AUFTRAGSBEARBEITUNGSVERTRAG (AVV)
Gemäss Art. 9 Ndsg — Schweizer Datenschutzgesetz, In Kraft Seit 1. September 2023
Vertragsbeginn: 1. April 2026
Laufzeit: auf unbestimmte Dauer
VERANTWORTLICHER (AUFTRAGGEBER)
Swiss Innovations AG
UID: CHE-123.456.789
Seestrasse 20, 8002 Zürich
Ansprechperson: Anna Keller, CEO
E-Mail: datenschutz@swiss-innovations.ch
AUFTRAGSBEARBEITER
TechPartner GmbH
UID: CHE-234.567.890
Bundesplatz 3, 3011 Bern
Ansprechperson: Marco Bernasconi, Datenschutzberater
E-Mail: privacy@techpartner.ch
Die Parteien haben eine Geschäftsbeziehung, in deren Rahmen der Auftragsbearbeiter im Auftrag und nach Weisung des Verantwortlichen Personendaten bearbeitet. Zur Erfüllung der Anforderungen des revidierten Bundesgesetzes über den Datenschutz (nDSG, SR 235.1), insbesondere Art. 9, sowie — soweit anwendbar — der EU-Datenschutz-Grundverordnung (Art. 28 DSGVO), schliessen die Parteien unter Beachtung von Treu und Glauben (ZGB Art. 2) den folgenden Auftragsbearbeitungsvertrag (AVV) ab. Bei paralleler Anwendbarkeit von nDSG und DSGVO gilt jeweils der strengere Schutzstandard.
1.
GEGENSTAND, ART UND ZWECK DER BEARBEITUNG
Der Auftragsbearbeiter bearbeitet im Auftrag des Verantwortlichen Personendaten ausschliesslich zum folgenden Zweck:
Hosting und Betrieb der Kundendatenbank, Versand von transaktionalen und Marketing-E-Mails, Cloud-Speicherung sowie Analyse von Nutzungsdaten im Rahmen der Software-as-a-Service-Plattform des Verantwortlichen.
Die Bearbeitung umfasst insbesondere die Tätigkeiten der Erhebung, Speicherung, Organisation, Strukturierung, Veränderung, Abfrage, Verwendung, Offenlegung, Löschung und Vernichtung der Personendaten im Rahmen des vereinbarten Zwecks (nDSG Art. 5 lit. d). Eine Bearbeitung für eigene Zwecke des Auftragsbearbeiters oder zu anderen als den vereinbarten Zwecken ist ausgeschlossen.
Dieser Vertrag beginnt am 1. April 2026 und läuft auf unbestimmte Dauer. Die Dauer entspricht der Laufzeit des Hauptvertrags, der die Datenbearbeitung veranlasst. Bei Beendigung des Hauptvertrags endet dieser AVV automatisch, ohne dass es einer gesonderten Kündigung bedarf; die Pflichten zur Rückgabe bzw. Löschung der Personendaten sowie zur Vertraulichkeit bleiben von der Beendigung unberührt und wirken fort.
3.
KATEGORIEN BETROFFENER PERSONEN UND DATENARTEN
Kategorien betroffener Personen:
Kundinnen und Kunden des Verantwortlichen, Interessenten und Newsletter-Abonnenten, Mitarbeitende und externe Beraterinnen/Berater, Nutzerinnen und Nutzer der Webplattform.
Kategorien der bearbeiteten Personendaten:
Kontaktdaten (Name, Vorname, Anschrift, E-Mail, Telefon), Vertrags- und Abrechnungsdaten, Nutzungs- und Verhaltensdaten (Loginzeiten, IP-Adressen, Browsertyp), Kommunikationsverlauf.
Art der Daten / besonders schützenswerte Personendaten (nDSG Art. 5 lit. c):
Keine besonders schützenswerten Personendaten im Sinne von nDSG Art. 5 lit. c werden regelmässig bearbeitet. Sollte ausnahmsweise eine Bearbeitung erforderlich werden, informieren sich die Parteien vorgängig gegenseitig.
Die Parteien aktualisieren die vorstehenden Angaben bei Bedarf gemeinsam in einem Nachtrag zu diesem Vertrag. Sofern beim Auftragsbearbeiter eine Pflicht zur Führung eines Bearbeitungsverzeichnisses nach nDSG Art. 12 i.V.m. DSV Art. 24 besteht, wird dieser AVV als Bestandteil dieses Verzeichnisses geführt.
4.
WEISUNGSBINDUNG UND RECHTMÄSSIGKEIT
Der Auftragsbearbeiter bearbeitet die Personendaten ausschliesslich im Rahmen dieses Vertrags sowie nach den dokumentierten Weisungen des Verantwortlichen (nDSG Art. 9 Abs. 1 lit. a). Eine darüber hinausgehende Bearbeitung oder Nutzung ist nur zulässig, wenn:
• sie durch eine Rechtsvorschrift der Schweiz oder — bei grenzüberschreitender Bearbeitung — der EU/des EWR vorgeschrieben ist; in diesem Fall teilt der Auftragsbearbeiter dem Verantwortlichen die rechtliche Verpflichtung vor der Bearbeitung mit, soweit die Mitteilung nicht aus wichtigen Gründen untersagt ist;
• der Verantwortliche einer zusätzlichen Bearbeitung ausdrücklich schriftlich zugestimmt hat.
Der Auftragsbearbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen das nDSG, die EU-DSGVO oder andere datenschutzrechtliche Bestimmungen verstösst.
Der Auftragsbearbeiter stellt sicher, dass alle mit der Bearbeitung der Personendaten betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (nDSG Art. 9 Abs. 1 lit. b). Die Vertraulichkeitspflicht besteht auch nach Beendigung der jeweiligen Tätigkeit der betreffenden Person sowie nach Beendigung dieses Vertrags fort.
Der Auftragsbearbeiter gewährt Zugriff auf die Personendaten nur denjenigen Mitarbeitenden und Beauftragten, die diesen zur Erfüllung ihrer Aufgaben im Rahmen dieses Vertrags zwingend benötigen (Grundsatz "need-to-know").
6.
UNTERAUFTRAGSBEARBEITER
Der Auftragsbearbeiter ist berechtigt, Unterauftragsbearbeiter beizuziehen. Er informiert den Verantwortlichen über beabsichtigte Änderungen mit einer Vorlauffrist von mindestens 30 Tagen, damit dieser den Änderungen aus sachlich gerechtfertigten Gründen widersprechen kann.
Der Auftragsbearbeiter verpflichtet eingesetzte Unterauftragsbearbeiter vertraglich zu Datenschutzpflichten, die denjenigen dieses Vertrags inhaltlich entsprechen (nDSG Art. 9 Abs. 3 i.V.m. DSGVO Art. 28 Abs. 4 bei paralleler Anwendung). Er haftet für das Handeln der Unterauftragsbearbeiter wie für eigenes Handeln (OR Art. 101). Eine Liste der aktuell eingesetzten Unterauftragsbearbeiter wird dem Verantwortlichen auf Anfrage offengelegt.
Aktuell eingesetzte Unterauftragsbearbeiter:
Amazon Web Services EMEA SARL, Luxembourg (Cloud-Hosting, Rechenzentren in Frankfurt DE); Twilio Ireland Limited, Dublin (E-Mail-Versand); Stripe Payments Europe Ltd., Dublin (Zahlungsabwicklung); OpenAI Ireland Ltd. (KI-Modelle für Textgenerierung, Enterprise-Tarif).
7.
STANDORT DER BEARBEITUNG UND DATENTRANSFER
Die Bearbeitung der Personendaten erfolgt im EU-/EWR-Raum, für den der Bundesrat gemäss nDSG Art. 16 Abs. 1 i.V.m. Anhang 1 DSV ein angemessenes Datenschutzniveau festgestellt hat.
Sind US-amerikanische Unterauftragsbearbeiter beteiligt, erfolgt die Bekanntgabe gestützt auf das Swiss-US Data Privacy Framework (Swiss-US DPF), in Kraft seit 15. September 2024. Der Verantwortliche und der Auftragsbearbeiter stellen sicher, dass die US-Empfänger im DPF zertifiziert und auf der Liste des U.S. Department of Commerce eingetragen sind; der Auftragsbearbeiter überwacht den fortlaufenden Zertifizierungsstatus.
Der Auftragsbearbeiter dokumentiert sämtliche Datentransfers (Empfänger, Land, Rechtsgrundlage, Schutzmassnahmen) und stellt dem Verantwortlichen die entsprechenden Nachweise auf Anfrage zur Verfügung. Bei Änderungen am Bearbeitungsstandort informiert er den Verantwortlichen rechtzeitig im Voraus.
8.
MELDEPFLICHT BEI VERLETZUNGEN DER DATENSICHERHEIT
Der Auftragsbearbeiter meldet dem Verantwortlichen jede Verletzung der Datensicherheit — insbesondere unbefugten Zugriff, Verlust, Veränderung oder Offenlegung von Personendaten — unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme.
Die Meldung enthält mindestens:
• die Art der Verletzung, einschliesslich der Kategorien und (soweit bekannt) der Anzahl der betroffenen Personen und Datensätze;
• die voraussichtlichen Folgen der Verletzung;
• die getroffenen oder vorgeschlagenen Massnahmen zur Behebung und zur Minderung möglicher nachteiliger Auswirkungen;
• Name und Kontaktdaten des Datenschutzberaters oder der Ansprechperson.
Der Verantwortliche entscheidet über die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss nDSG Art. 24 ("so rasch als möglich" bei voraussichtlich hohem Risiko — vgl. EDÖB-Leitfaden Data Breach Version 1.2 vom 23. April 2025) sowie über die Information der betroffenen Personen nach Art. 24 Abs. 4. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Erfüllung dieser Meldepflichten ohne zusätzliche Vergütung.
9.
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM)
Der Auftragsbearbeiter trifft nach dem Stand der Technik angemessene technische und organisatorische Massnahmen, um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten (nDSG Art. 7 und 8 i.V.m. DSV Art. 1-6). Insbesondere werden folgende Massnahmen umgesetzt:
Technische Massnahmen:
Verschlüsselung der Datenübertragung (TLS 1.2 oder höher) und der Datenspeicherung (AES-256 oder gleichwertig); rollenbasierte Zugriffskontrolle und Berechtigungskonzept nach "need-to-know"; Multi-Faktor-Authentifizierung für administrative Zugänge; Protokollierung und Auditierung sicherheitsrelevanter Zugriffe; Firewall und Intrusion Detection System; regelmässige Datensicherung mit getestetem Wiederherstellungsverfahren; Pseudonymisierung bzw. Anonymisierung, wo technisch sinnvoll; Patch- und Update-Management; physische Zugangskontrolle zu Rechenzentren.
Organisatorische Massnahmen:
Vertraulichkeitsverpflichtung aller mit der Bearbeitung betrauten Personen; regelmässige Datenschutz- und Informationssicherheitsschulungen; schriftliche interne Datenschutzrichtlinie; regelmässige interne und externe Audits; Notfall- und Kontinuitätsmanagement (BCM/DRP); dokumentiertes Verfahren zur Behandlung von Datenschutzverletzungen; Bestellung eines Datenschutzberaters (nDSG Art. 10) bzw. Datenschutzbeauftragten (DSGVO Art. 37) sofern erforderlich.
Der Auftragsbearbeiter überprüft die Wirksamkeit der Massnahmen mindestens jährlich sowie anlassbezogen und passt sie bei Bedarf an den aktuellen Stand der Technik und an neu erkannte Risiken an. Über wesentliche Änderungen informiert er den Verantwortlichen.
10.
UNTERSTÜTZUNG DES VERANTWORTLICHEN
Der Auftragsbearbeiter unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Massnahmen bei der Erfüllung der folgenden Pflichten:
• Beantwortung von Anfragen der betroffenen Personen auf Auskunft, Berichtigung, Einschränkung, Datenherausgabe oder Löschung (nDSG Art. 25-28);
• Durchführung von Datenschutz-Folgenabschätzungen (nDSG Art. 22), soweit erforderlich;
• Erfüllung der Informationspflichten gegenüber betroffenen Personen (nDSG Art. 19);
• Führung des Bearbeitungsverzeichnisses (nDSG Art. 12 i.V.m. DSV Art. 24).
Der Auftragsbearbeiter unterstützt den Verantwortlichen aktiv bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) nach nDSG Art. 22, insbesondere durch Bereitstellung der erforderlichen Informationen über die eingesetzten Systeme, Risiken und Schutzmassnahmen. Soweit eine Vorabkonsultation des EDÖB nach nDSG Art. 23 angezeigt ist (verbleibendes hohes Restrisiko trotz Massnahmen), unterstützt der Auftragsbearbeiter den Verantwortlichen bei der Vorbereitung der Konsultationsunterlagen.
Der Auftragsbearbeiter leitet Anfragen betroffener Personen, die direkt an ihn gerichtet werden, unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht eigenständig, sofern der Verantwortliche nichts anderes dokumentiert anweist.
11.
NACHWEIS- UND AUDITRECHTE
Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags durch den Auftragsbearbeiter zu kontrollieren. Kontrollen können durch den Verantwortlichen selbst oder durch einen von ihm beauftragten, zur Verschwiegenheit verpflichteten unabhängigen Prüfer mit einer Vorlauffrist von mindestens 14 Tagen während der ordentlichen Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs erfolgen. Die Kosten üblicher, routinemässiger Kontrollen trägt jede Partei selbst; ausserordentliche Kontrollen aus konkretem Anlass trägt der Auftragsbearbeiter, wenn ein Mangel festgestellt wird.
Der Auftragsbearbeiter legt dem Verantwortlichen auf Anfrage alle für den Nachweis der Einhaltung der Pflichten nach diesem Vertrag erforderlichen Informationen, Nachweise und Zertifikate (z.B. ISO 27001, ISO 27701, SOC 2 Typ II, ISAE 3402) vor.
12.
EINSATZ KÜNSTLICHER INTELLIGENZ (KI)
Der Auftragsbearbeiter setzt im Rahmen der Bearbeitung folgende KI-Systeme ein:
OpenAI GPT-4 / GPT-4 Turbo (Enterprise-Tarif mit no-training-Modus) für automatisierte Kundenanfrage-Klassifikation und Textgenerierung; Microsoft Azure OpenAI Service (EU-Region) für interne Dokumentenanalyse.
Der Auftragsbearbeiter stellt sicher, dass:
• keine Personendaten zum Training der KI-Modelle verwendet werden, soweit dies vertraglich oder technisch (Enterprise-Tarife, no-training-Modi) abbildbar ist;
• bei kaskadierter Auftragsbearbeitung der KI-Anbieter ein gleichwertiges Datenschutzniveau gewährleistet (Unterauftragsbearbeitung nach Klausel 6);
• bei automatisierten Einzelentscheidungen die Anforderungen nach nDSG Art. 21 (Information, Stellungnahme, menschliche Überprüfung) durch geeignete Schnittstellen ermöglicht werden;
• bei Hochrisiko-Profiling (nDSG Art. 5 lit. g) eine entsprechende DSFA durchgeführt wird;
• bei extraterritorialer Anwendung des EU AI Act (VO 2024/1689) die Pflichten für Anbieter und Betreiber von KI-Systemen erfüllt werden.
Der Auftragsbearbeiter informiert den Verantwortlichen über wesentliche Änderungen seiner KI-Stack-Konfiguration und über bekannt gewordene Modell- oder Sicherheitsschwachstellen.
13.
BEENDIGUNG, RÜCKGABE UND LÖSCHUNG
Nach Beendigung dieses Vertrags — gleich aus welchem Rechtsgrund — ist der Auftragsbearbeiter nach Wahl des Verantwortlichen verpflichtet, innerhalb von 30 Tagen sämtliche Personendaten in einem gängigen Format an den Verantwortlichen zurückzugeben und anschliessend aus allen Systemen einschliesslich Sicherungen unwiderruflich zu löschen und die Löschung schriftlich zu bestätigen. Vorbehalten bleiben gesetzliche Aufbewahrungspflichten (insbesondere steuer- und handelsrechtliche Pflichten nach OR Art. 958f — 10 Jahre Geschäftsbücher; MWSTG Art. 70 — 10 Jahre MWST-Belege), die eine längere Aufbewahrung erfordern; in diesem Umfang wirkt die Vertraulichkeitspflicht fort und die Daten werden ausschliesslich zum Zweck der Aufbewahrung bearbeitet.
Die Parteien haften nach den gesetzlichen Bestimmungen (OR Art. 97 ff.). Der Auftragsbearbeiter haftet insbesondere für Schäden, die aufgrund einer von ihm verschuldeten Verletzung der Pflichten nach diesem Vertrag oder nach zwingenden Datenschutzvorschriften entstehen, sowie für das Handeln seiner Hilfspersonen und Unterauftragsbearbeiter wie für eigenes Handeln (OR Art. 101). Die Haftung bei Vorsatz oder grober Fahrlässigkeit ist nach OR Art. 100 Abs. 1 zwingend und kann nicht ausgeschlossen werden. Strafrechtliche Sanktionen nach nDSG Art. 60 ff. (Busse bis CHF 250'000 für verantwortliche natürliche Personen, Verfolgung auf Antrag durch kantonale Strafbehörden) bleiben vorbehalten.
15.
SALVATORISCHE KLAUSEL, ANWENDBARES RECHT UND GERICHTSSTAND
(a) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise ungültig oder nicht durchsetzbar sein oder werden, so wird davon die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine gültige zu ersetzen, die dem wirtschaftlich Gewollten und dem Zweck des Datenschutzes möglichst nahekommt.
(b) Schriftform: Änderungen, Ergänzungen und Nebenabreden zu diesem Vertrag bedürfen zu ihrer Gültigkeit der Schriftform (OR Art. 13, 16). Dies gilt auch für den Verzicht auf das Schriftformerfordernis selbst.
(c) Anwendbares Recht: Dieser Vertrag untersteht ausschliesslich schweizerischem Recht, unter Ausschluss der kollisionsrechtlichen Verweisungsnormen. Ergänzend kommt — soweit extraterritorial anwendbar — die EU-Datenschutz-Grundverordnung (Art. 28 DSGVO) zur Anwendung; bei Konflikt gilt der strengere Schutzstandard.
(d) Gerichtsstand: Ausschliesslicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Zürich (ZPO Art. 17 — vertraglicher Gerichtsstand).
(e) Rangfolge: Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor. Bei Widerspruch zwischen diesem AVV und vereinbarten Standardvertragsklauseln (SCC) gehen die SCC vor, soweit sie zwingend sind.
ZU URKUND DESSEN haben die Parteien diese Vereinbarung am angegebenen Datum unterzeichnet.
Swiss Innovations AG
Anna Keller, CEO
Datum: ____________________
TechPartner GmbH
Marco Bernasconi, Datenschutzberater
Datum: ____________________