Wählen Sie Ihre Situation — die Bibliothek führt Sie direkt zu den richtigen Vorlagen mit Erklärung wann welches Dokument gebraucht wird.
Die 5 Pflichtdokumente für jedes Unternehmen: Verarbeitungsverzeichnis (VVT) · Incident Response Plan · Mitarbeiter-Datenschutzhinweise · AVV für jeden Dienstleister · Lösch- und Aufbewahrungskonzept
Dienstleister beauftragen
AVV & Vertragsvorlagen
Jeder externe Dienstleister der Personendaten verarbeitet braucht einen Auftragsverarbeitungsvertrag (AVV). Ohne AVV ist die Verarbeitung rechtswidrig — gilt für Cloud-Provider, IT, HR-Software, CRM, E-Mail-Marketing etc.
Faustregel: Hat der Anbieter Zugriff auf Kundendaten, Mitarbeiterdaten oder andere Personendaten Ihres Unternehmens? → AVV Pflicht.
Schritt 1 — Dienstleister vorab prüfen
Vendor Due Diligence — Datenschutz-Fragebogen
Vor Vertragsabschluss an neue Dienstleister senden. Prüft Zertifizierungen, Sicherheitsmassnahmen, Sub-Processors und Drittlandtransfers. Ergebnis entscheidet welche AVV-Version nötig ist.
AVV Standard — Vollständiger Auftragsverarbeitungsvertrag
Für alle Dienstleister mit grösserem Datenvolumen, sensiblen Daten oder erhöhtem Risiko (Cloud, IT, HR-Software, CRM). Enthält alle Pflichtbestandteile nach Art. 28 DSGVO inkl. TOM-Anlage und Sub-Processor-Liste.
Für einfachere Beziehungen mit geringem Risiko (kleiner Webdesigner, einfaches Hosting ohne sensible Daten). Enthält alle Pflichtbestandteile, aber kompakter. Nicht für Gesundheitsdaten oder Drittland-Transfers.
Wenn zwei Unternehmen gemeinsam über Zweck und Mittel einer Verarbeitung entscheiden (z.B. gemeinsames CRM, gemeinsame Marketingkampagne). Dann brauchen Sie KEINEN AVV sondern eine Art. 26-Vereinbarung.
Ergänzung — Datenschutzklauseln in Lieferantenverträgen
Datenschutzklauseln für Lieferantenverträge
Wenn Sie keinen separaten AVV, sondern Datenschutzpflichten direkt in den Hauptvertrag einbauen möchten. Fertige Klauseln zum Copy-Paste in bestehende Verträge.
Regelt wie Ihr Dienstleister weitere Unterauftragnehmer hinzuziehen darf. Wichtig wenn Sie selbst Auftragsverarbeiter für andere sind — und wenn Sie kontrollieren möchten wer Zugriff auf Ihre Daten hat.
Seit Schrems II (2020) sind Transfers in Länder ohne EU-Angemessenheitsbeschluss nur legal wenn Sie ein Transfer Impact Assessment (TIA) durchgeführt und dokumentiert haben. EU SCCs allein reichen nicht.
Welches Dokument für welches Land? USA/China: Länder-spezifische TIAs (vorausgefüllt). Indien, Brasilien, Vietnam, Singapur, Australien: allgemeines TIA + Länderrisiko aus Country Intelligence Portal eintragen. UK/Japan/Südkorea/Serbien: kein TIA nötig (Angemessenheitsbeschluss).
Transfer Impact Assessments (TIA)
TIA Allgemein — Universelle Vorlage
Für alle Länder ohne eigenes TIA-Dokument: Indien, Brasilien, Vietnam, Singapur, Australien, Hongkong und weitere. Enthält 6-Schritte-Bewertung, 15-Kriterien-Datenrisiko, Ampelbewertung (Grün/Gelb/Rot). Länder-Risikoscore aus Country Intelligence Portal eintragen.
Vorausgefüllt für US-Transfers. Enthält FISA-Analyse, CLOUD Act-Risiko, DPF-Check-Schritt. Zuerst prüfen ob Empfänger DPF-zertifiziert ist (dataprivacyframework.gov) — falls ja: kein TIA nötig, Zertifizierung dokumentieren.
Kombiniertes Dokument für diese drei Länder. Indien: DPDPA 2023 (Rules Q2 2026). Brasilien: LGPD mit aktiver ANPD-Enforcement (Risiko steigt). Vietnam: PDPD mit Datenlokalisierungspflichten (erhöhtes Risiko).
Wenn EU-Controller Daten an Nicht-EU-Controller überträgt. Beispiel: EU-Muttergesellschaft teilt Mitarbeiterdaten mit US-Tochter die sie eigenständig verarbeitet. Beide sind selbstständige Controller.
Der häufigste Fall: EU-Unternehmen beauftragt US-Cloud-Anbieter (AWS, Google Cloud, Microsoft Azure, Salesforce). Der Processor handelt auf Weisung des Controllers. Braucht zusätzlich TIA.
🇬🇧 UK IDTA — International Data Transfer Agreement
Für Transfers AUS dem UK in Drittländer (USA, China etc.). Ersetzt EU SCCs für UK-seitige Transfers nach Brexit. Wenn Sie von EU UND UK aus transferieren: brauchen Sie beide — EU SCCs für EU-Transfers, UK IDTA für UK-Transfers.
Für Transfers AUS der Schweiz in Drittländer. Neben EU SCCs: wenn Ihr Unternehmen in der CH sitzt brauchen Sie die CH-Klauseln zusätzlich zu den EU SCCs — nicht stattdessen.
Mitarbeiterdaten sind besonders sensibel. Lohn, Beurteilungen, Krankheitsdaten, Bewerbungsunterlagen — alles unterliegt strengem Datenschutz. Diese Dokumente decken das Arbeitsverhältnis von Recruiting bis Offboarding ab.
Informationspflichten — bei Stellenantritt und Recruiting
Datenschutzhinweise Mitarbeitende (DSGVO)
Bei Stellenantritt auszuhändigen. Informiert über alle Datenverarbeitungen im Arbeitsverhältnis: Lohn, Zeiterfassung, IT-Systeme, E-Mail-Monitoring etc. Pflicht nach Art. 13 DSGVO.
Dokumentiert welche Systeme, Daten und Berechtigungen bei Stellenantritt erteilt wurden. Setzt Need-to-Know-Prinzip um — Mitarbeitende erhalten nur Zugriff was sie für ihre Aufgabe brauchen.
Stellt sicher dass bei Austritt alle Zugänge entzogen, Geräte zurückgegeben und Daten korrekt behandelt werden. Schützt vor Datenverlust durch ehemalige Mitarbeitende.
Regelt Datenschutzpflichten für Remote-Arbeit: sichere WLAN-Verbindung, Bildschirmsperren, keine Dokumente offen liegenlassen, VPN-Nutzung. Für alle Unternehmen mit Home-Office relevant.
Schweizer Version der Mitarbeiter-Datenschutzhinweise — nDSG-konform mit Verweisen auf EDÖB und Schweizer Recht. Für Mitarbeitende mit Arbeitsort Schweiz.
Jede Website mit Nutzerdaten, Formularen oder Tracking braucht eine Datenschutzerklärung. Cookie-Banner sind nicht optional — aktive Einwilligung ist Pflicht.
Datenschutzerklärungen
Datenschutzerklärung Website (DSGVO)
Für alle Websites die sich an EU-Nutzer richten. Deckt Cookies, Analytics, Kontaktformulare, Newsletter, Social Media Plugins und Hosting ab. Pflicht nach Art. 13 DSGVO.
Regelt welche Cookies gesetzt werden, wofür, und wie Einwilligungen eingeholt und dokumentiert werden. Enthält Vorlagen für Cookie-Banner-Text und Cookie-Kategorien-Beschreibung.
Datenschutz ist ein laufender Prozess. Diese Dokumente helfen Compliance zu dokumentieren, jährlich zu prüfen und bei Audits nachzuweisen.
Verarbeitungsverzeichnis (VVT / RoPA)
VVT / RoPA — Verarbeitungsverzeichnis Standard
Pflicht für alle Unternehmen. Dokumentiert welche Daten Sie wofür verarbeiten — die Grundlage für alle Datenschutzpflichten. Behörden verlangen es als Erstes bei einer Kontrolle.
Schritt-für-Schritt-Anleitung zum Ausfüllen des Verarbeitungsverzeichnisses. Mit konkreten Beispieleinträgen für typische Verarbeitungen (HR, CRM, E-Mail-Marketing, Website).
Regelt was bei einem Datenleck zu tun ist: wer informiert wen, welche 72h-Frist gilt, was der Behörde gemeldet wird. Ohne diesen Plan riskieren Sie bei einer Panne zusätzliche Bussen wegen fehlender Vorbereitung.
Fertige Musterbenachrichtigungen für Datenpannen: an Aufsichtsbehörde (Art. 33) und an betroffene Personen (Art. 34). In Englisch für internationale Nutzung.
Vorlage für den jährlichen Datenschutzbericht ans Management/Board. KPIs, offene Risiken, erledigte Massnahmen, nächste Schritte. Für die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
Pflicht wenn eine Verarbeitung voraussichtlich hohes Risiko birgt (Art. 35 DSGVO): Profiling, besondere Kategorien im grossen Stil, Überwachung. Mit Schwellenwert-Checkliste zur Prüfung ob DPIA nötig ist.
Wenn Sie berechtigtes Interesse (Art. 6 Abs. 1 lit. f) als Rechtsgrundlage nutzen, müssen Sie eine Abwägung dokumentieren. Führt durch alle drei Prüfschritte.
Regelt intern wie Auskunfts-, Lösch- und Berichtigungsanfragen bearbeitet werden. Mit Musterantworten. Pflicht: Antwort innert 30 Tagen, Bearbeitung dokumentieren.
Pflicht für Unternehmen ausserhalb der EU die EU-Bürger ansprechen ohne EU-Niederlassung. Benennt einen EU-Vertreter als Anlaufstelle für Betroffene und Behörden.
Das revidierte Datenschutzgesetz (nDSG) gilt seit 1. September 2023. Die Personalstrafe von bis zu CHF 250'000 trifft Manager persönlich — nicht das Unternehmen.
nDSG-Personalstrafe: Im Gegensatz zur DSGVO (Unternehmensbusse) bestraft das nDSG natürliche Personen — Geschäftsführer, DPO, verantwortliche Manager — mit bis zu CHF 250'000 persönlich.
nDSG-spezifische Dokumente
nDSG Bearbeitungsverzeichnis (CH-Format)
nDSG-spezifisches Format für das Verarbeitungsverzeichnis nach Art. 12 nDSG. Angepasst an Schweizer Terminologie. Ergänzend zum DSGVO-VVT wenn Sie auch EU-Kunden haben.
Vom EDÖB anerkannte Standardklauseln für Transfers aus der Schweiz in Drittländer. Wenn Ihr Unternehmen in CH sitzt: diese zusätzlich zu EU SCCs — nicht stattdessen.
Übersicht der wichtigsten Unterschiede zwischen nDSG und DSGVO. Ideal für Teams die bisher nur DSGVO kannten — zeigt was neu ist und was Handlungsbedarf besteht.
UK GDPR ist weitgehend identisch mit EU DSGVO — aber eine separate Rechtsordnung. EU-Angemessenheitsbeschluss bis 2031 verlängert. Für Transfers AUS UK in Drittländer: UK IDTA statt EU SCCs.
EU→UK Transfers: Kein Mechanismus nötig — Angemessenheitsbeschluss gilt bis Ende 2031. UK→Drittland: UK IDTA erforderlich (nicht EU SCCs).
UK-spezifische Dokumente
UK Privacy Notice (Website)
Datenschutzerklärung für UK-Websites und UK-Nutzer — UK GDPR-konform mit ICO-Anforderungen. Nötig wenn Ihre Website UK-Nutzer anspricht oder Sie eine UK-Niederlassung haben.
CCPA/CPRA gilt für Unternehmen die bestimmte Schwellenwerte überschreiten und Daten von Kaliforniern verarbeiten. 19 US-Bundesstaaten haben eigene Datenschutzgesetze.
CCPA/CPRA Dokumente
California Privacy Notice (CCPA/CPRA)
Pflicht für CCPA-pflichtige Unternehmen. Enthält alle Pflichtangaben: Kategorien gesammelter Daten, Zwecke, Weitergaben, Verbraucherrechte, Do Not Sell-Opt-Out.
Ergänzung zu bestehenden Verträgen mit US-Dienstleistern — regelt Service Provider Pflichten unter CCPA. Entspricht dem AVV unter DSGVO, aber CCPA-spezifisch formuliert.
Legende: ✓ JA = EU-Angemessenheitsbeschluss — kein Transfermechanismus nötig. ✗ NEIN = EU SCCs + TIA erforderlich. DPF-zert. = Data Privacy Framework zertifiziert (dataprivacyframework.gov prüfen).
Vollständige Bibliothek
Alle Dokumente — 100+ Vorlagen
Nutzen Sie die thematischen Abschnitte in der Sidebar für Dokumente mit Erklärungen. Diese Übersicht zeigt alle verfügbaren Dokumente nach Kategorie.
01 — Datenschutz CH / EU / UK
VVT DE+EN · VVT Ausfüllhilfe DE+EN · Vendor Register DE+EN · DPIA DE+EN · DPIA Schwellenwert DE+EN · Interne Datenschutz-Policy DE+EN · Homeoffice DE+EN · Clean Desk DE+EN · Incident Response DE+EN · Betroffenenrechte DE+EN · TOMs DE · Onboarding DE+EN · Offboarding DE+EN · Mitarbeiter-Hinweise DSGVO DE+EN · Bewerber-Hinweise DE+EN · EU-Vertreter Art.27 DE+EN · Management-Reporting DE+EN · Mitarbeiter-Hinweise nDSG DE+EN · nDSG VVT DE+EN · CH SCCs EDÖB DE · nDSG vs GDPR EN · UK Privacy Notice EN · UK Employee Privacy Notice EN · ICO Checklist EN · UK SAR Templates EN · Breach Notification Templates EN · DPIA Register EN · DPO-Bestellung DE+EN · Jahres-Audit DE+EN · Code of Conduct DE+EN · Interessenabwägung LIA DE+EN · Löschkonzept DE+EN · Vendor Due Diligence DE+EN · Whistleblowing EN · Privacy by Design DE+EN · Retention Schedule EN · Datenpannen-Register DE
02 — Verträge & Transfers
AVV Standard DE+EN · AVV Kurzversion DE+EN · Datenschutzklauseln Lieferanten DE+EN · SubProcessor-Prozess DE+EN · TIA Framework DE+EN · EU SCCs Modul 2 C2P DE+EN · UK IDTA EN · TIA Indien/Brasilien/Vietnam EN · TIA Serbien EN · Transfer-Entscheidungsbaum DE · TIA Allgemein DE+EN · TIA USA DE+EN · TIA China DE+EN · Joint Controller Agreement DE+EN
03 — KI / EU AI Act
KI-Richtlinie Mitarbeitende DE+EN · EU AI Act Enterprise Toolkit DE+EN · AI Act Konformitätsbewertung DE+EN · CAC Security Assessment Guide EN · AI Literacy Training DE+EN · EU AI Act Entscheider-Schulung DE+EN
04 — USA / CCPA
California Privacy Notice EN · CCPA Operations Guide EN · CCPA Service Provider Addendum EN · US Multi-State Privacy DE · Marketing Consent CCPA DE+EN
05 — Asien (CN / SG / VN / IN)
Asia Data Transfers Guide EN · PIPL Privacy Notice EN · PIPL Transfer Clauses EN · India Privacy Notice (DPDPA) EN · Australia Privacy Notice EN