Was bedeutet Auftragsverarbeitung in der Schweiz?
Auftragsverarbeitung in der Schweiz bezeichnet die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag deines Unternehmens. Seit dem revidierten Bundesgesetz über den Datenschutz (DSG), das am 1. September 2023 in Kraft getreten ist, gelten strenge Anforderungen an diese Datenverarbeitungsverhältnisse. Jedes Schweizer KMU, das Cloud-Dienste, externe IT-Dienstleister oder SaaS-Plattformen nutzt, ist betroffen.
In der Praxis heisst das: Wenn du ein CRM-System nutzt, deine Website bei einem externen Hoster betreibst oder einen Newsletter-Service einsetzt, gibst du personenbezogene Daten an Dritte weiter. Das DSG verlangt, dass du diese Weitergabe vertraglich regelst und sicherstellst, dass der Auftragsverarbeiter die Daten nur nach deinen Weisungen verarbeitet.
Key Takeaway: Jedes Schweizer Unternehmen, das externe IT-Dienste nutzt, muss Auftragsverarbeitungsverträge (AVV) abschliessen. Ohne AVV drohen persönliche Bussgelder bis CHF 250'000.
DSG-Anforderungen an die Auftragsverarbeitung
Das revidierte DSG stellt klare Anforderungen an die Auftragsverarbeitung. Als verantwortliches Unternehmen musst du sicherstellen, dass der Auftragsverarbeiter die Datensicherheit gewährleistet und die Daten nur im Rahmen deiner Weisungen verarbeitet.
Die wichtigsten Pflichten im Überblick:
- Sorgfältige Auswahl des Auftragsverarbeiters (Prüfung der technischen und organisatorischen Massnahmen)
- Schriftlicher Vertrag mit allen gesetzlich vorgeschriebenen Inhalten
- Genehmigungspflicht für den Einsatz von Subunternehmern
- Datensicherheit durch angemessene technische und organisatorische Massnahmen (TOMs)
- Kontrolle der Einhaltung durch regelmässige Audits oder Zertifizierungen
- Meldepflicht bei Datenschutzverletzungen an den EDÖB
Ein häufiger Fehler: Viele KMU glauben, dass die Verantwortung mit der Auslagerung an einen Dienstleister übergeht. Das Gegenteil ist der Fall. Du bleibst als Auftraggeber verantwortlich für die korrekte Datenverarbeitung. Wenn dein Cloud-Anbieter Daten verliert, bist du in der Pflicht.
Was muss im Auftragsverarbeitungsvertrag stehen?
Ein rechtsgültiger Auftragsverarbeitungsvertrag (AVV) muss nach DSG folgende Mindestinhalte aufweisen:
| Vertragsbestandteil | Inhalt | Beispiel |
|---|---|---|
| Gegenstand der Verarbeitung | Was wird verarbeitet? | Kundendaten für CRM-System |
| Dauer | Wie lange? | Während der Vertragslaufzeit |
| Art der Daten | Welche Kategorien? | Namen, E-Mail, Kaufhistorie |
| Betroffene Personen | Wessen Daten? | Kunden, Mitarbeitende, Lieferanten |
| Zweck | Wofür? | Kundenbeziehungsmanagement |
| Weisungsrecht | Wer bestimmt? | Auftraggeber erteilt Weisungen |
| TOMs | Welche Sicherheitsmassnahmen? | Verschlüsselung, Zugriffskontrollen |
| Subunternehmer | Wer darf mitverarbeiten? | Liste genehmigter Subunternehmer |
| Löschpflicht | Was passiert nach Vertragsende? | Daten werden gelöscht oder zurückgegeben |
| Audit-Recht | Wie wird kontrolliert? | Jährliche Prüfung oder ISO-Zertifikat |
Praxis-Tipp: Viele grosse SaaS-Anbieter wie Microsoft, Google oder Salesforce stellen standardisierte AVVs bereit. Prüfe diese sorgfältig — sie sind oft auf die DSGVO ausgelegt und müssen für das Schweizer DSG angepasst werden.
Wenn du eine massgeschneiderte SaaS-Plattform entwickeln lässt, hast du den Vorteil, dass Datenschutz von Anfang an eingebaut wird. Bei TYTOS setzen wir konsequent auf Privacy by Design — das vereinfacht die Auftragsverarbeitung erheblich.
Häufige Fehler bei der Auftragsverarbeitung
Viele Schweizer KMU machen bei der Auftragsverarbeitung vermeidbare Fehler. Hier die häufigsten Stolperfallen:
1. Kein AVV vorhanden Erstaunlich viele Unternehmen nutzen Cloud-Dienste ohne formellen Auftragsverarbeitungsvertrag. Das ist ein direkter DSG-Verstoss. Gerade bei beliebten Tools wie Google Analytics, Mailchimp oder HubSpot wird der AVV oft vergessen.
2. Veraltete Verträge Verträge, die vor dem revidierten DSG (September 2023) abgeschlossen wurden, erfüllen häufig nicht die aktuellen Anforderungen. Eine Überprüfung aller bestehenden AVVs ist Pflicht.
3. Fehlende Prüfung von Subunternehmern Dein Cloud-Anbieter nutzt selbst wieder Subunternehmer? Du musst wissen, wer das ist und ob die Daten dabei ins Ausland transferiert werden. Besonders bei US-amerikanischen Anbietern ist das kritisch.
4. Keine Datentransfer-Regelung Werden Daten in Länder ohne angemessenes Datenschutzniveau übertragen, brauchst du zusätzliche Garantien — etwa Standardvertragsklauseln oder die Einwilligung der Betroffenen.
5. Fehlende technische Massnahmen Ein AVV allein reicht nicht. Du musst sicherstellen, dass die vereinbarten technischen Massnahmen tatsächlich umgesetzt werden. Regelmässige Kontrollen sind unabdingbar.
Für eine detaillierte Analyse deiner IT-Sicherheit empfehlen wir einen Security-Audit. So erkennst du Schwachstellen bevor sie zum Problem werden.
Schweizer Hosting vs. internationale Cloud: Was ist sicherer?
Eine zentrale Frage bei der Auftragsverarbeitung: Wo werden die Daten gespeichert? Die Wahl des Hostings hat direkte Auswirkungen auf deine DSG-Compliance.
| Kriterium | Schweizer Hosting | EU-Cloud (DSGVO) | US-Cloud |
|---|---|---|---|
| DSG-Konformität | Sehr hoch | Hoch (Angemessenheitsbeschluss) | Risikobehaftet |
| Datenlokation | Schweiz | EU/EWR | USA (oder global) |
| Zusätzliche Massnahmen | Keine nötig | Minimal | Standardvertragsklauseln nötig |
| Kosten | Höher | Mittel | Günstiger |
| Performance (CH) | Sehr gut | Gut | Variabel |
| Rechtliche Sicherheit | Maximal | Hoch | Unsicher (CLOUD Act) |
Die pragmatische Lösung: TYTOS setzt auf Vercel-Hosting mit europäischen Rechenzentren und optionalem Schweizer Hosting. So bekommst du hohe Performance bei voller DSG-Konformität — ohne die Kosten einer reinen Schweizer Lösung.
Für besonders sensible Daten — etwa Gesundheitsdaten oder Finanzdaten — ist Schweizer Hosting die sicherste Wahl. Die Mehrkosten von CHF 50-200 pro Monat gegenüber internationalen Anbietern sind in Relation zum Risiko vernachlässigbar.
Key Takeaway: Schweizer Hosting eliminiert die meisten Compliance-Risiken bei der Auftragsverarbeitung. Für Standard-Geschäftsdaten reicht EU-Hosting mit AVV, für sensible Daten ist Schweizer Hosting empfehlenswert.
Checkliste: Auftragsverarbeitung DSG-konform umsetzen
Nutze diese Schritt-für-Schritt-Anleitung, um deine Auftragsverarbeitung DSG-konform zu gestalten:
Phase 1: Bestandsaufnahme
- Erstelle eine Liste aller externen Dienstleister, die Zugang zu personenbezogenen Daten haben
- Kategorisiere die Datenarten (Kundendaten, Mitarbeiterdaten, Finanzdaten)
- Prüfe, ob Datentransfers ins Ausland stattfinden
- Dokumentiere die bestehenden vertraglichen Regelungen
Phase 2: Vertragliche Absicherung
- Schliesse für jeden Dienstleister einen AVV ab
- Stelle sicher, dass alle Pflichtinhalte enthalten sind
- Regele den Umgang mit Subunternehmern explizit
- Vereinbare Audit-Rechte und Meldepflichten
Phase 3: Technische Umsetzung
- Implementiere angemessene technische und organisatorische Massnahmen
- Richte Zugriffskontrollen und Verschlüsselung ein
- Etabliere Prozesse für Datenschutzverletzungen
- Dokumentiere alle Massnahmen nachvollziehbar
Phase 4: Laufende Kontrolle
- Führe jährliche Überprüfungen durch
- Aktualisiere AVVs bei Änderungen der Dienstleistung
- Schule Mitarbeitende im Umgang mit externen Diensten
- Halte das Verzeichnis der Verarbeitungstätigkeiten aktuell
Wenn du individuelle Software einsetzen möchtest, die von Anfang an DSG-konform ist, sparst du dir viele dieser Schritte. TYTOS baut Datenschutz direkt in die Architektur ein — kein Nachrüsten nötig.
Was kostet DSG-Compliance für KMU?
Die Kosten für DSG-konforme Auftragsverarbeitung hängen von der Grösse deines Unternehmens und der Anzahl der Dienstleister ab:
| Massnahme | Kosten (einmalig) | Kosten (jährlich) |
|---|---|---|
| Rechtsberatung für AVVs | CHF 2'000-8'000 | CHF 500-2'000 |
| Datenschutz-Audit | CHF 3'000-10'000 | CHF 1'500-5'000 |
| Technische Massnahmen | CHF 1'000-5'000 | CHF 500-2'000 |
| Schulungen | CHF 500-2'000 | CHF 500-1'000 |
| DSG-konforme Software | Variabel | Variabel |
| Gesamt (typisches KMU) | CHF 6'500-25'000 | CHF 3'000-10'000 |
Der smarte Weg: Investiere in Software, die von Anfang an DSG-konform gebaut ist. Ein massgeschneidertes Dashboard ab CHF 5'000 mit eingebauter Zugriffskontrolle und Verschlüsselung ist langfristig günstiger als nachträgliche Compliance-Massnahmen an Standard-Software.
Fazit: Auftragsverarbeitung ist Chefsache
Die Auftragsverarbeitung in der Schweiz ist kein optionales Thema — sie ist eine gesetzliche Pflicht mit empfindlichen Konsequenzen bei Verstössen. Das revidierte DSG macht Geschäftsführer persönlich haftbar, mit Bussgeldern bis CHF 250'000.
Die gute Nachricht: Mit der richtigen Strategie ist DSG-konforme Auftragsverarbeitung kein Hexenwerk. Erstelle eine Bestandsaufnahme, schliesse AVVs ab und setze auf Softwarelösungen, die Datenschutz von Anfang an eingebaut haben.
TYTOS entwickelt individuelle Software mit Privacy by Design — DSG-konform, sicher und zu einem Bruchteil der Kosten traditioneller Agenturen. Websites ab CHF 500, CRM-Systeme ab CHF 8'000, SaaS-Plattformen ab CHF 15'000.
Bereit für DSG-konforme Software? Kontaktiere uns für eine kostenlose Demo in 24 Stunden. Festpreis. Schweizer Qualität. Ohne Risiko.