Auftragsbearbeitungsvertrag (AVV): Wann brauche ich einen und was muss rein?
Sobald ein externer Dienstleister in Ihrem Auftrag Personendaten bearbeitet, ist ein schriftlicher Auftragsbearbeitungsvertrag (AVV) Pflicht — nach Art. 9 DSG in der Schweiz und Art. 28 DSGVO in der EU. Das gilt für Cloud-Provider, externe Lohnbuchhaltung, Newsletter-Tools, CRM-Software und IT-Support. Fehlt der AVV, verstossen Sie als Verantwortlicher gegen das Datenschutzgesetz — auch wenn der Dienstleister seinerseits keinen Fehler gemacht hat.
Art. 9
DSG — gesetzliche Grundlage
Schriftlich
Pflichtform — kein mündlicher AVV
Sub-AB
Nur mit Genehmigung zulässig
Was ist Auftragsbearbeitung nach Art. 9 DSG?
Auftragsbearbeitung liegt vor, wenn ein Dritter (Auftragsbearbeiter) Personendaten im Auftrag des Verantwortlichen bearbeitet — und dabei ausschliesslich nach dessen Weisungen handelt. Der Auftragsbearbeiter bestimmt nicht selbst über den Zweck der Bearbeitung, sondern führt nur aus.
Das Gesetz verlangt eine schriftliche Vereinbarung, die den Auftragsbearbeiter verpflichtet: nur nach Weisung zu handeln, die Datensicherheit zu gewährleisten, Mitarbeitende zur Vertraulichkeit zu verpflichten und keine Sub-Auftragsbearbeiter ohne Genehmigung einzusetzen.
Wichtig: Auch wenn ein Schweizer KMU nur dem revDSG unterliegt, haben die meisten grossen SaaS-Anbieter (Microsoft, Google, Salesforce, Mailchimp) ihren Sitz in der EU oder den USA und stellen AVV/DPA-Dokumente nach DSGVO-Standard aus. Diese Dokumente erfüllen gleichzeitig die Anforderungen des Art. 9 DSG — Sie brauchen keinen separaten CH-spezifischen AVV.
Brauche ich einen AVV? — Entscheidungsbaum
Typische Fälle: Wann gilt die AVV-Pflicht?
Die folgende Tabelle zeigt für die häufigsten externen Dienstleister, ob ein AVV erforderlich ist — und wo dieser üblicherweise zu finden ist.
| Dienstleister / Tool | AVV nötig? | Hinweis |
|---|---|---|
| Microsoft 365 / Azure | Pflicht | Data Processing Agreement im Microsoft 365 Admin Center unter Einstellungen → Org-Einstellungen. Automatisch aktiviert bei kommerziellem Abonnement.Gilt für E-Mails, Teams, SharePoint, OneDrive |
| Google Workspace | Pflicht | Data Processing Amendment im Google Admin Console aktivieren. Enthält Standardvertragsklauseln für Auslandtransfers.Gilt für Gmail, Drive, Meet, Calendar |
| Salesforce CRM | Pflicht | Data Processing Addendum auf trust.salesforce.com verfügbar. Gilt für alle Kundendaten die in Salesforce gespeichert werden. |
| Mailchimp / Klaviyo | Pflicht | Data Processing Agreement in den Account-Einstellungen akzeptieren. Enthält Regelungen zu US-Transfer (DPF) und Sub-Auftragsbearbeitern. |
| Externe Lohnbuchhaltung | Pflicht | Lokaler Treuhänder oder Lohnbuchhaltungssoftware: AVV schriftlich abschliessen. Kleine Treuhandbüros haben oft keinen Standardvertrag — eigene Vorlage einsenden.AHV-Nummern, Lohndaten = besonders sensibel |
| IT-Support / Managed Service | Pflicht | Sobald der IT-Dienstleister Zugriff auf Systeme mit Personendaten hat (z.B. für Wartung, Updates, Backup). Häufig vergessen — AVV-Pflicht besteht klar. |
| Buchhaltungssoftware (Abacus, Bexio) | Pflicht | Cloud-basierte Buchhaltungssoftware bearbeitet Kunden- und Lieferantendaten. AVV / DPA in den Nutzungsbedingungen oder auf Anfrage beim Anbieter. |
| Steuerberater / Revisoren | Prüfen | Wenn der Steuerberater eigenverantwortlich Ihre Steuererklärung erstellt, ist er möglicherweise selbst Verantwortlicher — nicht Auftragsbearbeiter. Kommt auf die Ausgestaltung an. |
| Webhosting / Server | Pflicht | Der Hosting-Anbieter speichert Website-Daten inkl. Logs mit IP-Adressen. AVV meist in den AGB enthalten oder separat abrufbar (z.B. Hostpoint, Infomaniak). |
| Anwalt / Notariat | Kein AVV | Anwälte und Notare unterliegen dem Berufsgeheimnis und sind eigenständig Verantwortliche — kein Auftragsbearbeitungsverhältnis. |
Auftragsbearbeiter vs. gemeinsam Verantwortliche
Die Abgrenzung ist entscheidend — denn je nach Rolle gelten unterschiedliche Vertragspflichten.
Auftragsbearbeiter
Zweckbestimmung
Handelt ausschliesslich nach Weisung — kein eigener Zweck
Beispiele
Cloud-Hosting, Newsletter-Versand, IT-Support, externe Lohnbuchhaltung
Vertrag
AVV nach Art. 9 DSG
Haftung
Primär beim Verantwortlichen
Gemeinsam Verantwortliche
Zweckbestimmung
Beide bestimmen gemeinsam Zweck und Mittel
Beispiele
Co-Marketing-Kampagnen, gemeinsame Kundendatenbanken, Joint Ventures
Vertrag
Joint Controller Agreement (Art. 26 DSGVO)
Haftung
Solidarisch zwischen beiden Parteien
Grauzone Social Media: Meta (Facebook/Instagram) und LinkedIn sind bei Business-Seiten häufig als gemeinsam Verantwortliche einzustufen — nicht als Auftragsbearbeiter. Das Betreiben einer Facebook-Seite kann also eine Joint-Controller-Situation begründen, die eine andere Vereinbarung erfordert als ein einfacher AVV.
Pflichtinhalt des AVV
Art. 9 DSG schreibt keine abschliessende Liste vor, aber aus dem Gesetzestext und der Praxis ergibt sich folgender Mindestinhalt:
Gegenstand, Dauer und Art der Bearbeitung
Was wird bearbeitet, wie lange, auf welchen Systemen? Beschreibt den konkreten Auftrag.
Zweck der Bearbeitung
Ausschliesslich der vom Verantwortlichen bestimmte Zweck — der Auftragsbearbeiter darf die Daten nicht für eigene Zwecke nutzen.
Art der Personendaten und Kategorien Betroffener
Welche Datenkategorien werden bearbeitet? Kontaktdaten, Lohndaten, Gesundheitsdaten? Wer ist betroffen?
Weisungsgebundenheit
Der Auftragsbearbeiter bearbeitet Daten nur nach dokumentierten Weisungen des Verantwortlichen.
Vertraulichkeit
Alle mit der Bearbeitung befassten Personen müssen zur Vertraulichkeit verpflichtet sein oder einem gesetzlichen Berufsgeheimnis unterliegen.
Datensicherheit
Technische und organisatorische Massnahmen (TOM) zum Schutz der Daten, angemessen zum Risiko.
Sub-Auftragsbearbeiter
Regelung ob und unter welchen Bedingungen Sub-Dienstleister eingesetzt werden dürfen. Vorabgenehmigung oder Listenpflicht mit Widerspruchsrecht.
Unterstützungspflichten
Auftragsbearbeiter unterstützt den Verantwortlichen bei Auskunftsbegehren, Datenpannen und Datenschutz-Folgenabschätzungen.
Löschung oder Rückgabe nach Auftragsende
Was passiert mit den Daten nach Vertragsende? Rückgabe oder sichere Löschung — schriftlich festhalten.
Muster-Klauseln
Klausel 1 — Weisungsgebundenheit
Gegenstand und Weisungsbindung
«Der Auftragsbearbeiter bearbeitet Personendaten ausschliesslich auf dokumentierte Weisung des Verantwortlichen hin — auch in Bezug auf die Übermittlung in Drittländer. Der Auftragsbearbeiter informiert den Verantwortlichen unverzüglich, falls er der Ansicht ist, eine Weisung verstosse gegen datenschutzrechtliche Bestimmungen.»
Art. 9 Abs. 1 DSG — Kernpflicht
Klausel 2 — Sub-Auftragsbearbeiter
Einsatz von Sub-Auftragsbearbeitern
«Der Auftragsbearbeiter darf Sub-Auftragsbearbeiter nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen einsetzen. Er übermittelt dem Verantwortlichen auf Anfrage eine aktuelle Liste seiner Sub-Auftragsbearbeiter. Bei beabsichtigten Änderungen informiert er den Verantwortlichen mit einer Vorlaufzeit von mindestens [30] Tagen. Der Verantwortliche kann Änderungen aus datenschutzrechtlichen Gründen widersprechen.»
Art. 9 Abs. 2 DSG — Sub-Auftragsbearbeitung
Klausel 3 — Vertragsende
Rückgabe und Löschung
«Nach Abschluss der Erbringung der Verarbeitungsleistungen gibt der Auftragsbearbeiter nach Wahl des Verantwortlichen alle Personendaten zurück oder löscht sie und löscht vorhandene Kopien, sofern nicht eine gesetzliche Pflicht zur Aufbewahrung besteht. Der Auftragsbearbeiter bestätigt die Löschung schriftlich auf Verlangen.»
Art. 9 Abs. 3 DSG — Datenlöschung
Bestandsaufnahme: So prüfen Sie Ihre AVV-Situation
Alle externen Dienstleister aus dem VVT auflisten
ca. 30 MinutenDas VVT enthält unter «Empfänger» alle Dienstleister die Personendaten erhalten. Diese Liste ist Ihre AVV-Checkliste. Wer noch kein VVT hat: zuerst alle genutzten Tools und Dienstleister aufschreiben.
Bestehende Verträge auf AVV-Klauseln prüfen
ca. 60 MinutenFür jeden Dienstleister prüfen: Gibt es bereits einen AVV, DPA oder Datenverarbeitungsvertrag? Bei grossen Anbietern (Microsoft, Google, Salesforce) liegt der AVV meist online vor oder ist im Kundenportal aktivierbar.
Fehlende AVV anfordern oder eigene Vorlage senden
ca. 60 MinutenDienstleister ohne Standard-AVV — vor allem kleine lokale Anbieter — anschreiben und den Abschluss eines AVV verlangen. Eigene Vorlage mitschicken. Die meisten Dienstleister reagieren positiv, wenn der Vertrag nicht zu bürokratisch ist.
Sub-Auftragsbearbeiter-Listen anfordern
ca. 20 MinutenGrosse SaaS-Anbieter führen öffentliche Listen ihrer Sub-Auftragsbearbeiter (z.B. Microsoft: «Online Services Subprocessors»). Diese Listen im AVV referenzieren oder als Anlage beifügen.
AVV im VVT dokumentieren
ca. 20 MinutenFür jeden abgeschlossenen AVV im VVT vermerken: Datum des Abschlusses, Version, Fundort (Dateiname, URL oder Ablageort). So haben Sie jederzeit einen vollständigen Überblick.
Wann brauche ich einen Auftragsbearbeitungsvertrag (AVV)?+
Was muss ein AVV nach Art. 9 DSG mindestens enthalten?+
Muss ich mit Microsoft, Google oder Salesforce einen AVV abschliessen?+
Was ist der Unterschied zwischen Auftragsbearbeiter und gemeinsam Verantwortlichen?+
Darf ein Auftragsbearbeiter Sub-Auftragsbearbeiter einsetzen?+
AVV-Vorlagen direkt in ComplianceCore generieren
ComplianceCore erstellt AVV-Vorlagen auf Basis Ihres VVT — für jeden Auftragsbearbeiter den richtigen Vertragsrahmen, mit allen Pflichtinhalten nach Art. 9 DSG und Art. 28 DSGVO. Inkl. Tracking welche AVV abgeschlossen sind und welche noch fehlen.
AVV-Manager öffnenCes informations sont fournies à titre informatif et ne constituent pas un conseil juridique.
Articles connexes
Verzeichnis der Bearbeitungstätigkeiten (VVT): Pflicht oder freiwillig für Schweizer KMU?
Neues Datenschutzgesetz Schweiz (revDSG): Was KMU jetzt wissen müssen
Datenschutzerklärung nach revDSG: Was muss rein und wie erstelle ich sie?