Kontakt

Auftragsverarbeitungsvertrag

Zweck und Einordnung

Der AVV (Auftragsverarbeitungsvertrag) konkretisiert die Zusammenarbeit zwischen Verantwortlichem und Auftragsbearbeiter nach schweizerischem Datenschutzrecht (DSG). Er ergänzt den Hauptvertrag, die Datenschutzerklärung und die technischen Sicherheitsmassnahmen.

Für Unternehmen ist der AVV die zentrale Grundlage, um Datenbearbeitung durch CiaoSepp nachvollziehbar, prüfbar und vertraglich abgesichert zu dokumentieren.

Vertragsparteien und Rollen

  • Verantwortlicher: dein Unternehmen, das Zweck und Mittel der Bearbeitung festlegt.
  • Auftragsbearbeiter: CiaoSepp, das Daten gemäss dokumentierter Weisung bearbeitet.
  • Kontaktstellen: benannte Datenschutz- oder Compliance-Verantwortliche auf beiden Seiten.
  • Anwendungsbereich: alle vertraglich vereinbarten Leistungen mit personenbezogenen Daten.

Gegenstand, Datenkategorien und betroffene Personen

Der AVV sollte präzise definieren, welche Daten für welchen Zweck bearbeitet werden. Je genauer diese Definition, desto einfacher sind interne Freigaben, Audits und spätere Änderungen.

  • Datenkategorien: Kontaktdaten, Kommunikationsinhalte, Metadaten, Protokolldaten.
  • Betroffene Personen: Anrufende, Mitarbeitende, Ansprechpartner bei Kunden/Lieferanten.
  • Zwecke: Anrufannahme, strukturierte Weiterleitung, Qualitätskontrolle, Support, Sicherheit.
  • Bearbeitungsarten: Erfassen, Strukturieren, Übermitteln, Speichern, Löschen.

Weisungsrecht und operative Umsetzung

Das Weisungsrecht des Verantwortlichen muss klar geregelt sein: Wer darf Weisungen erteilen, in welcher Form, mit welcher Priorität und wie werden Änderungen dokumentiert.

  • Weisungen schriftlich oder in nachvollziehbarer Ticket-/E-Mail-Form dokumentieren.
  • Änderungen an Prompt, Routing und Datenfeldern versionieren und freigeben.
  • Abweichungen oder unklare Weisungen aktiv rückmelden und vor Umsetzung klären.
  • Notfallprozesse für kritische Fälle separat definieren (z. B. Eskalation, Sperrung).

Technische und organisatorische Massnahmen (TOM)

Ein belastbarer AVV beschreibt nicht nur allgemein Sicherheit, sondern konkret die TOM entlang von Zugriff, Transport, Speicherung und Betrieb.

  • Zugriffsschutz: rollenbasierte Berechtigungen, Least-Privilege-Prinzip, Protokollierung.
  • Übertragungsschutz: verschlüsselte Kommunikation zwischen Systemen und Schnittstellen.
  • Speicherschutz: gesicherte Infrastruktur, Backup-/Restore-Prozesse, Trennung von Mandantendaten.
  • Betriebsschutz: Monitoring, Patch-Management, Incident-Management, Wiederanlaufverfahren.
  • Organisatorisch: Vertraulichkeitsverpflichtung, Schulung, geregelte Change-Prozesse.

Subunternehmer und Drittparteien

Subunternehmer müssen transparent geführt und vertraglich eingebunden sein. Der AVV sollte klar festlegen, wie neue Subunternehmer angekündigt, geprüft und dokumentiert werden.

  • Subunternehmerliste mit Leistung, Ort der Bearbeitung und Schutzmassnahmen.
  • Vertragliche Datenschutzpflichten entlang der gesamten Verarbeitungskette.
  • Informationsprozess bei Wechsel oder Aufnahme neuer Subunternehmer.
  • Regelung zu grenzüberschreitender Bearbeitung und geeigneten Garantien.

Betroffenenrechte, Support und Fristen

In der Praxis zählt Geschwindigkeit: Der AVV sollte klare Reaktions- und Bearbeitungsfristen für Auskunft, Berichtigung, Löschung und Export definieren.

  • Prozess für Betroffenenanfragen mit Zuständigkeit und Übergabepunkten.
  • Löschkonzept mit definierten Fristen, Ausnahmen und Nachweisführung.
  • Export-/Portabilitätsprozess in strukturiertem, nachvollziehbarem Format.
  • Dokumentation jeder Anfrage für Compliance und Revisionssicherheit.

Meldung von Vorfällen

Der AVV sollte bei Sicherheitsvorfällen einen klaren Meldepfad vorgeben: frühzeitige Information, strukturierte Faktenlage, laufende Updates und dokumentierte Korrekturmassnahmen.

  • Sofortmeldung mit Erstbewertung und betroffenen Datenkategorien.
  • Zeitnahe Nachmeldung mit Ursache, Auswirkung und Risikoeinschätzung.
  • Massnahmenplan mit Verantwortlichen, Fristen und Wirksamkeitsprüfung.
  • Abschlussbericht zur Nachvollziehbarkeit gegenüber Audit/Compliance.

Audit, Nachweise und Vertragsende

  • Nachweisführung über TOM, Prozesse und relevante Sicherheitsmassnahmen.
  • Regelung zu Audit-Rechten und praktischer Durchführung ohne Betriebsstörung.
  • Rückgabe/Löschung von Daten bei Vertragsende mit dokumentierter Bestätigung.
  • Aufbewahrungs- und Nachweisfristen gemäss Gesetz und Vertrag.

Empfehlung für euer Setup: Führt den AVV als unterzeichnetes separates Vertragsdokument mit Anhängen (Datenkategorien, TOM, Subunternehmerliste, Löschkonzept), damit Einkauf, Datenschutz und IT-Security denselben verbindlichen Stand prüfen können.

Dokumentenpaket für Audits

  • Unterzeichneter AVV inkl. Anlagen (Datenkategorien, TOM, Subunternehmer).
  • Nachweise zu Zugriffskonzept, Löschprozess und Incident-Handling.
  • Aktuelle Kontaktliste für Datenschutz- und Security-Themen.
  • Protokoll über durchgeführte Datenschutz-Reviews.