Seit dem 1. September 2023 gilt das neue Schweizer Datenschutzgesetz (nDSG). Wer als Finanzintermediär einen externen Dienstleister mit der Verarbeitung von Kundendaten beauftragt – für Screening, KYC-Software, Cloud-Ablage oder Compliance-Plattformen – ist nach Art. 9 nDSG zur Auftragsbearbeitung verpflichtet. Das konkrete Instrument dafür heisst AVV (Auftragsverarbeitungsvertrag). Fehlt er, drohen Bussen bis CHF 250'000 – persönlich gegen die Geschäftsleitung. Dieser Artikel erklärt, was ein AVV enthalten muss, wann er zwingend ist und wie Finanzintermediäre die Pflicht pragmatisch erfüllen.
1. Was ist ein AVV – und was regelt er?
Der Auftragsverarbeitungsvertrag (AVV) ist ein schriftlicher Vertrag zwischen zwei Parteien:
- dem Verantwortlichen – das ist die Firma, die über Zweck und Mittel der Datenbearbeitung entscheidet (z.B. der Finanzintermediär), und
- dem Auftragsbearbeiter – der externe Dienstleister, der die Daten im Auftrag des Verantwortlichen verarbeitet (z.B. eine Compliance-Software, ein Screening-Anbieter oder ein Cloud-Dienst).
Der Auftragsbearbeiter handelt dabei ausschliesslich nach Weisung des Verantwortlichen – er verarbeitet die Daten nicht für eigene Zwecke. Der Verantwortliche bleibt datenschutzrechtlich verantwortlich, auch wenn er die konkrete Verarbeitung auslagert.
Im Schweizer Recht ist die Auftragsbearbeitung in Art. 9 des neuen Datenschutzgesetzes (nDSG) geregelt, das seit dem 1. September 2023 in Kraft ist. Das Konzept ist vergleichbar mit Art. 28 der EU-Datenschutzgrundverordnung (DSGVO) – mit einigen schweizerischen Besonderheiten.
2. Wann ist ein AVV für Finanzintermediäre Pflicht?
Ein AVV ist immer dann erforderlich, wenn ein externer Dienstleister Personendaten im Auftrag eines Finanzintermediärs bearbeitet. Für den Finanzsektor sind das typischerweise folgende Konstellationen:
- KYC- und Screening-Software: Anbieter, die Sanktionslisten-Screening, PEP-Prüfung oder Adverse-Media-Monitoring durchführen (z.B. Dilisense, World-Check, Refinitiv)
- Compliance-Plattformen: SaaS-Lösungen, auf denen Kundendossiers, Risikobewertungen und GwG-Dokumentation geführt werden
- Cloud-Speicher und Dokumentenablage: Jeder Cloud-Dienst (Microsoft 365, Google Workspace, Dropbox), auf dem Kundendaten gespeichert sind
- IT-Dienstleister und Managed Services: Externe IT-Firmen, die Zugriff auf Systeme mit Personendaten haben
- Outsourced Compliance Officers: Externe Compliance-Beratungsfirmen, die im Auftrag Kundendaten sichten und bewerten
- Treuhand und Lohnbuchhaltung: Dienstleister, die Mitarbeiterdaten verarbeiten
Nicht jede Zusammenarbeit mit einem Dritten begründet eine Auftragsbearbeitung. Wenn ein Anwalt oder Steuerberater Ihre Daten im Rahmen eines eigenen Dienstleistungsmandats bearbeitet und dabei eigene Urteile fällt, gilt er als eigenständiger Verantwortlicher – kein AVV nötig. Die entscheidende Frage lautet: Handelt der Dritte nach Ihren Weisungen, oder entscheidet er selbst über Zweck und Mittel der Bearbeitung?
3. Das Spannungsfeld: GwG-Pflichten und Datenschutz
Finanzintermediäre befinden sich in einem besonderen Spannungsfeld: Das Geldwäschereigesetz (GwG) verpflichtet sie, umfangreiche Personendaten ihrer Kunden zu erheben, zu prüfen und zu dokumentieren – Identitätsdaten, wirtschaftlich Berechtigte, Transaktionsdaten, Risikoklassifizierungen. Gleichzeitig schreibt das nDSG vor, wie diese Daten zu behandeln sind.
Konkret bedeutet das: Jede Compliance-Software, jeder Screening-Dienst, jede Cloud-Ablage, über die GwG-Pflichten erfüllt werden, ist gleichzeitig ein Auftragsbearbeiter im Sinne des nDSG. Wer also seine GwG-Dokumentation digital und mit Drittanbietern führt – was heute der Standard ist – kommt um den AVV nicht herum.
Die gute Nachricht: Beide Gesetze widersprechen sich nicht grundsätzlich. Das nDSG erlaubt die Datenbearbeitung für gesetzlich vorgeschriebene Zwecke wie die GwG-Compliance ausdrücklich. Ein sauber aufgesetzter AVV stellt sicher, dass beide Anforderungen gleichzeitig erfüllt werden.
Compliance-Plattform mit eingebautem Datenschutz
Die Virtue-Compliance-Plattform erfüllt die AVV-Anforderungen des nDSG. Als Schweizer Anbieter mit Datenhaltung in der Schweiz erhalten Sie alle notwendigen vertraglichen Grundlagen inklusive.
Kostenloses Beratungsgespräch buchen4. Was muss ein AVV enthalten?
Art. 9 nDSG nennt die Grundanforderungen: Der Auftragsbearbeiter muss die Daten so bearbeiten, wie der Verantwortliche es selbst tun dürfte. Der Verantwortliche muss sich vergewissern, dass der Auftragsbearbeiter die Datensicherheit gewährleisten kann.
In der Praxis sollte ein vollständiger AVV mindestens folgende Punkte regeln:
- Gegenstand und Dauer: Welche Daten werden für welchen Zweck und wie lange bearbeitet?
- Weisungsgebundenheit: Der Auftragsbearbeiter handelt ausschliesslich nach Ihren dokumentierten Weisungen.
- Technische und organisatorische Massnahmen (TOMs): Konkrete Sicherheitsvorkehrungen des Anbieters – Verschlüsselung, Zugriffskontrollen, Backup-Konzept.
- Vertraulichkeit: Verpflichtung des Personals des Auftragsbearbeiters zur Verschwiegenheit.
- Unterauftragsbearbeiter: Darf der Anbieter Unterauftragnehmer einsetzen? Wenn ja, unter welchen Bedingungen und mit Ihrer Genehmigung?
- Unterstützung bei Betroffenenrechten: Der Anbieter muss Sie unterstützen, wenn Kunden Auskunft, Berichtigung oder Löschung verlangen.
- Meldepflicht bei Datenpannen: Unverzügliche Benachrichtigung bei Sicherheitsvorfällen.
- Löschung oder Rückgabe: Was passiert mit den Daten nach Vertragsende?
- Audit-Recht: Das Recht, die Einhaltung des Vertrags zu prüfen oder prüfen zu lassen.
Viele Software-Anbieter stellen ihren AVV bereits als standardisierten Anhang zu ihren AGB bereit. Prüfen Sie, ob dieser Anhang tatsächlich alle oben genannten Punkte abdeckt und ob er auf das Schweizer Recht (nDSG) oder nur auf die EU-DSGVO ausgerichtet ist. Beides kann gültig sein – aber der Unterschied ist relevant.
5. Besonderheit: Dienstleister im Ausland
Viele Compliance-Software-Anbieter haben ihren Sitz im EU-Ausland oder in den USA. Das nDSG erlaubt die Übermittlung von Personendaten ins Ausland nur, wenn das Empfängerland ein angemessenes Datenschutzniveau bietet oder geeignete Garantien bestehen.
Der Bundesrat führt eine Liste der Länder mit angemessenem Schutzniveau. EU-Länder und EWR-Staaten sind in der Regel anerkannt. Für andere Länder – insbesondere die USA – braucht es zusätzliche Garantien, zum Beispiel:
- EU-Standardvertragsklauseln (SCC), die nach schweizerischem Recht angepasst wurden
- Verbindliche unternehmensinterne Datenschutzvorschriften (BCR)
- Eine ausdrückliche Einwilligung der betroffenen Person (in der Praxis selten praktikabel)
Für Finanzintermediäre bedeutet das: Prüfen Sie bei jedem Anbieter nicht nur, ob ein AVV vorliegt, sondern auch, wo die Daten tatsächlich gespeichert und verarbeitet werden.
6. Was droht ohne AVV?
Das nDSG sieht in Art. 61 lit. b eine Busse von bis zu CHF 250'000 vor, wenn Personendaten entgegen den Anforderungen der Auftragsbearbeitung (Art. 9 nDSG) an einen Dritten übermittelt werden.
Besonders relevant: Die Bussen im nDSG richten sich nicht gegen das Unternehmen, sondern gegen natürliche Personen – also gegen die Geschäftsleitung oder die für den Datenschutz verantwortliche Person. Das erhöht den persönlichen Handlungsdruck erheblich.
Neben Bussen drohen bei Verstössen:
- EDÖB-Untersuchungen: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte kann von sich aus tätig werden.
- SRO-Risiken: Bei einer GwG-Prüfung durch die SRO können Datenschutzmängel als Organisationsversagen gewertet werden.
- Reputationsschäden: Datenpannen oder EDÖB-Verfügungen werden öffentlich und beschädigen das Vertrauen von Kunden und Geschäftspartnern.
- Zivilrechtliche Haftung: Betroffene Kunden können bei Datenschutzverletzungen Schadensersatz geltend machen.
Nicht sicher, ob Ihre AVV-Dokumentation vollständig ist?
Virtue Compliance überprüft Ihre bestehenden Auftragsverarbeitungsverträge und hilft Ihnen, Lücken zu schliessen – bevor die nächste SRO-Prüfung kommt.
Jetzt Gespräch vereinbaren7. Praktische Checkliste für Finanzintermediäre
Diese Checkliste hilft Ihnen, den AVV-Status Ihrer Drittanbieter systematisch zu erfassen:
| Frage | Was tun? |
|---|---|
| Welche Drittanbieter verarbeiten Personendaten für uns? | Vollständiges Verzeichnis aller Dienstleister erstellen (Screening, KYC, Cloud, IT) |
| Liegt für jeden Anbieter ein gültiger AVV vor? | AVV einfordern, prüfen ob nDSG-konform (nicht nur DSGVO) |
| Wo liegen die Daten des Anbieters? | Datenhaltungsort prüfen; bei Ausland: Schutzniveau oder SCC sicherstellen |
| Setzt der Anbieter Unterauftragnehmer ein? | Liste der Sub-Auftragsbearbeiter anfordern; Zustimmungspflicht im AVV verankern |
| Sind TOMs des Anbieters dokumentiert? | Sicherheitszertifikate oder TOMs-Beschrieb einfordern (ISO 27001, SOC 2 o.ä.) |
| Ist der AVV im Bearbeitungsverzeichnis dokumentiert? | Verzeichnis der Bearbeitungstätigkeiten (Art. 12 nDSG) aktuell halten |
Ein vollständiges Verzeichnis der Bearbeitungstätigkeiten (Art. 12 nDSG) ist für Finanzintermediäre mit mehr als 250 Mitarbeitenden Pflicht – für kleinere Betriebe empfiehlt es sich trotzdem als Nachweis gegenüber der SRO.
Weitere relevante Artikel zum Thema: AML-Compliance-Kosten im Überblick und SRO-Registrierung Schritt für Schritt.
Key Takeaways
AVV und nDSG-Compliance für Ihren Betrieb aufsetzen
Virtue Compliance unterstützt Finanzintermediäre dabei, die Anforderungen von GwG und nDSG gemeinsam und effizient zu erfüllen – mit einer Plattform, die Datenschutz von Anfang an mitdenkt.
Jetzt kostenloses Erstgespräch buchenQuellen
- Bundesgesetz über den Datenschutz (nDSG), SR 235.1, in Kraft seit 1. September 2023 – fedlex.admin.ch
- Art. 9 nDSG – Auftragsbearbeitung, Erläuterung – dsg.ch
- Art. 61 nDSG – Straf- und Bussbestimmungen – datenschutz-grundverordnung.eu
- Mandaris: GwG im Spannungsfeld mit dem DSG – Was Finanzintermediäre beachten müssen – mandaris.com
- activeMind.ch: DSG-konforme Auftragsbearbeitung – activemind.ch
- reto.legal: Auftragsverarbeitungsvertrag nach DSG – Überblick und praktische Tipps – reto.legal
- law-meets-tech.ch: Strafen und Sanktionen im neuen DSG – law-meets-tech.ch