Zurück zur Übersicht
AVVAuftragsbearbeitungDSG

Auftragsverarbeitungsvertrag (AVV) in der Schweiz: Wann Sie ihn brauchen — mit Checkliste

Hosting, Newsletter-Tool, Cloud-Speicher: Sobald ein Dienstleister Personendaten in Ihrem Auftrag bearbeitet, braucht es einen Vertrag. Wann der Auftragsverarbeitungsvertrag Pflicht ist, was hineingehört — und warum ein kopiertes Muster ohne Anpassung riskant ist.

Aiara Team··8 Min. Lesezeit
Auftragsverarbeitungsvertrag (AVV) in der Schweiz: Wann Sie ihn brauchen — mit Checkliste

«Haben wir mit unserem Hoster eigentlich einen Vertrag über die Daten?» Diese Frage stelle ich Schweizer KMU regelmässig — und die häufigste Antwort ist ein Schulterzucken. Dabei ist der Auftragsverarbeitungsvertrag (AVV) keine Kür für Konzerne, sondern eine gesetzliche Pflicht, sobald ein Dienstleister Personendaten für Sie bearbeitet. Also praktisch immer.

Wann Sie einen AVV brauchen, was hineingehört und warum Sie ein Muster aus dem Internet nie ungeprüft übernehmen sollten — eine Praxisanleitung mit Checkliste.

Auftragsbearbeitung oder Auftragsverarbeitung? Zwei Begriffe, eine Sache

Zuerst die Begriffsklärung, die in der Schweiz regelmässig für Verwirrung sorgt. Das Bundesgesetz über den Datenschutz (DSG) spricht in Art. 9 von «Auftragsbearbeitung»: Ein Verantwortlicher lässt Personendaten durch einen Auftragsbearbeiter bearbeiten. Die europäische Datenschutz-Grundverordnung (DSGVO) nennt dasselbe Konzept in Art. 28 «Auftragsverarbeitung» — mit dem Auftragsverarbeiter als Gegenstück.

Gemeint ist in beiden Fällen dieselbe Konstellation: Sie bestimmen über Zweck und Mittel der Datenbearbeitung, ein Dritter führt sie in Ihrem Auftrag aus. Der Vertrag dazu heisst im DACH-Raum fast überall Auftragsverarbeitungsvertrag, kurz AVV — auch in der Schweiz hat sich dieser Begriff durchgesetzt, englisch Data Processing Agreement. Wer nach «avv muster schweiz» sucht, meint also genau das Dokument, das Art. 9 DSG und Art. 28 DSGVO verlangen.

Wann brauchen Sie einen AVV?

Die Faustregel: Sobald ein externer Dienstleister Personendaten bearbeitet, über deren Zweck Sie bestimmen, braucht es einen AVV. «Bearbeiten» ist dabei weit gefasst — schon das blosse Speichern oder der technische Zugriff genügt.

Typische Fälle bei Schweizer KMU:

  • Hosting-Provider — Ihre Webseite mit Kontaktformular liegt auf fremden Servern; der Hoster speichert damit Personendaten für Sie.
  • Newsletter-Tools (Brevo, Mailchimp) — E-Mail-Adressen Ihrer Abonnenten liegen beim Anbieter.
  • Cloud-Speicher und Office-Suiten (Microsoft 365, Google Workspace) — Kundendossiers, Personalunterlagen, E-Mail-Verkehr.
  • CRM- und Buchhaltungs-Software — Kundendaten, Zahlungsinformationen.
  • Webagenturen mit Wartungszugriff — wer für Updates Zugriff auf die Live-Datenbank hat, bearbeitet Personendaten in Ihrem Auftrag.
  • Cookie-Consent-Anbieter — oft übersehen: Die protokollierten Einwilligungen enthalten Zeitstempel und technische Kennungen. Auch Ihr Consent-Tool ist ein Auftragsverarbeiter.

Die Liste zeigt: Ein durchschnittliches KMU hat nicht einen, sondern fünf bis fünfzehn Auftragsverarbeiter. Für jeden einzelnen braucht es einen Vertrag.

Wann brauchen Sie keinen AVV?

Genauso wichtig ist die Abgrenzung. Kein AVV nötig ist bei Stellen, die Personendaten eigenverantwortlich bearbeiten — also selbst über Zweck und Mittel entscheiden. Klassische Beispiele: die Bank bei der Zahlungsabwicklung, die Post beim Versand, der Anwalt im Mandat, die Revisionsstelle bei der Prüfung. Diese sind selbst Verantwortliche, keine Auftragsverarbeiter.

Ebenfalls kein AVV nötig ist bei Diensten, die gar keine Personendaten berühren — etwa ein Lizenzanbieter für Schriften, die Sie lokal einbinden. Im Zweifel hilft die Kontrollfrage: «Könnte dieser Anbieter theoretisch auf Personendaten zugreifen, die ich zu verantworten habe?» Wenn ja, sprechen Sie über einen AVV.

Ein Sonderfall, der gerade Webagenturen betrifft: Dieselbe Firma kann beide Rollen gleichzeitig einnehmen. Die Agentur, die für ihre Kunden Webseiten wartet, ist dabei Auftragsverarbeiterin — für die eigene Kundenkartei und Rechnungsstellung ist sie aber selbst Verantwortliche. Entscheidend ist immer die konkrete Bearbeitung, nicht das Firmenschild. Wer als Agentur Kundenprojekte betreut, sollte deshalb jedem Kunden von sich aus einen AVV anbieten — das ist längst ein Professionalitätsmerkmal.

Was Art. 9 DSG konkret verlangt

Das Schweizer Gesetz ist bei der Auftragsbearbeitung erfreulich kompakt. Art. 9 DSG stellt vier Bedingungen:

  1. Die Bearbeitung darf nur so erfolgen, wie Sie selbst sie vornehmen dürften.
  2. Keine gesetzliche oder vertragliche Geheimhaltungspflicht darf die Auslagerung verbieten.
  3. Grundlage ist ein Vertrag oder das Gesetz — hier kommt der AVV ins Spiel.
  4. Der Auftragsbearbeiter darf die Bearbeitung nur mit Ihrer vorgängigen Genehmigung an Dritte weitergeben — Stichwort Unterauftragsverarbeiter.

Dazu kommt die allgemeine Pflicht zur Datensicherheit (Art. 8 DSG): Sie müssen sich vergewissern, dass der Dienstleister die Daten angemessen schützt. Die DSGVO formuliert in Art. 28 dieselbe Logik, aber deutlich detaillierter — sie schreibt einen Katalog von Mindestinhalten für den Vertrag vor. Wer Kundschaft im EU-Raum hat, orientiert sich deshalb sinnvollerweise am strengeren DSGVO-Standard und deckt damit das DSG gleich mit ab.

Die Checkliste: Was in jeden AVV gehört

Ob Sie den AVV eines Anbieters prüfen oder ein Muster als Ausgangspunkt nehmen — diese Punkte müssen geregelt sein:

  • Gegenstand und Dauer — Welche Leistung wird erbracht, wie lange läuft der Vertrag, was passiert bei Kündigung?
  • Art und Zweck der Bearbeitung — Datenkategorien und Kreis der betroffenen Personen (Kunden, Mitarbeitende, Webseitenbesucher).
  • Weisungsbindung — Der Dienstleister bearbeitet Daten ausschliesslich nach Ihren dokumentierten Weisungen, nie für eigene Zwecke.
  • Vertraulichkeit — Alle Personen mit Datenzugriff sind zur Verschwiegenheit verpflichtet.
  • Technische und organisatorische Massnahmen — Verschlüsselung, Zugriffskontrolle, Backups; konkret beschrieben, nicht nur «angemessene Sicherheit» als Floskel.
  • Unterauftragsverarbeiter — Liste der eingesetzten Subdienstleister, Genehmigungsmechanismus und Informationspflicht bei Wechseln.
  • Unterstützungspflichten — Der Dienstleister hilft bei Auskunftsbegehren betroffener Personen und meldet Datenpannen unverzüglich.
  • Löschung und Rückgabe — Nach Vertragsende werden die Daten zurückgegeben oder nachweisbar gelöscht.
  • Auditrechte — Sie dürfen die Einhaltung überprüfen oder anerkannte Nachweise (etwa Zertifizierungen oder Prüfberichte) verlangen.
  • Datenexporte ins Ausland — Wo stehen die Server, welche Garantien decken einen Export ab (etwa Standardvertragsklauseln)?

Fehlt einer dieser Punkte, ist der Vertrag lückenhaft — und im Ernstfall stehen Sie in der Beweispflicht.

Gilt ein DSGVO-AVV auch für das DSG?

Die Frage kommt in jeder Beratung: Der US-Cloud-Anbieter legt einen DSGVO-Vertrag vor — reicht das für die Schweiz? Die kurze Antwort: inhaltlich fast immer, formal lohnt sich ein Blick auf zwei Punkte.

Erstens sollte der Vertrag das Schweizer Datenschutzrecht ausdrücklich einschliessen — viele internationale Anbieter haben ihre AVV inzwischen um eine Schweiz-Klausel ergänzt. Zweitens verlangt Art. 9 Abs. 3 DSG die vorgängige Genehmigung von Unterauftragsverarbeitern; eine reine Widerspruchslösung, wie sie manche DSGVO-Verträge vorsehen, sollte deshalb sauber als generelle Genehmigung mit Informationspflicht ausgestaltet sein. Sind beide Punkte abgedeckt, fahren Sie mit dem DSGVO-Vertrag auch unter dem DSG gut.

Warum wir hier kein Muster zum Kopieren anbieten

Ein Wort zur Erwartungshaltung: Sie finden in diesem Artikel bewusst keinen Vertragstext zum Herauskopieren. Ein AVV regelt Haftungsfragen — und ein Muster, das nicht zu Ihrer Konstellation passt, schafft mehr Risiken, als es löst. Wer garantiert im Streitfall, dass die kopierten technischen und organisatorischen Massnahmen beim konkreten Dienstleister überhaupt existieren?

Ein seriöses AVV-Muster für die Schweiz erkennen Sie daran, dass es alle zehn Punkte der obigen Checkliste abdeckt, das DSG ausdrücklich nennt und Platz für die konkreten Angaben lässt: Datenkategorien, Subdienstleister, Serverstandorte. Diese Lücken müssen Sie füllen — sonst ist das Muster juristisch wertlos, wie bei Datenschutzerklärungen aus der Vorlage auch.

So bauen Sie Ihr AVV-Inventar auf

Bevor Sie Verträge prüfen, brauchen Sie die Übersicht: Welche Dienstleister bearbeiten überhaupt Personendaten für Sie? Drei Quellen liefern die Liste in einer Stunde:

  1. Die eigene Datenschutzerklärung — dort sollten alle Empfänger von Personendaten bereits aufgeführt sein. Ist sie aktuell, ist sie Ihr bestes Inventar.
  2. Ein Cookie-Scan der Webseite — er zeigt, welche Drittdienste tatsächlich eingebunden sind, inklusive der Tools, die niemand mehr auf dem Radar hatte.
  3. Die Kreditorenbuchhaltung — jede wiederkehrende Software-Rechnung ist ein Kandidat. Wer monatlich zahlt, bearbeitet mit hoher Wahrscheinlichkeit auch Daten.

Für jeden Eintrag halten Sie fest: Liegt ein AVV vor, in welcher Version, mit welchem Datum — und wo ist er abgelegt? Diese simple Tabelle ist im Auditfall mehr wert als jeder Ordner voller ungelesener Vertrags-PDFs. Bei Anbietern mit Servern ausserhalb der Schweiz und der EU notieren Sie zusätzlich die Exportgrundlage, meist die Standardvertragsklauseln mit Schweizer Anpassungen.

Drei Fehler aus der Praxis

Fehler 1 — Die «kleinen» Tools vergessen. Der AVV mit Microsoft ist abgeschlossen, aber das Terminbuchungs-Tool, der Chat-Widget-Anbieter und das Consent-Tool laufen ohne Vertrag. Gerade die kleinen Dienste werden bei Audits zuerst gefunden.

Fehler 2 — Unterschreiben und ablegen. Der AVV wurde 2023 abgeschlossen, seither hat der Anbieter dreimal die Subdienstleister-Liste geändert. Wer die Änderungsmitteilungen ignoriert, genehmigt faktisch blind — und verletzt die eigene Prüfpflicht.

Fehler 3 — Kein Nachweis. Im Ernstfall fragt die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) oder ein Anwalt der Gegenseite: «Welche Vertragsversion galt am Tag der Datenpanne?» Ein PDF irgendwo im Mail-Archiv, ohne Versionsstand und Abschlussdatum, ist ein schwacher Beleg.

Wie Aiara das für seine Kunden löst

Auch Aiara ist als Cookie-Consent-Anbieter ein Auftragsverarbeiter seiner Kunden — die Einwilligungs-Protokolle sind Personendaten. Deshalb gibt es den AVV bei Aiara als Self-Service im Trust Center: Sie schliessen den Vertrag digital ab, in Deutsch, Französisch, Italienisch oder Englisch. Jeder Abschluss wird mit einem SHA-256-Hash versehen — einem kryptographischen Fingerabdruck des Dokuments, der jederzeit beweist, welche Vertragsversion Sie wann akzeptiert haben. Kein Papierkrieg, kein Mail-Pingpong, und der Nachweis für Audits liegt dauerhaft abrufbar bereit.

Genau so sollte der AVV-Abschluss 2026 bei jedem Ihrer Dienstleister funktionieren. Wo er es nicht tut, wissen Sie jetzt, wonach Sie fragen müssen — die Checkliste oben ist Ihr Prüfraster.

Häufige Fragen

Brauche ich mit jedem Tool einen AVV?

Nein — nur mit Dienstleistern, die Personendaten in Ihrem Auftrag bearbeiten. Das trifft auf Hosting, Newsletter-Tools, Cloud-Speicher, CRM-Systeme und Cookie-Consent-Anbieter praktisch immer zu. Kein AVV nötig ist bei Diensten ohne Personendaten-Zugriff (etwa ein reiner Font-Lizenzanbieter) oder bei Stellen, die eigenverantwortlich bearbeiten, wie Banken, Anwälte oder die Post.

Gilt ein DSGVO-AVV auch für das DSG?

Weitgehend ja. Die Anforderungen von Art. 28 DSGVO sind detaillierter als jene von Art. 9 DSG — wer einen sauberen DSGVO-Vertrag hat, deckt die Schweizer Pflichten inhaltlich fast vollständig ab. Prüfen sollten Sie zwei Punkte: ob das Schweizer Datenschutzrecht als anwendbares Recht erwähnt wird und ob die Genehmigung von Unterauftragsverarbeitern geregelt ist, wie sie Art. 9 Abs. 3 DSG verlangt.

Was passiert, wenn ich keinen AVV habe?

Das revidierte Datenschutzgesetz sanktioniert die Auslagerung der Datenbearbeitung ohne die Voraussetzungen von Art. 9 DSG mit Busse bis CHF 250'000 — gerichtet an die verantwortliche natürliche Person, typischerweise die Geschäftsführung. Dazu kommt das praktische Risiko: Bei einer Datenpanne beim Dienstleister stehen Sie ohne vertragliche Regelung zu Meldepflichten, Unterstützung und Haftung da.

Wer muss den AVV vorlegen — Kunde oder Anbieter?

Rechtlich sind Sie als Verantwortlicher in der Pflicht, dafür zu sorgen, dass ein Vertrag existiert. In der Praxis stellen professionelle Anbieter einen Standard-AVV bereit, den Sie prüfen und abschliessen. Fehlt ein solches Angebot komplett, ist das ein Warnsignal für die Datenschutz-Reife des Anbieters.

Muss ein AVV handschriftlich unterschrieben werden?

Nein. Die DSGVO verlangt einen Vertrag «schriftlich, was auch in einem elektronischen Format erfolgen kann», das DSG ist noch offener formuliert. Ein digitaler Abschluss ist zulässig — wichtig ist die Nachweisbarkeit: Wer hat wann welche Vertragsversion akzeptiert? Ein Integritätsnachweis wie ein SHA-256-Hash des Dokuments macht den Nachweis belastbar.

Bereit für sauberen Cookie-Consent?

Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.

Aiara entdecken