Auftragsverarbeitung (AVV) für KI-Tools

Auftragsverarbeitung (AVV) für KI-Tools ist ein Vertrag nach DSGVO, den Sie als Unternehmen abschließen, wenn ein KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet – z. B. wenn Mitarbeitende Kundendaten in ein KI-Tool eingeben oder das Tool Support-Tickets, E-Mails oder Dokumente analysiert. Der AVV regelt Pflichten, Sicherheitsmaßnahmen und Kontrollrechte, damit die Verarbeitung rechtlich sauber bleibt.

Was bedeutet AVV im KI-Alltag von KMU?

Viele KI-Tools funktionieren als Cloud-Dienst: Sie senden Eingaben (Prompts), Dateien oder Gesprächsverläufe an den Anbieter, der diese Daten verarbeitet, um Ihnen eine Antwort zu liefern (z. B. mit einem Large Language Model (LLM) wie ChatGPT). Sobald dabei personenbezogene Daten betroffen sind (Kundennamen, E-Mail-Adressen, Mitarbeiterdaten, Ticket-Inhalte, Gesprächsnotizen), liegt häufig eine Auftragsverarbeitung vor – und ein AVV ist in der Regel erforderlich.

Wie funktioniert ein AVV für KI-Tools (praktisch)?

• Rollen klären: Sie sind meist „Verantwortlicher“, der KI-Anbieter ist „Auftragsverarbeiter“ (oder in manchen Fällen eigener Verantwortlicher – das muss geprüft werden).
• Verarbeitung beschreiben: Welche Daten, zu welchem Zweck, wie lange, welche Nutzergruppen (z. B. Vertrieb, HR, Support)?
• Sicherheitsmaßnahmen festlegen: z. B. Zugriffskontrollen, Verschlüsselung, Protokollierung, Mandantentrennung.
• Unterauftragsverarbeiter prüfen: Nutzt der Anbieter weitere Dienstleister (Hosting, Analyse, Support)? Wo sitzen diese?
• Rechte & Pflichten regeln: Weisungsrecht, Unterstützung bei Betroffenenanfragen, Meldewege bei Datenschutzvorfällen, Löschkonzepte.

Warum ist ein AVV bei KI-Tools wichtig?

Ein AVV reduziert Ihr Risiko bei DSGVO-Prüfungen, schafft klare Verantwortlichkeiten und zwingt den Anbieter zu Mindeststandards. Ohne AVV kann die Nutzung eines KI-Tools mit personenbezogenen Daten schnell zu einem Compliance-Problem werden – selbst wenn das Tool fachlich „super funktioniert“.

Typische Beispiele aus dem KMU-Alltag

• Customer Support: Ein KI-Tool fasst Tickets zusammen oder formuliert Antworten. Tickettexte enthalten fast immer personenbezogene Daten → AVV sehr wahrscheinlich.
• Vertrieb/Marketing: Sie lassen aus CRM-Notizen E-Mail-Entwürfe erstellen. Sobald Namen/Telefonnummern enthalten sind → AVV relevant.
• HR: Bewerbungen werden zusammengefasst oder Anschreiben analysiert. Hochsensibel → AVV (und zusätzliche Vorsicht) nötig.
• Wissensdatenbank/RAG: Wenn Sie interne Dokumente über RAG (Retrieval-Augmented Generation) anbinden, können darin personenbezogene Daten stecken → AVV und saubere Datenhygiene.

Worauf Sie beim AVV für KI besonders achten sollten

• Training/Weiterverwendung: Darf der Anbieter Ihre Eingaben zum Trainieren nutzen? Für viele Unternehmen ist hier „nein“ oder eine klare Opt-out-Regel entscheidend.
• Logging & Aufbewahrung: Wie lange werden Prompts/Antworten gespeichert? Gibt es Data Retention (Datenaufbewahrung) bei KI-Providern oder Zero Data Retention (ZDR) Optionen?
• Datenstandort & Transfers: Wo werden Daten verarbeitet? Relevant sind Data Residency (Datenresidenz) und ggf. EU-US Data Privacy Framework (DPF) & KI.
• Technische/organisatorische Maßnahmen (TOMs): Müssen im Vertrag/Anhang nachvollziehbar beschrieben sein.
• Löschung & Rückgabe: Was passiert bei Vertragsende? Wie bekommen Sie Daten zurück, wie wird gelöscht?

Merksatz: Sobald ein KI-Tool für Sie personenbezogene Daten verarbeitet, ist ein AVV (oder eine klare Rollenklärung, warum keiner nötig ist) ein Muss – besonders für KMU ohne IT-Abteilung, weil der Vertrag viele Sicherheits- und Prozessfragen verbindlich klärt.