Die EU-KI-Verordnung wird am 2. August 2026 voll wirksam.Noch Tage bis zur Pflicht.
← Alle Beiträge

28. Juni 2026

AVV für KI-Tools: Die Checkliste vor jeder Freigabe

Die KI-Verordnung regelt, wie Sie KI einsetzen dürfen — die DSGVO regelt weiterhin, was mit personenbezogenen Daten passieren darf. In der Praxis entscheidet sich beides an derselben Stelle: bei der Freigabe eines KI-Tools. Das wichtigste Dokument dabei ist der Auftragsverarbeitungsvertrag (AVV), englisch Data Processing Agreement (DPA).

Wann brauchen Sie einen AVV?

Sobald ein KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, verlangt Art. 28 DSGVO einen AVV. Bei KI-Tools passiert das schneller, als viele denken:

  • Ein Mitarbeiter fasst eine Kunden-E-Mail mit ChatGPT zusammen → personenbezogene Daten des Kunden landen beim Anbieter.
  • Der Meeting-Transkriptionsdienst zeichnet Stimmen auf → Stimmprofile und Gesprächsinhalte sind personenbezogene Daten.
  • Der Website-Chatbot beantwortet Kundenanfragen → Name, Anliegen, teils Vertragsdaten fließen durch das System.

Faustregel: Nutzt Ihr Team ein KI-Tool dienstlich und kann dabei auch nur gelegentlich Personenbezug entstehen, brauchen Sie den AVV vor der Freigabe — nicht danach.

Die 8-Punkte-Checkliste

1. Gibt es überhaupt einen AVV — und für Ihren Tarif? Viele Anbieter bieten AVVs nur in Business-/Enterprise-Plänen an. Private und Gratis-Accounts haben meist keinen — ein Hauptgrund, warum Firmendaten dort nichts verloren haben.

2. Ist die Trainingsnutzung ausgeschlossen? Prüfen Sie, ob Ihre Eingaben zum Training der Modelle verwendet werden. Business-Tarife schließen das meist vertraglich aus, Consumer-Tarife oft nur per Opt-out. Der Ausschluss sollte im Vertrag stehen, nicht nur in einer Einstellung.

3. Wer sind die Unterauftragsverarbeiter? Gerade EU-Anbieter nutzen im Hintergrund oft US-Modelle (z. B. deutsche Marketing-Tools auf Basis von OpenAI). Die Unterauftragsverarbeiter-Liste im AVV zeigt, wo Ihre Daten wirklich landen.

4. Wie ist der Drittlandtransfer abgesichert? Bei US-Anbietern: Ist der Anbieter unter dem EU-US Data Privacy Framework zertifiziert oder gelten Standardvertragsklauseln (SCC)? Bei UK-Anbietern greift der Angemessenheitsbeschluss. Das gehört in Ihre Datenschutzdokumentation.

5. Was passiert mit den Daten nach der Verarbeitung? Löschfristen und Aufbewahrung prüfen: Werden Eingaben nach der Verarbeitung gelöscht (wie bei DeepL Pro) oder gespeichert? Gibt es konfigurierbare Aufbewahrungsfristen?

6. Sind die technischen und organisatorischen Maßnahmen (TOMs) beschrieben? Verschlüsselung, Zugriffskontrolle, Zertifizierungen (ISO 27001, SOC 2). Bei etablierten Anbietern Standard — trotzdem ablegen, das fragt jeder Prüfer.

7. Brauchen Sie eine Datenschutz-Folgenabschätzung (DSFA)? Bei systematischer Verarbeitung sensibler Daten oder Beschäftigtendaten durch KI kann Art. 35 DSGVO eine DSFA verlangen. Im Zweifel den Datenschutzbeauftragten einbinden — die Entscheidung kurz dokumentieren.

8. Ist die Freigabe dokumentiert? Tool, Tarif, AVV-Datum, Auflagen („keine Kundendaten") gehören ins KI-Systemverzeichnis — genau dafür hat es die Felder rechtsgrundlage_hinweis und vertrag_avv. So beantworten Sie die Prüferfrage „Warum durfte dieses Tool eingesetzt werden?" mit einem Blick.

KI-VO und DSGVO greifen ineinander

Die KI-Verordnung ersetzt keine dieser Pflichten — sie ergänzt sie: Art. 4 KI-VO verlangt, dass Ihr Team die Risiken kennt (Schulung), Art. 50 verlangt Transparenz gegenüber Betroffenen. Wer beim Tool-Onboarding AVV-Checkliste und KI-Systemverzeichnis zusammen abarbeitet, erledigt beide Welten in einem Durchgang.

Die Vertragslage der gängigsten Tools — inklusive AVV-Verfügbarkeit, Trainingsnutzung und Drittlandtransfer — haben wir in der KI-Tool-Datenbank zusammengefasst, Tool für Tool.


Hinweis: Dieser Beitrag ist eine Orientierungshilfe und keine Rechtsberatung. Quellen: DSGVO (Art. 28, 35, 44 ff.), VO (EU) 2024/1689, Anbieterdokumentationen, Stand Juni 2026.

Welche Pflichten treffen Ihr Unternehmen?

Der kostenlose KI-Pflichten-Check zeigt es in 3 Minuten, mit Ampel-Auswertung und konkreten nächsten Schritten.

Pflichten-Check starten