AV-Verträge mit KI-Anbietern: Was Sie prüfen sollten

Wenn Ihr Unternehmen personenbezogene Daten in KI-Tools (ChatGPT, Copilot, CRM-KI, Recruiting-Software o. Ä.) verarbeitet, ist der Anbieter in der Regel Auftragsverarbeiter im Sinne der DSGVO. Ein AV-Vertrag (Auftragsverarbeitungsvertrag) ist dann Pflicht. Diese Punkte helfen bei der Prüfung – ohne Anspruch auf Rechtsberatung.

1. Liegt überhaupt Auftragsverarbeitung vor?

Auftragsverarbeitung (Art. 28 DSGVO) setzt voraus: Sie (Verantwortlicher) bestimmen Zweck und Mittel der Verarbeitung; der Anbieter verarbeitet die Daten in Ihrem Auftrag. Bei SaaS-KI, die Sie mit Kundendaten, Mitarbeiterdaten oder anderen personenbezogenen Daten füttern, ist das in der Regel der Fall. Wenn der Anbieter die Daten für eigene Zwecke nutzt (z. B. Modell-Training ohne klare Vertragsausschlüsse), kann die Einordnung anders ausfallen – dann genau hinschauen.

2. Sind die Pflichtinhalte aus Art. 28 DSGVO abgedeckt?

Der AV-Vertrag muss u. a. regeln: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten des Auftragsverarbeiters (u. a. Vertraulichkeit, Unterstützung bei Betroffenenrechten und bei der Sicherheit), Löschung/Rückgabe nach Beendigung. Viele Anbieter stellen Standard-AVVs zur Verfügung – prüfen Sie, ob diese Ihrem konkreten Use-Case und Ihren Anforderungen entsprechen.

3. Subprozessoren und Drittlandtransfer

KI-Anbieter nutzen oft Subprozessoren (Rechenzentren, weitere Dienste). Der AV-Vertrag muss Subaufträge regeln (Art. 28 Abs. 2 und 4 DSGVO): i. d. R. vorherige Information und Widerspruchsrecht oder Genehmigung. Zusätzlich: Verarbeitung in Drittländern (z. B. USA) erfordert geeignete Garantien – EU-Standardvertragsklauseln, ggf. Zusatzmaßnahmen. Prüfen Sie die Anbieter-Übersicht zu Subprozessoren und den Ort der Datenverarbeitung.

4. Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter muss angemessene TOM nachweisen. In der Praxis: Sicherheitsdokumentation, Zertifikate (z. B. ISO 27001), Beschreibung der Maßnahmen. Für sensible oder besonders schützenswerte Daten ist das Gewicht höher; ggf. sind vertragliche Zusatzanforderungen oder eine DSFA nötig.

5. Dokumentation und Nachweis

Sie müssen die Auftragsverarbeitung dokumentieren (Verzeichnis der Verarbeitungstätigkeiten) und den geschlossenen AV-Vertrag aufbewahren. Bei Prüfungen oder Beschwerden müssen Sie nachweisen können, dass Sie die Anbieterauswahl und Vertragsinhalte geprüft haben. Ein kurzer Prüfvermerk oder eine Checkliste pro KI-Anbieter erleichtert die Nachweisführung.

KI-Use-Cases einordnen und dokumentieren?

Unser Governance-System unterstützt bei der Einordnung nach AI Act & DSGVO - inkl. Protokoll für Ihre Governance und AV-Dokumentation.

Jetzt kostenlos testen