Auftragsverarbeitung bei KI-Diensten: AVV richtig gestalten

Das Wichtigste in Kürze: Sobald ein KI-Dienst personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 VO (EU) 2016/679 zwingend erforderlich. Standard-AVVs reichen bei KI-Diensten allerdings selten aus: Themen wie Trainingsdatennutzung, Modellwechsel und automatisierte Entscheidungsfindung erfordern KI-spezifische Zusatzklauseln. Fehlt der AVV oder ist er lückenhaft, drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO). Dieser Artikel zeigt, wann eine Auftragsverarbeitung vorliegt, was der AVV enthalten muss und welche Klauseln bei KI-Diensten nicht fehlen dürfen.

---

Inhaltsverzeichnis

1. Wann liegt Auftragsverarbeitung bei KI vor?
2. Art. 28 Abs. 3 DSGVO: Die 8 Pflichtklauseln im AVV
3. KI-spezifische Zusatzklauseln
4. AVV-Check: Gängige KI-Dienste im Vergleich
5. Häufige Fehler bei KI-AVVs
6. Häufig gestellte Fragen (FAQ)
7. Nächste Schritte

---

Wann liegt Auftragsverarbeitung bei KI vor? {#wann-auftragsverarbeitung}

Nicht jeder Einsatz eines KI-Dienstes begründet automatisch eine Auftragsverarbeitung. Die datenschutzrechtliche Rollenverteilung hängt davon ab, wer über Zweck und Mittel der Verarbeitung entscheidet. Die DSGVO kennt drei Konstellationen, die bei KI-Diensten relevant werden.

Auftragsverarbeitung (Art. 28 DSGVO)

Eine Auftragsverarbeitung liegt vor, wenn der KI-Anbieter personenbezogene Daten ausschließlich nach Weisung des Auftraggebers verarbeitet. Der Auftraggeber bestimmt das „Ob" und „Warum" der Verarbeitung, der Anbieter führt sie technisch durch. Das ist die häufigste Konstellation bei KI-Diensten: Sie senden Daten an eine API, der Anbieter verarbeitet sie zur Erbringung des von Ihnen definierten Zwecks und liefert das Ergebnis zurück.

Typisches Beispiel: Ein Unternehmen nutzt die OpenAI-API, um Kundensupport-Anfragen automatisiert zusammenzufassen. OpenAI verarbeitet die personenbezogenen Daten ausschließlich im Auftrag des Unternehmens — es liegt eine Auftragsverarbeitung vor.

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Eine gemeinsame Verantwortlichkeit besteht, wenn beide Seiten gemeinsam über Zweck und Mittel der Verarbeitung entscheiden. Bei KI-Diensten kann diese Konstellation auftreten, wenn der Anbieter die eingegebenen Daten auch für eigene Zwecke nutzt — etwa zum Training seiner Modelle. In diesem Fall bestimmt nicht nur der Auftraggeber den Zweck (z. B. Textanalyse), sondern auch der Anbieter verfolgt einen eigenen Zweck (Modellverbesserung).

Typisches Beispiel: Ein KI-Chatbot-Anbieter wertet die Gesprächsverläufe aller Kunden aus, um sein Sprachmodell zu verbessern. Der Anbieter entscheidet eigenständig über diesen Verarbeitungszweck — es entsteht eine gemeinsame Verantwortlichkeit, die eine Vereinbarung nach Art. 26 DSGVO erfordert.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien 07/2020 betont, dass die Abgrenzung anhand einer Gesamtbetrachtung der tatsächlichen Verhältnisse zu erfolgen hat, nicht anhand vertraglicher Bezeichnungen.

Getrennte Verantwortlichkeit

Eine getrennte Verantwortlichkeit liegt vor, wenn der KI-Anbieter die Daten zu vollständig eigenen und unabhängigen Zwecken verarbeitet, ohne dass eine gemeinsame Zweckbestimmung mit dem Auftraggeber besteht. Diese Konstellation ist bei KI-Diensten selten, kann aber vorkommen, wenn ein Unternehmen beispielsweise nur anonymisierte oder synthetische Daten an den Dienst übergibt.

Typisches Beispiel: Ein Unternehmen nutzt einen KI-Dienst ausschließlich mit vollständig anonymisierten Datensätzen. Da keine personenbezogenen Daten verarbeitet werden, greift weder Art. 28 noch Art. 26 DSGVO.

Entscheidungsbaum: Welche Rolle hat Ihr KI-Anbieter?

Die richtige Einordnung erfordert eine Einzelfallprüfung. Stellen Sie sich drei Fragen:

1. Verarbeitet der KI-Dienst personenbezogene Daten? Falls nein (z. B. nur anonymisierte Daten), entfällt die DSGVO-Pflicht.
2. Nutzt der Anbieter die Daten für eigene Zwecke (z. B. Modelltraining)? Falls ja, liegt mindestens eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor.
3. Verarbeitet der Anbieter ausschließlich nach Weisung? Falls ja, handelt es sich um Auftragsverarbeitung nach Art. 28 DSGVO — und ein AVV ist Pflicht.

In der Praxis ist die Abgrenzung häufig unscharf. Viele KI-Anbieter haben ihre Nutzungsbedingungen in den letzten Jahren angepasst und bieten inzwischen eine klare Opt-out-Möglichkeit für Modelltraining an. Wenn dieses Opt-out aktiviert ist und der Anbieter die Daten tatsächlich nur weisungsgebunden verarbeitet, reicht ein AVV nach Art. 28 DSGVO aus.

---

Art. 28 Abs. 3 DSGVO: Die 8 Pflichtklauseln im AVV {#pflichtklauseln}

Art. 28 Abs. 3 DSGVO definiert acht zwingend erforderliche Regelungspunkte, die jeder AVV enthalten muss. Bei KI-Diensten erfordern diese Klauseln eine spezifische Ausfüllung, da die Verarbeitung technisch komplexer ist als bei klassischen Cloud-Diensten.

Diese acht Klauseln bilden das Gerüst jedes AVV. Bei KI-Diensten reichen sie allein jedoch nicht aus — es braucht zusätzliche, KI-spezifische Regelungen.

---

KI-spezifische Zusatzklauseln {#ki-zusatzklauseln}

Die folgenden vier Klauseln gehen über die Mindestanforderungen des Art. 28 Abs. 3 DSGVO hinaus, sind aber bei KI-Diensten praktisch unverzichtbar.

1. Trainingsverbot (No-Training-Clause)

Die wichtigste KI-spezifische Klausel: Der Anbieter darf die eingegebenen Daten — weder Prompts noch Outputs — nicht zum Training, Fine-Tuning oder zur Evaluierung seiner Modelle verwenden. Ohne diese Klausel besteht das Risiko, dass personenbezogene Daten in das Modell „eingebrannt" werden und über Outputs an Dritte gelangen (sog. Memorization-Effekt).

Eine wirksame No-Training-Clause sollte enthalten:

• Ausdrückliches Verbot der Nutzung von Input- und Output-Daten für Modelltraining, Fine-Tuning, RLHF und Evaluierung
• Technische Absicherung, z. B. durch separate Verarbeitungspipelines für API- und Consumer-Daten
• Audit-Recht des Auftraggebers, um die Einhaltung des Trainingsverbots zu überprüfen
• Vertragsstrafe bei Verstoß, da ein nachträgliches „Entlernen" aus einem Modell technisch kaum möglich ist

2. Modellwechsel-Klausel

KI-Anbieter aktualisieren ihre Modelle regelmäßig — oft ohne Vorankündigung. Ein Modellwechsel kann das Verarbeitungsverhalten grundlegend verändern: Andere Datenmengen werden zwischengespeichert, die Verarbeitungslogik ändert sich, und möglicherweise verschieben sich Verarbeitungsorte. Nach Art. 28 Abs. 3 lit. a DSGVO muss der Auftragsverarbeiter den Verantwortlichen informieren, wenn eine Weisung gegen Datenschutzrecht verstößt. Ein Modellwechsel kann genau diesen Effekt haben.

Eine Modellwechsel-Klausel sollte regeln:

• Vorab-Information bei jedem Modellwechsel (mindestens 30 Tage vor Aktivierung)
• Widerspruchsrecht des Auftraggebers mit der Möglichkeit, beim bisherigen Modell zu bleiben
• Aktualisierte Dokumentation der technischen und organisatorischen Maßnahmen für das neue Modell
• Erneute Risikoprüfung: Verpflichtung, eine aktualisierte DSFA-Zuarbeit bereitzustellen, wenn sich die Verarbeitung wesentlich ändert

3. Subprocessor-Kette

KI-Dienste basieren auf komplexen Infrastrukturen. Ein KI-Anbieter nutzt typischerweise Cloud-Infrastruktur (Azure, AWS, GCP), Content-Delivery-Netzwerke, Monitoring-Tools und ggf. spezialisierte Inferenz-Dienste. Jeder dieser Dienstleister ist ein Unterauftragsverarbeiter im Sinne des Art. 28 Abs. 2 DSGVO.

Die Subprocessor-Klausel muss sicherstellen:

• Vollständige Liste aller Unterauftragsverarbeiter mit Angabe des Verarbeitungszwecks und des Verarbeitungsorts
• Vorab-Information und Widerspruchsrecht bei Hinzufügung neuer Subprocessors (Art. 28 Abs. 2 DSGVO verlangt entweder eine allgemeine oder eine spezielle vorherige Genehmigung)
• Durchgriffsrechte: Der Hauptauftragnehmer muss seine Pflichten vollständig auf Unterauftragsverarbeiter übertragen und haftet für deren Pflichtverletzungen (Art. 28 Abs. 4 DSGVO)
• Besondere Aufmerksamkeit bei Drittlandtransfers: Werden Inferenz-Workloads auf GPU-Cluster in den USA oder Asien verlagert? Falls ja, sind die Anforderungen der Art. 44-49 DSGVO einzuhalten — insbesondere Standardvertragsklauseln (SCC) und ggf. ein Transfer Impact Assessment (TIA)

4. Logging-Zugang und Transparenz

KI-Verarbeitungen sind für den Auftraggeber oft eine Black Box. Anders als bei einer klassischen Datenbank kann der Verantwortliche nicht selbst nachsehen, welche Daten wann wie verarbeitet wurden. Um seinen Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO nachzukommen, braucht er Zugang zu aussagekräftigen Logs.

Die Logging-Klausel sollte umfassen:

• Zugang zu Verarbeitungsprotokollen: Wann wurden welche Daten übermittelt, wie lange gespeichert, wann gelöscht?
• Audit-Logs: Wer beim Anbieter hat auf die Daten zugegriffen (insbesondere bei manuellen Reviews durch Trust-&-Safety-Teams)?
• Exportierbarkeit: Logs müssen in einem maschinenlesbaren Format abrufbar sein, um sie in das eigene SIEM oder Datenschutz-Management-System einbinden zu können
• Aufbewahrungsfristen: Logs müssen mindestens so lange aufbewahrt werden, wie sie zur Erfüllung der Rechenschaftspflicht benötigt werden — in der Regel mindestens 12 Monate

---

AVV-Check: Gängige KI-Dienste im Vergleich {#avv-check}

Wie gut sind die AVVs der großen KI-Anbieter tatsächlich? Wir haben die Auftragsverarbeitungsverträge der vier meistgenutzten KI-Dienste in deutschen Unternehmen analysiert. Der Stand bezieht sich auf Juni 2026.

Wichtig: Diese Bewertung ersetzt keine eigene rechtliche Prüfung. Die Eignung eines AVV hängt immer vom konkreten Einsatzzweck, den verarbeiteten Datenkategorien und der Risikoklasse ab. Für Hochrisiko-KI-Systeme nach Anhang III VO (EU) 2024/1689 gelten zusätzliche Anforderungen, die über den AVV hinausgehen.

---

Häufige Fehler bei KI-AVVs {#haeufige-fehler}

In unserer Beratungspraxis sehen wir immer wieder dieselben Fehler. Diese fünf sind die häufigsten:

1. Kein AVV vorhanden, weil „die KI keine Daten speichert"

Ein weit verbreiteter Irrtum: Viele Unternehmen glauben, dass kein AVV nötig ist, weil der KI-Anbieter die Daten „nicht speichert". Doch Verarbeitung im Sinne der DSGVO umfasst auch das bloße Übermitteln, Abfragen und Verwenden von Daten (Art. 4 Nr. 2 DSGVO). Sobald personenbezogene Daten an eine KI-API gesendet werden, findet eine Verarbeitung statt — unabhängig von der Speicherdauer.

2. AVV des Anbieters ungeprüft übernommen

Die AVVs großer KI-Anbieter sind standardisiert und decken häufig nur die Mindestanforderungen ab. KI-spezifische Klauseln wie Trainingsverbote oder Modellwechsel-Regelungen fehlen oder sind in Nebendokumenten (Usage Policies, Trust Center) versteckt, die rechtlich nicht Teil des AVV sind. Prüfen Sie jeden AVV auf Vollständigkeit und passen Sie ihn an Ihre Bedürfnisse an — oder dokumentieren Sie die Lücken in einer Risikoanalyse.

3. Falsche Rollenverteilung

Wird der KI-Anbieter als Auftragsverarbeiter eingestuft, obwohl er die Daten auch für eigene Zwecke nutzt, ist der gesamte AVV auf der falschen Grundlage aufgebaut. Die Folge: Der Vertrag regelt Pflichten, die gar nicht der tatsächlichen Verantwortlichkeitskonstellation entsprechen. Prüfen Sie vor Vertragsschluss, ob tatsächlich eine Auftragsverarbeitung vorliegt oder ob eine Vereinbarung nach Art. 26 DSGVO (gemeinsame Verantwortlichkeit) erforderlich ist.

4. Subprocessor-Kette nicht kontrolliert

Viele Unternehmen prüfen zwar den Hauptanbieter, übersehen aber die Kette der Unterauftragsverarbeiter. Ein KI-Anbieter mit Sitz in der EU kann seine Inferenz-Workloads auf GPU-Cluster in den USA auslagern. Ohne Kenntnis der Subprocessor-Kette ist eine Bewertung der Drittlandtransfer-Risiken unmöglich.

5. Keine Regelung für den Notfall

Was passiert, wenn der KI-Anbieter eine Datenpanne meldet? Art. 28 Abs. 3 lit. f DSGVO verlangt, dass der Auftragsverarbeiter den Verantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten informiert. In vielen KI-AVVs fehlen konkrete Fristen (z. B. 24 Stunden), Meldewege und Eskalationsprozesse. Das führt im Ernstfall zu Verzögerungen, die nach Art. 33 DSGVO haftungsrelevant werden können.

---

Häufig gestellte Fragen (FAQ) {#faq}

Brauche ich einen AVV, wenn ich ChatGPT nur intern nutze?

Ja. Sobald Mitarbeiter personenbezogene Daten in ChatGPT eingeben — auch wenn es nur versehentlich geschieht —, liegt eine Übermittlung an einen Auftragsverarbeiter vor. Das gilt auch für die rein interne Nutzung. Entscheidend ist nicht der organisatorische Kontext, sondern ob personenbezogene Daten an den Dienst übermittelt werden. Bei OpenAI ist ein AVV (Data Processing Addendum) ab dem Team-Plan verfügbar. Für die Free- und Plus-Versionen bietet OpenAI keinen vollwertigen AVV an — diese Versionen sind für den Einsatz mit personenbezogenen Daten nicht geeignet.

Was ist der Unterschied zwischen einem AVV und einem DPA?

Kein inhaltlicher Unterschied. AVV steht für „Auftragsverarbeitungsvertrag" (deutscher Begriff), DPA steht für „Data Processing Agreement" (englischer Begriff). Beide bezeichnen den Vertrag nach Art. 28 DSGVO. Internationale Anbieter verwenden in der Regel den englischen Begriff DPA. Inhaltlich muss das DPA dieselben Anforderungen erfüllen wie ein deutschsprachiger AVV — die Sprache ist rechtlich unerheblich, solange der Vertrag die Pflichtinhalte nach Art. 28 Abs. 3 DSGVO abdeckt.

Reicht der Standard-AVV des KI-Anbieters aus?

In den meisten Fällen nicht vollständig. Standard-AVVs großer Anbieter erfüllen die formalen Mindestanforderungen des Art. 28 Abs. 3 DSGVO, lassen aber KI-spezifische Regelungen häufig aus. Prüfen Sie insbesondere, ob ein ausdrückliches Trainingsverbot, eine Modellwechsel-Regelung und konkrete Löschfristen für Prompts enthalten sind. Falls nicht, sollten Sie versuchen, ergänzende Vereinbarungen zu schließen. Ist das nicht möglich, dokumentieren Sie die Lücken in Ihrer DSFA und implementieren Sie kompensierende Maßnahmen (z. B. technische Input-Filter, die personenbezogene Daten vor der Übermittlung maskieren).

Wer haftet, wenn der KI-Anbieter Daten zum Training nutzt, obwohl das verboten ist?

Zunächst haften Sie als Verantwortlicher gegenüber den Betroffenen. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der ein Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Der Verantwortliche wird nach Art. 82 Abs. 3 DSGVO nur dann von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ein gut formulierter AVV mit klarem Trainingsverbot und Audit-Recht stärkt Ihre Position im Innenverhältnis — sowohl bei der Rückgriffnahme gegen den Anbieter als auch bei der Darstellung gegenüber Aufsichtsbehörden. Zusätzlich greifen seit dem 2. August 2025 die Betreiberpflichten nach Art. 26 VO (EU) 2024/1689, die eine angemessene Überwachung des KI-Systems verlangen.

Wie oft sollte der AVV überprüft werden?

Mindestens jährlich und anlassbezogen. KI-Dienste entwickeln sich schnell weiter — neue Modelle, neue Funktionen, neue Subprocessors. Eine jährliche Überprüfung des AVV stellt sicher, dass die vertraglichen Regelungen noch zur tatsächlichen Verarbeitung passen. Darüber hinaus sollte der AVV anlassbezogen geprüft werden: bei jedem Modellwechsel, bei Änderungen der Subprocessor-Liste, bei neuen Einsatzzwecken im eigenen Unternehmen und bei regulatorischen Änderungen. Dokumentieren Sie die Prüfung als Teil Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

---

Nächste Schritte {#naechste-schritte}

Ein lückenhafter oder fehlender AVV ist eines der häufigsten Compliance-Defizite beim Einsatz von KI-Diensten — und eines der am einfachsten vermeidbaren. Gehen Sie jetzt diese drei Schritte:

1. Bestandsaufnahme: Erstellen Sie ein KI-Inventar aller genutzten KI-Dienste und prüfen Sie für jeden Dienst, ob ein AVV vorliegt.
2. Lückenanalyse: Überprüfen Sie bestehende AVVs anhand der oben beschriebenen Pflichtklauseln und KI-spezifischen Zusatzklauseln. Dokumentieren Sie Abweichungen.
3. Nachverhandlung: Fordern Sie bei Anbietern, deren AVV unvollständig ist, ergänzende Vereinbarungen an. Wenn der Anbieter nicht kooperiert, prüfen Sie Alternativen — etwa europäische Anbieter mit transparenteren Vertragsbedingungen.

Sie möchten wissen, ob Ihre KI-Dienste datenschutzkonform eingesetzt werden? KI Comply unterstützt Sie bei der AVV-Prüfung, der Rollenabgrenzung und der vollständigen Dokumentation Ihrer KI-Verarbeitungen — von der Bestandsaufnahme bis zum fertigen Vertragswerk.

Kostenlose Erstberatung vereinbaren{.cta-button}