AVV für KI-Tools: Was muss der Auftragsverarbeitungsvertrag enthalten?

Wenn ein deutsches Unternehmen personenbezogene Daten über eine externe KI-API verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich. Das gilt für ChatGPT Enterprise, aber auch für jeden selbst gehosteten Proxy-Dienst.

Pflichtinhalt nach Art. 28 Abs. 3 DSGVO: Der AVV muss Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der personenbezogenen Daten und Kategorien betroffener Personen festlegen. Wesentlich sind auch die Weisungsbefugnis des Auftraggebers, Vertraulichkeitsverpflichtungen der Mitarbeiter, technisch-organisatorische Maßnahmen (TOMs), Regelungen zu Sub-Auftragsverarbeitern, Unterstützungspflichten bei Betroffenenrechten und die Datenlöschung nach Vertragsende.

Häufige Fehler: Viele AVV-Muster aus dem Internet sind für Software-as-a-Service-Produkte nicht spezifisch genug. Fehlende Klauseln zu Sub-Prozessoren (insbesondere LLM-Providern), unklare Löschfristen und fehlende Audit-Rechte sind die häufigsten Mängel.

Für PII-Proxy-Dienste wie Anoniq gilt eine Besonderheit: Da keine personenbezogenen Daten an LLM-Provider weitergeleitet werden (nur pseudonymisierte Platzhalter), entfällt das Drittland-Transfer-Problem. Der AVV muss dies explizit festhalten: "Der Auftragsverarbeiter überträgt keine personenbezogenen Daten im Klartext an LLM-Provider."