Ein KI-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist die rechtliche Grundlage, ohne die Sie kein ChatGPT, kein Claude und keinen Microsoft Copilot mit personenbezogenen Daten Ihres Unternehmens fuettern dürfen. Klingt formal, ist aber in der Praxis der häufigste DSGVO-Stolperstein beim Einsatz von Sprachmodellen. Der Verantwortliche bleibt das KMU. Der KI-Anbieter wird zum Auftragsverarbeiter. Und dazwischen muss ein Vertrag stehen, der mehr regelt als nur ein Haken in den AGB.
Auf einen Blick: Wer personenbezogene Daten durch einen externen KI-Anbieter verarbeiten laesst, schließt nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Schriftform genügt, elektronisch zugelassen. Pflichtinhalte sind in Art. 28 Abs. 3 DSGVO geregelt: Gegenstand, Dauer, Art, Zweck, Datenkategorien, Pflichten und Rechte des Verantwortlichen, technisch-organisatorische Maßnahmen, Subunternehmer-Zustimmung, Löschung, Kontrolle. OpenAI bietet eine Standard-DPA über trust.openai.com, Anthropic über privacy.anthropic.com. Wichtig: Ausschluss des Modelltrainings ist bei API-Nutzung Standard, bei kostenpflichtigen Web-Versionen nur teilweise.
Was Art. 28 DSGVO regelt und wann ein AVV Pflicht wird
Die Datenschutz-Grundverordnung unterscheidet klar zwischen zwei Rollen. Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung. Der Auftragsverarbeiter handelt im Auftrag und nach Weisung des Verantwortlichen. Beim Einsatz einer Cloud-KI sind Sie als Unternehmen praktisch immer der Verantwortliche, der KI-Anbieter ist der Auftragsverarbeiter.
Ein AVV wird in dem Moment Pflicht, in dem zwei Bedingungen zusammenkommen. Erstens: Es werden personenbezogene Daten verarbeitet. Das sind alle Daten, die einen Menschen identifizierbar machen. Namen, E-Mail-Adressen, Telefonnummern, Adressen, IP-Adressen, Mitarbeiterdaten, Kundendaten, Patientendaten, Mandantendaten. Zweitens: Diese Verarbeitung passiert durch einen externen Dienstleister.
Keine AVV-Pflicht haben Sie in zwei Faellen. Wenn Sie ausschließlich lokale KI auf eigener Hardware betreiben, gibt es keinen externen Auftragsverarbeiter, also auch keinen Vertrag. Und wenn Sie nachweislich nur anonymisierte oder rein synthetische Daten in eine KI eingeben, fehlt der Personenbezug. Letzteres ist in der Praxis selten, weil Anonymisierung sauber gemacht werden muss und Pseudonymisierung allein nicht reicht.
Verstossen Sie gegen die AVV-Pflicht, droht ein Bußgeld nach Art. 83 Abs. 4 DSGVO. Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem was höher ist. Praktisch wichtiger als das maximale Bußgeld: Ohne AVV ist die gesamte Verarbeitung rechtswidrig. Sie haben keinen Erlaubnistatbestand. Eine Beschwerde reicht, und die Aufsichtsbehörde nimmt sich den Vorgang vor.
Die Pflichtinhalte aus Art. 28 Abs. 3 DSGVO
Der Gesetzgeber hat in Art. 28 Abs. 3 DSGVO genau aufgeschrieben, was in einem AVV stehen muss. Wer sich daran haelt, hat einen rechtlich tragfaehigen Vertrag. Wer eine dieser Klauseln vergisst, hat formal keinen wirksamen AVV.
| Klausel | Bedeutung | Konkretisierung bei KI |
|---|---|---|
| Gegenstand und Dauer | Worum geht es und wie lange | "Verarbeitung von Textinputs zur Generierung von KI-Antworten, Laufzeit des Hauptvertrags" |
| Art und Zweck | Wie und wozu wird verarbeitet | "Cloud-basierte Inferenz auf großen Sprachmodellen zur Beantwortung von Nutzeranfragen" |
| Art der Daten | Welche Datenkategorien | "Kundenkontaktdaten, E-Mail-Inhalte, Dokumente nach Wahl des Nutzers" |
| Kategorien Betroffener | Wer ist betroffen | "Kunden, Mitarbeiter, Geschäftspartner, Dritte" |
| Pflichten und Rechte | Rahmen des Verantwortlichen | Weisungsrecht, Kontrolle, Audit |
| Weisungsbindung | Nur auf Weisung verarbeiten | Kein eigenständiger Gebrauch der Daten durch Anbieter |
| Vertraulichkeit | Mitarbeiter zur Verschwiegenheit verpflichten | Anbieter dokumentiert das in TOMs |
| TOMs (Art. 32) | Technisch-organisatorische Maßnahmen | Verschlüsselung, Zugriffskontrolle, Logging |
| Subunternehmer | Nur mit Zustimmung | Liste der Sub-Prozessoren, Informationspflicht bei Änderungen |
| Unterstuetzung | Bei Betroffenenrechten und Meldepflichten | Hilfe bei Auskunfts-, Loesch-, Korrekturanfragen |
| Löschung/Rückgabe | Nach Ende der Verarbeitung | Datenrueckgabe oder Löschnachweis |
| Kontrollrechte | Prüfung durch Verantwortlichen | Audit-Recht oder anerkannte Zertifikate |
Diese zwoelf Punkte sind das Geruest. Konkrete AVVs sind oft dreissig bis fuenfzig Seiten lang, weil jede Klausel ausgearbeitet werden muss und Anhänge dazukommen: die Beschreibung der TOMs nach Art. 32 DSGVO, die Liste der Subunternehmer, die Standardvertragsklauseln für den Drittlandtransfer.
Die EU-Kommission hat 2021 mit dem Durchfuehrungsbeschluss 2021/915 Standardvertragsklauseln für Art. 28 DSGVO veroeffentlicht. Wer diese Muster verwendet, gilt automatisch als rechtskonform. Nicht zu verwechseln mit dem Durchfuehrungsbeschluss 2021/914 zu den Standardvertragsklauseln für Drittlandtransfers. Die Nummern liegen eine Stelle auseinander, regeln aber komplett unterschiedliche Themen.
Formfreie Praxis und elektronischer AVV
Art. 28 Abs. 9 DSGVO sagt etwas, das viele KMU nicht wissen. Der AVV muss in Schriftform abgefasst sein, "was auch in einem elektronischen Format erfolgen kann". Im Klartext: Eine PDF mit elektronischer Unterschrift reicht. Ein Klick auf "ich akzeptiere" beim Buchen eines Tools reicht, wenn der AVV-Text klar zugänglich ist und akzeptiert wird. Sie brauchen keinen Notar, keinen Briefkasten, keine Original-Tinte.
Das ist der Grund, warum große KI-Anbieter ihre DPAs als Self-Service anbieten. Sie loggen sich ins Kundenkonto ein, öffnen das Trust-Portal, lesen den vorbereiteten Vertragstext, geben Firmenangaben ein, klicken auf signieren. Innerhalb von wenigen Minuten haben Sie einen rechtskonformen AVV. Vorausgesetzt, der Anbieter bietet einen an. Bei privaten Endkunden-Versionen ist das oft nicht der Fall.
ChatGPT und der AVV von OpenAI
OpenAI hat seine DPA zum 01.01.2026 aktualisiert. Sie ist abrufbar über das Trust-Portal unter trust.openai.com. Der Abschluss laeuft über ein Formular, das Kunden mit einem Business-, Enterprise-, Edu- oder API-Vertrag ausfuellen können. Die DPA enthält die EU-Standardvertragsklauseln für den Drittlandtransfer in die USA und bildet damit die rechtliche Bruecke zum Data Privacy Framework.
Wichtig ist die Unterscheidung der Produkte. ChatGPT Free und Plus sind die persönlichen Web-Versionen. Hier werden Eingaben standardmäßig zur Verbesserung der Modelle verwendet, ausser der Nutzer schaltet das im Account ab. Eine DPA gibt es für Free und Plus nicht, weil OpenAI diese Tarife als Endkunden-Produkte einstuft. Wer hier Mandantendaten eintippt, hat formal keinen Auftragsverarbeitungsvertrag und verarbeitet rechtswidrig.
ChatGPT Business, Enterprise und Edu sehen anders aus. Standardmaessig werden Eingaben und Ausgaben nicht zum Training der Modelle verwendet. Die DPA ist automatisch Bestandteil des Vertrags. Enterprise bietet zusätzlich Datenresidenz in Europa, US, UK oder Japan. Auf Antrag kann Zero Data Retention vereinbart werden, dann werden Eingaben sofort nach Bearbeitung gelöscht und nicht mal mehr für dreissig Tage zur Missbrauchsanalyse vorgehalten.
Die OpenAI-API folgt der gleichen Logik wie Business und Enterprise. Seit Maerz 2023 werden API-Eingaben nicht mehr zum Training verwendet. Die DPA ist mit dem Vertragsschluss abdeckbar. Wer Bedenken hat, fordert vor Produktivnutzung schriftlich die DPA an und legt sie zu den Compliance-Akten.
Claude und der DPA von Anthropic
Anthropic bietet die DPA für Claude über privacy.anthropic.com beziehungsweise das Privacy-Center an. Die aktuelle Version gilt seit 01.01.2026 und ist automatisch Bestandteil der Commercial Terms of Service. Wer Claude for Work, die Claude-API oder Claude Enterprise gebucht hat, hat mit der Annahme der Geschäftsbedingungen auch die DPA akzeptiert.
Wie bei OpenAI gibt es für Claude Free und Claude Pro keine DPA. Diese Tarife sind als persönliche Nutzung gedacht und nicht für die Verarbeitung von personenbezogenen Daten Dritter geeignet. Wer im KMU produktiv mit Claude arbeitet und Mandanten- oder Kundendaten verarbeitet, muss auf die Business-Produkte umsteigen.
Die DPA von Anthropic enthält die EU-Standardvertragsklauseln, Module Two und Three. Anthropic verpflichtet sich, Daten ausschließlich nach Weisung des Verantwortlichen zu verarbeiten und sie nicht zu verkaufen oder zu teilen. Nach Ende der Vertragsbeziehung werden Daten innerhalb von dreissig Tagen gelöscht oder zurueckgegeben.
Spannend für die Praxis: Seit 14.09.2025 hat Anthropic die Standard-Aufbewahrung von API-Logs von dreissig auf sieben Tage reduziert. Eingaben werden nie zum Training der Modelle verwendet. Für qualifizierte Enterprise-Kunden steht Zero Data Retention zur Verfügung, dann erfolgt keinerlei Speicherung über die unmittelbare Bearbeitung hinaus.
Microsoft Copilot, Google Gemini, Azure OpenAI
Bei den großen Plattform-Anbietern ist die DPA-Frage einfacher, weil der KI-Vertrag in den Plattformvertrag eingebunden ist. Wer ein Microsoft-365-Abonnement hat, hat über die Microsoft Products and Services Data Protection Addendum bereits einen AVV abgeschlossen. Copilot für Microsoft 365 ist davon abgedeckt, Daten werden nicht zum Training der Foundation Models verwendet, und über die EU Data Boundary kann die Verarbeitung auf Europa beschraenkt werden.
Google Gemini für Workspace ist über den Workspace-Vertrag und das Cloud Data Processing Addendum geregelt. Auch hier kein Training auf Kundendaten, EU-Hosting über Vertex AI Europe verfügbar. Azure OpenAI Service ist Teil des Microsoft-Azure-Vertrags, mit eigenen DPAs und Zertifizierungen.
Wenn Sie ohnehin schon Microsoft 365 oder Google Workspace im Einsatz haben, ist der Copilot- oder Gemini-Einsatz aus DPA-Sicht oft die formal einfachste Variante. Sie nutzen einen bestehenden Vertragsrahmen, den Ihre Datenschutzbeauftragten schon kennen.
Die häufigste Falle: Mitarbeiter-Privatkonten und Schatten-IT
Der DSGVO-Verstoß Nummer eins beim Thema KI passiert nicht durch fehlende Vertragsdokumente in der IT-Abteilung. Er passiert durch Mitarbeiter, die ihr privates ChatGPT-Plus-Konto am Arbeitsplatz nutzen. Sie kopieren eine Bewerber-E-Mail rein, lassen sich eine Antwort formulieren, kopieren das Ergebnis zurück. Dauer: drei Minuten. Schaden: ein vollstaendiger DSGVO-Verstoß, weil kein AVV besteht, die Daten potenziell zum Training verwendet werden und das Unternehmen als Verantwortlicher haftet.
Aus Sicht der Aufsichtsbehörde ist es egal, ob das Unternehmen den Mitarbeiter explizit angewiesen hat. Wer keine schriftliche KI-Nutzungsrichtlinie hat, wer Mitarbeiter nicht aktiv schult, wer Schatten-IT nicht kontrolliert, hat seine Organisationspflicht verletzt. Die Konsequenz: Das Unternehmen wird belangt, nicht der Mitarbeiter.
Drei Maßnahmen helfen dagegen. Erstens eine klare Richtlinie, welche KI-Tools dienstlich erlaubt sind und welche nicht. Zweitens ein dienstlich bereitgestellter Zugang zu einer Business-Variante mit DPA, damit Mitarbeiter gar nicht erst auf die private Variante ausweichen müssen. Drittens regelmäßige Schulung der Mitarbeiter zur KI-Kompetenz nach Art. 4 KI-VO, die ohnehin seit Februar 2025 verpflichtend ist.
AVV plus Drittlandtransfer
Der AVV regelt das Auftragsverhaeltnis. Er sagt nichts darueber aus, wo die Daten verarbeitet werden. Wenn der Anbieter seinen Sitz in den USA hat oder Subunternehmer in den USA nutzt, brauchen Sie zusätzlich eine Rechtsgrundlage für den Drittlandtransfer. Das ist seit Juli 2023 das Data Privacy Framework, das nach Trans-Atlantic Data Privacy Framework heißt und im Anschluss an das Schrems-II-Urteil verabschiedet wurde.
OpenAI und Anthropic sind beide unter dem DPF zertifiziert. Das bedeutet: Solange beide Unternehmen ihre Selbstzertifizierung aufrechterhalten und die EU-Kommission den Angemessenheitsbeschluss nicht widerruft, ist der Datentransfer in die USA rechtlich auf sicherer Basis. Trotzdem enthalten beide DPAs zusätzlich die EU-Standardvertragsklauseln. Das ist sinnvoll, weil das DPF politisch wackeliger Boden ist und ein Schrems-III-Verfahren nicht ausgeschlossen werden kann. Mit den SCC als Backup haben Sie eine Belt-and-Braces-Loesung.
Praktischer Tipp: Prüfen Sie regelmäßig die Subprozessor-Liste Ihres KI-Anbieters. OpenAI nutzt unter anderem Microsoft Azure als Infrastruktur. Anthropic nutzt Amazon Web Services und Google Cloud. Diese Unter-Auftragsverarbeiter werden im AVV explizit zugelassen, und Sie sollten bei Änderungen informiert werden.
Häufige Fragen
Wer ist Verantwortlicher und wer Auftragsverarbeiter beim KI-Einsatz? In nahezu allen Faellen ist Ihr Unternehmen der Verantwortliche und der KI-Anbieter der Auftragsverarbeiter. Sie entscheiden, welche Daten Sie in die KI eingeben und wozu Sie das Ergebnis verwenden. Der Anbieter stellt die Verarbeitungs-Infrastruktur bereit und handelt nach Ihren Weisungen.
Brauche ich mit jedem KI-Anbieter einen eigenen AVV? Ja, für jeden Anbieter, der personenbezogene Daten verarbeitet. Wenn Sie OpenAI, Anthropic und Microsoft parallel einsetzen, brauchen Sie drei AVVs. Die DPAs sind nicht uebertragbar.
Was ist mit Subunternehmern des Anbieters? Die DSGVO erlaubt Unterauftragsverarbeitung nur mit Zustimmung des Verantwortlichen. Anbieter loesen das über eine Liste vor-genehmigter Sub-Prozessoren und eine Informationspflicht bei Änderungen. Lesen Sie die Liste, dokumentieren Sie sie, widersprechen Sie aktiv, wenn Sie mit einem neuen Sub-Prozessor nicht einverstanden sind.
Was passiert bei Kündigung des Vertrags? Der Anbieter muss alle personenbezogenen Daten löschen oder zurueckgeben. Beides muss schriftlich dokumentiert werden. Bei OpenAI Enterprise und Anthropic Claude Enterprise gilt eine Standardfrist von dreissig Tagen.
Was mache ich, wenn ein Mitarbeiter sein privates ChatGPT-Konto nutzt? Erstens: Sofort untersagen und schriftlich dokumentieren. Zweitens: Prüfen, welche Daten betroffen sind. Drittens: Prüfen, ob eine Meldepflicht nach Art. 33 DSGVO besteht. Viertens: Dienstlichen Zugang zu einer Business-Variante einrichten. Fuenftens: Verpflichtende Schulung. Sechstens: KI-Nutzungsrichtlinie einführen und dokumentiert quittieren lassen.
Wer als KMU Cloud-KI einsetzen will, braucht drei Dinge in der Schublade: einen gueltigen AVV mit jedem Anbieter, eine Rechtsgrundlage für den Drittlandtransfer und eine schriftliche KI-Nutzungsrichtlinie für die Belegschaft. Die ersten beiden Punkte erledigen Sie an einem Vormittag, wenn Sie die Trust-Portale der Anbieter abklappern. Der dritte Punkt ist die laengere Aufgabe, weil er Schulung und Kulturarbeit verlangt. Wenn Sie diese Verzahnung systematisch angehen wollen, gibt der Digitalisierungsmanager das Werkzeug an die Hand, KI-Compliance und KI-Implementierung zusammen zu denken. Und wer parallel die Betreiber-Pflichten nach Art. 26 KI-VO sauber dokumentiert, hat den groessten Teil der Hausaufgaben für Hochrisiko-KI-Einsaetze schon erledigt.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.