AAllgemein

Auftragsverarbeitung (AVV) für KI-Tools

Vertrag, wenn ein KI-Anbieter personenbezogene Daten im Auftrag verarbeitet.

Auftragsverarbeitung (AVV) für KI-Tools ist ein Vertrag nach DSGVO, den Sie als Unternehmen abschließen, wenn ein KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet – z. B. wenn Mitarbeitende Kundendaten in ein KI-Tool eingeben oder das Tool Support-Tickets, E-Mails oder Dokumente analysiert. Der AVV regelt Pflichten, Sicherheitsmaßnahmen und Kontrollrechte, damit die Verarbeitung rechtlich sauber bleibt.

Was bedeutet AVV im KI-Alltag von KMU?

Viele KI-Tools funktionieren als Cloud-Dienst: Sie senden Eingaben (Prompts), Dateien oder Gesprächsverläufe an den Anbieter, der diese Daten verarbeitet, um Ihnen eine Antwort zu liefern (z. B. mit einem Large Language Model (LLM) wie ChatGPT). Sobald dabei personenbezogene Daten betroffen sind (Kundennamen, E-Mail-Adressen, Mitarbeiterdaten, Ticket-Inhalte, Gesprächsnotizen), liegt häufig eine Auftragsverarbeitung vor – und ein AVV ist in der Regel erforderlich.

Wie funktioniert ein AVV für KI-Tools (praktisch)?

  • Rollen klären: Sie sind meist „Verantwortlicher“, der KI-Anbieter ist „Auftragsverarbeiter“ (oder in manchen Fällen eigener Verantwortlicher – das muss geprüft werden).
  • Verarbeitung beschreiben: Welche Daten, zu welchem Zweck, wie lange, welche Nutzergruppen (z. B. Vertrieb, HR, Support)?
  • Sicherheitsmaßnahmen festlegen: z. B. Zugriffskontrollen, Verschlüsselung, Protokollierung, Mandantentrennung.
  • Unterauftragsverarbeiter prüfen: Nutzt der Anbieter weitere Dienstleister (Hosting, Analyse, Support)? Wo sitzen diese?
  • Rechte & Pflichten regeln: Weisungsrecht, Unterstützung bei Betroffenenanfragen, Meldewege bei Datenschutzvorfällen, Löschkonzepte.

Warum ist ein AVV bei KI-Tools wichtig?

Ein AVV reduziert Ihr Risiko bei DSGVO-Prüfungen, schafft klare Verantwortlichkeiten und zwingt den Anbieter zu Mindeststandards. Ohne AVV kann die Nutzung eines KI-Tools mit personenbezogenen Daten schnell zu einem Compliance-Problem werden – selbst wenn das Tool fachlich „super funktioniert“.

Typische Beispiele aus dem KMU-Alltag

  • Customer Support: Ein KI-Tool fasst Tickets zusammen oder formuliert Antworten. Tickettexte enthalten fast immer personenbezogene Daten → AVV sehr wahrscheinlich.
  • Vertrieb/Marketing: Sie lassen aus CRM-Notizen E-Mail-Entwürfe erstellen. Sobald Namen/Telefonnummern enthalten sind → AVV relevant.
  • HR: Bewerbungen werden zusammengefasst oder Anschreiben analysiert. Hochsensibel → AVV (und zusätzliche Vorsicht) nötig.
  • Wissensdatenbank/RAG: Wenn Sie interne Dokumente über RAG (Retrieval-Augmented Generation) anbinden, können darin personenbezogene Daten stecken → AVV und saubere Datenhygiene.

Worauf Sie beim AVV für KI besonders achten sollten

Merksatz: Sobald ein KI-Tool für Sie personenbezogene Daten verarbeitet, ist ein AVV (oder eine klare Rollenklärung, warum keiner nötig ist) ein Muss – besonders für KMU ohne IT-Abteilung, weil der Vertrag viele Sicherheits- und Prozessfragen verbindlich klärt.