Fairlane Ventures GmbH — Auftragsbearbeitungsvertrag (Muster)

Version 1.0 · Stand Mai 2026
Vorlage / Template

Auftragsbearbeitungsvertrag (AVV) Vereinbarung zur Auftragsbearbeitung gemäss Art. 9 revDSG (CH) sowie Art. 28 DSGVO (EU)

Dieser Auftragsbearbeitungsvertrag (nachfolgend «Vertrag» oder «AVV») konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Bearbeitung von Personendaten durch die Auftragsbearbeiterin im Rahmen des Betriebs, der Einrichtung und der Wartung von KI- und IT-Infrastruktur für die Verantwortliche. Er ist integrierender Bestandteil des zwischen den Parteien bestehenden Hauptvertrags (Dienstleistungsvertrag / Offerte inkl. AGB der Auftragsbearbeiterin, nachfolgend «Hauptvertrag»).

– nachfolgend einzeln «Partei» und gemeinsam «Parteien» –

§ 1 Gegenstand, Geltungsbereich und Dauer

1. Gegenstand dieses Vertrags ist die Bearbeitung von Personendaten durch die Auftragsbearbeiterin im Auftrag und nach Weisung der Verantwortlichen im Rahmen der im Hauptvertrag vereinbarten Dienstleistungen (insbesondere Konzeption, Einrichtung, Betrieb, Hosting, Integration und Wartung von KI-Anwendungen, Automatisierungs-Workflows, LLM-Gateways, RAG-/Wissensdatenbanken und der zugehörigen IT-Infrastruktur).
2. Die Auftragsbearbeiterin bearbeitet Personendaten ausschliesslich zur Erfüllung des Hauptvertrags und nicht für eigene Zwecke. Die datenschutzrechtliche Verantwortlichkeit für die Zulässigkeit der Bearbeitung verbleibt bei der Verantwortlichen.
3. Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er beginnt mit dessen Inkrafttreten und endet mit dessen Beendigung. Die Pflichten gemäss § 12 (Löschung/Rückgabe) sowie § 6 (Vertraulichkeit) gelten über das Vertragsende hinaus fort.
4. Bei Widerspruch zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Belangen die Regelungen dieses AVV vor.

§ 2 Art, Umfang und Zweck der Bearbeitung

1. Art der Bearbeitung: Erheben, Speichern, Strukturieren, Aufbewahren, Auslesen, Abfragen, Verwenden, Bekanntgeben durch Übermittlung, Verknüpfen, Einschränken sowie Löschen oder Vernichten von Personendaten — jeweils nur soweit zur Leistungserbringung erforderlich.
2. Zweck der Bearbeitung: Betrieb und Wartung der für die Verantwortliche bereitgestellten KI- und IT-Infrastruktur, einschliesslich Verarbeitung von Eingabe- und Ausgabedaten der KI-Anwendungen, Fehlerbehebung, Sicherstellung der Verfügbarkeit und Sicherheit sowie technischer Support.
3. Die konkreten Kategorien betroffener Personen und Datenarten ergeben sich aus Anhang 3.

§ 3 Weisungsgebundenheit

1. Die Auftragsbearbeiterin bearbeitet Personendaten ausschliesslich auf dokumentierte Weisung der Verantwortlichen, soweit sie nicht durch das anwendbare Recht zu einer anderen Bearbeitung verpflichtet ist. In einem solchen Fall teilt sie der Verantwortlichen diese rechtliche Anforderung vor der Bearbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2. Weisungen werden in der Regel durch den Hauptvertrag erteilt und können von der Verantwortlichen jederzeit in Textform (E-Mail genügt) konkretisiert, geändert oder ergänzt werden. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
3. Ist die Auftragsbearbeiterin der Auffassung, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst, informiert sie die Verantwortliche unverzüglich. Sie ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung auszusetzen.

§ 4 Vertraulichkeit der zur Bearbeitung befugten Personen

1. Die Auftragsbearbeiterin verpflichtet alle zur Bearbeitung der Personendaten befugten Personen vor Aufnahme der Tätigkeit schriftlich zur Vertraulichkeit (Geheimhaltung) bzw. stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
2. Diese Verpflichtung besteht auch nach Beendigung des jeweiligen Anstellungs- oder Beauftragungsverhältnisses fort.
3. Die Auftragsbearbeiterin stellt sicher, dass der Zugang zu Personendaten auf diejenigen Personen beschränkt ist, die ihn zur Erfüllung ihrer vertraglichen Pflichten benötigen («need-to-know»).

§ 5 Technische und organisatorische Massnahmen (TOM)

1. Die Auftragsbearbeiterin trifft und unterhält angemessene technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Datensicherheit gemäss Art. 8 revDSG / Art. 32 DSGVO). Die konkreten Massnahmen ergeben sich aus Anhang 1.
2. Die Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Die Auftragsbearbeiterin ist berechtigt, alternative angemessene Massnahmen umzusetzen, sofern das Schutzniveau hierdurch nicht unterschritten wird.
3. Auf Verlangen weist die Auftragsbearbeiterin die getroffenen Massnahmen in zumutbarer Weise nach (§ 11).

§ 6 Beizug von Unterauftragsbearbeitern

1. Die Verantwortliche erteilt der Auftragsbearbeiterin die allgemeine Genehmigung zum Beizug von Unterauftragsbearbeitern. Die bei Vertragsschluss genehmigten Unterauftragsbearbeiter sind in Anhang 2 aufgeführt.
2. Die Auftragsbearbeiterin schliesst mit jedem Unterauftragsbearbeiter einen Vertrag ab, der diesem im Wesentlichen dieselben Datenschutzpflichten auferlegt, wie sie in diesem AVV vereinbart sind.
3. Beabsichtigt die Auftragsbearbeiterin, einen weiteren Unterauftragsbearbeiter beizuziehen oder einen bestehenden zu ersetzen, informiert sie die Verantwortliche mindestens 14 Tage im Voraus in Textform. Die Verantwortliche kann innert dieser Frist aus wichtigem datenschutzrechtlichem Grund Widerspruch erheben. Kann in der Folge keine einvernehmliche Lösung gefunden werden, steht der Verantwortlichen ein ausserordentliches Kündigungsrecht hinsichtlich der betroffenen Leistung zu.
4. Die Auftragsbearbeiterin haftet für das Verhalten der von ihr beigezogenen Unterauftragsbearbeiter wie für eigenes Verhalten, im Rahmen der Haftungsregelung gemäss § 13.

§ 7 Unterstützung bei Betroffenenrechten

1. Die Auftragsbearbeiterin unterstützt die Verantwortliche im Rahmen des technisch Möglichen und Zumutbaren bei der Erfüllung von Anträgen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenherausgabe bzw. Datenportabilität und Widerspruch (Art. 25 ff. revDSG / Art. 12–22 DSGVO).
2. Wendet sich eine betroffene Person direkt an die Auftragsbearbeiterin, leitet diese das Anliegen unverzüglich an die Verantwortliche weiter und beantwortet es nicht selbst, sofern sie nicht von der Verantwortlichen dazu angewiesen wird.
3. Über den Hauptvertrag hinausgehender Unterstützungsaufwand kann nach den im Hauptvertrag vereinbarten Sätzen bzw. nach Aufwand verrechnet werden.

§ 8 Meldung von Verletzungen der Datensicherheit

1. Die Auftragsbearbeiterin meldet der Verantwortlichen jede ihr bekannt gewordene Verletzung der Datensicherheit, die zu einem Verlust, einer unbefugten Bekanntgabe oder einem unbefugten Zugriff auf Personendaten führt, unverzüglich, in der Regel innert 48 Stunden nach Kenntniserlangung.
2. Die Meldung enthält, soweit verfügbar: eine Beschreibung der Art der Verletzung, die betroffenen Kategorien und die ungefähre Zahl betroffener Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung und Schadensminderung. Liegen nicht alle Angaben vor, erfolgt eine stufenweise Nachmeldung ohne unangemessene Verzögerung.
3. Die Auftragsbearbeiterin unterstützt die Verantwortliche bei deren eigenen Melde- und Informationspflichten gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), zuständigen Aufsichtsbehörden und betroffenen Personen (Art. 24 revDSG / Art. 33 f. DSGVO). Die Beurteilung der Meldepflicht und die Meldung selbst obliegen der Verantwortlichen.

§ 9 Unterstützung bei Datenschutz-Folgenabschätzung

Die Auftragsbearbeiterin unterstützt die Verantwortliche unter Berücksichtigung der Art der Bearbeitung und der ihr zur Verfügung stehenden Informationen in zumutbarem Umfang bei einer allfälligen Datenschutz-Folgenabschätzung (Art. 22 revDSG / Art. 35 DSGVO) sowie bei einer vorgängigen Konsultation der Aufsichtsbehörde.

§ 10 Drittlandtransfer / Bekanntgabe ins Ausland

1. Die produktive Speicherung und Bearbeitung der Personendaten erfolgt grundsätzlich auf Infrastruktur in der Schweiz oder im Europäischen Wirtschaftsraum (EU/CH-Hosting, vgl. Anhang 1 und 2).
2. Soweit im Rahmen einzelner Dienste (z. B. KI-Modelle, E-Mail-Versand, CDN- und Sicherheitsdienste) eine Bekanntgabe in die USA oder andere Drittländer erfolgt, stellt die Auftragsbearbeiterin sicher, dass ein angemessenes Schutzniveau gewährleistet ist, insbesondere durch:
   • Zertifizierung des Empfängers unter dem EU-U.S. Data Privacy Framework (DPF) bzw. der Swiss-U.S.-Erweiterung; und/oder
   • Abschluss der Standardvertragsklauseln (SCC) der EU-Kommission, anerkannt durch den EDÖB, inklusive der erforderlichen schweizspezifischen Anpassungen; und/oder
   • ergänzende technische Massnahmen (z. B. Verschlüsselung, Pseudonymisierung) zur Absicherung des Transfers.
3. Eine Bekanntgabe ins Ausland erfolgt ausschliesslich im Rahmen der Genehmigungen gemäss § 6 und Anhang 2 sowie nach Massgabe von Art. 16 f. revDSG / Art. 44 ff. DSGVO.

§ 11 Nachweis- und Auditrechte

1. Die Auftragsbearbeiterin stellt der Verantwortlichen auf Verlangen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag festgelegten Pflichten zur Verfügung, vorrangig in Form aktueller Dokumentationen, Selbstauskünfte oder anerkannter Zertifikate/Prüfberichte.
2. Soweit dies nicht ausreicht, ermöglicht die Auftragsbearbeiterin Überprüfungen (Audits), einschliesslich Inspektionen, durch die Verantwortliche oder einen von ihr beauftragten, zur Vertraulichkeit verpflichteten Prüfer. Solche Audits sind mit angemessener Vorankündigung (mindestens 14 Tage), während der üblichen Geschäftszeiten, höchstens einmal jährlich (sowie anlassbezogen bei konkreten Verdachtsmomenten) und unter Wahrung der Betriebsabläufe sowie der Geheimhaltungsinteressen Dritter durchzuführen.
3. Der über die Bereitstellung von Standarddokumentation hinausgehende, durch ein Audit verursachte Aufwand der Auftragsbearbeiterin kann nach Aufwand verrechnet werden.

§ 12 Löschung und Rückgabe nach Vertragsende

1. Nach Beendigung der Bearbeitungstätigkeiten gibt die Auftragsbearbeiterin nach Wahl der Verantwortlichen sämtliche Personendaten heraus (in einem gängigen, maschinenlesbaren Format) oder löscht sie und vernichtet bestehende Kopien, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
2. Die Verantwortliche teilt ihre Wahl spätestens bei Vertragsende in Textform mit. Erfolgt keine Mitteilung, ist die Auftragsbearbeiterin nach Ablauf von 30 Tagen zur Löschung berechtigt.
3. Routinemässige Backups werden im Rahmen der ordentlichen Backup-Zyklen überschrieben und gelöscht. Die Löschung wird auf Verlangen in Textform bestätigt.

§ 13 Haftung

1. Für die Haftung der Parteien gelten die Bestimmungen des Hauptvertrags, insbesondere die dort und in den Allgemeinen Geschäftsbedingungen (AGB) der Auftragsbearbeiterin vereinbarten Haftungsbeschränkungen und Haftungshöchstgrenzen, soweit gesetzlich zulässig.
2. Die Auftragsbearbeiterin haftet gegenüber der Verantwortlichen nur für Schäden, die sie durch eine ihr zurechenbare Verletzung dieses Vertrags oder durch ein Handeln ausserhalb bzw. entgegen den rechtmässigen Weisungen der Verantwortlichen verursacht hat.
3. Die Haftung für leichte Fahrlässigkeit sowie für indirekte Schäden, Folgeschäden und entgangenen Gewinn ist im gesetzlich zulässigen Rahmen ausgeschlossen. Haftung für Vorsatz und grobe Fahrlässigkeit sowie zwingende gesetzliche Haftung bleiben vorbehalten.

§ 14 Schlussbestimmungen, Schriftform, anwendbares Recht und Gerichtsstand

1. Schriftform / Textform: Änderungen und Ergänzungen dieses Vertrags einschliesslich seiner Anhänge bedürfen zu ihrer Gültigkeit der Textform (E-Mail genügt). Dies gilt auch für die Aufhebung dieses Textformerfordernisses.
2. Salvatorische Klausel: Sollte eine Bestimmung dieses Vertrags ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem wirtschaftlichen Zweck am nächsten kommt.
3. Anwendbares Recht: Dieser Vertrag untersteht ausschliesslich dem materiellen schweizerischen Recht unter Ausschluss des Kollisionsrechts und des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG). Soweit auf die Verantwortliche bzw. deren Bearbeitung zwingend die DSGVO Anwendung findet, gilt dieser Vertrag zugleich als Vereinbarung im Sinne von Art. 28 Abs. 3 DSGVO.
4. Gerichtsstand: Ausschliesslicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Zug, Schweiz, vorbehältlich zwingender gesetzlicher Gerichtsstände.

Unterschriften

Die Parteien bestätigen mit ihrer Unterschrift die Geltung dieses Auftragsbearbeitungsvertrags samt seinen Anhängen 1–3.

Technische und organisatorische Massnahmen (TOM)

Die Auftragsbearbeiterin setzt insbesondere die folgenden Massnahmen um (Art. 8 revDSG / Art. 32 DSGVO):

1. Vertraulichkeit

• Verschlüsselung: Transportverschlüsselung (TLS 1.2+) für sämtliche Datenübertragungen sowie Verschlüsselung ruhender Daten (Encryption at Rest) auf Servern und in Backups.
• Zugriffskontrolle / RBAC: rollenbasiertes Berechtigungskonzept (Role-Based Access Control), Vergabe von Zugriffsrechten nach dem Prinzip der minimalen Rechte («least privilege» / «need-to-know»), Mehr-Faktor-Authentifizierung (MFA) für administrative Zugänge.
• Zutrittskontrolle: Hosting in zertifizierten Rechenzentren (ISO 27001) mit physischer Zutrittssicherung in der Schweiz / EU.
• Pseudonymisierung / Anonymisierung: Pseudonymisierung von Personendaten, wo technisch möglich und zweckmässig; Trennung produktiver Daten von Test- und Entwicklungsumgebungen.

2. Integrität

• Audit-Logging: Protokollierung sicherheitsrelevanter Zugriffe und administrativer Tätigkeiten; manipulationsgeschützte, zeitlich begrenzte Aufbewahrung der Logs.
• Eingabe- und Übertragungskontrolle: Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Personendaten.

3. Verfügbarkeit und Belastbarkeit

• Backups: regelmässige, verschlüsselte Datensicherungen mit definierten Aufbewahrungsfristen sowie periodische Wiederherstellungstests.
• Verfügbarkeit: Monitoring, Redundanz wesentlicher Komponenten, Schutzmassnahmen gegen Überlast und Angriffe (u. a. Firewall, WAF, DDoS-Schutz).
• EU/CH-Hosting: produktive Datenhaltung auf Infrastruktur in der Schweiz bzw. der EU (vgl. Anhang 2).

4. Verfahren zur regelmässigen Überprüfung

• regelmässige Überprüfung, Bewertung und Aktualisierung der Massnahmen (Patch- und Update-Management);
• Verpflichtung der Mitarbeitenden auf Vertraulichkeit und periodische Sensibilisierung (Awareness);
• dokumentierter Prozess zur Behandlung von Sicherheitsvorfällen (Incident Response).

Genehmigte Unterauftragsbearbeiter

Die folgenden Unterauftragsbearbeiter sind bei Vertragsschluss genehmigt (§ 6):

Unterauftragsbearbeiter	Leistung / Zweck	Standort / Hosting	Transfergrundlage Drittland
Hetzner Online GmbH	Server-, Cloud- und Hosting-Infrastruktur, Speicherung & Verarbeitung	Deutschland (EU)	kein Drittlandtransfer (EU)
Cloudflare, Inc.	CDN, DNS, DDoS-Schutz, Web Application Firewall, Reverse Proxy	EU / global (Edge), USA	EU-U.S. DPF und/oder SCC
Sendinblue SAS («Brevo»)	Transaktions- und Systeme-Mail-Versand (SMTP)	Frankreich / EU	kein Drittlandtransfer (EU); ergänzend SCC soweit erforderlich

Weitere für den konkreten Auftrag eingesetzte Dienste (z. B. KI-/LLM-Anbieter) werden, soweit sie Personendaten bearbeiten, vor ihrem Einsatz nach Massgabe von § 6 ergänzt und der Verantwortlichen mitgeteilt. Leere Zeilen sind für individuelle Ergänzungen vorgesehen.

Kategorien betroffener Personen und Datenarten

Im Rahmen des Auftrags werden voraussichtlich folgende Kategorien bearbeitet (von den Parteien auszufüllen / anzukreuzen):

Kategorien betroffener Personen

Kategorie	Zutreffend / Bemerkung
Kundinnen und Kunden der Verantwortlichen
Interessentinnen und Interessenten / Leads
Mitarbeitende der Verantwortlichen
Lieferanten- und Partnerkontakte
Nutzerinnen und Nutzer der KI-Anwendung (Endanwender)
Weitere:

Datenarten

Datenart	Zutreffend / Bemerkung
Stamm- und Kontaktdaten (Name, Adresse, E-Mail, Telefon)
Vertrags- und Abrechnungsdaten
Kommunikations- und Korrespondenzdaten (inkl. Chat-/Prompt-Inhalte)
Nutzungs-, Protokoll- und Metadaten (Logs, IP-Adressen)
Inhaltsdaten aus Dokumenten / Wissensdatenbanken (RAG)
Besonders schützenswerte Personendaten (Art. 5 lit. c revDSG / Art. 9 DSGVO — nur falls ausdrücklich vereinbart)
Weitere: