Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) Schweiz

Ja, ich falle gleich mit der Türe ins Haus, hier geht es um das Thema Auftragsverarbeitungsvertrag (AVV) oder auf englisch data processing agreement (DPA). Dieser Schritt 2 für eine datenschutzkonforme Schweizer Website wird gerne verdrängt, packen wir das gemeinsam an.

Was heisst überhaupt, Personendaten bearbeiten?

So ziemlich alles, was du mit Daten anstellen kannst: beschaffen, speichern, aufbewahren, verwenden, verändern, bekanntgeben, archivieren, löschen, vernichten ...

Hier brauchst du einen Auftragsverarbeitungsvertrag

In den wenigsten Fällen kannst du alles alleine machen und gibst einen Teil der Aufgaben ab.

Hier ein paar Beispiele:

  • Webhosting
  • Newsletter-Anbieter
  • Terminbuchungs-Tool
  • Analyse, wer was auf deiner Website anklickt
  • Cloud-Speicher

Bevor du also die Personendaten für die Bearbeitung weitergibst, musst du sicherstellen, dass die beauftragte Firma die Daten ebenso sorgfältig und gesetzeskonform behandelt. Das regelst du mit einem Auftragsverarbeitungsvertrag (AVV).

Wenn du Daten in Länder mit unangemessenem Datenschutz transferierst, schau dir unbedingt auch den nächsten Schritt über den Datenexport an.

Wie schliesst man einen AVV ab?

Im Normalfall bietet die Dienstleistungsfirma einen AVV an. Deine Herausforderung wird sein, diesen ausfindig zu machen.

Der AVV ist kein Vertrag auf Papier, den du unterzeichnen und irgendwo hinschicken musst. Meistens wird ein solcher AVV bereits bei der Anmeldung bei einem Dienstleister abgeschlossen. Darin verpflichtet sich die beauftragte Firma, den Datenschutz nach den Vorgaben der Datenschutzgrundverordnung DSGVO oder eben dem Schweizer Datenschutzgesetz DSG einzuhalten.

Durchforste die Website des Anbieters nach den Stichworten Auftragsverarbeitungsvertrag, AVV oder bei englischen Seiten nach Data Processing Agreement, DPA. Hier trennt sich der Spreu vom Weizen. Schlaue Firmen bieten von sich aus einen solchen Vertrag an und weisen darauf hin. Weniger schlaue Anbieter tun so als ob, anerkennen den Datenschutz der EU / des EWR / der Schweiz an, rücken aber nur auf Nachfrage einen AVV heraus, oder es existiert kein Vertrag. Trifft letzteres zu, solltest du die Finger von diesem Dienstleister lassen und eine andere Lösung suchen.

Prüfe auch, ob im AVV die Schweiz eingeschlossen ist. Viele Firmen nutzen die Auftragsverarbeitungsverträge, die sich auf die DSGVO der EU / des EWR beziehen. Das geht, allerdings müsste sichergestellt sein, dass diese auch für die Schweiz gelten.

Achtung Unter-Auftragsverarbeitungsverträge!

Wahrscheinlich hat die von dir beauftragte Firma ihrerseits auch wieder gewisse Aufgaben ausgelagert. Dummerweise liegt auch da die Verantwortung bei dir, zu prüfen, welche Unternehmen beauftragt werden und ob der Datenschutz weiterhin gewährleistet wird.

AVV nach neuem Datenschutzgesetz der Schweiz

Auftragsverarbeitungsverträge sind an und für sich nichts Neues. Nach neuem Datenschutzgesetz kann das Fehlen solcher Verträge hingegen gebüsst werden. Wäge also für dich ab, wie viel Risiko du eingehen willst.

Brauchst du für dich selbst einen Auftragsverarbeitungsvertrag?

Wenn du im Auftrag von deiner Kundschaft Personendaten bearbeitest, muss dies ebenfalls in einem AVV geregelt sein. Ich empfehle dir, dass du einen solchen Vertrag anbietest, denn dann kannst du auch bestimmen, was drinsteht. Zudem ist es besser, nicht auf die Nachfrage deiner Kundschaft zu warten, sondern den AVV gleich zu Beginn der Zusammenarbeit vorzulegen.

Die Frage, ob tatsächlich eine Auftragsverarbeitung vorliegt, ist nicht immer ganz klar. Vielleicht hilft das: Du bearbeitest ausschliesslich Personendaten im Auftrag / auf Weisung der verantwortlichen Person. Du kannst also weder die Mittel noch den Zweck der Bearbeitung bestimmen, aber du könntest auf Anweisung alle bearbeiteten Personendaten löschen.

Beispiele:

  • Du betreibst für deine Kundschaft (= verantwortliche Person) mit einem Newsletter-Tool Marketing und hast so Einblick auf Kundendaten. Die verantwortliche Person muss also einen AVV mit dem Newsletter-Anbieter und mit dir abschliessen.
  • Du erledigst als Treuhandbüro die Lohnbuchhaltung für eine Firma mit Mitarbeitenden. Diese will mit einem AVV sichergestellt haben, dass du die Daten nach gesetzlichen Vorgaben bearbeitest.
  • Du organisierst im Auftrag von deiner Kundschaft Tagungen oder sonstige Events und hast Einblick in die Adressdaten der Teilnehmenden.

Keine Auftragsverarbeitung liegt vor, wenn die Personendaten Mittel zum Zweck sind. Eine Garage bearbeitet in einem Kundenverwaltungssystem Personendaten. Hier ist kein AVV notwendig, weil der Hauptzweck in der Reparatur von Autos liegt.

Muster für einen Auftragsverarbeitungsvertrag gibt es im Internet viele. Achte darauf, dass du keinen aus der EU / dem EWR erwischst, der sich auf die DSGVO bezieht. Aber auch Vorlagen aus der Schweiz müssen immer auf dein Unternehmen angepasst werden. Ein AVV kann auch in AGB oder in den Auftragsvertrag integriert oder als Bestandteil deklariert werden.

Solltest du gar keine Idee für einen AVV nach nDSG haben, schau dir diese Vorlage für KMU des auf den Datenschutz spezialisierten Rechtsanwalts David Rosenthal an.

Wenn du Hilfe für einen auf dich passenden AVV brauchst, können wir deine Situation gerne gemeinsam anschauen. Vielleicht passen für dich meine Muster-Vorlagen (zurzeit für Web-Agenturen und Therapeut:innen vorhanden).

Tipp

Zugegeben, das kann in eine recht umfangreiche Detektivarbeit ausarten... Darum: Versuche möglichst bekannte und/oder europäische Player einzusetzen, die daran interessiert oder gesetzlich verpflichtet sind, das europäische bzw. schweizerische Datenschutzgesetz einzuhalten.

Info am Rande: Im Datenschutzgesetz der Schweiz heisst es «Auftragsbearbeitung», demnach auch «Auftragsbearbeitungsvertrag». Im Zusammenhang mit der DSGVO der EU / des EWR wird allerdings der Ausdruck «Auftragsverarbeitung» verwendet, dieser hat sich mittlerweile auch in der Schweiz eingebürgert. Um Google nicht zu verwirren, habe ich deshalb auch diese Bezeichnung gewählt.

Noch einfacher geht's damit

Für Einzelunternehmen

Ich checke deine Website, berate dich, wie du den Datenschutz konform umsetzt und erstelle dir eine individuelle Datenschutzerklärung.

Für Web-Agenturen

Du willst die Websites für deine Kundschaft datenschutzkonform gestalten? Hier findest du Dienstleistung und kompaktes Wissen in einem.

Hey, ich bin die Datenschützerin

... und heisse Tanja Bischofberger. Ich helfe dir, deine Website datenschutzrechtlich in Ordnung zu bringen oder zu halten. Auch wenn das vielleicht seltsam klingt, ich mag das, wie eine Detektivin nach geheimen Cookies oder schwatzhaften Tools und Plugins zu suchen und sie dingfest zu machen.