Sobald personenbezogene Daten an einen Dritten weitergegeben werden, der sie im Auftrag verarbeitet, braucht es einen schriftlichen Auftragsverarbeitungsvertrag. Im mobilen Kontext ist das jeder MDM-Anbieter, jeder Cloud-Dienst und jeder externe Support mit Geräte-Zugriff.
Wann ein AVV gesetzlich nötig ist
Nach revDSG (CH) und DSGVO (EU) ist ein AVV Pflicht, sobald ein Verantwortlicher personenbezogene Daten durch einen Auftragsverarbeiter verarbeiten lässt. Verantwortlich ist, wer über Zweck und Mittel der Datenverarbeitung entscheidet — das ist in aller Regel das Unternehmen selbst. Auftragsverarbeiter ist, wer technisch verarbeitet: der MDM-Anbieter, der Cloud-Speicher-Provider, der Callcenter-Dienstleister.
Pflicht-Bestandteile eines AVV
- Gegenstand, Dauer, Art und Zweck der Verarbeitung — keine Zweckentfremdung.
- Art der personenbezogenen Daten und Kategorien der betroffenen Personen.
- Pflichten und Rechte des Verantwortlichen.
- Technische und organisatorische Sicherheitsmassnahmen (Verschlüsselung, Zugriff, Backup).
- Regelung zu Unterauftragsverarbeitern: Liste, Zustimmungspflicht, Informationspflicht bei Änderungen.
- Löschfristen und Verfahren am Ende des Auftrags.
- Audit-Rechte des Verantwortlichen.
AVV in der mobilen Praxis
Für eine Geräteflotte bedeutet das: der AVV mit dem MDM-Anbieter regelt, welche Daten das MDM einsehen darf, wo diese Daten liegen, wer darauf zugreift und wie lange sie aufbewahrt werden. Bei Verlust oder Wechsel des Anbieters ist der AVV die Grundlage für die saubere Migration — inklusive Löschprotokoll.
Schweizer Besonderheiten
Die Schweiz kennt zwar kein eigenes DSGVO, aber revDSG setzt vergleichbare Anforderungen. Für Unternehmen, die in die EU verkaufen oder EU-Mitarbeitende haben, gelten beide Regime parallel. Ein guter AVV erfüllt beide — die Musterverträge der grossen Anbieter sind darauf ausgelegt.
Häufige Fehler
- AVV nicht geprüft, nur unterzeichnet — im Ernstfall wird bemerkt, dass Löschfristen fehlen.
- Unterauftragsverarbeiter nicht nachvollzogen — der MDM-Anbieter nutzt selbst eine Cloud, die nicht gelistet ist.
- Keine regelmässige Überprüfung: ein zweijähriger AVV ohne Review ist in der sich ändernden Rechtslage risikobehaftet.
- AVV nur für den Haupt-Dienstleister, nicht für kleine Hilfstools mit Datenzugriff.
Aus unseren Projekten
Die meisten Musterverträge grosser SaaS-Anbieter sind DSGVO-/revDSG-konform aufgebaut — das Problem liegt meist in den Unterauftragsverarbeitern. Ein AVV mit dem Haupt-Dienstleister ist schnell signiert; die kaskadierten AVVs mit dessen Subdienstleistern (Cloud-Provider, Monitoring-Tools, Log-Dienste) bleiben oft unbeachtet. Bei kritischen Daten lohnt sich die Frage: welche Sub-Auftragsverarbeiter kennen meine Daten, und habe ich zu denen eine Informations- oder Zustimmungsklausel? Diese Prüfung ist einmal Aufwand — gibt aber Klarheit, wo die Daten tatsächlich liegen und wer sie im Ernstfall erreichen kann.
Weiterlesen
Verwandte Themen: revDSG, NIST 800-88, MDM. Sektorspezifisch in unseren Ratgebern MDM-Auswahl für Spitex und Beschaffung für die öffentliche Hand.