Was ist ein AV-Vertrag und brauche ich den für KI?

Ein AV-Vertrag (Auftragsverarbeitungsvertrag) ist eine DSGVO-Pflicht wenn du personenbezogene Daten an einen externen Dienstleister weitergibst, der diese Daten in deinem Auftrag verarbeitet. Wenn du personenbezogene Daten, also zum Beispiel Kundennamen, E-Mail-Adressen oder Bestellhistorien, an eine KI-API schickst, bist du in der Pflicht.

Kurz gesagt: Ja, du brauchst ihn, wenn personenbezogene Daten in deinen KI-Prompts auftauchen.

Wann genau ein AV-Vertrag notwendig wird

Das Schlüsselwort ist “personenbezogene Daten”. Wenn du einem KI-Modell einen Text gibst der Kundenname, Adresse, Bestelldetails oder andere Informationen über identifizierbare Personen enthält, greift die DSGVO.

Beispiele die einen AV-Vertrag erfordern: Ein Chatbot der Kundenanfragen verarbeitet. Ein System das Support-Tickets analysiert die Kundendaten enthalten. KI-generierte Antworten auf Basis von Kundenprofilen.

Beispiele die keinen AV-Vertrag erfordern: Allgemeine Produkttexte generieren lassen. Intern genutztes Wissen ohne Personenbezug zusammenfassen.

Haben KI-Anbieter AV-Verträge?

Ja, die großen Anbieter schon. OpenAI bietet einen Data Processing Agreement an, Anthropic ebenfalls. Bei geschäftlichen API-Accounts ist dieser oft standardmäßig aktiviert oder kann abgeschlossen werden.

Wichtig: Lies die Datenschutzbestimmungen und den AV-Vertrag. Manche Anbieter behalten sich vor, eingereichte Daten für Modelltraining zu nutzen, was du für Kundendaten explizit deaktivieren musst.

Worauf du beim AV-Vertrag konkret achten musst

Drei Punkte sind besonders wichtig. Erstens: der Standort der Datenverarbeitung. Wenn personenbezogene Daten in die USA übertragen werden, brauchst du Standardvertragsklauseln (SCC) oder den Beschluss zum EU-US Data Privacy Framework. Anbieter wie Microsoft Azure OpenAI bieten EU-Hosting an, was vieles vereinfacht. Zweitens: das Training-Opt-out. Standardmäßig nutzen einige Anbieter API-Daten nicht zum Training, aber das musst du explizit prüfen, nicht annehmen. Drittens: die Subunternehmer-Kette. KI-Anbieter setzen oft auf Cloud-Hyperscaler. Diese müssen im AV-Vertrag transparent aufgeführt sein.

Praxis-Hinweis

Wenn du KI in größerem Umfang einsetzt, dokumentiere die Datenflüsse in deinem Verzeichnis von Verarbeitungstätigkeiten (VVT). Die Aufsichtsbehörde will im Ernstfall sehen, welche personenbezogenen Daten an welchen Dienstleister gehen, mit welcher Rechtsgrundlage und welcher Aufbewahrungsfrist. Ohne sauberes VVT ist auch der beste AV-Vertrag wenig wert.

Diese FAQ ist kein Rechtsrat. Für konkrete Vertragsprüfungen brauchst du einen Datenschutzbeauftragten oder Anwalt. Bei KI-Implementierungen prüfen wir die Datenschutzanforderungen aber immer als Teil der Projektplanung. Was rechtlich notwendig ist und wie du dich absicherst, klären wir gemeinsam.

Fragen zur DSGVO-konformen KI-Nutzung? Sprich uns an.