AI PlaybookEU

Auftragsverarbeitung bei KI-Diensten

Wie Sie die Anforderungen der DSGVO an Auftragsverarbeitung beim Einsatz von KI-Cloud-Diensten erfüllen.

1. Juni 20252 min read
DSGVOAuftragsverarbeitungCloudArt. 28

Einführung

Beim Einsatz von KI-Cloud-Diensten (z.B. OpenAI API, Google Vertex AI, AWS Bedrock) werden häufig personenbezogene Daten an Drittanbieter übermittelt. In diesen Fällen greift Art. 28 DSGVO – die Regelungen zur Auftragsverarbeitung.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung.

Wann liegt Auftragsverarbeitung vor?

Entscheidend ist, ob der KI-Anbieter die Daten nur nach Weisung des Verantwortlichen verarbeitet oder eigene Zwecke verfolgt:

  • Auftragsverarbeitung (Art. 28): KI-API verarbeitet Nutzerdaten ausschließlich zur Erbringung der vereinbarten Leistung
  • Gemeinsame Verantwortlichkeit (Art. 26): KI-Anbieter nutzt Daten auch für eigene Zwecke (z.B. Modell-Training)
  • Eigene Verantwortlichkeit: Vollständig getrennte Zwecke

Pflichten des Verantwortlichen

Als Verantwortlicher müssen Sie:

  1. Auftragsverarbeitungsvertrag (AVV) abschließen
  2. Technische und organisatorische Maßnahmen prüfen
  3. Subunternehmer genehmigen oder ablehnen
  4. Drittlandtransfer absichern (SCCs, Angemessenheitsbeschluss)
  5. Regelmäßige Kontrollen durchführen

Checkliste AVV für KI-Dienste

PrüfpunktStatus
Gegenstand und Dauer der Verarbeitung definiert
Art und Zweck der Verarbeitung beschrieben
Art der personenbezogenen Daten aufgelistet
Kategorien betroffener Personen benannt
TOMs des Auftragsverarbeiters geprüft
Subunternehmer-Liste eingeholt
Löschkonzept vereinbart
Audit-Rechte gesichert

Achtung bei US-Anbietern

Bei Anbietern mit Sitz in den USA müssen Sie prüfen, ob ein Angemessenheitsbeschluss (EU-US Data Privacy Framework) greift oder Standardvertragsklauseln (SCCs) erforderlich sind. Führen Sie ggf. ein Transfer Impact Assessment durch.

Praxistipps

  • Prüfen Sie die Opt-out-Optionen des Anbieters bezüglich Modell-Training
  • Dokumentieren Sie Ihre Prüfung der TOMs nachweisbar
  • Setzen Sie auf europäische Rechenzentren, wenn möglich
  • Erstellen Sie ein Verarbeitungsverzeichnis (Art. 30 DSGVO)

Weiterführende Artikel

  • Betroffenenrechte beim KI-Einsatz
  • Datenschutz-Folgenabschätzung für KI-Systeme

Rechtliche Absicherung bei KI-Cloud-Diensten?

Fuer DSGVO-konforme Auftragsverarbeitungsvertraege und Drittlandtransfers bei KI-Anbietern steht Ihnen spezialisierte Rechtsberatung zur Verfuegung — unabhaengig und auf KI-Regulierung fokussiert.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Technische Umsetzung der Datenschutzanforderungen?

Creativate AI Studio unterstuetzt Sie bei der Auswahl datenschutzkonformer KI-Architekturen, der Implementierung von Opt-out-Mechanismen und dem Aufbau sicherer Datenverarbeitungspipelines.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Verwandte Artikel

EU AI Act

Transparenzpflichten im EU AI Act

Die Transparenzanforderungen des EU AI Act für KI-Systeme – Kennzeichnungspflichten, Informationsrechte und technische Umsetzung.

Lesen

Best Practices

KI-Modellauswahl – Ein Entscheidungsleitfaden

Kriterien und Frameworks für die Auswahl des richtigen KI-Modells für Ihren Anwendungsfall.

Lesen

DSGVO & KI

Art. 5 DSGVO – Grundsätze der Verarbeitung personenbezogener Daten

Die sieben Grundsätze der Datenverarbeitung nach Art. 5 DSGVO – mit KI-spezifischer Einordnung zu Datenminimierung, Zweckbindung, Rechenschaftspflicht und automatisierten Systemen.

Lesen