Ueli AI ChatbotUeliAI Chatbot
Hinweis Beta-Phase: Diese Plattform befindet sich im Beta-Stadium. Die nachfolgenden rechtlichen Texte sind Templates und ersetzen keine anwaltliche Prüfung. Vor kommerzieller Nutzung empfehlen wir die Freigabe durch eine/n Schweizer Datenschutz-Anwält/in.

Auftragsbearbeitungsvertrag (AVV / DPA)

Für B2B-Kunden · revDSG Art. 9 (Schweizer Datenschutzgesetz)

Wann brauchen Sie einen AVV?

Wenn Ihre Organisation (Gemeinde, Firma, Verein) Personendaten Dritter (Mitarbeitende, Kundinnen und Kunden, Bürgerinnen und Bürger) über die Plattform bearbeitet, sind Sie nach Art. 9 revDSG verpflichtet, mit dem Betreiber einen schriftlichen Auftragsbearbeitungsvertrag abzuschliessen. Verstösse können mit Bussen bis zu CHF 250'000 geahndet werden (revDSG Art. 60 ff.). Bearbeiten Sie zusätzlich Daten von EU-Datensubjekten, gilt parallel Art. 28 DSGVO.

Was der AVV regelt

Inhaltlich ein AVV setzt nach Art. 28 Abs. 3 DSGVO mindestens fest:

  1. Gegenstand und Dauer der Verarbeitung
  2. Art und Zweck der Verarbeitung
  3. Kategorien betroffener Personen und Datenarten
  4. Pflichten und Rechte des Verantwortlichen (du) und Auftragsverarbeiters (Betreiber)
  5. Technische und organisatorische Massnahmen (TOMs)
  6. Unterauftragsverarbeiter und ihre Aufnahme/Ablehnung
  7. Unterstützung bei Betroffenenrechten und Datenpannen
  8. Löschung oder Rückgabe der Daten nach Vertragsende

Was der Betreiber als Auftragsverarbeiter zusichert

  • Datenverarbeitung nur auf dokumentierte Weisung des Verantwortlichen. Standard-Anwendungsfall: Chatbot-Antworten auf Basis der von dir bereitgestellten Dokumente.
  • Vertraulichkeit: alle Mitarbeitenden und Subunternehmen sind zur Verschwiegenheit verpflichtet.
  • Technische und organisatorische Massnahmen gemäss Art. 32 DSGVO: Verschlüsselung at-rest und in-transit nach Industriestandard, strikte Mandanten-Isolation auf Datenbank- Ebene, Audit-Log, Zugriffskontrolle, regelmässige Backups, Härtung der Server (siehe Datenschutzerklärung Abschnitt 9; detaillierte technische Spezifikation auf Anfrage unter NDA).
  • Unterstützung bei Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit): Self-Service über Einstellungen, manuelle Unterstützung auf Anfrage.
  • Meldung von Datenschutzverletzungen innert 72 Stunden nach Kenntnisnahme (DSGVO Art. 33).
  • Löschung oder Rückgabe aller Daten nach Vertragsende (auf deine Wahl).
  • Unterstützung bei Datenschutz-Folgenabschätzungen (DSFA) gemäss DSGVO Art. 35.
  • Audit-Recht: Du darfst die Einhaltung dieser Pflichten einmal jährlich überprüfen, mit 14 Tagen Vorankündigung.

Liste der Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter setzt der Betreiber für den Betrieb der Plattform ein. Du wirst über Änderungen mindestens 30 Tage im Voraus informiert und kannst neuen Unterauftragsverarbeitern widersprechen.

AnbieterSitzZweckDatenarten
Hetzner Online GmbHGunzenhausen, DE (Hosting in Falkenstein, DE)Server-, DB- und KI-Modell-HostingAlle Daten (verschlüsselt at-rest)
Cloudflare Inc.San Francisco, USDNS, CDN, DDoS-SchutzIP-Adressen, Request-Header, Routing-Metadaten (keine Inhalte)

Wie schliesse ich den AVV ab?

Schreibe eine E-Mail an [email protected] mit dem Betreff «AVV-Anfrage» und folgenden Angaben:

  • Firmenname, Adresse, Land
  • UID / Handelsregister-Nummer (sofern vorhanden)
  • Ansprechperson und deren Funktion (z. B. Datenschutzbeauftragte)
  • Art der zu verarbeitenden Daten und Zweck
  • Voraussichtliche Anzahl betroffener Personen
  • Ggf. besondere Anforderungen (sektorspezifische Vorgaben wie FINMA- Rundschreiben, HIPAA, ISO 27018)

Der Betreiber sendet dir innert 5 Werktagen den AVV-Entwurf in zwei Exemplaren zur elektronischen Unterzeichnung (PDF, qualifizierte elektronische Signatur oder einfache Unterschrift). Der AVV wird mit Unterzeichnung beider Parteien Vertragsbestandteil.

Mustertext zum Download

Aktuell in Vorbereitung. Der Mustertext wird vor dem offiziellen Launch veröffentlicht. In der Beta-Phase wird der AVV auf Einzelanfrage individuell erstellt, damit auf deine konkrete Anwendung eingegangen werden kann.

Häufige Fragen

Brauche ich auch als kleine Gemeinde einen AVV?

Ja. Das revDSG kennt keine Schwelle nach Organisationsgrösse. Sobald Sie Personendaten Dritter bearbeiten (Einwohnerdaten, Steuerakten, Sozialleistungen, Personalakten), brauchen Sie einen AVV mit jedem Auftragsbearbeiter.

Kann ich den AVV auf meinem eigenen Muster verwenden?

Grundsätzlich ja. Der Betreiber prüft Ihren Muster-AVV gerne und meldet sich mit ggf. notwendigen Anpassungen oder Ergänzungsanhängen (insbesondere zu Unter-Auftragsbearbeitern und TOMs).

Gilt der AVV auch unter DSGVO?

Ja. Art. 9 revDSG ist mit Art. 28 DSGVO weitgehend kongruent. Der gleiche AVV erfüllt beide Regelwerke. Massgebend für Schweizer Kunden ist jedoch primär das revDSG.