Auftragsbearbeitungsvereinbarung (ABV) CH

gemäss revidiertem Schweizer Datenschutzgesetz (revDSG)
(Stand: 2023)

1. Parteien

Auftraggeber (Verantwortlicher):
[Unternehmen des Kunden, Adresse, UID]

Auftragsbearbeiter:
Siehe Impressum.

Beide Parteien werden nachfolgend gemeinsam die „Parteien“ genannt.

2. Gegenstand und Zweck der Auftragsbearbeitung

Der Auftragsbearbeiter bearbeitet Personendaten ausschliesslich im Auftrag und nach den Weisungen des Auftraggebers.
Die Bearbeitung erfolgt zum Zweck der:

  • Nutzung der Software / Plattform / Services des Auftragsbearbeiters
  • Datenverarbeitung im Rahmen von Automatisierungen, KI-Funktionen, Analysen, Integrationen oder verbundenen Dienstleistungen
  • Leistungserbringung gemäss Hauptvertrag
  • Support-, Wartungs- und Betriebsprozesse

Der Auftragsbearbeiter entscheidet nicht selbstständig über Zweck und Mittel der Datenbearbeitung.

3. Art der bearbeiteten Daten

Die folgenden Kategorien von Personendaten können verarbeitet werden (je nach Serviceumfang):

  • Stammdaten von Mitarbeitenden, Kunden, Lieferanten
  • Kontakt- und Kommunikationsdaten
  • Rechnungsstellungs- und Buchhaltungsdaten
  • Daten zu Spesen, Projekten, Aufträgen oder internen Prozessen
  • Inhalte, die der Auftraggeber oder seine Nutzer hochladen
  • Protokoll- und Logdaten (technische Daten)

Keine besonders schützenswerten Personendaten werden bearbeitet, ausser der Auftraggeber weist den Auftragsbearbeiter schriftlich anders an.

4. Kategorien betroffener Personen

  • Mitarbeitende
  • Kunden & Interessenten
  • Lieferanten
  • Nutzende der Plattform / des Systems
  • weitere Personen, deren Daten der Auftraggeber hochlädt oder erfasst

5. Ort der Datenbearbeitung / Datenstandort

Standard: EU/EWR

Die Daten werden grundsätzlich in der EU/EWR bearbeitet, in Staaten mit anerkannt angemessenem Datenschutzniveau.

Option (auf Wunsch des Kunden): Schweiz

Der Auftraggeber kann schriftlich oder vertraglich festlegen, dass:

  • die Bearbeitung ausschliesslich in der Schweiz erfolgt,
  • Daten auf Servern eines Schweizer Hosting-Partners gespeichert werden (z. B. Exoscale, Swiss Cloud, oder anderer zertifizierter Provider).

Der Auftragsbearbeiter setzt diese Vorgabe technisch um und garantiert die Lokalisierung des Datenstandorts.

Drittstaatenübermittlung

Eine Übermittlung in Drittländer erfolgt nur, wenn:

  • der Auftraggeber dies ausdrücklich beauftragt ODER
  • Standardvertragsklauseln (SCCs) oder gleichwertige Garantien bestehen ODER
  • die Übermittlung für die Auftragserfüllung zwingend notwendig ist.

6. Pflichten des Auftragsbearbeiters

Der Auftragsbearbeiter verpflichtet sich zu Folgendem:

6.1 Bearbeitung ausschliesslich nach Weisung

Keine Nutzung zu eigenen Zwecken, kein Profiling ausser Auftraggeber erlässt eine Weisung.

6.2 Vertraulichkeit

Alle Mitarbeitenden und Subunternehmer sind zur Verschwiegenheit verpflichtet.

6.3 Sicherheit (TOMs)

Der Auftragsbearbeiter trifft angemessene technische und organisatorische Massnahmen:

  • Verschlüsselung (at rest & in transit)
  • Zugriffskontrollen & Rollenmodelle
  • Logging / Monitoring
  • Datensparsamkeit
  • Backup- und Recovery-Verfahren
  • physische und logisch getrennte Umgebungen
  • regelmässige Sicherheitsüberprüfungen

6.4 Unterstützung des Auftraggebers

Der Auftragsbearbeiter unterstützt den Auftraggeber bei:

  • Auskunftsbegehren
  • Berichtigungen, Löschung, Sperrung
  • Meldepflichten bei Datenschutzverletzungen
  • Datenschutz-Folgenabschätzungen (sofern relevant)

6.5 Datenschutzverletzungen

Der Auftragsbearbeiter meldet Verletzungen der Datensicherheit dem Auftraggeber unverzüglich, inklusive Details im erforderlichen Umfang (Art. 24 revDSG).

7. Subunternehmer

Der Auftragsbearbeiter darf Subunternehmer („Unterauftragsbearbeiter“) einsetzen, sofern:

  • diese sorgfältig ausgewählt werden,
  • vertraglich an die gleichen Datenschutzpflichten gebunden sind,
  • der Auftraggeber informiert wird.

Eine Liste der eingesetzten Unterauftragsbearbeiter wird dem Auftraggeber auf Anfrage bereitgestellt.

Der Auftraggeber kann wesentliche Subunternehmer ablehnen, sofern ein wichtiger Grund vorliegt.

8. Rechte und Pflichten des Auftraggebers

Der Auftraggeber:

  • bleibt jederzeit Verantwortlicher im Sinne des revDSG
  • ist für Rechtmässigkeit der Datenerhebung verantwortlich
  • erteilt Weisungen schriftlich oder über definierte Kanäle
  • informiert den Auftragsbearbeiter über erforderliche Massnahmen
  • stellt sicher, dass Daten nur im Rahmen der vertraglichen Nutzung übermittelt werden

9. Kontrolle & Audit

Der Auftraggeber hat das Recht, die Einhaltung der vereinbarten Datenschutzpflichten zu prüfen:

  • durch schriftliche Auskunft
  • durch Einsicht in Auditberichte
  • durch Vor-Ort-Kontrollen (bei berechtigtem Interesse; mit angemessener Vorlaufzeit)

Auditkosten trägt der Auftraggeber, sofern keine Verstösse festgestellt werden.

10. Dauer der Vereinbarung

Die ABV gilt:

  • solange der Hauptvertrag besteht bzw. die Services genutzt werden
  • oder bis alle Daten gelöscht oder an den Auftraggeber herausgegeben wurden

11. Beendigung der Datenbearbeitung

Nach Vertragsende:

  • werden alle Daten gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen
  • erhält der Auftraggeber auf Wunsch ein Löschprotokoll
  • werden Backups nach Ablauf der vorgesehenen Zyklen automatisch überschrieben
  • erfolgt keine weitere Bearbeitung der Daten

12. Haftung

Die Haftung richtet sich nach dem Hauptvertrag.
Der Auftragsbearbeiter haftet nur für Schäden, die durch:

  • Verstoss gegen vertragliche Pflichten
  • grobe Fahrlässigkeit oder Vorsatz

entstehen.

13. Schlussbestimmungen

  • Änderungen der ABV bedürfen der Schriftform.
  • Sollten einzelne Bestimmungen unwirksam sein, bleibt der Rest gültig.
  • Anwendbares Recht: Schweizer Recht.
  • Gerichtsstand: Sitz des Auftraggebers.

Ort, Datum, Unterschriften

Auftraggeber

Name, Funktion, Datum

Auftragsbearbeiter

Name, Funktion, Datum