DAllgemein

Data Processing Agreement (DPA/AVV)

Vertrag zur Auftragsverarbeitung mit KI-Anbietern und Dienstleistern
3 Aufrufe

Ein Data Processing Agreement (DPA) – auf Deutsch meist Auftragsverarbeitungsvertrag (AVV) – ist ein Vertrag, der nach DSGVO regelt, wie ein Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet. Im KI-Kontext (z. B. bei ChatGPT, Large Language Model (LLM)-APIs oder Automations-Tools wie n8n) stellt der DPA/AVV sicher, dass Datenschutz, Sicherheit, Verantwortlichkeiten und Kontrollrechte sauber festgelegt sind.

Was bedeutet DPA/AVV im KI- und Automations-Kontext?

Wenn du einen KI-Anbieter oder Cloud-Dienst nutzt, werden oft Daten an diesen Anbieter übertragen: Prompts, Chat-Verläufe, Dokumente für RAG (Retrieval-Augmented Generation), Logs, Support-Tickets oder Nutzer-IDs. Sobald diese Informationen personenbezogen sind (z. B. Name, E-Mail, Kundennummer, IP-Adresse oder indirekt identifizierende Inhalte), liegt typischerweise eine Auftragsverarbeitung vor – und damit ist ein DPA/AVV erforderlich.

Wie funktioniert ein DPA/AVV typischerweise?

  • Rollen klären: Du bist „Verantwortlicher“, der Anbieter „Auftragsverarbeiter“ (oder ggf. gemeinsam Verantwortlicher – das muss geprüft werden).
  • Zweck & Umfang definieren: Welche Daten, welche Verarbeitung, welche Systeme/Tools, welche Kategorien betroffener Personen?
  • Technische und organisatorische Maßnahmen (TOMs): z. B. Verschlüsselung, Zugriffskontrollen, Protokollierung, Backup, Incident-Management.
  • Unterauftragsverarbeiter: Welche Subdienstleister (z. B. Hosting, Monitoring) werden genutzt und wie wirst du informiert?
  • Betroffenenrechte & Unterstützung: Prozesse für Auskunft, Löschung, Berichtigung; Unterstützung bei Datenschutz-Folgenabschätzung (DSFA).
  • Meldung von Datenschutzvorfällen: Fristen, Ansprechpartner, Inhalte der Meldung.
  • Löschung/Return: Was passiert nach Vertragsende mit Daten, Backups und Logs?

Warum ist ein DPA/AVV bei KI-Anbietern wichtig?

KI-Workflows erhöhen das Risiko, dass sensible Daten unbeabsichtigt in Prompts, Trainingsdaten oder Logs landen. Ein DPA/AVV schafft hier rechtliche Leitplanken: Er verpflichtet den Anbieter zu Datenschutzstandards, gibt dir Audit- und Informationsrechte und definiert, ob Daten z. B. zur Modellverbesserung genutzt werden dürfen. Gerade bei agentischen Setups (z. B. AI Agents (KI-Agenten) mit Function Calling / Tool Use) und Automatisierung über n8n hilft der Vertrag, Verantwortlichkeiten entlang der Tool-Kette zu klären.

Praxisbeispiele

  • Support-Automation: Ein Workflow fasst Kunden-E-Mails per LLM zusammen. Der DPA/AVV regelt u. a. Zugriff, Logging, Löschung und Subprozessoren.
  • Dokumenten-Chat mit RAG (Retrieval-Augmented Generation): Interne PDFs werden in Embeddings umgewandelt und in einer Vektordatenbank (Vector Database) gespeichert. DPA/AVV ist relevant für den Embedding-/LLM-Anbieter und ggf. den Datenbank-Hoster.
  • HR-Use-Case: Lebensläufe werden analysiert. Hier sind besondere Schutzmaßnahmen, Datensparsamkeit und klare Löschfristen essenziell.

Was kostet ein DPA/AVV?

Bei vielen SaaS- und KI-Anbietern ist der DPA/AVV ohne Aufpreis im Enterprise-Portal oder als Standard-Anlage verfügbar. Kosten entstehen eher indirekt: durch Rechtsprüfung, Verhandlungen (z. B. zu Datenresidenz, Subprozessoren, Audit-Rechten) und interne Compliance-Arbeit. Je höher das Risiko (z. B. sensible Daten, internationale Transfers), desto mehr Aufwand.

Wichtig: Ein DPA/AVV ersetzt keine Datenschutzstrategie. Er ist ein Kernbaustein zusammen mit Datenschutz (DSGVO/GDPR) & KI, Sicherheitsmaßnahmen (z. B. Secrets Management (Schlüsselverwaltung), Data Loss Prevention (DLP) für KI) und Governance wie AI Governance.

Zahlen & Fakten

0%
fordern AVV vor StartEin Großteil der B2B-Einkäufer verlangt vor dem Einsatz von KI- oder Cloud-Dienstleistern einen unterschriebenen Data Processing Agreement, um Datenschutz- und Haftungsrisiken zu reduzieren.
0 von 4
schnelleres Vendor-OnboardingStandardisierte DPA/AVV-Vorlagen verkürzen bei KMU häufig die rechtliche Prüfung und beschleunigen die Freigabe neuer Software- und KI-Anbieter deutlich.
0%
weniger Compliance-AufwandUnternehmen mit zentral gepflegten AVV-Prozessen reduzieren den manuellen Abstimmungsaufwand zwischen Einkauf, IT und Datenschutz spürbar.

Anwendungsfälle in der Praxis

Kundenservice
AVV vor Einführung eines KI-Chatbots im Kundenservice abschließen
Ein KMU nutzt einen externen KI-Chatbot, um Support-Anfragen auf der Website automatisch zu beantworten. Bevor Kundendaten wie Namen, E-Mail-Adressen oder Bestellinformationen verarbeitet werden, schließt das Unternehmen mit dem Anbieter einen Data Processing Agreement (DPA/AVV) ab und prüft Löschfristen, Unterauftragsverarbeiter und technische Schutzmaßnahmen. So kann der Kundenservice digitalisiert werden, ohne Datenschutzanforderungen zu vernachlässigen.

Bist du bereit für ein Data Processing Agreement (DPA/AVV)?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Weißt du, welche KI-Anbieter und Dienstleister in deinem Unternehmen personenbezogene Daten in deinem Auftrag verarbeiten?
Hast du mit diesen Anbietern bereits geprüft, ob ein DPA/AVV überhaupt erforderlich ist?
Liegt für alle relevanten Anbieter ein unterschriebenes DPA/AVV vor?
Prüfst du die Inhalte der DPA/AVV auf Datenschutz, Sicherheitsmaßnahmen und Verantwortlichkeiten?
Hast du einen festen Prozess, um DPA/AVV bei neuen Tools, KI-Anwendungen und Dienstleistern regelmäßig zu prüfen und zu aktualisieren?

Ist dein DPA mit KI-Anbietern wirklich vollständig und praxistauglich aufgesetzt?

Gerade bei KI-Tools und externen Dienstleistern reicht es nicht, nur irgendwo eine AVV abzuhaken. In der KI-Beratung & Hilfestellung prüfen wir gemeinsam, welche Anbieter du datenschutzkonform einsetzen kannst, wo ein DPA nötig ist und welche Risiken in deinem aktuellen Setup stecken. So triffst du fundierte Entscheidungen statt unsicherer Bauchgefühl-Compliance. Und wenn sinnvoll, richten wir KI-Lösungen so ein, dass sie zu deinen Prozessen und Datenschutzanforderungen passen.

Häufig gestellte Fragen

Wann brauche ich einen Data Processing Agreement (DPA) bzw. Auftragsverarbeitungsvertrag (AVV)?
Einen DPA bzw. AVV brauchst du immer dann, wenn ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet – zum Beispiel bei KI-Tools, CRM-Systemen, Cloud-Software oder Automationen. Im KI- und Automations-Kontext ist das besonders wichtig, weil Daten oft über mehrere Tools, APIs und Plattformen fließen und die Verantwortlichkeiten sauber geregelt sein müssen.