Lektion 4 von 5·10 Min Lesezeit

Auftragsverarbeitung und AI-Provider

Wenn Sie Cloud-basierte AI-Dienste nutzen (OpenAI, Azure AI, Google Vertex AI, Anthropic), übermitteln Sie personenbezogene Daten an einen externen Dienstleister. Das erfordert einen Auftragsverarbeitungsvertrag (AVV) und besondere Aufmerksamkeit bei Drittlandsübermittlungen.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung (Art. 28 DSGVO) liegt vor, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Bei AI-Cloud-Diensten ist das der Regelfall:

SzenarioAuftragsverarbeitung?
Mitarbeiter nutzt ChatGPT für interne Recherche ohne personenbezogene DatenNein
Kundendaten werden an OpenAI API zur Analyse gesendetJa
AI-Tool verarbeitet Bewerbungsunterlagen in der CloudJa
On-Premise LLM ohne externe DatenübermittlungNein

Der Auftragsverarbeitungsvertrag (AVV)

Ein AVV muss vor Beginn der Verarbeitung geschlossen werden und mindestens enthalten:

Pflichtinhalte (Art. 28 Abs. 3 DSGVO):

  1. Gegenstand und Dauer der Verarbeitung
  2. Art und Zweck der Verarbeitung
  3. Art der personenbezogenen Daten und Kategorien betroffener Personen
  4. Pflichten und Rechte des Verantwortlichen
  5. Weisungsgebundenheit des Auftragsverarbeiters
  6. Vertraulichkeitspflicht der Mitarbeiter
  7. Technische und organisatorische Maßnahmen (TOMs)
  8. Regelungen zu Unterauftragnehmern
  9. Unterstützung bei Betroffenenrechten und DSFA
  10. Löschung oder Rückgabe der Daten nach Ende der Verarbeitung

AVV der großen AI-Provider (Stand 2026):

  • OpenAI: Data Processing Addendum (DPA) für Enterprise-Kunden verfügbar
  • Microsoft Azure: Standard-DPA als Teil der Online Services Terms
  • Google Cloud: Cloud Data Processing Addendum
  • Anthropic: DPA für API-Kunden verfügbar
  • AWS Bedrock: AWS DPA als Teil des Service-Vertrags

Prüfen Sie: Ob der Standard-AVV Ihren Anforderungen genügt oder ob Anpassungen nötig sind.

Drittlandsübermittlung

Viele AI-Provider haben Server außerhalb der EU (insbesondere USA). Die Übermittlung personenbezogener Daten in Drittländer erfordert zusätzliche Schutzmaßnahmen:

Aktuelle Rechtslage (2026):

  • EU-US Data Privacy Framework: Gültig seit Juli 2023, ermöglicht Datenübermittlung an zertifizierte US-Unternehmen
  • Standardvertragsklauseln (SCC): Alternative, wenn kein Angemessenheitsbeschluss vorliegt
  • Transfer Impact Assessment (TIA): Zusätzliche Prüfung des Schutzniveaus im Drittland

Praktische Empfehlungen:

  1. EU-Region wählen: Die meisten Provider bieten EU-Datenverarbeitung an (z. B. Azure EU, AWS Frankfurt)
  2. Data Residency prüfen: Wo werden Daten gespeichert UND verarbeitet?
  3. Opt-out für Training: Stellen Sie sicher, dass Ihre Daten nicht für Modell-Training verwendet werden
  4. Zero Data Retention: Manche Provider bieten an, Daten nicht zu speichern

Checkliste: AI-Provider datenschutzkonform einsetzen

  • ☐ AVV abgeschlossen (vor Verarbeitungsbeginn)
  • ☐ Drittlandsübermittlung geprüft und abgesichert
  • ☐ EU-Region für Datenverarbeitung gewählt
  • ☐ Opt-out für Modell-Training aktiviert
  • ☐ TOMs des Providers geprüft
  • ☐ Unterauftragnehmer-Liste geprüft
  • ☐ Löschkonzept vereinbart

Praxis-Tipp: Wählen Sie einen AI-Provider mit EU-Rechenzentrum und Zero-Data-Retention-Option. Das reduziert Compliance-Aufwand und Risiko erheblich.

Vorherige LektionNächste Lektion