AI PlaybookEU

AVV-Checkliste für KI-Cloud-Dienste (Art. 28 DSGVO)

Strukturierte Checkliste zur Prüfung und Gestaltung von Auftragsverarbeitungsverträgen (AVV) bei KI-Cloud-Diensten – inkl. Trainingsdaten-Nutzung, Sub-Processor-Ketten und API-Logging.

11. Februar 20264 min read
AVVArt. 28 DSGVOAuftragsverarbeitungKI-CloudSub-ProcessorCompliance

Überblick

Beim Einsatz externer KI-Cloud-Dienste (z. B. LLM-APIs, ML-Plattformen, Hosting-Dienste) liegt regelmäßig eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor.

In diesem Fall ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, der bestimmte Mindestinhalte enthalten muss. Gerade bei KI-Diensten bestehen zusätzliche Besonderheiten – etwa hinsichtlich Trainingsdaten-Nutzung, Modellverbesserung oder Sub-Processor-Ketten.

Diese Checkliste dient als strukturierte Prüfungshilfe für Unternehmen.

Hinweis

Die konkrete Ausgestaltung eines AVV hängt vom Einzelfall ab und sollte juristisch geprüft werden.

AVV-Checkliste (Art. 28 DSGVO)

1️⃣ Grundstruktur des Vertrags

A) Gegenstand und Dauer

  • Ist der Verarbeitungsgegenstand klar beschrieben?
  • Ist die Laufzeit definiert?
  • Ist der Zweck präzise benannt (z. B. „Hosting eines KI-Chatbots")?

B) Art und Zweck der Verarbeitung

  • Welche Verarbeitungsschritte erfolgen (Speicherung, Training, Inferenz)?
  • Erfolgt Modellverbesserung?
  • Erfolgt Logging oder Analyse von Prompts?

C) Kategorien personenbezogener Daten

  • Kundendaten
  • Bewerbungsdaten
  • Gesundheitsdaten
  • Nutzungsdaten
  • Sensible Kategorien (Art. 9 DSGVO)?

D) Kategorien betroffener Personen

  • Kund:innen
  • Mitarbeitende
  • Bewerbende
  • Patient:innen
  • Sonstige

2️⃣ Weisungsgebundenheit

  • Ist die Weisungsbindung eindeutig geregelt?
  • Sind Weisungen dokumentierbar?
  • Besteht ein Verfahren zur Änderung von Weisungen?

Typischer Fehler

Unklare oder zu weit gefasste Verarbeitungszwecke können die Weisungsbindung unterlaufen.

3️⃣ Vertraulichkeit

  • Verpflichtung zur Vertraulichkeit der Mitarbeitenden?
  • Zugriffsbeschränkungen definiert?
  • Rollenkonzepte vorhanden?

4️⃣ Technische und organisatorische Maßnahmen (TOMs)

  • Verschlüsselung (in transit / at rest)
  • Zugriffskontrolle
  • Logging
  • Incident-Response-Prozess
  • Backup- und Wiederherstellungsmechanismen
  • Schutz vor Modellmanipulation

Sind die TOMs als Anlage konkret beschrieben?

5️⃣ Sub-Processor (Unterauftragsverarbeiter)

  • Werden Sub-Processor eingesetzt?
  • Existiert eine vollständige Liste?
  • Besteht ein Widerspruchsrecht bei Änderungen?
  • Werden Sub-Processor vertraglich gleichwertig gebunden?

Sub-Processor-Ketten

Bei KI-Cloud-Diensten können mehrstufige Sub-Processor-Ketten bestehen. Transparenz ist hier besonders wichtig.

6️⃣ Drittlandtransfer

  • Erfolgt Verarbeitung außerhalb der EU/des EWR?
  • Besteht eine DPF-Zertifizierung?
  • Sind Standardvertragsklauseln (SCC) abgeschlossen?
  • Wurde ein Transfer Impact Assessment durchgeführt?

7️⃣ Unterstützung bei Betroffenenrechten

  • Unterstützt der Dienstleister bei Auskunftsanfragen?
  • Sind Löschmechanismen definiert?
  • Können Daten aus Trainingsdatensätzen entfernt werden?
  • Besteht Unterstützung bei Widerspruchsverfahren?

8️⃣ Trainingsdaten-Nutzung & Modellverbesserung (KI-spezifisch)

  • Werden Kundendaten für Modelltraining verwendet?
  • Erfolgt Nutzung nur anonymisiert/pseudonymisiert?
  • Kann die Nutzung zu Trainingszwecken deaktiviert werden?
  • Ist der Zweck transparent geregelt?

Modellverbesserung

Die Verwendung von Kundendaten zur Modellverbesserung kann eine eigenständige Verarbeitung darstellen.

9️⃣ API-Logging & Datenspeicherung

  • Werden Prompts gespeichert?
  • Werden Outputs gespeichert?
  • Wie lange erfolgt die Speicherung?
  • Sind Löschfristen definiert?

🔟 Kontroll- und Auditrechte

  • Besteht ein Auditrecht?
  • Werden Zertifizierungen bereitgestellt (z. B. ISO)?
  • Ist ein Auditprozess definiert?

1️⃣1️⃣ Datenlöschung & Rückgabe

  • Werden Daten nach Vertragsende gelöscht oder zurückgegeben?
  • Ist der Löschprozess dokumentiert?
  • Gibt es Nachweise über die Löschung?

1️⃣2️⃣ Incident-Management

  • Meldepflicht bei Datenschutzvorfällen geregelt?
  • Fristen definiert?
  • Kooperationspflichten vereinbart?

Kompakte Prüfmatrix

PrüfpunktErfüllt (Ja/Nein)Handlungsbedarf
AVV abgeschlossen
TOMs konkretisiert
Sub-Processor geprüft
Drittlandtransfer geregelt
Trainingsdaten-Nutzung klar geregelt
Betroffenenrechte-Unterstützung gesichert

Typische Fehlerquellen

FehlerRisiko
Kein AVV bei API-NutzungDSGVO-Verstoß
Unklare TrainingsdatennutzungZweckbindungsproblem
Fehlende SCC/TIADrittlandtransfer-Verstoß
Kein AuditrechtKontrollverlust
Keine klare LöschregelungRechenschaftspflicht-Verstoß

Praktische Empfehlung

Vor Einsatz eines KI-Cloud-Dienstes sollten Sie:

  1. Rollenklärung (Verantwortlicher vs. Auftragsverarbeiter) durchführen.
  2. AVV prüfen oder neu verhandeln.
  3. Sub-Processor-Kette vollständig analysieren.
  4. Drittlandtransfers dokumentieren.
  5. Trainingsdaten-Nutzung vertraglich klar regeln.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nicht sicher, wo Sie stehen?

Wenn Ihr KI-Anwendungsfall nicht eindeutig in eine Kategorie passt, senden Sie uns eine kurze Beschreibung — wir weisen Sie in die richtige Richtung.

Individuelle Anfrage sendenAnwendungsfall beschreiben

Nächste Schritte

  1. Prüfen Sie bestehende KI-Cloud-Verträge anhand dieser Checkliste.
  2. Identifizieren Sie Lücken bei Trainingsdaten- oder Sub-Processor-Regelungen.
  3. Klären Sie Drittlandtransfer-Mechanismen.
  4. Aktualisieren Sie Ihre Dokumentation.
  5. Lassen Sie Ihren AVV bei Bedarf von qualifizierten Expert:innen unter /experts prüfen.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

DSGVO & KI

Art. 44–49 DSGVO – Drittlandtransfers bei KI-Diensten

Wann liegt ein Drittlandtransfer nach Art. 44–49 DSGVO vor? Angemessenheitsbeschlüsse, Standardvertragsklauseln (SCC), Transfer Impact Assessment (TIA) und praktische Einordnung für Cloud- und LLM-Nutzung.

Lesen

DSGVO & KI

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO im Detail – mit besonderem Fokus auf KI-Systeme, Einwilligung, berechtigtes Interesse und Zweckänderung bei Modelltraining.

Lesen

EU AI Act

GPAI-Modelle nach Art. 51–56 EU AI Act

Was sind General Purpose AI (GPAI)-Modelle nach dem EU AI Act? Überblick über Definition, Pflichten für Anbieter, systemisches Risiko, FLOPs-Schwelle und praktische Auswirkungen für Unternehmen, die LLMs nutzen.

Lesen