Auftragsbearbeitungsvertrag (AVV)
gemäss Art. 9 nDSG und Art. 28 DSGVO
Präambel
Dieser Auftragsbearbeitungsvertrag (nachfolgend «AVV») regelt die datenschutzrechtlichen Pflichten zwischen der TW Projects GmbH und ihren Auftraggebern für alle Mandate, in denen TW Projects GmbH im Auftrag des Auftraggebers personenbezogene Daten bearbeitet.
Der AVV gilt für sämtliche operative Geschäftsbereiche der TW Projects GmbH, insbesondere:
- TW Services (Marke): Erstellung und Betrieb von Vermarktungs-Landingpages, Performance-Marketing-Kampagnen, Produktion von Werbefilmen und Visualisierungen für B2B-Kunden im DACH-Raum.
- TW Projects (KI- und Software-Beratung): Beratung, Konzeption, Entwicklung und Betrieb individueller KI- und Software-Lösungen für Geschäftskunden, einschliesslich des Hostings solcher Lösungen auf der Infrastruktur der TW Projects GmbH.
Dieser AVV wird Vertragsbestandteil jedes Mandats zwischen TW Projects GmbH und einem Auftraggeber, sofern dies in der jeweiligen Offerte, Auftragsbestätigung oder einem Rahmenvertrag (zusammen: «Hauptvertrag») ausdrücklich vereinbart wird oder der Auftraggeber den AVV anderweitig schriftlich oder elektronisch anerkennt.
Parteien
Auftragsbearbeiter:
UID: CHE-440.628.856
Kontakt: kontakt@tw-p.ch
Verantwortlicher: Die im jeweiligen Hauptvertrag bezeichnete natürliche oder juristische Person, die TW Projects GmbH mit der Erbringung der dort beschriebenen Dienstleistungen beauftragt.
— gemeinsam «Parteien», einzeln «Partei» —
1. Begriffsbestimmungen
Die in diesem Vertrag verwendeten Begriffe entsprechen den Definitionen des nDSG bzw. der DSGVO:
- «Personenbezogene Daten» sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
- «Verantwortlicher» ist die Partei, die über Zweck und Mittel der Datenverarbeitung entscheidet.
- «Auftragsbearbeiter» ist die Partei, die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet.
- «Unter-Auftragsbearbeiter» ist ein vom Auftragsbearbeiter beigezogener Dritter, der personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet.
2. Gegenstand, Art und Zweck der Verarbeitung
2.1 Gegenstand
Der Auftragsbearbeiter erbringt für den Verantwortlichen die im jeweiligen Hauptvertrag definierten Dienstleistungen. Je nach Geschäftsbereich umfassen diese insbesondere:
TW Services Mandate:
- Erstellung und technischer Betrieb von Vermarktungs-Landingpages
- Erstellung und Schaltung von Online-Werbekampagnen (Meta Ads, Google Ads, LinkedIn Ads)
- Produktion von Werbefilmen und Visualisierungen
- Weiterleitung von Lead-Anfragen an den Verantwortlichen
TW Projects Beratungs- und Software-Mandate:
- Beratung im Bereich KI- und Software-Strategie
- Konzeption und Entwicklung individueller Software- und KI-Lösungen
- Implementierung und Betrieb solcher Lösungen auf der Infrastruktur des Auftragsbearbeiters
- Anbindung an Drittsysteme des Verantwortlichen
- Schulung und Support
2.2 Art und Zweck
Die Verarbeitung erfolgt zum Zweck der Erfüllung der im Hauptvertrag vereinbarten Leistungen. Konkrete Verarbeitungstätigkeiten umfassen das Hosten, Verarbeiten, Übermitteln, Anzeigen und Weiterleiten der nachfolgend genannten Datenkategorien.
2.3 Art der personenbezogenen Daten
Im Rahmen der Auftragsbearbeitung können — je nach Mandat — folgende Kategorien personenbezogener Daten bearbeitet werden:
- Stammdaten von Endkunden, Interessenten, Mitarbeitenden oder Geschäftspartnern des Verantwortlichen (Name, E-Mail, Telefon, Adresse, Funktion)
- Kommunikationsinhalte (Freitext aus Formularen, Chats, Nachrichten)
- Vertrags- und Transaktionsdaten
- Geschäftsdokumente, die der Verantwortliche dem Auftragsbearbeiter zur Bearbeitung übergibt
- Technische Daten (IP-Adresse, User-Agent, Logfiles) im Rahmen des Webseiten- oder System-Betriebs
- Bei Performance-Marketing: pseudonyme IDs (Cookie-IDs, Werbe-IDs)
Soweit der Verantwortliche dem Auftragsbearbeiter Zugang zu besonders schützenswerten Personendaten (Art. 5 lit. c nDSG) oder besonderen Kategorien (Art. 9 DSGVO) gewährt, ist dies im jeweiligen Hauptvertrag ausdrücklich zu vereinbaren und der Auftragsbearbeiter trifft erhöhte Sicherheitsvorkehrungen.
2.4 Kategorien betroffener Personen
Je nach Mandat:
- Endkunden, Interessenten oder potenzielle Käufer/Mieter des Verantwortlichen
- Mitarbeitende oder Geschäftspartner des Verantwortlichen
- Besucher der bereitgestellten Webseiten oder Systeme
2.5 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des jeweiligen Hauptvertrages. Nach dessen Beendigung gelten die Bestimmungen zu Löschung und Rückgabe gemäss Ziff. 10.
3. Pflichten des Auftragsbearbeiters
Der Auftragsbearbeiter verpflichtet sich:
a) personenbezogene Daten ausschliesslich im Rahmen der dokumentierten Weisungen des Verantwortlichen zu bearbeiten, sofern er nicht durch das Recht der Schweiz, der EU oder eines EU-Mitgliedstaates zu einer anderen Verarbeitung verpflichtet ist;
b) sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
c) die in Ziff. 5 dieses Vertrages und in Anhang 1 dokumentierten technischen und organisatorischen Massnahmen (TOMs) zu treffen und während der gesamten Vertragsdauer aufrechtzuerhalten;
d) Unter-Auftragsbearbeiter nur unter den Voraussetzungen von Ziff. 6 einzusetzen;
e) den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen zu unterstützen (Ziff. 7);
f) Datenschutzverletzungen unverzüglich gemäss Ziff. 8 zu melden;
g) den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 24 nDSG / Art. 32–36 DSGVO zu unterstützen;
h) nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Vertragsbeziehung zu löschen oder zurückzugeben (Ziff. 10);
i) dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieses Vertrages erforderlich sind, und Überprüfungen zu ermöglichen (Ziff. 9);
j) den Verantwortlichen unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragsbearbeiters gegen anwendbares Datenschutzrecht verstösst.
4. Pflichten des Verantwortlichen
Der Verantwortliche bleibt für die Rechtmässigkeit der Datenverarbeitung allein verantwortlich. Er stellt insbesondere sicher:
a) dass eine ausreichende Rechtsgrundlage für die Verarbeitung besteht (z.B. Einwilligung, Vertragsanbahnung, berechtigtes Interesse, gesetzliche Pflicht);
b) dass die betroffenen Personen über die Verarbeitung gemäss Art. 19 nDSG bzw. Art. 13/14 DSGVO informiert wurden, insbesondere durch eine geeignete Datenschutzerklärung;
c) dass Weisungen an den Auftragsbearbeiter rechtmässig sind und dieser zu deren Erfüllung berechtigt ist;
d) dass Anfragen betroffener Personen primär an den Verantwortlichen gerichtet werden und dieser sie eigenständig beantwortet.
5. Technische und organisatorische Massnahmen (TOMs)
Der Auftragsbearbeiter trifft die erforderlichen technischen und organisatorischen Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die konkreten Massnahmen sind in Anhang 1 dokumentiert. Der Auftragsbearbeiter ist berechtigt, die TOMs während der Vertragslaufzeit weiterzuentwickeln, sofern das Schutzniveau nicht reduziert wird.
6. Unter-Auftragsbearbeiter
6.1 Allgemeine Genehmigung
Der Verantwortliche erteilt dem Auftragsbearbeiter eine allgemeine Genehmigung zum Einsatz der in Anhang 2 aufgeführten Unter-Auftragsbearbeiter.
6.2 Information bei Änderungen
Der Auftragsbearbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen bezüglich der Hinzunahme oder Ersetzung von Unter-Auftragsbearbeitern, etwa durch Aktualisierung von Anhang 2 oder per E-Mail. Der Verantwortliche kann der Änderung innert dieser Frist begründet widersprechen. Im Fall eines berechtigten Widerspruchs sind beide Parteien berechtigt, den Hauptvertrag mit einer Frist von 30 Tagen zu kündigen.
6.3 Pflichten gegenüber Unter-Auftragsbearbeitern
Der Auftragsbearbeiter verpflichtet jeden Unter-Auftragsbearbeiter vertraglich auf datenschutzrechtliche Pflichten, die mindestens denen dieses Vertrages entsprechen. Bei Einsatz von Unter-Auftragsbearbeitern in Drittstaaten stellt der Auftragsbearbeiter sicher, dass geeignete Garantien (insbesondere EU-Standardvertragsklauseln, EU-U.S. Data Privacy Framework) vorliegen.
6.4 Haftung
Der Auftragsbearbeiter haftet für das Verhalten der von ihm eingesetzten Unter-Auftragsbearbeiter wie für eigenes Verhalten.
7. Unterstützung des Verantwortlichen
Der Auftragsbearbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Massnahmen, soweit möglich:
a) bei der Erfüllung von Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch;
b) bei der Einhaltung der Sicherheitspflichten nach Art. 8 nDSG / Art. 32 DSGVO;
c) bei der Meldung von Datenschutzverletzungen nach Art. 24 nDSG / Art. 33–34 DSGVO;
d) bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 22 nDSG / Art. 35 DSGVO.
Anfragen betroffener Personen, die direkt beim Auftragsbearbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet.
8. Meldung von Datenschutzverletzungen
Der Auftragsbearbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme, jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:
- Beschreibung der Art der Verletzung
- Soweit möglich Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
- Beschreibung der wahrscheinlichen Folgen
- Bereits ergriffene und vorgeschlagene Massnahmen
Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Erfüllung allfälliger Meldepflichten gegenüber Aufsichtsbehörden (EDÖB, EU-Datenschutzbehörden) und betroffenen Personen.
9. Nachweis und Kontrolle
Der Auftragsbearbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Vertrages zur Verfügung. Der Verantwortliche kann zudem nach vorheriger schriftlicher Ankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten Überprüfungen (Audits) durchführen oder durch einen unabhängigen Prüfer durchführen lassen. Übermässige oder unverhältnismässige Audits können vom Auftragsbearbeiter angemessen vergütet verlangt werden.
10. Beendigung und Datenrückgabe
Nach Beendigung des Hauptvertrages löscht der Auftragsbearbeiter sämtliche im Rahmen dieses Vertrages bearbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch des Verantwortlichen werden die Daten stattdessen in einem strukturierten, gängigen elektronischen Format zurückgegeben.
Die Löschung wird auf Verlangen schriftlich bestätigt. Backup-Kopien werden im Rahmen der ordentlichen Backup-Zyklen überschrieben.
11. Vertraulichkeit
Der Auftragsbearbeiter und alle für ihn tätigen Personen behandeln die im Rahmen dieses Vertrages bearbeiteten personenbezogenen Daten streng vertraulich. Diese Pflicht besteht auch nach Beendigung des Vertrages fort.
12. Haftung
Die Haftung der Parteien richtet sich nach den Bestimmungen des Hauptvertrages, soweit das anwendbare Datenschutzrecht keine zwingenden abweichenden Regelungen vorsieht. Die Parteien stellen einander von Ansprüchen betroffener Personen frei, soweit diese auf einem Pflichtverstoss der anderen Partei beruhen.
13. Vertragsdauer
Dieser Vertrag tritt mit Annahme des Hauptvertrages durch den Verantwortlichen in Kraft und endet automatisch mit Beendigung des Hauptvertrages. Die Pflichten zu Vertraulichkeit, Löschung und Auskunft bestehen über das Vertragsende hinaus fort.
14. Schlussbestimmungen
14.1 Anwendbares Recht
Es gilt schweizerisches Recht unter Ausschluss der Kollisionsnormen. Soweit die DSGVO als Drittstaatenregime Anwendung findet, gelten deren zwingende Bestimmungen vorrangig.
14.2 Gerichtsstand
Ausschliesslicher Gerichtsstand ist der Sitz des Auftragsbearbeiters (Dürnten ZH).
14.3 Vorrang
Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag haben die Bestimmungen dieses Vertrages für datenschutzrechtliche Belange Vorrang.
14.4 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck am nächsten kommt.
14.5 Änderungen
TW Projects GmbH behält sich vor, diesen AVV anzupassen, um ihn an geänderte Rechtslagen oder technische Änderungen anzupassen. Wesentliche Änderungen werden dem Verantwortlichen mit einer Vorlauffrist von 30 Tagen mitgeteilt. Es gilt jeweils die zum Zeitpunkt des Hauptvertragsabschlusses veröffentlichte Fassung, sofern nicht ausdrücklich anders vereinbart.
Anhang 1 — Technische und organisatorische Massnahmen (TOMs)
Der Auftragsbearbeiter setzt folgende technische und organisatorische Massnahmen ein:
1. Vertraulichkeit
- Zutrittskontrolle: Geschäftsräume sind ausserhalb der Geschäftszeiten verschlossen. Kein dauerhafter physischer Speicher mit produktiven Daten in den Geschäftsräumen.
- Zugangskontrolle: Alle administrativen Zugänge sind durch Multi-Faktor-Authentifizierung (MFA) geschützt. Passwörter erfüllen aktuelle Komplexitätsanforderungen und werden über einen Passwort-Manager verwaltet.
- Zugriffskontrolle: Berechtigungen werden nach dem Need-to-know-Prinzip vergeben. Row-Level-Security auf Datenbankebene. Zugriffe werden protokolliert.
- Trennungsgebot: Daten verschiedener Verantwortlicher werden logisch getrennt verarbeitet.
- Pseudonymisierung: Wo sinnvoll und technisch möglich, werden Daten pseudonymisiert bearbeitet.
2. Integrität
- Übertragungskontrolle: Sämtliche Datenübertragungen erfolgen verschlüsselt über TLS 1.2 oder höher.
- Eingabekontrolle: Veränderungen an personenbezogenen Daten werden protokolliert.
3. Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: Verwendung von Cloud-Diensten mit garantierten SLAs (Vercel, Supabase, Google Workspace).
- Wiederherstellbarkeit: Tägliche automatisierte Backups bei den eingesetzten Cloud-Diensten.
4. Verfahren zur regelmässigen Überprüfung
- Datenschutz-Management: Bearbeitungsverzeichnis wird laufend aktualisiert.
- Incident-Response: Dokumentiertes Verfahren zur Behandlung von Datenschutzverletzungen.
- Auftragskontrolle: Schriftliche Verträge mit allen Unter-Auftragsbearbeitern.
5. Spezifische Massnahmen für KI-gestützte Verarbeitungen
Bei Mandaten, die KI-gestützte Verarbeitung beinhalten:
- Einsatz nur von KI-Diensten, die vertraglich ausschliessen, dass Kundendaten zum Modelltraining verwendet werden.
- Bevorzugte Verwendung von KI-Diensten mit Hosting in der EU oder Schweiz, soweit fachlich möglich.
- Bei Übermittlung an US-basierte KI-Dienste: ausschliesslich Anbieter mit DPF-Zertifizierung und EU-Standardvertragsklauseln.
Anhang 2 — Unter-Auftragsbearbeiter
Stand: 26. Mai 2026
| Anbieter | Sitz | Zweck | Datenübermittlung | Garantien |
|---|---|---|---|---|
| Vercel Inc. | USA, Auslieferung über EU-Server | Hosting, Edge-CDN, Reichweitenmessung | EU (Frankfurt/Dublin), bei Bedarf USA | EU-Standardvertragsklauseln, EU-U.S. Data Privacy Framework |
| Supabase Inc. | Singapur, Speicherung in EU-Region | Datenbank, Storage, Authentifizierung | EU (Frankfurt) | Standardvertragsklauseln |
| Google Ireland Limited | Irland (EU) | E-Mail, Kalender, Dokumente (Google Workspace) | EU, bei Bedarf USA | EU-U.S. Data Privacy Framework |
| Cloudflare Inc. | USA | DNS, DDoS-Schutz, Edge-Sicherheit | Global | EU-Standardvertragsklauseln, EU-U.S. Data Privacy Framework |
| Bei TW Services Performance-Marketing zusätzlich: | ||||
| Meta Platforms Ireland Limited | Irland (EU) | Werbeschaltung Meta Ads | EU, bei Bedarf USA | EU-U.S. Data Privacy Framework |
| Google Ireland Limited | Irland (EU) | Werbeschaltung Google Ads | EU, bei Bedarf USA | EU-U.S. Data Privacy Framework |
| Bei TW Projects KI-Beratungs- und Implementierungsmandaten zusätzlich: | ||||
| Anthropic PBC | USA | KI-Sprachmodelle (Claude) | USA | EU-Standardvertragsklauseln, Zero Data Retention auf Anfrage |
| OpenAI Ireland Ltd. | Irland (EU) | KI-Sprachmodelle (GPT) | EU/USA | EU-Standardvertragsklauseln, EU-U.S. Data Privacy Framework |
Anerkennung des AVV: Mit Annahme der Offerte, Auftragsbestätigung oder eines Rahmenvertrages bzw. mit ausdrücklicher schriftlicher oder elektronischer Bestätigung erkennt der Verantwortliche diesen AVV als verbindlichen Vertragsbestandteil an. Die Bestätigung kann auch in Textform per E-Mail erfolgen.