DPA und DSG: was ein Enterprise-Kunde von dir verlangen wird

Sobald dich ein Enterprise-Kunde ernst nimmt, schickt er einen Datenschutzfragebogen, bevor irgendetwas unterschrieben wird. Der DPA, den du deinem Hauptvertrag beilegst, entscheidet, ob das Gespräch eine Woche oder drei Monate dauert. Eine saubere Vorlage, die das revidierte Schweizer DSG (in Kraft seit 1. September 2023) und die DSGVO gleichzeitig abdeckt, schliesst die Diskussion schnell ab.

Die vertraglichen Anker sind DSG Art. 9 (Pflichten des Auftragsbearbeiters) und DSGVO Art. 28 (Auftragsverarbeiter-Vertrag). Beide verlangen einen schriftlichen Vertrag, beide verlangen dieselben Mindestinhalte, beide verlangen Subprozessor-Offenlegung. Der DPA erfüllt beides in einem Dokument.

Gemeinsamkeiten DSG und DSGVO

Beide verlangen einen schriftlichen Vertrag zwischen Verantwortlicher und Auftragsbearbeiterin mit Gegenstand, Zweck, Dauer und Kategorien der Daten, mit den Pflichten der Auftragsbearbeiterin und den technisch-organisatorischen Massnahmen (DSG Art. 8, DSGVO Art. 32). Beide verlangen Meldungen von Datenschutzverletzungen ohne unangemessene Verzögerung (DSG Art. 24 an EDÖB und betroffene Personen, DSGVO Art. 33 an die Aufsichtsbehörde innert 72 Stunden). Beide verlangen Subprozessor-Offenlegung und ein Auditrecht.

Wo das DSG abweicht

• Personendaten juristischer Personen fallen seit 1. September 2023 nicht mehr unter das revidierte DSG, parallel zur DSGVO.
• Grenzüberschreitende Übermittlungen in Länder ohne angemessenes Schutzniveau brauchen zusätzliche Garantien nach DSG Art. 16. Der Bundesrat führt die Adäquanzliste (DSV Anhang 1), die Swiss SCCs sind die EU-SCCs mit einem schmalen Schweizer Anhang.
• Meldungen von Datenschutzverletzungen gehen an den EDÖB nach DSG Art. 24, nicht an die Behörde des Kundenstaats, wenn die Verantwortliche in der Schweiz sitzt.
• Das Auskunftsrecht (DSG Art. 25) verpflichtet zur unentgeltlichen Antwort innert dreissig Tagen, mit strafrechtlichen Folgen für die verantwortliche Person (bis CHF 250'000 persönliche Busse nach DSG Art. 60), wenn die Antwort fehlt oder falsch ist.
• Es gibt kein DSG-Äquivalent zu den zwei oder vier Prozent Umsatzbussen der DSGVO. Schweizer Sanktionen sind persönlich (Privatperson direkt gebüsst), was das Risiko für den Gründer persönlich verändert.

Wenn ein Kunde ein Auskunftsbegehren nach DSG stellt und wir es ignorieren, wer haftet persönlich?

Nach DSG Art. 60 wird die für die Verletzung verantwortliche Person, typisch CEO oder Datenschutzverantwortliche, persönlich gebüsst, nicht die Firma. Maximum: CHF 250'000, strafrechtlich, mit Eintrag im Strafregister. Die Schwelle ist Vorsatz; fahrlässiges Ignorieren wird in der Praxis verfolgt, wenn der EDÖB vorher gewarnt hat. Bau einen Dreissig-Tage-Workflow für Auskunftsbegehren auf und dokumentiere die Antwort, das allein bringt dich aus der Risikozone.

Unterauftragsbearbeiter

Liste deine Subprozessoren in einem Anhang. Die meisten Enterprise-Kunden wollen eine Vorankündigung von dreissig Tagen für neue Anbieter mit Einspruchsrecht. Beim Einspruch schuldest du eine zumutbare Alternative oder ein Kündigungsrecht auf den betroffenen Dienst. Nenne Hosting (AWS, Hetzner, Infomaniak), Monitoring (Datadog, Sentry), Mailinfrastruktur (Postmark, Mailgun) und alle KI-Dienste (OpenAI, Anthropic, dein Fine-Tuning-Anbieter). Versteck keinen Anbieter; ein nicht offengelegter Subprozessor ist der häufigste Kündigungsgrund bei der Verlängerung und der häufigste Auslöser einer EDÖB-Untersuchung.

Technisch-organisatorische Massnahmen

Häng einen einseitigen TOM-Anhang an: Verschlüsselung im Ruhezustand (AES-256, benannt) und in der Übertragung (TLS 1.3, benannt), Zugriffskontrollen (SSO, Least Privilege, MFA erzwungen), Logging und Audit-Retention (typisch zwölf Monate), Backup-Frequenz und -Retention (Zahlen, nicht 'regelmässig'), Vorfallsreaktion (benannte Pikettrotation und Meldekette), Schulung (jährlich, mit Bestätigung). Konkret bleiben. Kunden lehnen vage Beschreibungen ab und akzeptieren knappe, konkrete.

Hosting und Datenstandort

Regulierte Schweizer Kunden fragen nach dem Standort der Daten. Hostest du in der EU, nenn es und verweis auf die DSGVO-Adäquanz nach DSV Anhang 1 des Bundesrats. Hostest du in der Schweiz, nenn es und verweis auf das DSG und die kantonalen Erwartungen von FINMA (Rundschreiben 2018/3) und Gesundheitsregulatoren. Nutzt du einen US-Anbieter, häng die EU-US Data Privacy Framework Zertifizierung an (der Firmenname steht auf der offiziellen Liste, prüfe das vor Unterschrift) und das Swiss-US-Pendant. Vage Antworten verlängern die Verhandlung, konkrete schliessen sie.

Wir nutzen OpenAI für ein Produktfeature. Was schreibe ich in den DPA?

Liste OpenAI als Subprozessor im Anhang, nenne API-Endpoint und Region (OpenAIs EU-Datenresidenz, verfügbar seit 2024, ist der relevante Pin), erkläre die Datenkategorie (typisch keine besonders schützenswerten Daten, keine EU-Personendaten für Training nach OpenAIs API-Terms), und häng OpenAIs DPA als nachgelagertes Dokument an. Bei einer FINMA-regulierten Kundin folgt die Frage nach der Rechtsgrundlage für die Übermittlung; die Antwort ist DSG Art. 16 Abs. 2 lit. b mit den Swiss SCCs im Anhang des OpenAI-DPA. Hab das Gespräch bereit, bevor die Kundin fragt.

Muss ich nach revidiertem DSG eine Datenschutzberaterin bestellen?

Für die meisten Schweizer Startups nicht zwingend. DSG Art. 10 verpflichtet nur Bundesbehörden und private Verantwortliche über einer Schwelle, eine Datenschutzberaterin zu bestellen; darunter ist die Bestellung freiwillig, aber empfohlen. Die freiwillige Bestellung bringt prozessuale Vorteile (der EDÖB hört die Beraterin vor förmlichen Stellungnahmen, die Verantwortliche bekommt einen Verteidigungspfad), und Enterprise-Kunden verlangen zunehmend einen benannten Kontakt im DPA-Anhang. Kosten: CHF 6'000 bis 15'000 pro Jahr für eine externe DPO im Fractional-Modell, weniger als der Preis eines vollen DSG-Audits.

Wenn die Kundin ihren eigenen DPA schickt

Grosse Schweizer Enterprise-Kunden (SBB, Swisscom, Migros, die grossen Banken) schicken ihre eigene Vorlage. Prüfe sie auf drei Fallen: (a) Joint-Controllership-Klauseln, die dich zur Verantwortlichen über die Kundendaten machen, ablehnen; (b) unbegrenzte Haftung für jeden Datenvorfall, ablehnen und einen separaten Cap für Datenpannen bei drei Jahresgebühren vorschlagen; (c) Auditrechte ohne Frist und ohne Kostendeckel, dreissig Tage Frist und ein Audit pro zwölf Monate zulasten der Kundin vorschlagen, ausser es liegt eine wesentliche Verletzung vor. Diese drei sind die Verhandlung, der Rest läuft meistens durch.