Wer einen Auftragsbearbeitungsvertrag (AVV) erhält, steht vor einem typischen Problem: Das Dokument kommt vom Anbieter, ist auf dessen Interessen zugeschnitten, und der Zeitdruck ist hoch. Trotzdem ist eine sorgfältige Prüfung unverzichtbar – seit dem revidierten Datenschutzgesetz (revDSG) gilt das nicht nur für DSGVO-pflichtige Unternehmen, sondern auch für Schweizer Unternehmen, die Personendaten durch externe Dienstleister bearbeiten lassen. Dieser Guide erklärt, worauf es beim DPA-Review ankommt und wie KI-gestützte Werkzeuge den Prozess strukturieren können.
Was ein AVV regelt und wann er nötig ist
Ein Auftragsbearbeitungsvertrag – im EU-Kontext auch Data Processing Agreement (DPA) genannt – ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsbearbeiter. Er legt fest, wie Personendaten im Auftrag des Verantwortlichen bearbeitet werden dürfen.
Die rechtliche Grundlage im EU-Raum ist Art. 28 DSGVO. Im Schweizer Recht verlangt Art. 9 revDSG ebenfalls eine vertragliche Regelung der Auftragsbearbeitung, wenn der Auftragsbearbeiter Personendaten im Auftrag des Verantwortlichen bearbeitet. Die Anforderungen sind inhaltlich vergleichbar, aber nicht identisch.
Ein AVV ist erforderlich, sobald externe Dienstleister Zugriff auf Personendaten erhalten – etwa bei SaaS-Anbietern, Cloud-Infrastrukturen, CRM-Systemen, Analytics-Plattformen oder IT-Integrationsprojekten. Fehlende oder unzureichende AVV bedeuten bei Kontrollen oder Datenpannen erhebliche Haftungsrisiken.
Die kritischen Klauseln beim DPA Review
Nicht jeder AVV, den ein Anbieter vorlegt, schützt den Verantwortlichen ausreichend. Ein standardisierter Anbieter-AVV ist zunächst auf die Interessen des Auftragsbearbeiters ausgelegt. Beim Review müssen folgende Bereiche aktiv geprüft werden:
Zweck und Umfang der Bearbeitung
Der AVV muss den Bearbeitungszweck, die Datenkategorien, die betroffenen Personengruppen und die Laufzeit klar definieren. Vage Formulierungen wie "zur Vertragserfüllung erforderliche Daten" sind problematisch, weil sie keine klare Begrenzung bieten.
Technische und organisatorische Massnahmen
Der TOM-Anhang ist einer der häufigsten Schwachpunkte. Entweder fehlt er ganz, ist veraltet oder enthält nur allgemeine Aussagen ohne operativen Gehalt. Konkrete Anforderungen – Zugriffskontrollen, Verschlüsselung, Incident-Response-Prozesse, Löschkonzepte – müssen nachweislich vorhanden sein.
Unterauftragnehmer und Sub-Processor-Listen
Der Auftragsbearbeiter darf Dritte in der Regel nur mit Genehmigung des Verantwortlichen einschalten. Kritisch sind pauschale Genehmigungsklauseln ("Auftragnehmer kann Unterauftragnehmer einsetzen") sowie unvollständige oder nicht aktuell gehaltene Listen. Bei internationalen Anbietern – insbesondere US-Anbietern – kommt die Frage der Drittlandübermittlung hinzu.
Drittlandübermittlung
Werden Daten ausserhalb der EU/des EWR bearbeitet, müssen geeignete Garantien vorliegen – in der Regel Standardvertragsklauseln (SCCs) in Kombination mit einem Transfer Impact Assessment (TIA). Fehlen diese oder sind sie nicht aktuell, liegt ein klares Risiko vor.
Betroffenenrechte und Auskunftspflichten
Der AVV muss regeln, wie der Auftragsbearbeiter den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) unterstützt. In der Praxis sind diese Klauseln oft unvollständig oder setzen die Pflichten einseitig beim Verantwortlichen an.
Haftung, Prüfrechte und Löschung
Haftungsklauseln in AVV sind häufig zu Gunsten des Auftragsbearbeiters formuliert. Auch Prüfrechte werden oft auf reine Fragebogen-Audits reduziert, obwohl ein echtes Audit-Recht vertraglich verankert sein sollte. Nach Vertragsende muss der Auftragsbearbeiter Daten entweder zurückgeben oder nachweisbar löschen.
Wie ein strukturierter Review-Prozess aussieht
Ein praxistauglicher AVV-Review folgt typischerweise einer klaren Abfolge:
Zuerst werden alle relevanten Dokumente zusammengestellt: der AVV-Entwurf, der Hauptvertrag, der TOM-Anhang, die Sub-Processor-Liste sowie eine Beschreibung des Tools oder der Dienstleistung. Ohne diese Dokumente ist eine vollständige Prüfung nicht möglich.
Dann wird die Rollenklassifikation geprüft: Liegt tatsächlich eine Auftragsbearbeitung vor, oder handelt es sich um eine gemeinsame Verantwortlichkeit (Joint Controllership)? Diese Unterscheidung hat erhebliche rechtliche Konsequenzen.
Anschliessend erfolgt die inhaltliche Prüfung der oben genannten Klauseln. Jede Lücke oder Abweichung von den Anforderungen wird dokumentiert, priorisiert und mit einer Empfehlung versehen: akzeptieren, verhandeln oder ablehnen.
Wo KI den AVV-Review verändert
Die manuelle Prüfung eines AVV ist zeitaufwendig. Bei internationalen Anbietern kommen oft 20 bis 40 Seiten Vertragstext, TOM-Anhang und Sub-Processor-Liste zusammen – bevor man zur eigentlichen Analyse kommt, ist schon einige Zeit vergangen.
KI-gestützte Werkzeuge können diesen Prozess beschleunigen, indem sie Klauseln automatisch identifizieren, gegen einen definierten Standard vergleichen und Lücken strukturiert anzeigen. Das ändert nichts an der rechtlichen Verantwortung des Prüfenden – aber es verlagert den Aufwand weg von der Durchsicht hin zur Beurteilung.
CASUS, eine Schweizer Legal-AI-Plattform für Kanzleien und Inhouse Legal Teams, bietet dafür mehrere aufeinander abgestimmte Module.
Benchmark: AVV gegen Standard prüfen
Mit dem Benchmark-Modul lässt sich ein AVV automatisch gegen einen definierten Standard prüfen – etwa gegen ein internes Playbook oder etablierte Best Practices für Auftragsbearbeitungsverträge. CASUS zeigt, welche Standardklauseln fehlen, welche unvollständig sind und wo Abweichungen bestehen. Das Ergebnis ist ein strukturierter Überblick mit Übereinstimmungswert (in Prozent) und konkreten Empfehlungen pro Lücke. Fehlende Klauseln können direkt ins Dokument eingefügt werden – formatgerecht und an der richtigen Stelle.
Risk & Quality Review: Risiken priorisieren
Der Risk & Quality Review analysiert den AVV aus Perspektive der Vertragspartei und priorisiert Findings nach Schweregrad (niedrig / mittel / hoch). Das ist besonders nützlich, wenn nicht jede Schwachstelle gleich gewichtet werden soll – Löschklausel ohne operativen Nachweis ist hochkritisch, während eine leicht unvollständige Definitionsklausel mittlere Priorität haben kann. Verbesserungsvorschläge als konkrete Formulierungsoptionen sind direkt in Word übernehmbar.
AI Chat: Gezielte Fragen zum Dokument
Über den AI Chat lassen sich gezielte Fragen stellen: Welche Sub-Processor sind im AVV genehmigt? Wie sind die Prüfrechte formuliert? Gibt es eine Löschfrist nach Vertragsende? Die Antworten sind mit den relevanten Textstellen verknüpft, sodass man direkt zur Passage springen kann.
Legal Research: Rechtliche Einordnung
Das Legal Research-Modul unterstützt bei der Einordnung von Klauseln auf Basis von Gesetzen und Rechtsprechung – quellenbasiert, strukturiert, nachvollziehbar. Wer etwa prüfen möchte, ob eine bestimmte TOM-Formulierung den Anforderungen des revDSG genügt, erhält eine strukturierte Ersteinschätzung, die direkt in den Review einfliessen kann.
Was das für die Praxis bedeutet
Für Legal Teams in Schweizer Unternehmen bedeutet das konkret: Der AVV-Review lässt sich mit KI-Unterstützung effizienter strukturieren, ohne dass die juristische Beurteilungsverantwortung abgegeben wird. Besonders bei wiederkehrenden Aufgaben – neue SaaS-Tools vor Go-Live prüfen, Vendor-Onboarding, Aktualisierungen bestehender Verträge – schafft ein standardisierter KI-gestützter Workflow Konsistenz und spart Zeit.
Kanzleien, die Mandanten bei der Einführung neuer Technologien beraten, profitieren ähnlich: strukturierte Ausgaben statt Ad-hoc-Prüfungen, klare Priorisierungen für Verhandlungen, und direkt verwendbare Formulierungsvorschläge.
Ein Aspekt, der oft übersehen wird: CASUS hostet alle Daten in der Schweiz oder der EU, überträgt keine Daten in die USA und arbeitet ohne Human Review und ohne Datenspeicherung. Gerade bei der Prüfung von AVV – die selbst Fragen der Datensicherheit betreffen – ist das ein relevanter Faktor.
Mit CASUS starten
Wer Auftragsbearbeitungsverträge regelmässig prüfen muss, kann CASUS direkt im Browser oder als Microsoft Word Add-in nutzen. Die Plattform ist speziell auf Schweizer Kanzleien und Inhouse Legal Teams ausgelegt. Unter app.getcasus.com/signup ist ein kostenloser Test ohne Vorabverpflichtung möglich.
FAQ
Was ist ein Auftragsbearbeitungsvertrag (AVV)?
Ein Auftragsbearbeitungsvertrag (AVV) – im EU-Kontext auch Data Processing Agreement (DPA) – ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsbearbeiter. Er regelt, wie der Auftragsbearbeiter Personendaten im Auftrag des Verantwortlichen bearbeiten darf, welche technischen und organisatorischen Massnahmen gelten und welche Rechte und Pflichten beide Seiten haben.
Wann ist ein AVV nach revDSG erforderlich?
Nach Art. 9 revDSG ist ein AVV erforderlich, wenn ein Auftragsbearbeiter Personendaten im Auftrag des Verantwortlichen bearbeitet. Das gilt für externe Dienstleister wie SaaS-Anbieter, Cloud-Plattformen, CRM-Systeme oder IT-Dienstleister, die Zugriff auf Personendaten erhalten.
Was muss beim DPA Review geprüft werden?
Beim Review eines Auftragsbearbeitungsvertrags sind insbesondere folgende Punkte zu prüfen: Zweck und Umfang der Bearbeitung, technische und organisatorische Massnahmen (TOM-Anhang), Sub-Processor-Liste und Genehmigungsklauseln, Drittlandübermittlungen (SCCs, TIA), Betroffenenrechte, Prüfrechte des Verantwortlichen sowie Lösch- und Rückgabepflichten nach Vertragsende.
Was ist der Unterschied zwischen Auftragsbearbeitung und Joint Controllership?
Bei der Auftragsbearbeitung handelt ein Dienstleister ausschliesslich nach Weisung des Verantwortlichen und ohne eigenen Entscheidungsspielraum über Zweck und Mittel der Bearbeitung. Beim Joint Controllership bestimmen zwei oder mehr Parteien gemeinsam über Zweck und Mittel – das erfordert eine andere vertragliche Regelung (gemeinsame Verantwortlichkeit). Die Rollenklassifikation ist deshalb der erste Schritt jedes AVV-Reviews.
Reicht ein Standard-AVV des Anbieters aus?
Ein Standard-AVV eines Anbieters schützt in erster Linie die Interessen des Auftragsbearbeiters. Er kann akzeptabel sein, muss aber aktiv geprüft werden. Fehlende Klauseln, pauschale Sub-Processor-Genehmigungen oder unzureichende TOM-Anhänge sind typische Schwachstellen, die eine Verhandlung oder Ergänzung erfordern.
Wie kann KI beim Prüfen eines Auftragsbearbeitungsvertrags helfen?
KI-Werkzeuge wie CASUS können einen AVV automatisch gegen einen definierten Standard vergleichen, Lücken und Abweichungen strukturiert anzeigen, Risiken nach Schweregrad priorisieren und konkrete Formulierungsvorschläge liefern. Das beschleunigt die Durchsicht erheblich. Die rechtliche Beurteilung und Entscheidungsverantwortung liegt weiterhin beim prüfenden Juristen.
Ist CASUS datenschutzkonform für die Prüfung von Vertragsunterlagen?
CASUS hostet alle Daten in der Schweiz oder der EU, überträgt keine Daten in die USA und arbeitet mit Zero Data Retention und ohne Human Review. Vertragsunterlagen werden nicht gespeichert und nicht von Dritten eingesehen.
Was passiert, wenn ein AVV fehlt oder unzureichend ist?
Fehlt ein AVV oder ist er inhaltlich unzureichend, liegt ein Verstoss gegen Art. 28 DSGVO bzw. Art. 9 revDSG vor. Das kann bei Datenpannen oder Behördenanfragen zu Haftungsrisiken, Bussgeldern und Reputationsschäden führen. Zudem haftet der Verantwortliche für Schäden, die aus einer nicht regelkonformen Auftragsbearbeitung entstehen.
