Auftragsverarbeitung (AVV) nach nDSG: Was KMU beachten müssen

Q: Was ist Auftragsverarbeitung (Auftragsbearbeitung) nach nDSG?

See section: Was ist Auftragsverarbeitung (Auftragsbearbeitung) nach nDSG?

Q: Wann ist ein AVV nach nDSG verpflichtend?

See section: Wann ist ein AVV nach nDSG verpflichtend?

Q: Was muss ein AVV nach nDSG enthalten?

See section: Was muss ein AVV nach nDSG enthalten?

Q: Wann haften Sie trotz AVV für Ihr Drittanbieter?

See section: Wann haften Sie trotz AVV für Ihr Drittanbieter?

Cloud-Hosting, CRM, Payroll, IT-Dienstleister: Wenn ein Drittanbieter Personendaten für Sie verarbeitet, brauchen Sie nach nDSG einen Auftragsbearbeitungsvertrag (ABV/AVV). Fehlt er, haften Sie für Datenschutzverstösse des Anbieters. Laut EDÖB sind fehlende oder unvollständige AVV-Verträge einer der häufigsten Datenschutzmängel bei Schweizer KMU.

Nachfolgend: Wann ein AVV zwingend ist, was er enthalten muss, wie er sich von der EU-DSGVO unterscheidet und welche Sicherheitsanforderungen ein guter AVV definiert.

Was ist Auftragsverarbeitung (Auftragsbearbeitung) nach nDSG?

Das nDSG kennt den Begriff «Auftragsbearbeitung» (Art. 9 nDSG). Auftragsbearbeitung liegt vor, wenn ein Dritter (der Auftragsbearbeiter) Personendaten im Namen und auf Weisung eines Unternehmens (des Verantwortlichen) verarbeitet.

Das Wesentliche: Der Auftragsbearbeiter verarbeitet die Daten nicht für eigene Zwecke — er folgt ausschliesslich den Weisungen des Verantwortlichen. Das unterscheidet ihn vom «Dritten», an den Daten weitergegeben werden (der dann selbst Verantwortlicher wird).

Typische Auftragsbearbeiter-Verhältnisse:

Cloud-Anbieter (AWS, Microsoft Azure, Google Cloud), die Ihre Kundendaten speichern
SaaS-Anbieter (CRM, ERP, HR-Software), die Ihre Personendaten verwalten
E-Mail-Dienstleister, die Ihre Kundenkommunikation abwickeln
IT-Support-Dienstleister, die Zugang zu Systemen mit Personendaten haben
Buchhalter und Treuhänder, die Mitarbeiterdaten verarbeiten
Marketingagenturen, die Kundenlisten für Kampagnen nutzen
Druckunternehmen, die personalisierte Mailings erstellen
Call-Center, die im Namen des Unternehmens Kundenkontakt pflegen

Kein Auftragsbearbeiter-Verhältnis liegt vor, wenn:

Der Dritte die Daten für eigene Zwecke nutzt (dann ist er selbst Verantwortlicher)
Es sich um einen gesetzlich geregelten Informationsaustausch handelt (z. B. Meldung an Behörden)
Es sich um eine Gemeinschaftsverantwortlichkeit handelt (Joint Controllers)

Laut einer Analyse von PricewaterhouseCoopers Schweiz aus 2024 haben über 60 % der befragten Schweizer KMU mindestens einen wichtigen Drittanbieter ohne gültigen AVV/ABV-Vertrag. Das ist ein erhebliches Compliance-Risiko.

Wann ist ein AVV nach nDSG verpflichtend?

Art. 9 Abs. 1 nDSG erlaubt Auftragsbearbeitung grundsätzlich, stellt aber Bedingungen:

Pflichten des Verantwortlichen (Ihr Unternehmen):

Sicherstellen, dass der Auftragsbearbeiter die Daten nur auf Ihre Weisung hin verarbeitet
Sich vergewissern, dass der Auftragsbearbeiter geeignete technische und organisatorische Massnahmen (TOMs) implementiert hat
Den Auftragsbearbeiter vertraglich binden

Pflichten des Auftragsbearbeiters:

Daten nur nach Weisungen des Verantwortlichen bearbeiten
Eigene TOMs implementieren und nachweisen
Keine Weitergabe an Sub-Auftragsbearbeiter ohne Zustimmung
Unterstützung bei EDÖB-Anfragen und Betroffenenrechten

Das nDSG schreibt nicht explizit die Schriftform für ABV vor — aber ohne schriftlichen Vertrag ist der Nachweis der Vereinbarungen im Ernstfall unmöglich. In der Praxis ist der schriftliche ABV der einzig sinnvolle Weg.

Wann ist ein ABV zwingend praktisch notwendig:

Jeder Drittanbieter, der auf Systeme mit Personendaten zugreift oder diese verarbeitet
Jede Cloud-Lösung, bei der Ihre Daten auf fremden Servern gespeichert werden
Jede ausgelagerte IT- oder HR-Funktion
Jede Marketingdienstleistung mit Zugang zu Kundendaten

Eine Ausnahme: Wenn der Drittanbieter selbst nach DSGVO reguliert ist und Ihnen einen DSGVO-konformen Data Processing Agreement (DPA) anbietet, ist dieser oft auch für das Schweizer nDSG ausreichend — mit einigen Anpassungen (dazu weiter unten).

Was muss ein AVV nach nDSG enthalten?

Ein nDSG-konformer Auftragsbearbeitungsvertrag sollte folgende Mindestinhalte haben:

1. Gegenstand, Art und Zweck der Datenbearbeitung

Klare Beschreibung, welche Daten bearbeitet werden (Kategorien von Personendaten)
Für welche Zwecke die Bearbeitung erfolgt
Wer die betroffenen Personen sind (z. B. Mitarbeitende, Kunden, Lieferanten)
Dauer der Bearbeitung

Praxistipp: Konkrete Beschreibung schützt Sie. «IT-Support» reicht nicht — besser: «Zugang zu Kundendatenbank für Supportzwecke, mit Lesezugriff auf Kontaktdaten und Vertragsinformationen».

2. Pflichten des Auftragsbearbeiters

Daten nur auf dokumentierte Weisung des Verantwortlichen bearbeiten
Sicherstellung der Vertraulichkeit (alle zugriffsberechtigten Personen zur Verschwiegenheit verpflichten)
Keine Weitergabe an Dritte ohne Genehmigung
Unterstützungspflicht bei Auskunfts- und Berichtigungsanfragen
Löschung oder Rückgabe der Daten nach Vertragsende

3. Technische und organisatorische Massnahmen (TOMs)

Das ist der aus Cybersecurity-Sicht wichtigste Teil. Der AVV muss die TOMs des Auftragsbearbeiters beschreiben oder darauf verweisen. Diese sollten mindestens umfassen:

Zugangskontrolle:

Welche Authentifizierungsverfahren werden eingesetzt? (MFA erfordern!)
Wie werden Zugriffsrechte vergeben und überprüft?

Datensicherung und Verschlüsselung:

Wie werden Daten gesichert? Wie oft? Wo werden Backups gespeichert?
Ist Verschlüsselung in Übertragung und Ruhe implementiert?

Incident Response:

Wie wird mit Sicherheitsvorfällen umgegangen?
Welche Meldepflicht besteht gegenüber dem Verantwortlichen (Ihr Unternehmen)?

Sicherheitstests:

Führt der Auftragsbearbeiter regelmässige Penetrationstests oder Sicherheitsaudits durch?
Wer hat diese Tests durchgeführt? Wann zuletzt? Können Sie die Berichte einsehen?

Dieser letzte Punkt ist besonders wichtig: Ein Auftragsbearbeiter, der keine regelmässigen Sicherheitstests durchführt, kann die «angemessenen technischen Massnahmen» nach nDSG nicht überzeugend nachweisen. Im Vertrag sollten Sie das Recht haben, Sicherheitsatteste (z. B. SOC 2-Berichte, ISO 27001-Zertifikate, Penetrationstest-Nachweise) anzufordern.

4. Sub-Auftragsbearbeiter

Welche Sub-Auftragsbearbeiter setzt der Anbieter ein? (Liste verlangen)
Bedarf der Einsatz neuer Sub-Auftragsbearbeiter Ihrer Zustimmung?
Sind Sub-Auftragsbearbeiter denselben vertraglichen Pflichten unterworfen?

Praxistipp: Viele SaaS-Anbieter nutzen ihrerseits Dutzende von Sub-Auftragsbearbeitern (AWS für Hosting, Stripe für Zahlungen, Intercom für Support etc.). Verlangen Sie eine vollständige Liste und das Recht, bei wesentlichen Änderungen widersprechen zu können.

5. Datenübermittlung ins Ausland

Falls der Auftragsbearbeiter Daten in Länder ausserhalb der Schweiz (oder der EU) überträgt:

In welche Länder werden Daten übertragen?
Welche Schutzgarantien bestehen (Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules)?
Für US-Anbieter: EU-U.S. Data Privacy Framework oder Schweizer Äquivalent?

Die Bekanntgabe von Personendaten ins Ausland ist in Art. 16–17 nDSG geregelt. Transfers in Länder ohne «angemessenes Datenschutzniveau» (Liste beim EDÖB) erfordern zusätzliche Garantien.

6. Kontroll- und Auditrechte

Ihr Recht als Verantwortlicher:

Audit-Recht: Können Sie (oder ein Beauftragter) die Datenschutz-Compliance des Auftragsbearbeiters prüfen?
Informationsrecht: Können Sie Sicherheitsberichte, Zertifikate und Atteste anfordern?
Nachweispflicht: Muss der Auftragsbearbeiter die Umsetzung der TOMs nachweisen können?

In der Praxis akzeptieren grosse Anbieter (Google, Microsoft, AWS) keine individuellen Audits — stattdessen bieten sie standardisierte Berichte wie SOC 2 Type II oder ISO 27001-Zertifikate an. Das ist für die meisten KMU ausreichend, sollte aber vertraglich so festgehalten sein.

7. Meldepflichten bei Datenpannen

Ein oft vergessener, aber kritisch wichtiger Punkt: Der Auftragsbearbeiter muss Sie bei Datenpannen unverzüglich informieren — damit Sie Ihre Meldepflicht an den EDÖB erfüllen können. Das nDSG verlangt Meldung «so rasch als möglich». Wenn Ihr Cloud-Anbieter Sie erst nach Wochen über einen Vorfall informiert, ist Ihre Meldepflicht bereits verletzt.

Der Vertrag sollte definieren:

Maximale Meldefrist des Auftragsbearbeiters an Sie (empfohlen: 24–72 Stunden)
Mindestinhalt der Meldung (Art des Vorfalls, betroffene Daten, Anzahl betroffene Personen, ergriffene Massnahmen)
Kontaktperson und Kommunikationskanal für Sicherheitsvorfälle

Mehr zur EDÖB-Meldepflicht: Meldepflicht Cyberangriff Schweiz

nDSG vs. DSGVO: Unterschiede beim AVV

Viele Schweizer KMU arbeiten mit EU-basierten oder internationalen Anbietern, die DSGVO-konforme Data Processing Agreements (DPA) anbieten. Sind diese auch nDSG-konform?

Merkmal	DSGVO (EU)	nDSG (Schweiz)
Gesetzliche Grundlage	Art. 28 DSGVO	Art. 9 nDSG
Schriftlichkeit	Erforderlich	Empfohlen (Nachweis)
Pflichtinhalt	Klar definiert (Art. 28 Abs. 3)	Weniger konkret, prinzipienbasiert
Sub-Auftragsbearbeiter	Ausdrückliche Regelung erforderlich	Sinngemäss erforderlich
Auslandstransfers	Klar geregelt (Kapitel V DSGVO)	Art. 16–17 nDSG
Auditrechte	Explizit (Art. 28 Abs. 3 lit. h)	Implizit aus Sorgfaltspflicht

Fazit: Ein DSGVO-konformer DPA deckt die meisten nDSG-Anforderungen ab. Sie sollten aber prüfen, ob der DPA auch auf das Schweizer nDSG verweist oder ob Sie einen Annexe/Nachtrag für die Schweiz benötigen. Viele grosse Anbieter haben inzwischen separate Schweizer DPA-Versionen — fragen Sie danach.

«Ein DSGVO-DPA ohne Schweizer Bezug ist besser als gar kein Vertrag — aber nicht ideal. Bei sensiblen Daten oder grossen Datenmengen sollten Schweizer Unternehmen immer auf einem expliziten nDSG-Bezug im Vertrag bestehen oder einen separaten Annexe anfordern.» — Datenschutzrechtsexpertin, Universität Bern, Swiss Data Protection Conference 2025

Checkliste: AVV-Prüfung für bestehende Drittanbieter

Nutzen Sie diese Checkliste, um Ihre bestehenden Drittanbieterverträge zu prüfen:

Grundstruktur:

Schriftlicher Vertrag vorhanden?
Vertragsparteien klar definiert (Verantwortlicher / Auftragsbearbeiter)?
Bearbeitungszweck und Datenkategorien beschrieben?
Dauer der Bearbeitung definiert?

Pflichten des Auftragsbearbeiters:

Weisungsgebundenheit explizit geregelt?
Vertraulichkeitspflicht aller zugriffsberechtigten Personen?
Löschung/Rückgabe bei Vertragsende?
Unterstützungspflicht bei Betroffenenrechten?

Technische Massnahmen:

TOMs beschrieben oder per Annexe referenziert?
MFA-Anforderungen festgelegt?
Verschlüsselungsstandards genannt?
Datensicherungskonzept beschrieben?
Sicherheitstests und Zertifizierungsnachweise vereinbart?

Sub-Auftragsbearbeiter:

Liste der Sub-Auftragsbearbeiter vorhanden?
Zustimmungserfordernis für neue Sub-Auftragsbearbeiter?
Dieselben Pflichten für Sub-Auftragsbearbeiter vereinbart?

Auslandstransfers:

Länder, in die Daten übertragen werden, genannt?
Schutzgarantien für Drittstaatentransfers vorhanden?

Vorfallmanagement:

Meldepflicht bei Datenpannen mit Frist (max. 72h)?
Mindestinhalt der Meldung definiert?
Notfallkontakt benannt?

Kontrollrechte:

Auditrecht oder Nachweisrecht vereinbart?
Recht auf Sicherheitsberichte/Zertifikate?

Cybersecurity-Anforderungen im AVV: Was Sie von Drittanbietern verlangen sollten

Als Verantwortlicher nach nDSG sind Sie dafür verantwortlich, dass Ihr Auftragsbearbeiter «geeignete technische Massnahmen» umsetzt. Das bedeutet: Sie können sich nicht hinter «der Anbieter war dafür verantwortlich» verstecken, wenn Sie keinen vertraglichen Nachweis haben.

Mindestanforderungen, die Sie im AVV vereinbaren sollten:

ISO 27001-Zertifizierung oder SOC 2 Type II-Bericht: Akzeptabler Nachweis für grosse Anbieter
Jährliche Penetrationstests: Der Anbieter sollte Ihnen auf Anfrage Penetrationstest-Berichte vorlegen können (mindestens eine Executive Summary)
Patch-Management-Verpflichtung: Kritische Sicherheits-Patches innerhalb von 30 Tagen nach Veröffentlichung
MFA für alle Zugänge zu Ihrer Datenbasis: Ohne Ausnahme
Separate Datenhaltung: Ihre Daten werden nicht mit Daten anderer Kunden vermischt (logische oder physische Trennung)
Verschlüsselung: AES-256 für gespeicherte Daten, TLS 1.2+ für Übertragungen

Für kleinere Anbieter (lokale IT-Dienstleister, Freelancer, kleinere SaaS-Lösungen) sollten Sie regelmässige Sicherheitstests explizit fordern — und das Recht, die Ergebnisse einzusehen. Anbieter, die das verweigern, sind aus Datenschutzsicht ein Risiko.

Wie ein eigenes Red Teaming-Programm die Sicherheit Ihrer gesamten Lieferkette verbessert, erklärt unser Red Teaming-Service in der Praxis.

Wann haften Sie trotz AVV für Ihr Drittanbieter?

Ein AVV schützt Sie nicht automatisch vor jeder Haftung. Sie bleiben als Verantwortlicher mitverantwortlich, wenn:

Sie einen offensichtlich ungeeigneten Auftragsbearbeiter gewählt haben (z. B. keinen IT-Grundschutz, keine Zertifizierungen)
Sie die Umsetzung der TOMs nie überprüft haben und der Vertrag nur auf dem Papier existiert
Sie selbst gegen Datenschutzprinzipien verstossen haben (z. B. zu viele Daten übermittelt)
Sie Warnzeichen eines Anbieters ignoriert haben

Die Sorgfaltspflicht bei der Auswahl und laufenden Überwachung Ihrer Auftragsbearbeiter ist eine aktive Pflicht — nicht einmalig beim Vertragsabschluss, sondern kontinuierlich. Mindestens einmal jährlich sollten Sie prüfen, ob Ihre Auftragsbearbeiter noch aktuell sind und die vereinbarten Massnahmen umsetzen.

Für eine vollständige Übersicht aller nDSG-Anforderungen: nDSG Compliance und Cybersecurity und nDSG-Checkliste für KMU.

Alle relevanten Schweizer Datenschutz- und Cybersecurity-Regulierungen im Überblick: Cybersecurity Compliance Schweiz.

Bei Fragen zur persönlichen Haftung bei nDSG-Verstössen: nDSG Bussgeld und Strafen.

Zum Thema Datenschutzbeauftragter und wann Ihr KMU einen braucht: Datenschutzbeauftragter Schweiz.

«Der häufigste Fehler, den wir bei KMU-Audits sehen: Es gibt einen AVV, aber niemand hat je geprüft, ob der Anbieter die darin vereinbarten Massnahmen auch tatsächlich umsetzt. Ein Vertrag ohne Kontrolle ist Papierschutz — kein echter Datenschutz.» — IT-Sicherheitsauditoren, Swiss Cyber Security Days 2025

Fazit

Auftragsbearbeitungsverträge nach nDSG sind nicht optional — sie sind die vertragliche Grundlage dafür, dass Personendaten bei Drittanbietern sicher und gesetzeskonform verarbeitet werden. Fehlende oder unvollständige AVV sind einer der häufigsten Datenschutzmängel bei Schweizer KMU und ein direktes Haftungsrisiko.

Die gute Nachricht: AVV-Verträge sind standardisierbar. Viele Anbieter haben Muster-DPA bereit. Was Sie als KMU tun müssen: diese Verträge aktiv einfordern, auf Vollständigkeit prüfen — besonders bei den Sicherheitsanforderungen — und die tatsächliche Umsetzung der TOMs regelmässig verifizieren.

Wissen Sie, ob Ihre wichtigsten Drittanbieter die vereinbarten Sicherheitsanforderungen wirklich umsetzen? Mit unserem Red Teaming-Service prüfen wir nicht nur Ihre eigenen Systeme — wir identifizieren auch Angriffsvektoren, die über Ihre Auftragsbearbeiter verlaufen. Denn in der Praxis sind Third-Party-Angriffe eine der häufigsten Ursachen für Datenpannen.

Jetzt handeln — Red Teaming für Schweizer KMU ab CHF 11’900.