StartseiteÜber michMeine AngeboteReferenzenShop
Kostenfreier Technik-Check

Vertrag zur Auftragsverarbeitung

Vertrag zur Auftragsverarbeitung (AVV)

gemäss Art. 28 DSGVO sowie den Anforderungen des Schweizer Datenschutzgesetzes (DSG)

zwischen

[Name / Firma des Kunden]

Adresse des Kunden

– nachfolgend „Auftraggeber“

und

Mangold Digital Design
Maya Mangold
Zürcherstrasse 29
8853 Lachen SZ
Schweiz

– nachfolgend „Auftragnehmer“

Dieser Vertrag gilt für alle Leistungen, die im Rahmen einer Zusammenarbeit zwischen Auftraggeber und Auftragnehmer erfolgen, insbesondere bei:

  • Bestellungen über den Online-Shop des Auftragnehmers
  • Annahme einer Offerte / eines Angebots
  • Bezahlung einer Rechnung für Dienstleistungen

Der Vertrag findet Anwendung auf alle Tätigkeiten, bei denen der Auftragnehmer personenbezogene Daten des Auftraggebers oder von dessen Kunden verarbeitet.


1. Vertragsgegenstand und Weisungsrecht des Auftraggebers

(1) Gegenstand dieses Vertrages sind Leistungen des Auftragnehmers, die im Rahmen der jeweiligen Bestellung, Offerte oder Rechnung vereinbart wurden.

Dies kann insbesondere umfassen:

  • Erstellung oder Wartung von Webseiten
  • technische Betreuung von Websites und IT-Systemen
  • Zugriff auf Backend-Systeme (z. B. CMS, Hosting, Datenbanken)
  • Integration von Tools oder Plugins
  • Support- und Wartungsleistungen

(2) Der Auftraggeber ist im Sinne der Datenschutzgesetze die verantwortliche Stelle für die Verarbeitung personenbezogener Daten.

(3) Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich:

  • im Auftrag des Auftraggebers
  • auf dokumentierte Weisung des Auftraggebers
  • im Rahmen der vertraglich vereinbarten Leistungen.

(4) Weisungen können insbesondere erfolgen:

  • schriftlich
  • per E-Mail
  • über Projektmanagementsysteme
  • im Rahmen der vereinbarten Zusammenarbeit.

(5) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen geltendes Datenschutzrecht verstösst, informiert er den Auftraggeber unverzüglich.

(6) Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit der Geschäftsbeziehung bzw. der jeweiligen Bestellung, Offerte oder Rechnung.


2. Technische und organisatorische Massnahmen

(1) Der Auftragnehmer verpflichtet sich, personenbezogene Daten gemäss den geltenden Datenschutzgesetzen zu schützen.

(2) Der Auftragnehmer trifft angemessene technische und organisatorische Massnahmen gemäss Art. 32 DSGVO, insbesondere:

  • Zugriffsbeschränkung auf Systeme
  • Passwortschutz und sichere Authentifizierung
  • verschlüsselte Datenübertragung (SSL/TLS)
  • Einsatz von Sicherheitssoftware
  • regelmässige Updates von Systemen
  • strukturierte Datenablage zur Trennung von Kundendaten

(3) Die Massnahmen werden regelmässig überprüft und bei Bedarf an den Stand der Technik angepasst.


3. Vertraulichkeit

Der Auftragnehmer verpflichtet sich, alle personenbezogenen Daten vertraulich zu behandeln.

Personen, die Zugriff auf personenbezogene Daten haben, werden zur Vertraulichkeit verpflichtet.

Diese Verpflichtung gilt auch über das Ende der Zusammenarbeit hinaus.


4. Informationspflichten des Auftragnehmers

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich über:

  • Datenschutzverletzungen
  • Sicherheitsvorfälle
  • unbefugte Zugriffe auf Daten

sonstige relevante Unregelmässigkeiten.

(2) Eine Meldung über eine Datenschutzverletzung enthält – soweit möglich – folgende Informationen:

  • Art der Verletzung
  • Kategorien betroffener Daten
  • Anzahl betroffener Personen
  • mögliche Folgen der Verletzung
  • ergriffene oder geplante Massnahmen

(3) Der Auftragnehmer ergreift unverzüglich geeignete Massnahmen zur Sicherung der Daten.



5. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Verpflichtungen zu überprüfen.

Dies kann erfolgen durch:

  • Selbstauskünfte
  • Dokumentationsprüfungen
  • angemessene Audits

Kontrollen müssen verhältnismässig sein und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismässig beeinträchtigen.


6. Einsatz von Subunternehmern

Der Auftragnehmer ist berechtigt, Subunternehmer einzusetzen, insbesondere:

  • Hosting-Anbieter
  • Cloud-Dienste
  • IT-Dienstleister
  • Softwareanbieter
  • Freelancer

Der Auftragnehmer stellt sicher, dass diese ebenfalls geeignete Datenschutzmassnahmen einhalten.

Subunternehmer werden sorgfältig ausgewählt und vertraglich zur Einhaltung der Datenschutzvorschriften verpflichtet.


7. Haftung

Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend den gesetzlichen Bestimmungen der DSGVO sowie des Schweizer Datenschutzrechts.

Der Auftragnehmer haftet nur für Schäden, die durch eine schuldhafte Verletzung der Datenschutzpflichten entstanden sind.


8. Beendigung der Verarbeitung

Nach Beendigung der Zusammenarbeit wird der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers:

  • löschen oder
  • zurückgeben

sofern keine gesetzliche Aufbewahrungspflicht besteht.

Der Auftragnehmer ist verpflichtet, auch nach Beendigung der Zusammenarbeit alle Daten vertraulich zu behandeln.


9. Schlussbestimmungen

(1) Änderungen oder Ergänzungen dieses Vertrages bedürfen der Schriftform oder eines dokumentierten elektronischen Formats.

(2) Sollte eine Bestimmung dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht des Landes, in dem der Auftragnehmer seinen Sitz hat, soweit gesetzlich zulässig.


Anlage 1 – Beschreibung der Datenverarbeitung

Gegenstand der Verarbeitung

Der Auftragnehmer erbringt Dienstleistungen im Bereich:

  • Webdesign
  • Webentwicklung
  • technische Betreuung von Webseiten
  • Hosting-nahe Dienstleistungen
  • digitale Marketing- oder IT-Dienstleistungen.

Dabei kann der Auftragnehmer Zugriff auf Systeme oder Datenbanken erhalten.



Art der personenbezogenen Daten

Beispielsweise:

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • IP-Adresse
  • Benutzerkonten
  • Kommunikationsdaten
  • Kundendatenbanken

Kategorien betroffener Personen

  • Kunden des Auftraggebers
  • Interessenten
  • Nutzer von Webseiten
  • Mitarbeiter des Auftraggebers.


Letzte Aktualisierung: Januar 2026