten "gleich dem Verantwortlichen" schützt. Der Vertrag muss daher regeln: Gegenstand und Zweck der Bearbeitung, Weisungsrecht, Datensicherheit (TOM nach nDSG Art. 7–8), Sub-Bearbeitung, Unterstützung bei Betroffenenrechten, Rückgabe/Löschung bei Vertragsende sowie Audit-Rechte. Fehlt eine dieser Angaben, ist die Bearbeitung rechtswidrig und kann strafrechtliche Sanktionen bis CHF 250’000 (nDSG Art. 60 ff.) nach sich ziehen.

Drittlandtransfer (nDSG Art. 16–18)

Die Bekanntgabe von Personendaten ins Ausland ist nur zulässig, wenn das Zielland einen angemessenen Schutz gewährleistet (nDSG Art. 16 Abs. 1) — der Bundesrat führt eine Liste (DSV Anhang 1). Fehlt die Angemessenheit, sind geeignete Garantien nötig (Standardvertragsklauseln der EDÖB, verbindliche unternehmensinterne Datenschutzvorschriften oder ausdrückliche Einwilligung der Betroffenen). Für Transfers in die USA nach dem "Swiss-US Data Privacy Framework" gilt nur, wenn das US-Unternehmen zertifiziert ist.

Meldung von Datenverletzungen (nDSG Art. 24)

Bei einer Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen führt, meldet der Verantwortliche dem EDÖB "raschmöglich". Der Auftragsbearbeiter muss den Verantwortlichen seinerseits unverzüglich informieren. In der Praxis sind im AVV Fristen von 24–72 Stunden üblich. Der AVV sollte die Form der Meldung (E-Mail an definierte Adresse) und den Mindestinhalt regeln.

Verhältnis zu DSGVO und Schweizer Besonderheiten

Für CH-Unternehmen, die EU-Betroffene bearbeiten oder EU-Dienstleister einsetzen, gelten nDSG und DSGVO parallel. Das nDSG kennt — anders als die DSGVO — kein formales Verbotsprinzip, sondern einen risikobasierten Ansatz mit Informations-, Auskunfts- und Meldepflichten. In der Praxis werden AVV häufig "nDSG-/DSGVO-dual" ausgestaltet; Art. 28 DSGVO und nDSG Art. 9 sind weitgehend kompatibel. Unterschiede: nDSG kennt keine CH-spezifische "Joint Controllership"-Regelung und weniger strenge Einwilligungsanforderungen.

Häufige Fragen

Erstellen Sie jetzt Ihren Auftragsbearbeitungsvertrag

nDSG- und DSGVO-konform, fachlich geprüft und sofort als PDF einsetzbar — auch für Cloud- und SaaS-Konstellationen mit Drittlandbezug.

Auftragsbearbeitungsvertrag (AVV) erstellen Alle Vorlagen ansehen

Kostenlos · Sofort PDF · Kein Konto erforderlich