Auftragsverarbeitung — Art. 28 DSGVO erklärt
Auftragsverarbeitung bezeichnet nach Art. 28 DSGVO die Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag und nach Weisung eines Verantwortlichen. Für Unternehmen ist der Begriff vor allem relevant, wenn Cloud-Dienste, IT-Dienstleister oder KI-Anbieter Daten für betriebliche Zwecke verarbeiten.
Was ist Auftragsverarbeitung (AV)?
Auftragsverarbeitung liegt vor, wenn ein externer Empfänger personenbezogene Daten nicht für eigene Zwecke nutzt, sondern für den Verantwortlichen tätig wird. Maßgeblich sind die Rollen in Art. 4 Nr. 7 und Nr. 8 DSGVO sowie die Vertragsanforderungen in Art. 28 DSGVO.
Typisch ist die Konstellation, dass ein Unternehmen über Zwecke und wesentliche Mittel entscheidet, während der Dienstleister die Verarbeitung technisch ausführt. Klassische Beispiele sind Hosting, Newsletter-Versand, Lohnabrechnung, CRM-Betrieb oder externe Transkription. Im KI-Kontext kommen etwa API-Dienste, Cloud-KI-Plattformen und spezialisierte Modellanbieter hinzu.
| Kernmerkmal | Auftragsverarbeitung |
|---|---|
| Rolle des Dienstleisters | Verarbeitet Daten im Auftrag |
| Steuerung | Weisungsgebunden gegenüber dem Verantwortlichen |
| Eigenes Interesse | Keine eigenständige Zweckfestlegung für die konkrete Verarbeitung |
| Rechtsgrundlage | Art. 28 DSGVO |
| Vertrag | AVV in Textform erforderlich |
Für die Praxis heißt das: Nicht jeder Software-Anbieter ist automatisch Auftragsverarbeiter. Sobald der Anbieter eigene Zwecke verfolgt oder die wesentlichen Mittel gemeinsam mit dem Kunden festlegt, kann statt Auftragsverarbeitung eine andere Rollenverteilung vorliegen. Für KI-Teams ist die Abgrenzung auch deshalb wichtig, weil sie mit der Grundrechte-Folgenabschätzung, KI-Verordnung vs. DSGVO und internen Freigabeprozessen zusammenhängt.
Auftragsverarbeitungsvertrag (AVV) — Pflichtinhalte
Ein Auftragsverarbeitungsvertrag ist nach Art. 28 Abs. 3 DSGVO Pflicht, wenn ein Auftragsverarbeiter personenbezogene Daten im Auftrag verarbeitet. Ohne AVV ist die Einbindung des Dienstleisters regelmäßig nicht DSGVO-konform.
Der Vertrag muss insbesondere folgende Punkte regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Rechte und Pflichten des Verantwortlichen
- Verarbeitung nur auf dokumentierte Weisung
- Vertraulichkeit der eingesetzten Personen
- Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO
- Regeln für Unterauftragsverarbeiter
- Unterstützung bei Betroffenenrechten
- Unterstützung bei Sicherheit, Meldung von Verletzungen, DSFA und Konsultation
- Löschung oder Rückgabe der Daten nach Vertragsende
- Nachweis- und Auditpflichten
| Regulatorische Relevanz | Warum wichtig |
|---|---|
| Weisungsbindung | Trennt Auftragsverarbeitung von eigener Verantwortlichkeit |
| TOM | Belegt angemessenes Schutzniveau |
| Subunternehmer | Verhindert intransparente Verarbeitungsketten |
| Lösch- und Rückgabepflicht | Reduziert Restdatenbestände |
| Auditrecht | Ermöglicht wirksame Kontrolle |
Auftragsverarbeitung bei KI-Systemen
Bei KI-Systemen ist Auftragsverarbeitung häufig, aber nicht automatisch gegeben. Wenn ein Anbieter personenbezogene Daten nur zur Bereitstellung eines gebuchten KI-Dienstes nach dokumentierten Weisungen verarbeitet, spricht vieles für eine Auftragsverarbeitung im Sinn des Art. 28 DSGVO.
Besonders relevant ist das bei Chatbots, Dokumentanalyse, Meeting-Transkription, Klassifikation, Support-Automation oder Retrieval-gestützten Assistenten. Unternehmen sollten vor dem Einsatz prüfen, ob Eingaben, Anhänge oder Protokolle personenbezogene Daten enthalten. Vertiefend dazu passen ChatGPT im Unternehmen und AI Act und DSGVO und AI Act: zwei Schulungen.
Bei generativer KI ist die Rollenfrage jedoch oft komplex. Kritisch sind vor allem drei Punkte:
- Nutzt der Anbieter Kundendaten zusätzlich für eigene Produktverbesserung oder Modelltraining?
- Bestehen Unterauftragsverhältnisse, etwa für Hosting oder Moderation?
- Erfolgen Übermittlungen in Drittländer außerhalb des EWR?
Wenn der Anbieter eigene Zwecke verfolgt, kann er insoweit selbst Verantwortlicher sein. Deshalb genügt es nicht, nur den Begriff "AVV" im Vertrag zu sehen. Sie sollten Produktdokumentation, Datenschutzhinweise, Subunternehmerlisten und Transfermechanismen mitprüfen. Für den organisatorischen Teil ist zudem KI-Kompetenz relevant, weil Mitarbeitende wissen müssen, welche Daten sie in Cloud-KI eingeben dürfen.
Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO liegt vor, wenn zwei Stellen Zwecke und Mittel der Verarbeitung gemeinsam festlegen. Auftragsverarbeitung liegt dagegen vor, wenn der Dienstleister nur im Auftrag handelt und nicht mitentscheidet.
Die Unterscheidung ist für Verträge und Haftung zentral. Bei gemeinsamer Verantwortlichkeit braucht es keine AVV-Lösung nach Art. 28 DSGVO, sondern eine transparente Vereinbarung über die jeweiligen Datenschutzpflichten nach Art. 26 DSGVO. Eine Fehlzuordnung ist riskant, weil ein formal vorhandener AVV die falsche Rollenbestimmung nicht heilt.
Typische AV-Szenarien im KI-Kontext
Typische Auftragsverarbeitung im KI-Kontext betrifft Dienste, bei denen das einsetzende Unternehmen den Zweck vorgibt und der Anbieter die Daten nur verarbeitet, um die Funktion bereitzustellen.
- Cloud-KI für interne Dokumentzusammenfassungen
- Meeting-Assistenz mit Transkript und Aufgabenextraktion
- KI-gestützte OCR oder E-Mail-Klassifikation
- Externe Hosting- oder Vektor-Datenbank-Dienste für RAG-Anwendungen
- Managed MLOps für interne Unternehmensmodelle
Kein Automatismus besteht dagegen bei offenen Verbraucherprodukten, öffentlich trainierten Modellen oder Konstellationen, in denen der Anbieter Nutzungsdaten für eigene Zwecke auswertet. Die Rollenprüfung sollte deshalb Bestandteil jeder Datenschutz- und KI-Freigabe sein.
Häufig gestellte Fragen (FAQ)
Was ist Auftragsverarbeitung nach DSGVO?
Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach dokumentierten Weisungen eines Verantwortlichen verarbeitet. Die maßgeblichen Normen sind Art. 4 Nr. 8 und Art. 28 DSGVO. Entscheidend ist also nicht die Bezeichnung des Vertrags, sondern die tatsächliche Rollenverteilung.
Wann brauche ich einen AVV?
Einen AVV brauchen Sie, sobald ein externer Dienstleister personenbezogene Daten für Ihr Unternehmen verarbeitet, ohne selbst über den Zweck dieser konkreten Verarbeitung zu entscheiden. Das ist bei vielen SaaS-, Hosting- und KI-Services der Fall.
Was muss in einem AVV stehen?
Ein AVV muss nach Art. 28 Abs. 3 DSGVO mindestens Gegenstand, Dauer, Zweck, Datenarten, Betroffenenkategorien, Weisungen, Vertraulichkeit, TOM, Unterauftragsverarbeiter, Unterstützungspflichten, Löschung oder Rückgabe sowie Audit- und Nachweismöglichkeiten regeln.
Ist die Nutzung von ChatGPT Auftragsverarbeitung?
Die Nutzung von ChatGPT kann Auftragsverarbeitung sein, ist aber nicht automatisch immer so. Entscheidend sind das konkrete Produkt, die Vertragsbedingungen, die tatsächliche Weisungsgebundenheit, eine eventuelle Nutzung für eigene Zwecke des Anbieters und mögliche Drittlandtransfers.
Wenn Sie KI-Systeme datenschutzkonform und zugleich AI-Act-tauglich einführen wollen, ist eine kombinierte Prüfung aus Rollenbestimmung, AVV, TOM, Transferfragen und Schulung sinnvoll. Für den operativen Rollout unterstützt Sie unsere EU AI Act Schulung mit einem klaren Rahmen für Verantwortlichkeiten, Freigaben und den sicheren Einsatz von KI im Unternehmen.