Zum Inhalt springen
12.1Fortgeschritten8 min

Auftragsverarbeitung nach Art. 28 DSGVO mit KI-Anbietern: Der AVV-Leitfaden

Blck Alpaca·
Definition

Ein Auftragsverarbeitungsvertrag (AVV/DPA) nach Art. 28 DSGVO ist zwingend, sobald ein KI-Anbieter personenbezogene Daten weisungsgebunden für Sie verarbeitet – etwa über Prompts, Embeddings oder Logs. Er regelt verbindlich Weisungsbindung, Sicherheit, Sub-Auftragsverarbeiter, Kontrollrechte und Löschung am Vertragsende.

Auf einen Blick

  • Ein AVV nach Art. 28 DSGVO ist Pflicht, sobald ein KI-Anbieter personenbezogene Daten (Prompts, Inferenz-Inputs/-Outputs, Agenten-Speicher, Tool-Call-Payloads, Logs, Vektor-Stores) als Auftragsverarbeiter für den Verantwortlichen verarbeitet.
  • Art. 28 Abs. 3 lit. a–h schreibt acht Mindestinhalte vor – Weisungsbindung, Vertraulichkeit, Art.-32-Sicherheit, Sub-Auftragsverarbeiter-Regelung, Unterstützung bei Betroffenenrechten, Mitwirkung bei Sicherheit/Meldung/DSFA sowie Löschung und Kontrollrechte.
  • Die großen Anbieter (Microsoft, OpenAI, Anthropic, Google, AWS) bieten Standard-DPAs mit vertraglicher 'Kein-Training'-Zusage für Enterprise-/API-Daten – das sind Vertragszusagen, keine gesetzlichen Defaults, und sie behalten enge Eigenzwecke (Abuse-Monitoring, Safety) vor.
  • Moderne Agenten erzeugen 5- bis 8-stufige Sub-Auftragsverarbeiter-Kaskaden (Modell, Cloud, Vektor-Store, Memory, MCP-Server, Observability) – jede Stufe braucht eine lückenlose AVV-Kette nach Art. 28 Abs. 4.
  • Häufigste Audit-Fundstellen: undokumentierte MCP-Flows, Observability-Anbieter ohne AVV, vage 'KI-Services'-Beschreibungen und Log-Retention-Konflikte (Anbieter 30 Tage vs. gewünschte 7 Tage).
  • Verstöße gegen Art. 28 fallen unter den DSGVO-Bußgeldrahmen von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes – das Garante-Verfahren gegen OpenAI (15 Mio. EUR, Entscheidung 2. November 2024) zeigt die Durchsetzungspraxis.

Ein Auftragsverarbeitungsvertrag (AVV; englisch DPA, Data Processing Agreement) nach Art. 28 DSGVO ist zwingend, sobald ein KI-Anbieter personenbezogene Daten weisungsgebunden für Sie verarbeitet. Bei KI-Agenten ist das praktisch immer der Fall: Prompts, Inferenz-Inputs und -Outputs, Agenten-Speicher, Tool-Call-Payloads, Logs und Vektor-Stores transportieren laufend Personenbezug. Der AVV regelt verbindlich, was der Anbieter mit diesen Daten tun darf – und was nicht.

Die drei wichtigsten Antworten vorweg:

  • AVV-Pflicht entsteht bei Weisungsbindung. Bestimmt der Anbieter Zweck und wesentliche Mittel nicht selbst, ist er Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO – und ein AVV ist gesetzlich vorgeschrieben.
  • Acht Mindestinhalte sind nicht verhandelbar. Art. 28 Abs. 3 lit. a–h definiert den Pflichtkanon; bei KI kommen anbieterspezifische Klauseln (Kein-Training, Sub-Auftragsverarbeiter-Karte, Datenresidenz, Log-Retention) hinzu.
  • Die Kette muss lückenlos sein. Jeder Sub-Auftragsverarbeiter in der typischen 5- bis 8-stufigen Agenten-Kaskade braucht nach Art. 28 Abs. 4 eine eigene, gleichwertige Bindung.

Verantwortlicher oder Auftragsverarbeiter? Die Einordnung des KI-Anbieters

Nach Art. 4 Nr. 7/8 DSGVO und den EDPB-Guidelines 7/2020 bestimmt der Verantwortliche die Zwecke und wesentlichen Mittel der Verarbeitung; der Auftragsverarbeiter handelt auf dokumentierte Weisung. Die Einordnung eines KI-Anbieters hängt an drei Fragen:

  • Wer bestimmt die Zwecke? Nutzt der Anbieter Prompts, um eigene Modelle zu verbessern, rutscht er für diesen Zweck in die Rolle des Verantwortlichen.
  • Wer bestimmt die wesentlichen Mittel? Technische Mittel darf der Auftragsverarbeiter wählen; die wesentlichen Mittel verbleiben beim Verantwortlichen.
  • Praktische Ankerpunkte: Nutzung von Trainingsdaten, Auswahl der Sub-Auftragsverarbeiter, Retention-Defaults, Zugriff für Abuse-Monitoring.

Die meisten Enterprise-Verträge (Microsoft Azure OpenAI, OpenAI Enterprise/API, Anthropic Claude for Work/Enterprise, Google Vertex AI, AWS Bedrock, Mistral, Aleph Alpha) sind als Verantwortlicher-zu-Auftragsverarbeiter-Konstellation aufgesetzt – mit ausdrücklicher Zusage, nicht auf Kundendaten zu trainieren. Wichtig: Das sind vertragliche Zusagen, keine gesetzlichen Mindeststandards. Die Anbieter behalten sich typischerweise enge Rechte vor (Abuse-Monitoring, Safety-Review, aggregierte Analysen), bei denen sie für diese begrenzten Zwecke selbst als Verantwortlicher auftreten können.

Die acht Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Ein wirksamer AVV muss folgende Punkte regeln:

  • (a) Gegenstand, Dauer, Art, Zweck der Verarbeitung, Datenarten, Betroffenenkategorien sowie Pflichten und Rechte des Verantwortlichen.
  • (b) Verarbeitung ausschließlich auf dokumentierte Weisung.
  • (c) Vertraulichkeitsverpflichtung des eingesetzten Personals.
  • (d) Sicherheitsmaßnahmen nach Art. 32.
  • (e) Sub-Auftragsverarbeiter-Regelung (Genehmigung nach Art. 28 Abs. 2, Meldung von Änderungen).
  • (f) Unterstützung bei der Erfüllung von Betroffenenrechten.
  • (g) Mitwirkung bei Sicherheit, Datenschutzverletzungs-Meldung und DSFA (Art. 32–36).
  • (h) Löschung oder Rückgabe der Daten am Ende der Leistung sowie Kontroll- und Auditrechte.

Für KI-Anbieter sind zusätzlich folgende Klauseln zu verhandeln: kein Training/Fine-Tuning der Anbietermodelle auf Kundendaten ohne ausdrückliche Zustimmung; keine menschliche Durchsicht von Prompts/Outputs außer über definierte Safety-/Abuse-Pfade mit protokolliertem Zugriff; eine Sub-Auftragsverarbeiter-Karte mit benannten Entitäten, Standort, Funktion und Sub-Sub-Auftragsverarbeitern; Datenresidenz-Zusagen (EU Data Boundary, Swiss-DPF); konfigurierbare Log-Retention inklusive Zero-Data-Retention-Modi; Meldung von Änderungen der Trainings-Policy mit Opt-out; sowie Haftung für Sub-Auftragsverarbeiter-Verstöße gemäß Art. 28 Abs. 4.

Weisungsbindung, Sub-Auftragsverarbeiter und Kontrollrechte

Die Weisungsbindung (lit. b) ist das Herzstück: Der Anbieter darf personenbezogene Daten nur so verarbeiten, wie Sie es dokumentiert anweisen. Jede eigenmächtige Zweckänderung – etwa Modellverbesserung aus Ihren Prompts – verlässt die Auftragsverarbeitung.

Bei den Sub-Auftragsverarbeitern entsteht der größte praktische Aufwand. Eine moderne Agenten-Bereitstellung umfasst typischerweise eine fünf- bis achtstufige Kaskade:

  1. Foundation-Modell-Anbieter (OpenAI, Anthropic, Mistral, Aleph Alpha, Google, Cohere)
  2. Hosting-/Cloud-Provider (Azure, AWS, GCP, IONOS, STACKIT, Swisscom, Open Telekom Cloud)
  3. Orchestrierungs-/Agenten-Framework-Runtime
  4. Vektor-Store/RAG-Infrastruktur (Pinecone, Weaviate, Qdrant, Milvus, pgvector)
  5. Memory-Provider (mem0, Letta, eigene)
  6. MCP-Server (jeder externe Server ist je nach Datenfluss Auftragsverarbeiter oder Verantwortlicher)
  7. Observability (Langfuse, LangSmith, Helicone, Datadog)
  8. Evaluation/Red-Team-Dienste

Für jede Stufe muss der Deployer prüfen, dass ein AVV existiert, dass die Kette nach Art. 28 Abs. 4 ungebrochen ist und dass die Datenresidenz-Zusagen konsistent sind. Die häufigsten Audit-Fundstellen: undokumentierte MCP-Server-Flows, Observability-Anbieter ohne AVV und Evaluierungsdienste, die Prompt-Traces sammeln.

Bei den Kontrollrechten (lit. h) sind reine „Summary-Report-only"-Muster unzureichend, sobald hochriskante Daten betroffen sind. BfDI, BayLDA, HmbBfDI und NRW LDI verlangen routinemäßig den AVV plus die konkrete Konfiguration von Telemetrie, Trainings-Opt-out und Region-Settings.

Status der DPAs großer Anbieter (Stand Mai 2026)

Die folgende Tabelle ist eine Recherche-Zusammenfassung mit Stand 14. Mai 2026, keine Rechtsberatung; Anbieterbedingungen ändern sich häufig und müssen bei Vertragsabschluss neu validiert werden.

Anbieter

Standard-DPA / AVV

„Kein Training auf Kundendaten"?

Datenresidenz EU/CH

Retention-Default

Microsoft 365 Copilot / Azure OpenAI

Microsoft Products and Services DPA

Ja, vertraglich: Prompts, Completions, Embeddings, Fine-Tuning-Daten ohne ausdrückliche Weisung nicht für Modelltraining genutzt; Anthropic-Modelle in M365 Copilot (ab Jan 2026) von der EU Data Boundary ausgenommen

EU-Data-Boundary-Zusage (In-Region-Speicherung/-Verarbeitung); Fine-Tuning ggf. regionsübergreifend

Konfigurierbar; In-Tenant-Default; Abuse-Monitoring-Logs bis 30 Tage, sofern nicht abgewählt

OpenAI API (Enterprise/Business/API)

OpenAI DPA (wirksam ab 1. Jan 2026; OpenAI Ireland Ltd als EEA/CH-Vertragspartner)

Ja: API- und ChatGPT-Enterprise/Team-Kundendaten standardmäßig nicht zum Training genutzt

EU-Datenresidenz für berechtigte Enterprise-/Edu-Konten und bestimmte API-Setups; sonst globales Routing

API-Daten max. 30 Tage; Enterprise für Vertragsdauer; Zero-Data-Retention vertraglich verfügbar

Anthropic Claude for Work/Enterprise/API

Anthropic Commercial Terms + DPA

Ja: kommerzielle In-/Outputs standardmäßig nicht zum Training genutzt (Consumer-Tier abweichend, nicht Enterprise)

Direkte API „us"/„global"; EU-Residenz via AWS Bedrock EU oder Google Vertex AI EU

API-Logs: 7 Tage (seit 14. Sept 2025, vorher 30); ZDR via DPA

Google Vertex AI (Gemini, Claude on Vertex)

Google Cloud DPA + Vertex-AI-Terms

Ja: Kundendaten nicht für Training von Google- oder Drittmodellen genutzt

EU-Regional-Endpoints (10 EU-Regionen für Claude on Vertex); Region-Garantie

Konfigurierbar; kurzer Default

AWS Bedrock (Anthropic, Meta, Mistral, Cohere, Amazon)

AWS GDPR DPA + Service Terms

Ja: Prompts/Outputs nicht für Anbieter-Modelltraining; Modelle von Anbieterdiensten isoliert

EU-Regionen; European Sovereign Cloud (eusc-de-east-1, Jan 2026) – Claude dort noch nicht verfügbar

Konfigurierbar; Bedrock loggt Prompts/Outputs standardmäßig nicht

Sovereign-Alternativen mit deutschem/Schweizer AVV-Recht (Aleph Alpha Pharia, IONOS AI Model Hub, STACKIT, T-Systems Open Telekom Cloud, Swisscom Sovereign AI) bieten ausschließliche DE-/EU- bzw. CH-Verarbeitung und kundenseitig kontrollierte Retention. DeepSeek wird wegen PRC-Jurisdiktion und einer Garante-Informationsanfrage (Januar 2025) für regulierte DACH-Sektoren nicht empfohlen.

Häufige AVV-Fehler bei KI-Projekten

  • Vage Verarbeitungsbeschreibungen („KI-Services" statt konkreter Modelle, Prompts, Embeddings, Fine-Tuning).
  • Nicht aktuelle Sub-Auftragsverarbeiter-Listen – MCP-Server und Observability-Anbieter fehlen.
  • Schwache Auditrechte bei hochriskanten Daten.
  • Trainingsdaten-Mehrdeutigkeit – „Wir trainieren nicht auf Ihren Daten" wird mit „Wir dürfen sie für Safety/Verbesserung nutzen" verwischt.
  • Log-Retention-Konflikte – Anbieter-Retention übersteigt die eigene Policy (z. B. 30 Tage vs. gewünschte 7 Tage).
  • Grenzüberschreitendes Routing ohne ausdrückliche Residenz-Festlegung.
  • Fehlende Upstream-Due-Diligence entgegen der EDPB-Opinion 28/2024 (Prüfung der Rechtmäßigkeit der vorgelagerten Trainingsdaten).

AVV-Prüfcheckliste

Beispiel mit Zahlen: Mittelständischer Copilot-Rollout

Ein Unternehmen mit 800 Mitarbeitenden führt Microsoft 365 Copilot und einen Kundenservice-Chatbot auf Azure OpenAI ein. Es bestehen damit mindestens zwei Haupt-AVVs (Microsoft, OpenAI/Azure) plus eine Sub-Auftragsverarbeiter-Kette. Konkret zu prüfen: Microsoft Products and Services DPA in Kraft, Anthropic-als-Subprozessor-Flow dokumentiert (Anthropic seit Anfang 2026 von der EU Data Boundary ausgenommen – Opt-in/-out durch den Deployer); Azure-OpenAI-Sub-Auftragsverarbeiter-Liste (Stand April 2025) ins Verzeichnis der Verarbeitungstätigkeiten integriert; alle MCP-/Connector-Flows kartiert; Abuse-Monitoring-Logs auf maximal 30 Tage begrenzt, OpenAI-API-Daten auf 30 Tage, Anthropic-API-Logs auf 7 Tage. Das Risiko bei Versäumnis: Verstöße gegen Art. 28 fallen unter den DSGVO-Bußgeldrahmen von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. Bei 50 Mio. EUR Umsatz wären das rechnerisch bis zu 2 Mio. EUR. Dass die Aufsicht durchgreift, zeigt das Garante-Verfahren gegen OpenAI: 15 Mio. EUR Bußgeld (Entscheidung 2. November 2024, veröffentlicht 20. Dezember 2024) unter anderem wegen fehlender Rechtsgrundlage und unzureichender Transparenz.

Für Agenturen und B2B-Entscheider

Wer KI-Agenten für Kunden baut oder im Unternehmen ausrollt, sollte die AVV-Prüfung früh in den Beschaffungsprozess ziehen – nicht erst bei Vertragsunterschrift. Für Agenturen ist die saubere Sub-Auftragsverarbeiter-Kartierung (Modell, Cloud, Vektor-Store, MCP, Observability) ein konkretes Differenzierungsmerkmal gegenüber Wettbewerbern, die „KI-Services" pauschal vertraglich abbilden. Blck Alpaca unterstützt DACH-Unternehmen bei AVV-Review, Sub-Auftragsverarbeiter-Mapping und der Verzahnung mit dem Verzeichnis der Verarbeitungstätigkeiten.

Hinweis: Dieser Beitrag dient der fachlichen Orientierung und stellt keine Rechtsberatung dar. Für die verbindliche Bewertung Ihres konkreten Einsatzes ziehen Sie bitte qualifizierten Rechtsrat hinzu. Alle Daten und Anbieterangaben Stand Mai 2026, vorbehaltlich Änderung.

Häufig gestellte Fragen

Wann brauche ich einen AVV mit einem KI-Anbieter?
Sobald der KI-Anbieter personenbezogene Daten weisungsgebunden für Sie verarbeitet und dabei nicht die Zwecke und wesentlichen Mittel selbst bestimmt – also als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO handelt. Bei KI-Agenten ist das praktisch immer der Fall, weil Prompts, Inferenz-Inputs und -Outputs, Agenten-Speicher, Tool-Call-Payloads, Logs und Vektor-Stores personenbezogene Daten transportieren. Die meisten Enterprise-Verträge (Microsoft Azure OpenAI, OpenAI Enterprise/API, Anthropic Claude for Work, Google Vertex AI, AWS Bedrock) sind als Verantwortlicher-zu-Auftragsverarbeiter-Konstellation aufgesetzt und erfordern einen AVV.
Welche Mindestinhalte muss ein AVV nach Art. 28 Abs. 3 DSGVO enthalten?
Acht Punkte: (a) Gegenstand, Dauer, Art, Zweck, Datenarten, Betroffenenkategorien sowie Pflichten und Rechte des Verantwortlichen; (b) Verarbeitung nur auf dokumentierte Weisung; (c) Vertraulichkeitsverpflichtung des Personals; (d) Sicherheitsmaßnahmen nach Art. 32; (e) Regelung der Sub-Auftragsverarbeiter (Genehmigung nach Art. 28 Abs. 2, Änderungsmeldung); (f) Unterstützung bei Betroffenenrechten; (g) Mitwirkung bei Sicherheit, Meldepflichten und DSFA (Art. 32–36); (h) Löschung oder Rückgabe der Daten am Vertragsende sowie Kontroll- und Auditrechte.
Reicht die Zusage 'Wir trainieren nicht auf Ihren Daten' aus?
Nein, sie ist notwendig, aber nicht hinreichend. Es handelt sich um eine vertragliche Zusage, keinen gesetzlichen Default. Anbieter behalten sich typischerweise enge Eigenzwecke vor – Abuse-Monitoring, Safety-Review, aggregierte Analysen – bei denen sie für diese begrenzten Zwecke als Verantwortlicher auftreten können. Achten Sie auf eine trennscharfe Formulierung: 'Wir trainieren nicht' darf nicht mit 'Wir dürfen die Daten für Safety/Verbesserung nutzen' verwischt werden. Zusätzlich verlangt die EDPB-Opinion 28/2024 (angenommen am 17. Dezember 2024) vom Deployer eine Due-Diligence zur Rechtmäßigkeit der vorgelagerten Trainingsdaten des Anbieters.
Muss ich jeden Sub-Auftragsverarbeiter einzeln prüfen?
Ja. Nach Art. 28 Abs. 4 muss die AVV-Kette lückenlos sein – jeder Sub-Auftragsverarbeiter muss denselben Datenschutzverpflichtungen unterliegen wie der Hauptauftragsverarbeiter. Eine typische Agenten-Architektur umfasst eine fünf- bis achtstufige Kaskade: Foundation-Modell, Hosting/Cloud, Orchestrierung, Vektor-Store, Memory-Provider, MCP-Server, Observability und Evaluation. Die häufigsten Audit-Fundstellen sind undokumentierte MCP-Server-Flows, Observability-Anbieter ohne AVV und Evaluierungsdienste, die Prompt-Traces sammeln.
Was passiert mit Daten in den USA – reicht der AVV?
Der AVV allein reicht nicht für Drittlandtransfers. Zusätzlich braucht es eine Transfergrundlage nach Kapitel V DSGVO: das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023, vom EU-Gericht am 3. September 2025 im Fall Latombe bestätigt; Berufung beim EuGH seit 31. Oktober 2025 anhängig – Stand 2026, vorbehaltlich Änderung) oder Standardvertragsklauseln plus Transfer-Impact-Assessment. Empfehlung: DPF-Zertifizierung prüfen, aber SCCs als Fallback behalten und ein TIA dokumentieren, da Garante und CNIL 2025 weiterhin die doppelte Absicherung empfehlen. Für DACH bieten EU-Datenresidenz und Sovereign-Cloud-Optionen risikoärmere Alternativen.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
NächsterDSGVO-Rechtsgrundlage für KI-Agenten (Art. 6): Wann Einwilligung, Vertrag oder berechtigtes Interesse passt