DAllgemein

Data Processing Agreement (DPA/AVV)

Vertrag zur Auftragsverarbeitung mit KI-Anbietern und Dienstleistern

Ein Data Processing Agreement (DPA) – auf Deutsch meist Auftragsverarbeitungsvertrag (AVV) – ist ein Vertrag, der nach DSGVO regelt, wie ein Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet. Im KI-Kontext (z. B. bei ChatGPT, Large Language Model (LLM)-APIs oder Automations-Tools wie n8n) stellt der DPA/AVV sicher, dass Datenschutz, Sicherheit, Verantwortlichkeiten und Kontrollrechte sauber festgelegt sind.

Was bedeutet DPA/AVV im KI- und Automations-Kontext?

Wenn du einen KI-Anbieter oder Cloud-Dienst nutzt, werden oft Daten an diesen Anbieter übertragen: Prompts, Chat-Verläufe, Dokumente für RAG (Retrieval-Augmented Generation), Logs, Support-Tickets oder Nutzer-IDs. Sobald diese Informationen personenbezogen sind (z. B. Name, E-Mail, Kundennummer, IP-Adresse oder indirekt identifizierende Inhalte), liegt typischerweise eine Auftragsverarbeitung vor – und damit ist ein DPA/AVV erforderlich.

Wie funktioniert ein DPA/AVV typischerweise?

  • Rollen klären: Du bist „Verantwortlicher“, der Anbieter „Auftragsverarbeiter“ (oder ggf. gemeinsam Verantwortlicher – das muss geprüft werden).
  • Zweck & Umfang definieren: Welche Daten, welche Verarbeitung, welche Systeme/Tools, welche Kategorien betroffener Personen?
  • Technische und organisatorische Maßnahmen (TOMs): z. B. Verschlüsselung, Zugriffskontrollen, Protokollierung, Backup, Incident-Management.
  • Unterauftragsverarbeiter: Welche Subdienstleister (z. B. Hosting, Monitoring) werden genutzt und wie wirst du informiert?
  • Betroffenenrechte & Unterstützung: Prozesse für Auskunft, Löschung, Berichtigung; Unterstützung bei Datenschutz-Folgenabschätzung (DSFA).
  • Meldung von Datenschutzvorfällen: Fristen, Ansprechpartner, Inhalte der Meldung.
  • Löschung/Return: Was passiert nach Vertragsende mit Daten, Backups und Logs?

Warum ist ein DPA/AVV bei KI-Anbietern wichtig?

KI-Workflows erhöhen das Risiko, dass sensible Daten unbeabsichtigt in Prompts, Trainingsdaten oder Logs landen. Ein DPA/AVV schafft hier rechtliche Leitplanken: Er verpflichtet den Anbieter zu Datenschutzstandards, gibt dir Audit- und Informationsrechte und definiert, ob Daten z. B. zur Modellverbesserung genutzt werden dürfen. Gerade bei agentischen Setups (z. B. AI Agents (KI-Agenten) mit Function Calling / Tool Use) und Automatisierung über n8n hilft der Vertrag, Verantwortlichkeiten entlang der Tool-Kette zu klären.

Praxisbeispiele

  • Support-Automation: Ein Workflow fasst Kunden-E-Mails per LLM zusammen. Der DPA/AVV regelt u. a. Zugriff, Logging, Löschung und Subprozessoren.
  • Dokumenten-Chat mit RAG (Retrieval-Augmented Generation): Interne PDFs werden in Embeddings umgewandelt und in einer Vektordatenbank (Vector Database) gespeichert. DPA/AVV ist relevant für den Embedding-/LLM-Anbieter und ggf. den Datenbank-Hoster.
  • HR-Use-Case: Lebensläufe werden analysiert. Hier sind besondere Schutzmaßnahmen, Datensparsamkeit und klare Löschfristen essenziell.

Was kostet ein DPA/AVV?

Bei vielen SaaS- und KI-Anbietern ist der DPA/AVV ohne Aufpreis im Enterprise-Portal oder als Standard-Anlage verfügbar. Kosten entstehen eher indirekt: durch Rechtsprüfung, Verhandlungen (z. B. zu Datenresidenz, Subprozessoren, Audit-Rechten) und interne Compliance-Arbeit. Je höher das Risiko (z. B. sensible Daten, internationale Transfers), desto mehr Aufwand.

Wichtig: Ein DPA/AVV ersetzt keine Datenschutzstrategie. Er ist ein Kernbaustein zusammen mit Datenschutz (DSGVO/GDPR) & KI, Sicherheitsmaßnahmen (z. B. Secrets Management (Schlüsselverwaltung), Data Loss Prevention (DLP) für KI) und Governance wie AI Governance.