Recht und DSGVO6 Min Lesezeit
AVV mit KI-Anbietern, was ein Vertrag mindestens abdecken muss
Redaktion brandneo
Wer Sprachmodelle, Bild- oder Video-Modelle im Auftrag einer Marke einsetzt und dabei personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungs-Vertrag mit dem Anbieter. Art. 28 DSGVO ist hier eindeutig. Komplizierter ist die Frage, ob der Standard-AVV wirklich alles abdeckt.
Was ein AVV mindestens abdeckt
- 01Gegenstand und Dauer der Verarbeitung.
- 02Art und Zweck der Verarbeitung.
- 03Art der personenbezogenen Daten und Kategorien der betroffenen Personen.
- 04Pflichten und Rechte des Verantwortlichen.
- 05Weisungsgebundenheit des Auftragsverarbeiters.
- 06Vertraulichkeits-Verpflichtung der Mitarbeitenden.
- 07Technische und organisatorische Maßnahmen (TOMs).
- 08Regelung von Unterauftragnehmern mit Genehmigungs-Pflicht.
Hinzu kommen Pflichten zur Mitwirkung bei Betroffenenrechten, Lösch-Pflichten am Ende und Audit-Rechte.
Anbieter-Übersicht (Stand Mai 2026)
| Anbieter | AVV | Standard-AVV | Zusatz-Klauseln nötig? |
|---|---|---|---|
| Anthropic Claude Enterprise | Ja | DSGVO-konform | Nein, in der Regel ausreichend |
| Anthropic Claude for Work | Ja | Standard-Form | Manchmal (Sub-Verarbeiter, EU-Endpoint) |
| Anthropic Claude Pro (Individual) | Nein | – | Nicht für DSGVO-relevante Daten |
| OpenAI ChatGPT Enterprise | Ja | DSGVO-konform | Selten, gut dokumentiert |
| OpenAI ChatGPT Team | Ja | Standard-Form | Manchmal |
| OpenAI ChatGPT Plus | Nein | – | Nicht für DSGVO-relevante Daten |
| Google Gemini Workspace | Ja | Workspace-DPA | Selten |
| Microsoft 365 Copilot | Ja | Microsoft-DPA | Selten |
| Mistral La Plateforme | Ja | EU-Anbieter-Standard | Selten |
| Aleph Alpha Pharia | Ja | EU-Anbieter-Standard | Selten |
| Adobe Firefly (Enterprise) | Ja | Adobe-DPA | Manchmal |
| Midjourney | Nein | AGB ohne AVV | Nicht für personenbezogene Daten |
| Higgsfield | Eingeschränkt | In Entwicklung | Häufig |
Wo Standard-AVV nicht reicht
Sub-Verarbeiter-Liste. Welche Cloud-Hoster, Speicher-Dienste, Logging-Provider werden genutzt? Pflege-Pflicht prüfen.
EU-Region-Garantie. Vertraglich fixieren, sonst kann der Anbieter im laufenden Vertrag auf US-Server wechseln.
Modell-Training-Ausschluss. Bei Enterprise Standard, zur Sicherheit explizit klauselieren.
Retention-Period. Bei Anbietern wie Anthropic auf Zero-Retention konfigurierbar, vertraglich festhalten.
Audit-Recht. Standard-AVV erlauben oft nur dokumentierte Audits durch Dritte.
Hinweis-Pflichten bei Datenpannen. Standard 24-72h, bei sensiblen Use Cases auf 24h schärfen.
AVV-Audit in drei Schritten
- 01Welche Anbieter werden eingesetzt? Liste aller KI-Tools, inkl. Schatten-KI-Audit.
- 02Pro Anbieter AVV-Status prüfen. Liegt er vor? Aktuell? Welche Tarif-Stufe?
- 03Lücken schließen. Fehlende oder veraltete AVV anfordern, prüfen, ergänzen.
Take
AVV ist nicht der Bürokratie-Störfaktor, sondern die juristische Grundlage des KI-Setups. Wer einen sauberen AVV pro Anbieter hat, schläft besser.
Was offen bleibt
Standard-Klauseln werden 2026 weiterentwickelt, insbesondere die EU-Standardvertragsklauseln (SCCs) für Drittstaaten-Übermittlungen. Wer mit US-Anbietern arbeitet, prüft sie regelmäßig.
Verwandt