Startseite
PreiseMit Experten sprechen
Logo
Mit Experten sprechen

Auftragsbearbeitungsvertrag (AVV)

Rechtliches

Zuletzt aktualisiert / 27. Mai / 2026

1. Geltungsbereich und Vorrang

Dieser Auftragsbearbeitungsvertrag ("AVV") ist integraler Bestandteil des Vertragsverhältnisses zwischen dem Kunden und der W&W Global Marketing Group GmbH ("W&W") gemäss den anwendbaren Nutzungsbedingungen, Dienstleistungsvereinbarungen und/oder Bestellformularen (gemeinsam die "Vereinbarung"). Er legt die Bedingungen fest, unter denen W&W und der Kunde Personendaten im Zusammenhang mit den Diensten bearbeiten.

Dieser AVV besteht aus zwei Teilen. Teil A (Abschnitte 2–3) legt die Auftragsbearbeiter-Bestimmungen fest, die für Personendaten gelten, die der Kunde in die Dienste hochlädt, importiert oder eingibt. Teil B (Abschnitt 4) legt die Verantwortlicher-zu-Verantwortlicher-Bestimmungen fest, die gelten, wenn W&W einen Kandidaten aus seiner eigenen Talentdatenbank gegenüber dem Kunden freischaltet oder offenlegt.

Der AVV kann von W&W von Zeit zu Zeit aktualisiert werden. Wesentliche Änderungen werden dem Kunden über geeignete Kanäle (z. B. E-Mail oder In-App-Benachrichtigungen) mitgeteilt oder auf der Website veröffentlicht. Im Falle eines Widerspruchs zwischen dem AVV und der Hauptvereinbarung haben die Bestimmungen dieses AVV in Bezug auf die Bearbeitung von Personendaten Vorrang.

Der AVV bleibt in Kraft, solange W&W personenbezogene Kundendaten im Rahmen der Vereinbarung bearbeitet. Grossgeschriebene Begriffe, die in diesem AVV nicht definiert sind, haben die ihnen in der Vereinbarung oder im anwendbaren Datenschutzrecht zugewiesene Bedeutung.

2. Definitionen

"Kundendaten / personenbezogene Kundendaten": Personendaten, die der Kunde in die Dienste hochlädt, importiert oder anderweitig bereitstellt oder eingibt und die W&W im Auftrag des Kunden und auf dessen dokumentierte Weisungen bearbeitet. Nicht erfasst sind Personendaten in der eigenen Talentdatenbank von W&W, die W&W aus öffentlich zugänglichen Quellen erhebt und unabhängig kontrolliert (wie in der Datenschutzerklärung beschrieben).

"Bearbeitung": Jeder Vorgang oder jede Vorgangsreihe, die mit Personendaten durchgeführt wird, z. B. Erhebung, Speicherung, Zugriff, Nutzung oder Löschung.

"DSG": das revidierte Bundesgesetz über den Datenschutz vom 25. September 2020 (SR 235.1), in Kraft seit dem 1. September 2023, zusammen mit der dazugehörigen Datenschutzverordnung (DSV, SR 235.11).

"Betroffene Person": Jede natürliche Person, deren Personendaten bearbeitet werden.

"Verantwortlicher": Die Partei, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Bearbeitung entscheidet.

"Unterauftragsbearbeiter": Jeder Dritte, der von W&W zur Bearbeitung von Personendaten beigezogen wird.

"Verletzung der Datensicherheit": Eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmässigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Personendaten führt (Art. 4 Abs. 12 DSGVO).

"Besonders schützenswerte Personendaten" (sensible Personendaten): Personendaten, die in Art. 9 Abs. 1 DSGVO und Art. 5 Bst. c DSG aufgeführt sind — namentlich Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit offenbaren; genetische Daten, biometrische Daten, die zur eindeutigen Identifizierung einer Person bearbeitet werden, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.

3. Bearbeitung personenbezogener Kundendaten

3.1 Rollen und Verantwortlichkeiten

Dieser AVV regelt Personendaten, die der Kunde in die Dienste hochlädt, importiert oder eingibt ("personenbezogene Kundendaten"). In Bezug auf diese Daten handelt der Kunde als Verantwortlicher gemäss dem DSG und, soweit anwendbar, der DSGVO, und W&W handelt als Auftragsbearbeiter auf die dokumentierten Weisungen des Kunden. Der Kunde ist für die Rechtmässigkeit der von ihm bereitgestellten Daten sowie für die Bestimmung des Zwecks und der Rechtsgrundlage der Bearbeitung verantwortlich.

Die eigene Talentdatenbank von W&W, die W&W aus öffentlich zugänglichen beruflichen Quellen aufbaut, wird nicht im Auftrag des Kunden bearbeitet: W&W ist der unabhängige Verantwortliche dieser Daten, wie in seiner Datenschutzerklärung beschrieben. Wird ein Kandidat aus der Talentdatenbank gegenüber dem Kunden freigeschaltet oder anderweitig offengelegt, wird der Kunde zum unabhängigen Verantwortlichen der von ihm erhaltenen Daten; dieses Verantwortlicher-zu-Verantwortlicher-Verhältnis wird durch Teil B (Abschnitt 4) dieses AVV geregelt.

Die Dienste umfassen Profiling im Sinne von Art. 4 Abs. 4 DSGVO und Art. 5 Bst. f DSG (wie Relevanz-Scores und andere KI-basierte Bewertungen). Die Ergebnisse eines solchen Profilings sind beratende Eingaben für die menschlichen Entscheidungsträger des Kunden; als Verantwortlicher verpflichtet sich der Kunde, die Dienste nicht zu verwenden, um Entscheidungen zu treffen, die gegenüber einer natürlichen Person rechtliche oder ähnlich erhebliche Wirkungen entfalten und ausschliesslich auf automatisierter Bearbeitung im Sinne von Art. 22 Abs. 1 DSGVO oder Art. 21 Abs. 1 DSG beruhen, und die von diesen Bestimmungen geforderten Garantien vorzusehen. Dies entspricht Abschnitt 4 der Nutzungsbedingungen.

3.2 Weisungen und Bearbeitungsumfang

W&W bearbeitet personenbezogene Kundendaten ausschliesslich gemäss den dokumentierten Weisungen des Kunden (AVV + Dienstleistungsvereinbarung). Zusätzliche Weisungen müssen schriftlich vereinbart werden und können Anpassungen von Umfang, Zeitplan oder Preis erfordern.

Zu den dokumentierten Weisungen gehört jede Weisung bezüglich der Übermittlung personenbezogener Kundendaten in ein Drittland, es sei denn, W&W ist durch anwendbares Recht zur Übermittlung verpflichtet (in diesem Fall informiert W&W den Kunden vor der Bearbeitung über diese rechtliche Verpflichtung, sofern das Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses untersagt). W&W informiert den Kunden unverzüglich, falls eine Weisung nach seiner Auffassung gegen das DSG, die DSGVO oder anderes anwendbares Datenschutzrecht verstösst.

3.3 Zulässige Bearbeitung

Daten werden ausschliesslich zur Erbringung der vertraglich vereinbarten Dienste bearbeitet. Eine Bearbeitung über diesen Zweck hinaus (einschliesslich der Offenlegung gegenüber Dritten) erfolgt nur, wenn dies gesetzlich vorgeschrieben oder vertraglich ausdrücklich gestattet ist.

Hinweis: W&W bearbeitet oder leitet keine besonders schützenswerten (sensiblen) Daten ab (zum Beispiel Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit offenbaren; genetische oder biometrische Daten; Gesundheitsdaten; oder Daten zum Sexualleben oder zur sexuellen Orientierung, wie in Art. 9 DSGVO und Art. 5 Bst. c DSG definiert) und zieht keine Rückschlüsse auf solche Merkmale; etwaige derartige Rückschlüsse liegen ausschliesslich in der Verantwortung des Kunden.

3.4 Unterstützung bei den Rechten betroffener Personen

W&W unterstützt den Kunden bei Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung). Der Kunde bleibt für die Bearbeitung verantwortlich; die Unterstützung durch W&W erfolgt auf schriftliche Anfrage. Kosten für komplexe oder häufige Anfragen können separat berechnet werden.

Unter Berücksichtigung der Art der Bearbeitung und der ihr zur Verfügung stehenden Informationen unterstützt W&W den Kunden auch bei der Einhaltung seiner Pflichten gemäss den Artikeln 32 bis 36 DSGVO und den Artikeln 8, 22, 23 und 24 DSG — einschliesslich der Datensicherheit, des Umgangs mit Verletzungen der Datensicherheit, der Datenschutz-Folgenabschätzungen und der vorgängigen Konsultation der zuständigen Aufsichtsbehörde.

3.5 Unterauftragsbearbeiter

Der Kunde ermächtigt W&W, Unterauftragsbearbeiter zur Bearbeitung personenbezogener Kundendaten beizuziehen. W&W zieht derzeit folgende bei:

  • Google Cloud — Cloud-Infrastruktur und Datenspeicherung, gehostet in der Schweiz;
  • Google Cloud Vertex AI (Gemini) — Dienste für grosse Sprachmodelle, die zur Erstellung von Scores und Bewertungen verwendet werden und in einer Schweizer Region betrieben werden; es werden ausschliesslich de-identifizierte berufliche Daten übermittelt, und die Daten werden nicht zum Training eines Modells verwendet;
  • Lemlist SAS (Frankreich) — Anreicherung von Kontaktdaten, durchgeführt zum Zeitpunkt, an dem ein Kandidat gegenüber dem Kunden freigeschaltet wird;
  • PostHog — Website- und Produktanalyse, auf PostHog Cloud EU (Frankfurt, Deutschland).

Jeder Unterauftragsbearbeiter ist durch einen schriftlichen Vertrag gebunden, der im Wesentlichen die gleichen Datenschutzpflichten auferlegt, wie sie in diesem AVV festgelegt sind. W&W führt in seiner öffentlichen Liste der Unterauftragsbearbeiter eine aktuelle Liste der Unterauftragsbearbeiter, einschliesslich Firmennamen und Standorten, und wird den Kunden im Voraus über jede Hinzufügung oder Ersetzung benachrichtigen. Innerhalb von dreissig (30) Tagen nach dieser Benachrichtigung kann der Kunde aus angemessenen Datenschutzgründen Widerspruch erheben; können die Parteien den Widerspruch nicht in gutem Glauben beilegen, kann der Kunde die betroffenen Dienste ohne Vertragsstrafe kündigen. W&W bleibt für die Einhaltung durch seine Unterauftragsbearbeiter verantwortlich.

3.6 Technische und organisatorische Massnahmen (TOM)

W&W setzt angemessene Massnahmen zum Schutz der Kundendaten um: Verschlüsselung, Zugriffsbeschränkung, Systemüberwachung, Backup und Audit-Protokolle. W&W stellt sicher, dass Personen, die zur Bearbeitung personenbezogener Kundendaten befugt sind, einer vertraglichen oder gesetzlichen Vertraulichkeitspflicht unterliegen und eine angemessene Datenschutzschulung erhalten.

3.7 Grenzüberschreitende Datenübermittlungen

Personenbezogene Kundendaten werden in der Schweiz auf der Infrastruktur von Google Cloud gehostet und gespeichert. Die KI-Bearbeitung, die Scores und Bewertungen erstellt, läuft auf Google Cloud Vertex AI in einer Schweizer Region, erhält ausschliesslich de-identifizierte berufliche Daten und wird nicht zum Training eines Modells verwendet.

Die Unterauftragsbearbeiter von W&W bearbeiten personenbezogene Kundendaten ausschliesslich in der Schweiz oder in der EU/im EWR (siehe §3.5). Die EU- und EWR-Mitgliedstaaten sind in Anhang 1 der Datenschutzverordnung (DSV) als Staaten mit angemessenem Datenschutz anerkannt, sodass Offenlegungen aus der Schweiz an diese Unterauftragsbearbeiter gemäss Art. 16 Abs. 1 DSG ohne zusätzliche Garantien zulässig sind. W&W hält die Artikel 16 und 17 DSG ein und übermittelt keine personenbezogenen Kundendaten in die Vereinigten Staaten.

3.8 Löschung oder Rückgabe nach Vertragsende

Nach Beendigung der Dienste oder anderweitig auf schriftliche Anfrage des Kunden wird W&W nach Wahl des Kunden alle personenbezogenen Kundendaten, einschliesslich bestehender Kopien, innerhalb von dreissig (30) Tagen zurückgeben oder sicher löschen, es sei denn, das Recht der Union, eines Mitgliedstaats oder der Schweiz verlangt eine weitere Speicherung (in diesem Fall isoliert und schützt W&W die aufbewahrten Daten und löscht sie, sobald die Aufbewahrungspflicht erlischt). Teilt der Kunde seine Wahl nicht innerhalb von dreissig (30) Tagen nach Beendigung mit, wird W&W die personenbezogenen Kundendaten sicher löschen. W&W stellt auf Anfrage eine schriftliche Bestätigung der Rückgabe oder Löschung aus.

3.9 Verletzung der Datensicherheit

W&W unterhält interne Verfahren zur Erkennung von und Reaktion auf Verletzungen der Datensicherheit. W&W wird den Kunden über jede Verletzung der Datensicherheit, die personenbezogene Kundendaten betrifft, unverzüglich nach Kenntnisnahme benachrichtigen, und in jedem Fall so rechtzeitig, dass der Kunde seine Meldepflicht innerhalb von 72 Stunden gemäss Art. 33 DSGVO (oder die entsprechende Pflicht gemäss Art. 24 DSG, soweit anwendbar) erfüllen kann. Die Benachrichtigung umfasst, soweit bekannt: (a) die Art der Verletzung, einschliesslich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze; (b) die wahrscheinlichen Folgen; (c) die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung und Minderung der Verletzung; und (d) eine Anlaufstelle für weitere Informationen. Sind nicht alle Informationen auf einmal verfügbar, können sie schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden.

3.10 Gesetzlich vorgeschriebene Offenlegungen

W&W wird den Kunden unverzüglich über behördliche oder gerichtliche Anordnungen informieren, sofern dies nicht gesetzlich untersagt ist. Bei der Beantwortung solcher Anfragen wird Unterstützung geleistet.

3.11 Dienstanalyse

W&W kann aggregierte, nicht identifizierbare Daten zur Leistung und Nutzung der Dienste analysieren. Kundendaten werden nicht identifizierbar sein.

3.12 Rechenschaftspflicht

W&W führt ein Verzeichnis der Bearbeitungstätigkeiten gemäss Art. 12 DSG. W&W stellt dem Kunden alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieses AVV und von Art. 28 DSGVO / Art. 9 DSG nachzuweisen, und ermöglicht und unterstützt Überprüfungen — einschliesslich Inspektionen vor Ort nach angemessener Vorankündigung (nicht mehr als einmal pro 12 Monate, sofern kein besonderer Anlass besteht) — die vom Kunden oder einem vom Kunden beauftragten und zur Vertraulichkeit verpflichteten unabhängigen Prüfer durchgeführt werden. W&W kann dieser Pflicht in erster Linie durch Bereitstellung aktueller Zertifizierungen oder Auditberichte von Dritten (zum Beispiel ISO 27001 oder SOC 2) nachkommen, die den relevanten Umfang abdecken.

4. Verantwortlicher-zu-Verantwortlicher-Bestimmungen — Freigeschaltete Kandidaten (Teil B)

Dieser Teil B gilt, wenn ein Kandidat aus der eigenen Talentdatenbank von W&W über die Dienste gegenüber dem Kunden freigeschaltet oder anderweitig offengelegt wird. Er betrifft nicht die vom Kunden hochgeladenen oder importierten Daten, die durch den vorstehenden Teil A geregelt werden.

4.1 Unabhängige Verantwortliche

W&W ist der unabhängige Verantwortliche der Talentdatenbank, die es aus öffentlich zugänglichen beruflichen Quellen aufbaut und pflegt. Wenn der Kunde einen Kandidaten freischaltet, erhält der Kunde das identifizierte Profil des Kandidaten zusammen mit Kontaktdaten, die durch Kontaktdatenanreicherung gewonnen wurden, und ab diesem Zeitpunkt ist der Kunde ein unabhängiger Verantwortlicher der von ihm erhaltenen Daten. Jede Partei entscheidet über die Zwecke und Mittel ihrer eigenen Bearbeitung; dies ist kein Auftragsbearbeitungsverhältnis, und keine Partei bearbeitet diese Daten auf Weisung der anderen.

4.2 Verantwortlichkeiten jeder Partei

Jede Partei ist für die Einhaltung des anwendbaren Datenschutzrechts (des DSG und, soweit anwendbar, der DSGVO) in Bezug auf ihre eigene Bearbeitung verantwortlich. Der Kunde bearbeitet die freigeschalteten Daten für seine eigenen Rekrutierungszwecke, auf seiner eigenen Rechtsgrundlage, wendet angemessene technische und organisatorische Sicherheitsmassnahmen an und legt die Daten nicht an Dritte offen, ausser an Empfänger, die an gleichwertige Datenschutzpflichten gebunden sind. Insbesondere übernimmt der Kunde als unabhängiger Verantwortlicher seine eigenen Informations- und Transparenzpflichten gegenüber den freigeschalteten Kandidaten gemäss Art. 13, 14 und 21 DSGVO und Art. 19 DSG, einschliesslich der gegenüber dem Kandidaten bestehenden Transparenzpflicht und der Bearbeitung etwaiger Widerspruchs-/Opt-out-Anfragen für seine eigene Bearbeitung dieser Daten.

4.3 Rechte betroffener Personen

W&W bearbeitet Anfragen betroffener Personen in Bezug auf Personendaten, die in seinen eigenen Systemen, einschliesslich der Talentdatenbank, gehalten werden. Der Kunde bearbeitet Anfragen betroffener Personen in Bezug auf Daten, die er erhalten und weiterbearbeitet hat. Jede Partei informiert die andere unverzüglich über jede Anfrage, Beschwerde oder Behördenanfrage, die die Bearbeitung der anderen Partei betrifft, und leistet angemessene Unterstützung.

4.4 Grenzüberschreitende Übermittlungen

Werden freigeschaltete Daten ausserhalb der Schweiz oder der EU/des EWR übermittelt, stützen sich die Parteien auf einen Angemessenheitsbeschluss oder auf die Standardvertragsklauseln (SCC) der Europäischen Kommission für Übermittlungen zwischen Verantwortlichen (Beschluss (EU) 2021/914, Modul Eins). Für Übermittlungen, die dem DSG unterliegen, gelten diese Klauseln mit den vom EDÖB anerkannten Anpassungen: Verweise auf die DSGVO werden als Verweise auf das DSG verstanden; die zuständige Aufsichtsbehörde ist der EDÖB; die Klauseln unterliegen Schweizer Recht; und betroffene Personen können vor den Gerichten des Kantons Zug Klage erheben.

Anhang 1 – Bearbeitungsdetails

Datenexporteur (Verantwortlicher): der Kunde.

Datenimporteur (Auftragsbearbeiter): W&W Global Marketing Group GmbH, Landis + Gyr-Strasse 1, 6300 Zug, Schweiz (UID CHE-165.987.703).

  • Betroffene Personen: die Personen, deren Personendaten der Kunde in die Dienste hochlädt, importiert oder eingibt (zum Beispiel die eigenen Kandidaten oder Kontakte des Kunden).
  • Datenkategorien: die in den vom Kunden bereitgestellten Datensätzen enthaltenen Personendaten — typischerweise Name, berufliches Profil, Erfahrung, Ausbildung, Fähigkeiten und Kontaktdaten.
  • Zweck: Bearbeitung der vom Kunden bereitgestellten Daten zur Erbringung der Rekrutierungs- und Talent-Matching-Dienste auf Weisung des Kunden — insbesondere die Identifizierung von Kandidaten und die erste Kontaktaufnahme.
  • Dauer: solange der Kunde die Dienste nutzt, vorbehaltlich der Rückgabe-/Löschbestimmungen in §3.8.
  • Unterauftragsbearbeiter: wie in §3.5 und der öffentlichen Liste der Unterauftragsbearbeiter aufgeführt, jeweils gebunden durch im Wesentlichen die gleichen Datenschutzpflichten.
  • Aufsichtsbehörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).

Anhang 2 – Technische und organisatorische Massnahmen

  • Hosting auf der Infrastruktur von Google Cloud in der Schweiz (Schweizer Region), wobei die physische und umgebungsbezogene Sicherheit vom Infrastrukturanbieter verwaltet wird
  • Verschlüsselung im Ruhezustand (AES-256) und bei der Übertragung (TLS)
  • Zugriffsrechte nach dem Need-to-know-Prinzip, MFA für Administratoren
  • Regelmässige Sicherheitsscans, Penetrationstests, Patch-Management
  • Tägliche Backups, Notfallwiederherstellung und Notfallpläne
  • Löschung oder sichere Vernichtung nach Vertragsende
  • Systemüberwachung, Backup und Audit-Protokolle

Kontakt

Gerichtsstand: Zug, Schweiz.