AVV für KI-Tools: Die Checkliste, bevor Sie unterschreiben

Irgendwann kommt der Moment, in dem jemand aus dem Unternehmen einen Vertrag hinlegt und fragt: "Können wir das unterschreiben?" Meistens ist es ein AVV, also ein Auftragsverarbeitungsvertrag, und meistens hängt er an einem neuen KI-Tool, das die Geschäftsführung ausprobieren will.

Das Problem: Die meisten AVVs sehen auf den ersten Blick gleich aus. Ordentliches Letterhead, korrekte Paragraphenverweise, vier bis sechs Seiten. Aber was da wirklich drinsteht, oder eben nicht drinsteht, entscheidet darüber, ob Sie im Ernstfall auf sicherem Grund stehen oder nicht. Und der Unterschied zwischen einem guten und einem schwachen AVV ist oft eine einzige fehlende Anlage.

Dieser Artikel ist kein Ersatz für Ihren Anwalt. Aber er gibt Ihnen eine konkrete Checkliste, mit der Sie den Entwurf zumindest vorab einschätzen können, bevor Sie Anwaltszeit kaufen.

Warum Sie überhaupt einen AVV brauchen

Art. 28 DSGVO ist eindeutig: Sobald ein Dienstleister personenbezogene Daten im Auftrag verarbeitet, brauchen Sie einen schriftlichen Vertrag. Das ist keine Kann-Regel, das ist Pflicht.

Personenbezogene Daten heißt in der Praxis viel: Kundennamen in einer E-Mail, die ein KI-Tool liest. Bewerberunterlagen, die ein Agent verarbeitet. Mitarbeiterdaten, die durch einen automatisierten Prozess laufen. Sobald da ein Name, eine Adresse oder eine Kennnummer dranhängt, greifen die Regeln.

Was passiert ohne AVV? Formal befinden Sie sich in einem DSGVO-Verstoß. Der Bußgeldrahmen geht bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Das ist der theoretische Maximalbetrag, aber auch ohne sechs Nullen hinter der Zahl ist eine Aufsichtsbehörde, die einen fehlenden AVV findet, kein schönes Erlebnis.

Die Checkliste: Was muss im AVV stehen?

Ein AVV ist nicht gleich ein AVV. Diese acht Punkte sollten Sie durchgehen, bevor Sie unterschreiben.

Art und Zweck der Verarbeitung sind konkret benannt. Ein guter AVV beschreibt, welche Kategorien von Daten der Anbieter verarbeitet und zu welchem Zweck, also zum Beispiel "Verarbeitung von Kundenkommunikation zur Beantwortung von Supportanfragen". Ein schwacher AVV schreibt "Verarbeitung im Rahmen der vereinbarten Leistung". Das klingt neutral, sagt aber nichts, und im Zweifelsfall können Sie damit nicht nachweisen, was der Auftragsverarbeiter tun durfte und was nicht.

Der Server-Standort ist klar festgelegt. Schauen Sie nicht nur nach "EU", sondern nach einem konkreten Land, am besten einem konkreten Rechenzentrum. Ein Anbieter, der auf deutschen Servern hostet, ist ein anderes Risikoprofil als einer, der auf irgendeiner europäischen Cloud-Instanz läuft, die morgen in einen US-Konzern wechseln könnte. Wenn der Standort nicht explizit genannt ist, fragen Sie nach, und lassen Sie sich die Antwort in den Vertrag schreiben.

Alle Sub-Auftragsverarbeiter sind vollständig aufgelistet, mit Zustimmungsvorbehalt für neue. Das ist der Punkt, den viele AVVs schwach lösen. Ein guter AVV nennt alle Dritten, die Ihre Daten zu Gesicht bekommen: Cloud-Infrastruktur, Sprachmodell-Anbieter, Mail-Dienste, Speicher-Tools. Und er regelt, dass der Anbieter neue Sub-Auftragsverarbeiter erst ankündigen muss, bevor er sie einsetzt. Sie müssen dann die Möglichkeit haben, zu widersprechen. Ohne diese Klausel können Ihre Daten plötzlich bei einem Dritten landen, den Sie nie gesehen haben.

Es gibt eine ausdrückliche Klausel, dass Ihre Daten nicht für das Modelltraining genutzt werden. Das ist keine Selbstverständlichkeit. Manche Anbieter trainieren ihre Modelle standardmäßig mit den Eingaben der Nutzer, wenn man das nicht aktiv abschaltet oder explizit ausschließt. Im AVV sollte schwarz auf weiß stehen, dass Kundendaten nicht zur Verbesserung oder zum Training von Modellen verwendet werden. Wenn diese Klausel fehlt, fragen Sie nach. Wenn der Anbieter sie verweigert, ist das eine Information.

Konkrete Löschfristen sind vereinbart. "Daten werden nach Vertragsende gelöscht" ist zu vage. Ein guter AVV nennt Fristen: innerhalb von dreißig Tagen nach Vertragsende, oder innerhalb von sieben Tagen auf Anfrage. Und er regelt, was mit Backups passiert, also ob die Frist auch dort gilt oder nur für Produktivdaten.

Die technischen und organisatorischen Maßnahmen (TOM) liegen als Anlage bei. Die TOM beschreiben, wie der Anbieter Ihre Daten schützt: Verschlüsselung, Zugangskontrollen, Backup-Konzept, Incident-Response. Eine TOM-Anlage, die wirklich vollständig ist, hat leicht zehn bis fünfzehn Seiten. Wenn ein AVV nur allgemein von "angemessenen Sicherheitsmaßnahmen" spricht und keine Anlage anhängt, wissen Sie nichts über den tatsächlichen Schutz.

Standardvertragsklauseln (SCC) sind beigefügt, falls Daten in ein Drittland übertragen werden. Dieser Punkt kommt gleich nochmal ausführlicher, weil er besonders oft übersehen wird.

Kontroll- und Auditrechte sowie Haftungsregelung sind klar geregelt. Sie müssen das Recht haben, die Einhaltung des AVVs zu überprüfen, entweder durch eigene Audits oder durch Einsicht in Zertifikate und Berichte. Außerdem muss die Haftungsfrage geklärt sein: Wer haftet, wenn der Auftragsverarbeiter einen DSGVO-Verstoß verursacht? Ein AVV ohne diese Regeln ist im Schadenfall wertlos.

Der Drittland-Fallstrick

Das ist der Punkt, bei dem in der Praxis am häufigsten etwas übersehen wird.

Viele KI-Anbieter haben ihren Sitz in den USA. Und selbst wenn ein europäischer Anbieter auf EU-Infrastruktur hostet, sitzt das Sprachmodell, das er nutzt, oft bei OpenAI, Anthropic oder einem anderen US-Unternehmen. Das bedeutet: Ihre Daten werden in die USA übertragen.

Für solche Transfers brauchen Sie nach Kapitel V DSGVO eine Rechtsgrundlage. In den meisten Fällen sind das die EU-Standardvertragsklauseln, kurz SCC. Ein normaler AVV nach Art. 28 reicht dafür nicht. Die SCC kommen als eigener Vertragsbestandteil dazu, für jeden einzelnen Drittland-Transfer, also möglicherweise einmal für die Cloud-Infrastruktur, einmal für den Modell-Anbieter, einmal für den Mail-Dienst.

Schauen Sie in die Sub-Auftragsverarbeiter-Liste und prüfen Sie für jeden Eintrag: Sitzt der in der EU oder außerhalb? Wenn außerhalb, gibt es SCC? Wenn diese Frage nicht eindeutig beantwortet ist, ist das ein Lücke.

Das gilt übrigens auch für US-Konzerne mit europäischen Tochtergesellschaften. Wenn das Mutterunternehmen Zugriff auf die Daten hat, zählt das als Drittlandtransfer.

Einen Anwalt ersetzen können Sie damit nicht

Ich sage das direkt: Diese Checkliste ist eine Vorprüfung, kein Rechtsgutachten.

Ob ein AVV vollständig und rechtskonform ist, hängt von Details ab, die ohne Rechtskenntnisse schwer zu beurteilen sind. Bei einem neuen Anbieter oder einem größeren Volumen personenbezogener Daten sollten Sie den Entwurf von einem auf Datenschutzrecht spezialisierten Anwalt oder Ihrem Datenschutzbeauftragten prüfen lassen. Rechnen Sie dafür mit einer bis zwei Wochen, wenn Sie Feedback und eventuell eine Nachverhandlung einplanen.

Die Checkliste oben hilft Ihnen, schon vor der Anwaltsprüfung offensichtliche Lücken zu erkennen, und manchmal auch zu entscheiden, ob es sich überhaupt lohnt, einen Entwurf weiter zu verfolgen. Wer keine TOM-Anlage beifügen will und Löschfristen "auf Anfrage" formuliert, zeigt damit schon, wie ernst er das Thema nimmt.

Wenn Sie generell wissen wollen, wie Sie KI-Agenten DSGVO-konform einsetzen, ist das ein guter nächster Schritt nach diesem Artikel.

Was ein guter Anbieter von sich aus mitliefert

Ehrlich gesagt finde ich es bezeichnend, wann ein Anbieter den AVV aktiv schickt und wann er wartet, bis der Kunde danach fragt.

Ein Anbieter, der Datenschutz ernst nimmt, liefert den AVV bereits mit dem ersten Angebot mit, unterschriftsbereit und vollständig mit allen Anlagen. Inklusive TOM, inklusive Sub-Auftragsverarbeiter-Liste, inklusive SCC für jeden Drittland-Transfer, der anfällt. Kein "auf Anfrage", keine nachträglichen Ergänzungen.

Wir machen das bei Agentenkollege so. Der AVV geht zusammen mit dem Angebot raus, die TOM hat knapp elf Seiten, die Sub-Auftragsverarbeiter-Liste ist vollständig und wird bei Änderungen aktualisiert. Das Hosting läuft komplett bei Hetzner Cloud in Deutschland, also bei einem deutschen Auftragsverarbeiter auf deutschen Servern, ohne Drittlandtransfer für die Hosting-Infrastruktur selbst. Was bleibt, sind die LLM-Anbieter und einige Tool-Dienste, und die stehen alle mit SCC in der Liste.

Die vollständige Sub-Auftragsverarbeiter-Liste und unsere technischen Maßnahmen liegen offen, nicht nur auf Anfrage.

Der Schweizer Sonderfall

Falls Sie Kunden oder Niederlassungen in der Schweiz haben oder von dort aus agieren: Die Schweiz hat die DSGVO nicht übernommen, sie hat ein eigenes Gesetz, das revidierte Datenschutzgesetz (revDSG), das seit September 2023 vollständig gilt.

Der Auftragsverarbeitungsvertrag heißt dort Auftragsbearbeitungsvertrag (ABV). Die inhaltlichen Anforderungen sind den DSGVO-Anforderungen sehr ähnlich, aber nicht identisch. Bei Schweizer Kunden brauchen Sie explizit auf das revDSG und den ABV-Begriff abgestimmte Verträge, kein deutsches AVV-Template mit "gilt entsprechend"-Vermerk.

Das klingt nach einer Kleinigkeit, ist aber ein Unterschied, den Aufsichtsbehörden kennen.

AVV für KI-Tools: Die Checkliste, bevor Sie unterschreiben

Warum Sie überhaupt einen AVV brauchen

Die Checkliste: Was muss im AVV stehen?

Der Drittland-Fallstrick

Einen Anwalt ersetzen können Sie damit nicht

Was ein guter Anbieter von sich aus mitliefert

Der Schweizer Sonderfall

Weiterlesen

KI im Marketing für den Mittelstand: Was funktioniert, was Geld verbrennt

Wie man über KI-Agenten denken sollte: Wie über einen neuen Mitarbeiter, nicht wie über Software

Fachkräftemangel im Mittelstand: Wo ein KI-Agent eine halbe Stelle ersetzt, und wo nicht

Starten Sie einen Agenten als 30-Tage-Pilot. Ab 990 €, keine Mindestlaufzeit, 30 Tage Geld-zurück.