FREE QUOTE
FREE QUOTE

AVV Vertrag erstellen

Datenschutz & Compliance • Schweiz / Global • Aktualisiert: 04. März 2026

AVV Vertrag erstellen

Ein AVV Vertrag (Auftragsverarbeitungsvertrag) ist zentral für Datenschutz und Compliance, wenn externe Dienstleister personenbezogene Daten verarbeiten. Dieser Leitfaden zeigt, wie du einen AVV korrekt aufsetzt, prüfst und im Unternehmen implementierst.

Lesezeit: 9 Min. Niveau: Mittel Zielgruppe: Compliance, Datenschutz, IT, Einkauf
Beratung anfragen Services entdecken

Kernaussagen

  • AVV ist Pflicht: Sobald ein Dienstleister personenbezogene Daten verarbeitet, ist ein Vertrag notwendig.
  • Rechtliche Grundlage: DSGVO (Art. 28) und vergleichbare Datenschutzgesetze verlangen klare Regelungen.
  • Verantwortung bleibt beim Auftraggeber: Auch mit AVV bleibt die Verantwortung für Datenschutz beim Unternehmen.
  • Verträge müssen überprüfbar sein: Technische und organisatorische Massnahmen (TOMs) sind zentral.
Praxis-Check: Wenn du SaaS-Tools, Cloud-Dienste oder externe IT-Dienstleister nutzt, brauchst du in den meisten Fällen einen AVV – auch wenn der Anbieter im Ausland sitzt.

Was ein AVV Vertrag ist

Ein Auftragsverarbeitungsvertrag (AVV) regelt die Zusammenarbeit zwischen einem Unternehmen (Verantwortlicher) und einem Dienstleister (Auftragsverarbeiter), der personenbezogene Daten im Auftrag verarbeitet.

Der Vertrag stellt sicher, dass der Dienstleister Daten nur nach Weisung verarbeitet, angemessene Sicherheitsmassnahmen einhält und alle gesetzlichen Anforderungen erfüllt. Er ist ein zentraler Bestandteil von DSGVO Compliance und Datenschutz Governance.

Typische Beispiele für AVV-Pflicht

  • Cloud-Hosting oder SaaS-Anbieter (z. B. CRM, HR-Systeme)
  • IT-Dienstleister mit Zugriff auf personenbezogene Daten
  • Marketing-Tools oder Newsletter-Plattformen
  • Externe Buchhaltung oder Payroll Services
Rolle Beschreibung Verantwortung
Verantwortlicher Unternehmen, das über Zweck und Mittel der Datenverarbeitung entscheidet. Gesamtverantwortung für Datenschutz und Einhaltung der Gesetze.
Auftragsverarbeiter Dienstleister, der Daten im Auftrag verarbeitet. Umsetzung von Weisungen und Sicherheitsmassnahmen.

Warum ein AVV notwendig ist

Der AVV stellt sicher, dass Datenverarbeitung kontrolliert und rechtlich abgesichert erfolgt. Ohne AVV besteht ein hohes Risiko von Datenschutzverstössen, Bußgeldern und Reputationsschäden.

Häufiger Fehler: Unternehmen verlassen sich auf Standardverträge von Anbietern, ohne diese auf eigene Anforderungen und Risiken zu prüfen.

Wichtige Ziele eines AVV

  • Klare Regelung von Verantwortlichkeiten
  • Absicherung von Datenschutz und Datensicherheit
  • Nachvollziehbarkeit für Audits und Behörden
  • Reduktion von Haftungsrisiken

Inhalte und Aufbau eines AVV

Ein AVV folgt meist einer standardisierten Struktur, sollte aber individuell auf das Unternehmen angepasst werden.

Typische Inhalte

  1. Gegenstand und Dauer der Verarbeitung
  2. Art und Zweck der Datenverarbeitung
  3. Kategorien betroffener Personen und Daten
  4. Pflichten und Rechte des Verantwortlichen
  5. Technische und organisatorische Massnahmen (TOMs)
  6. Regelungen zu Subdienstleistern
  7. Unterstützung bei Betroffenenrechten
  8. Löschung und Rückgabe von Daten
Wichtig: Die TOMs sollten konkret beschrieben sein – generische Aussagen reichen für Audits oft nicht aus.

Hilfreiche Tools (optional)

Tools können helfen, Verträge strukturiert zu verwalten und Compliance nachzuweisen:

SignNTrack – eSign & Tracking SubTracker – Vertragsübersicht

Hinweis: Wähle Tools basierend auf deinen Compliance-Anforderungen.

Checkliste: AVV Vertrag prüfen

  • Ein AVV ist für alle relevanten Dienstleister vorhanden.
  • Verarbeitungszweck und Datenarten sind klar definiert.
  • TOMs sind dokumentiert und nachvollziehbar.
  • Subunternehmer sind transparent geregelt.
  • Regelungen zur Datenlöschung sind enthalten.
  • Audit- und Kontrollrechte sind vereinbart.
Quick Win: Erstelle eine Liste aller externen Tools und prüfe, ob für jeden ein gültiger AVV vorhanden ist.

FAQ

Wann ist ein AVV notwendig?
Immer dann, wenn ein externer Dienstleister personenbezogene Daten verarbeitet.
Wer trägt die Verantwortung?
Der Verantwortliche (Unternehmen) bleibt verantwortlich – auch mit AVV.
Was sind TOMs?
Technische und organisatorische Massnahmen zum Schutz von Daten.
Gilt ein AVV auch für internationale Anbieter?
Ja, zusätzlich sind ggf. Standardvertragsklauseln (SCC) notwendig.

Über den Autor

Leutrim Miftaraj — Founder, Innopulse.io

Experte für digitale Transformation und Compliance.

Quellen

  1. GDPR Art. 28
  2. EDÖB Schweiz

Unterstützung bei Datenschutz?

Beratung anfragen
```

Driving innovation.

Quick Links

Get in touch

Newsletter

© 2026 Innopulse Consulting. All Rights Reserved.

Imprint | Privacy PolicyTerm of Use Cookies