Sie beauftragen einen Hosting-Anbieter, einen Newsletter-Dienst oder eine Buchhaltungssoftware. Sie geben Ihren Kundennamen, E-Mail-Adressen oder Bestelldaten weiter. Rechtlich gesehen tun Sie in diesem Moment etwas Bedeutsames: Sie übergeben Personendaten an einen Dritten, der sie in Ihrem Auftrag verarbeitet.
Genau dieses Verhältnis regelt der Auftragsverarbeitungsvertrag, kurz AV-Vertrag. Er ist kein bürokratisches Beiwerk, sondern die rechtliche Grundlage dafür, dass die Datenübergabe überhaupt zulässig ist.
Was ist ein AV-Vertrag?
Ein AV-Vertrag (Auftragsverarbeitungsvertrag) ist ein schriftlicher Vertrag zwischen zwei Parteien:
Verantwortlicher: Das Unternehmen, das die Daten erhebt und den Zweck der Verarbeitung bestimmt. Das sind Sie als Auftraggeber.
Auftragsverarbeiter: Der externe Dienstleister, der die Daten in Ihrem Auftrag und nach Ihren Weisungen verarbeitet. Das ist zum Beispiel Ihr Hosting-Anbieter, Ihre E-Mail-Marketing-Software oder Ihr Cloud-Backup-Dienst.
Der Vertrag legt fest, was der Auftragsverarbeiter mit den Daten tun darf, was er nicht darf, wie er sie schützt und was im Schadensfall gilt.
Wann brauchen Sie einen AV-Vertrag?
Der AV-Vertrag ist immer dann notwendig, wenn ein externer Dienstleister Personendaten verarbeitet, die in Ihrer Verantwortung liegen. Das klingt abstrakt, betrifft aber fast jedes Unternehmen.
Typische Situationen, die einen AV-Vertrag erfordern:
Ihr Hosting-Anbieter speichert Kundendaten, Kontaktformulare oder Shop-Bestellungen. Ihr Newsletter-Anbieter (Mailchimp, Brevo, etc.) hat Zugriff auf Ihre Abonnentenliste. Eine Buchhaltungs- oder CRM-Software liegt bei einem externen Anbieter in der Cloud. Ein Webanalytik-Dienst erfasst IP-Adressen Ihrer Besucher.
Ein externer Buchhalter hingegen, der eigenverantwortlich handelt und eigene Datenschutzpflichten hat, ist kein Auftragsverarbeiter, sondern ein eigener Verantwortlicher. In diesem Fall brauchen Sie keinen AV-Vertrag, sondern allenfalls eine andere Vereinbarung.
Was muss im AV-Vertrag stehen?
Das Schweizer Datenschutzgesetz (DSG) schreibt vor, dass der AV-Vertrag bestimmte Inhalte enthalten muss. Die wichtigsten:
Gegenstand und Dauer der Verarbeitung: Welche Daten werden verarbeitet und wie lange?
Art und Zweck: Zu welchem Zweck verarbeitet der Dienstleister die Daten? Nur in dem Umfang, den Sie als Auftraggeber vorgeben.
Weisungsgebundenheit: Der Auftragsverarbeiter darf die Daten nur gemäss Ihren Weisungen verarbeiten. Er darf sie nicht für eigene Zwecke nutzen.
Technische und organisatorische Massnahmen: Der Dienstleister muss dokumentieren, wie er die Daten schützt. Verschlüsselung, Zugriffskontrollen, Backup-Konzepte.
Unterauftragsverarbeiter: Wenn der Dienstleister seinerseits Dritte einsetzt (z.B. ein Rechenzentrum), muss das geregelt sein.
Auskunfts- und Löschpflichten: Was passiert mit den Daten nach Vertragsende?
Was passiert, wenn der AV-Vertrag fehlt?
Ohne gültigen AV-Vertrag ist die Datenweitergabe an den Dienstleister rechtlich nicht gedeckt. Das hat zwei Konsequenzen.
Erstens: Sie verstossen gegen das DSG. Das Fehlen eines AV-Vertrags ist keine Kleinigkeit, die bei einer Kontrolle stillschweigend übergangen wird. Es ist ein konkreter Verstoss gegen die Anforderungen des Gesetzes.
Zweitens: Sie haften. Wenn ein Datenverlust oder eine Datenpanne beim Dienstleister passiert und kein AV-Vertrag besteht, der die Verantwortlichkeiten regelt, ist Ihre rechtliche Position schwach. Sie haben keine vertragliche Grundlage, auf der Sie Ansprüche geltend machen könnten.
Seriöse Dienstleister bieten einen AV-Vertrag standardmässig an. Wenn ein Anbieter auf Ihre Anfrage nicht reagiert oder den Vertrag verweigert, ist das ein Warnsignal.
Wie erhalten Sie einen AV-Vertrag?
In der Praxis läuft das meistens so: Sie melden sich beim Dienstleister, er stellt Ihnen seinen AV-Vertrag zur Verfügung. Sie prüfen ihn, unterzeichnen ihn und erhalten eine Kopie.
Grosse Anbieter wie Google oder Microsoft stellen AV-Verträge als standardisierte Dokumente bereit, die Sie online akzeptieren können. Kleinere Schweizer Anbieter stellen oft individuelle Verträge zur Verfügung.
Für die Ablage gilt: Der AV-Vertrag muss aufbewahrt werden. Er ist Teil Ihrer Datenschutzdokumentation und sollte auffindbar sein, wenn eine Datenschutzbehörde oder ein Kunde danach fragt.
AV-Vertrag und Serverstandort: Was zusammengehört
Der AV-Vertrag regelt das rechtliche Verhältnis. Er ersetzt aber nicht die Frage, wo die Daten physisch liegen und welchem Recht der Anbieter unterliegt.
Ein AV-Vertrag mit einem US-amerikanischen Anbieter regelt zwar die Vertragspflichten. Er schützt aber nicht vor dem US CLOUD Act, der US-Behörden unter bestimmten Voraussetzungen Zugriff auf Daten bei US-Unternehmen erlaubt, unabhängig vom Serverstandort.
Für Schweizer KMU mit sensiblen Kundendaten bedeutet das: AV-Vertrag und Serverstandort Schweiz sind kein Entweder-oder, sondern ergänzen sich. Der Vertrag regelt die Pflichten, der Serverstandort schränkt den möglichen Zugriff von aussen ein.
Kurz zusammengefasst
Wenn ein externer Dienstleister Personendaten verarbeitet, die Sie gesammelt haben, brauchen Sie einen AV-Vertrag. Das betrifft Hosting, E-Mail-Dienste, CRM-Software, Analysetools und viele weitere Services, die heute zum Alltag eines KMU gehören.
Der Vertrag ist kein Selbstzweck. Er schützt Ihre Kunden, klärt die Verantwortlichkeiten und gibt Ihnen eine rechtliche Grundlage, wenn etwas schiefläuft. Die meisten seriösen Anbieter stellen ihn automatisch bereit. Fragen Sie nach, wenn er fehlt.
