Begriff
Auftragsverarbeitung (AVV)
Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten weisungsgebunden für einen Verantwortlichen verarbeitet. Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO regelt die Pflichtinhalte dieser Zusammenarbeit.
Kein Rechtsrat
Auftragsverarbeitung (AVV) — ausführlicher erklärt
Auftragsverarbeitung liegt nach Art. 28 DSGVO vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet, ohne selbst über Zweck und Mittel der Verarbeitung zu entscheiden. Typische Beispiele sind Cloud-Hosting, Newsletter-Versanddienste, externe Lohnbuchhaltung — oder eben Cloud-basierte KI-APIs.
Der Verantwortliche (Controller) legt fest, warum und wie Daten verarbeitet werden, und trägt die rechtliche Hauptverantwortung. Der Auftragsverarbeiter (Processor) handelt ausschließlich auf dokumentierte Weisung und entscheidet nicht eigenständig über die Zwecke. Sobald ein Dienstleister eigene Zwecke verfolgt, ist er kein Auftragsverarbeiter mehr, sondern selbst Verantwortlicher (ggf. gemeinsame Verantwortlichkeit nach Art. 26).
Ein schriftlicher (auch elektronischer) Auftragsverarbeitungsvertrag (AVV) ist zwingend, sobald personenbezogene Daten an den Dienstleister fließen. Art. 28 Abs. 3 DSGVO definiert die Pflichtinhalte. Der AVV muss den Auftragsverarbeiter unter anderem verpflichten zu:
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (lit. a)
- Vertraulichkeit des eingesetzten Personals (lit. b)
- technischen und organisatorischen Sicherheitsmaßnahmen nach Art. 32 (lit. c)
- Einhaltung der Bedingungen für Unterauftragsverarbeiter (lit. d)
- Unterstützung bei der Erfüllung von Betroffenenrechten (lit. e)
- Unterstützung bei Sicherheits-, Melde- und Datenschutz-Folgenabschätzungs-Pflichten, Art. 32–36 (lit. f)
- Löschung oder Rückgabe der Daten nach Vertragsende (lit. g)
- Nachweis der Einhaltung und Ermöglichung von Audits/Kontrollen (lit. h)
Unterauftragsverarbeiter (Art. 28 Abs. 4) darf der Auftragsverarbeiter nur mit vorheriger Genehmigung des Verantwortlichen einsetzen und muss ihnen vertraglich dieselben Datenschutzpflichten auferlegen; er bleibt dem Verantwortlichen gegenüber haftbar.
Bei fehlendem oder mangelhaftem AVV drohen Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO).
Beispiel / Praxisbezug
Werden bei der Nutzung einer Cloud-LLM-API personenbezogene Daten in den Prompt geschrieben — etwa Kundennamen, E-Mail-Adressen oder Vertragsdaten zur Zusammenfassung —, gelten Prompt-Inhalte als personenbezogene Daten und der LLM-Anbieter wird zum Auftragsverarbeiter. Dann ist ein AVV erforderlich.
In der Praxis stellen API-Anbieter dafür ein Data Processing Addendum (DPA) bereit, das als AVV nach Art. 28 fungiert. Wichtig: Solche AVV sind oft an die kommerziellen API-/Business-Tarife gekoppelt — reine Consumer-Pläne enthalten häufig keinen AVV. Da die meisten großen LLM-Anbieter US-Unternehmen sind, kommt zusätzlich ein Drittlandtransfer (Kapitel V DSGVO) hinzu, der über Standardvertragsklauseln oder eine Data-Privacy-Framework-Zertifizierung abgesichert werden muss.
Eine risikoarme Alternative ist, personenbezogene Daten vor der Übergabe an die API zu anonymisieren oder pseudonymisieren (Platzhalter-Ersetzung), sodass kein Personenbezug mehr an den Anbieter gelangt.
Abgrenzung zu ähnlichen Begriffen
Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) liegt vor, wenn zwei Parteien gemeinsam über Zwecke und Mittel entscheiden — anders als beim AVV, wo der Auftragsverarbeiter weisungsgebunden ist und keine eigenen Zwecke verfolgt.
Standardvertragsklauseln (SCC) regeln den Datentransfer in Drittländer und sind ein eigenständiges Instrument; sie ersetzen den AVV nicht, sondern ergänzen ihn beim US-Transfer.
Technische und organisatorische Maßnahmen (TOMs) sind ein inhaltlicher Bestandteil des AVV (Art. 32), aber kein eigener Vertrag.
Entdecke mehr
DSGVO-konformer LLM-Einsatz
DSGVO-konformer LLM-Einsatz bezeichnet die datenschutzgerechte Nutzung grosser Sprachmodelle wie ChatGPT, Claude oder Gemini im Unternehmen — mit Rechtsgrundlage, Auftragsverarbeitungsvertrag, kontrollierter Eingabe personenbezogener Daten, EU-Hosting und Trainings-Opt-out.
GlossarCloud Act
US-Gesetz von 2018 (Clarifying Lawful Overseas Use of Data Act). US-Behörden können US-Anbieter zur Herausgabe von Daten zwingen, auch wenn diese außerhalb der USA — etwa in der EU — gespeichert sind. Steht im Spannungsfeld zur DSGVO.
BlogHeadless ohne API-Rechnung — wie kommt man 2026 an die besten KI-Modelle für Automatisierung?
Anbieter-Vergleich Mitte 2026: Wer hat Headless-Modus, wessen Abo deckt ihn noch — und warum BYOK das stabilste Fundament ist.