Datenverarbeitungsvertrag: DSGVO-Pflicht beim KI-Einsatz erklärt

Kernaussage: Ein Datenverarbeitungsvertrag (auch Auftragsverarbeitungsvertrag, AVV) ist zwischen Verantwortlichem und Auftragsverarbeiter gesetzlich vorgeschrieben (Art. 28 DSGVO), wenn personenbezogene Daten an einen KI-Anbieter übermittelt werden.

Was ist ein Datenverarbeitungsvertrag?

Ein Datenverarbeitungsvertrag (DVV) oder Auftragsverarbeitungsvertrag (AVV) ist ein rechtlich bindendes Dokument, das die Bedingungen festlegt, unter denen ein Auftragsverarbeiter (z. B. ein KI-Softwareanbieter) personenbezogene Daten im Auftrag des Verantwortlichen (z. B. das einsetzende Unternehmen) verarbeitet.

Artikel 28 DSGVO schreibt vor, dass jede Auftragsverarbeitung personenbezogener Daten vertraglich geregelt sein muss. Bei KI-Systemen, die personenbezogene Daten verarbeiten — was bei der großen Mehrheit der Fall ist — ist ein AVV obligatorisch.

Pflichtinhalte eines AVV nach Art. 28 DSGVO

Ein rechtssicherer AVV für KI-Dienste muss mindestens enthalten:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Kategorien personenbezogener Daten und betroffene Personen
  • Pflichten des Auftragsverarbeiters: nur auf Weisung handeln, Vertraulichkeit sicherstellen, Sicherheitsmaßnahmen ergreifen
  • Unterauftragsverarbeiter: Genehmigungspflicht und Weitergaberegelungen
  • Unterstützungspflichten: bei Betroffenenrechten, DPIAs, Behördenanfragen
  • Löschung oder Rückgabe nach Vertragsende
  • Auditrechte des Verantwortlichen

Besondere Anforderungen bei KI-Diensten

Beim Abschluss eines AVV mit einem KI-Anbieter sind zusätzliche Punkte zu prüfen:

Trainingsnutzung der Daten

Ein kritischer Punkt: Darf der KI-Anbieter eingegebene Daten für das Training seiner Modelle verwenden? Viele Standard-KI-APIs (wie OpenAI API) erlauben dies per default nicht für die Enterprise-Tier, wohl aber für Consumer-Produkte. Dies muss explizit im AVV geregelt sein.

Unterauftragsverarbeiter (Sub-Processor)

Große KI-Anbieter nutzen häufig Infrastruktur-Sub-Processor (AWS, Google Cloud, Azure). Der AVV muss festlegen, welche Sub-Processor erlaubt sind und wie bei Änderungen vorgegangen wird.

Drittlandübermittlungen

Wenn der KI-Anbieter Daten in Drittländer überträgt, müssen geeignete Garantien (SCCs, Angemessenheitsbeschluss) im AVV verankert sein.

Praxisbeispiele im DACH-Kontext

Steuerberatungskanzlei in Wien: Bevor die Kanzlei ein KI-Tool für die Dokumentenanalyse mit Mandantendaten nutzt, schließt sie mit dem KI-Anbieter einen AVV ab, der explizit ausschließt, dass Mandantendaten für Modelltraining verwendet werden, und der Auditrechte für die Kanzlei sichert.

Maschinenbauunternehmen in Stuttgart: Das Unternehmen überprüft beim Einsatz eines KI-gestützten Predictive-Maintenance-Systems, ob der Anbieter alle eingesetzten Sub-Processor namentlich nennt und für die Verarbeitung in der EU garantiert.

Wie Knowlee AVV-Konformität sicherstellt

Knowlee stellt allen Kunden standardmäßig einen vollständigen, DSGVO-konformen Auftragsverarbeitungsvertrag zur Verfügung. Kundendaten werden nie für das Training von KI-Modellen verwendet. Die Liste der eingesetzten Sub-Processor ist transparent und wird bei Änderungen proaktiv kommuniziert.

FAQ

Wann benötigt man einen AVV und wann einen Vertrag zur gemeinsamen Verantwortlichkeit? Ein AVV ist erforderlich, wenn ein Anbieter ausschließlich auf Weisung des Unternehmens handelt (Auftragsverarbeitung). Wenn der Anbieter eigene Zwecke mit den Daten verfolgt, liegt gemeinsame Verantwortlichkeit vor — mit anderen vertraglichen Anforderungen.

Reicht ein online abgeschlossener AVV (Click-Through) rechtlich aus? Grundsätzlich ja, wenn er alle Pflichtinhalte nach Art. 28 DSGVO enthält. Allerdings empfiehlt sich bei sensiblen Anwendungen oder großen Datenmengen ein individuell verhandelter Vertrag.

Was passiert, wenn kein AVV abgeschlossen wird? Verarbeitung ohne AVV ist ein DSGVO-Verstoß, der zu Bußgeldern führen kann. Zusätzlich haftet der Verantwortliche für Schäden, die aus der unkontrollierten Auftragsverarbeitung entstehen.