Geschäftsmodell und Methodik

Case Study: Marktplatz mit externen Zahlungspartnern. Ausgangslage: Plattformbetreiber delegiert Zahlungsverarbeitung an Drittfirma. Prüfpunkte: 1) klare Zuweisung von Verantwortlichkeiten; 2) Detaillierte Auftragsverarbeiterpflichten; 3) Kontrollrechte und Auditklauseln; 4) Regeln für Sub‑Subprocessor. Empfohlene Maßnahmen: Ergänzung von Auditklauseln, Mindestanforderungen an Verschlüsselung und Datenlokation sowie definierte Meldewege bei Datenpannen.

Im konkreten Szenario führte die Implementierung präziser Audit‑ und Reportingpflichten dazu, dass der Plattformbetreiber Risiken bei grenzüberschreitender Verarbeitung besser steuern konnte. Die Praxis zeigte, dass standardisierte Vertragsmuster oft ergänzt werden müssen, um technische Abläufe wie Gutschein oder Pseudonymisierung abzubilden.

Szenariobasierte Vertragsprüfung: drei typische Fälle

• SaaS‑Plattform mit Kunden‑Datenhaltung in mehreren EU/CH‑Regionen — Fokus auf Datenlokation und Löschprozesse.
• Integrationen mit Drittanbieter‑APIs (Analytics, CRM) — Fokus auf Subprocessing, Datenminimierung und Weitergabeketten.
• Marktplatz mit User‑Generated Content — Fokus auf Verantwortlichkeit für Nutzerantworten, Content‑Moderation und gesetzliche Meldepflichten.

Zu jedem Fall erstellen wir ein Aufgabenblatt mit Prioritäten: sofort umzusetzende Vertragspunkte, mittelfristige technische Anpassungen und empfohlene Monitoring‑Prozesse. Die Kombination aus jurischer Prüfung und technischen Handlungsempfehlungen reduziert operative Reibungsverluste.

Praxisleitfaden: Wie ein Prüfprozess bei SwissGdocs abläuft

1) Kick‑off mit Szenarioerfassung (Nutzerarten, Datenflüsse, Drittanbieter). 2) Vertragsanalyse anhand eines Prüfrasters (Zweckbindung, Dauer, Subprocessing, Haftungskaskaden). 3) Technische Abgleichung mit TOMs. 4) Erarbeitung konkreter Vertragsformulierungen und Betriebsanweisungen. 5) Abschlussworkshop mit Übergabe von Musterklauseln und Compliance‑Checkliste. Unser Fokus liegt auf operativer Umsetzbarkeit: jede Klausel wird mit einem Implementierungs‑Szenario verbunden.

Praktische Klauseln, die oft fehlen

Viele Standardverträge vernachlässigen Detailregelungen zu Incident‑Response, Verschlüsselungsstandards oder Löschnachweisen. Wir formulieren konkrete Texte zu diesen Punkten und zeigen anhand von Testfällen, wie Nachweise geliefert werden können.

Beispielklausel: Nachweis Löschung und Reversibilität

Die empfohlene Klausel beschreibt: Formate und Fristen für Lösch‑ und Reversibilitätsnachweise, Prüfmodalitäten durch den Auftraggeber sowie technische Maßnahmen zur Nachverfolgbarkeit. In einem Praxisfall konnten so Supportprozesse klar dokumentiert und Prüfaufwand reduziert werden.

Technische Integrationen prüfen

Bei API‑Integrationen analysieren wir, welche personenbezogenen Daten übermittelt werden, ob Pseudonymisierung möglich ist und welche vertraglichen Zusicherungen der Drittanbieter benötigt. Ein typischer Ansatz ist die Reduktion übertragener Daten auf ein Minimum und schriftliche Verpflichtung zur Datenlöschung nach Vertragsende.

Reporting und Monitoring: vertraglich verankern

• Regelmäßige Berichte über Subprocessor‑Änderungen
• SLA‑Komponenten für Verfügbarkeits- und Sicherheitsvorfälle
• Meldefristen und Eskalationswege bei Datenschutzvorfällen

Wir helfen, Reportingpflichten so zu gestalten, dass sie im Tagesbetrieb praktikabel sind und gleichzeitig Prüfbarkeit durch den Auftraggeber gewährleisten. Monitoring‑Pläne werden mit Verantwortlichkeiten verknüpft.

Cross‑Border Processing: pragmatische Prüfung

Bei grenzüberschreitender Verarbeitung prüfen wir nicht nur Rechtsgrundlagen, sondern auch Transportmechanismen wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften. Wir entwickeln Fallbeispiele, wie Datentransfer‑Szenarien technisch umgesetzt und vertraglich abgesichert werden können.