Sobald ein KI-Tool wie ChatGPT, Claude oder Gemini in deinem Unternehmen Kunden- oder Mitarbeiterdaten verarbeitet, bist du als Verantwortlicher nach Art. 28 DSGVO verpflichtet, mit dem Anbieter ein AVV abzuschließen. Ohne diesen Vertrag fehlt der Verarbeitung die Rechtsgrundlage, unabhängig davon, wie gut das Tool selbst ist oder wie seriös der Anbieter wirkt. Diese Anleitung führt dich Schritt für Schritt durch Prüfung, Abschluss und Archivierung. Hinweis: Diese Anleitung ersetzt keine Rechtsberatung, Stand: Juli 2026.
Was du brauchst
- Name und Kontaktdaten deines Unternehmens als “Verantwortlicher”
- Kenntnis, welche(s) KI-Tool(s) personenbezogene Daten verarbeiten
- Zugang zum Kunden- oder Vertragsportal des jeweiligen Anbieters
- Unterschriftsberechtigung, also Geschäftsführung oder eine Vollmacht
- Ablageort für unterschriebene Verträge im Verarbeitungsverzeichnis
Zeitaufwand: 30–90 Minuten pro Anbieter · Schwierigkeitsgrad: Mittel · Benötigte Rechte: Vertretungsbefugnis für dein Unternehmen
Schritt 1: Prüfen, ob du ein AVV brauchst
Ein AVV ist immer dann Pflicht, wenn ein Anbieter in deinem Auftrag personenbezogene Daten verarbeitet – etwa wenn ein Chatbot Kundenanfragen mit Namen, E-Mail- oder IP-Adressen verarbeitet, oder wenn Mitarbeitende Kundendaten in einen KI-Assistenten eingeben. Nutzt du ein Tool ausschließlich mit anonymisierten Testdaten, ist ein AVV rechtlich nicht zwingend, in der Praxis aber trotzdem sinnvoll, weil sich der Einsatzzweck schnell ändern kann.
Häufiger Fehler: Viele verwechseln die AGB des Anbieters mit einem AVV. Die AGB regeln die Nutzung des Dienstes, nicht die Auftragsverarbeitung – beides sind rechtlich unabhängige Dokumente.
Danach weißt du genau, mit welchen Anbietern du tatsächlich ein AVV abschließen musst und mit welchen nicht.
Schritt 2: Anbieter kontaktieren und Vorlage anfordern
Große Anbieter stellen ihr AVV meist als fertige Vorlage im Business- oder Compliance-Bereich des Kontos bereit, häufig unter Begriffen wie “DPA”, “Data Processing Agreement” oder “Datenschutz” (Pfad kann je nach Version variieren). Bei ChatGPT Plus (DSGVO-Bewertung laut unserer Analyse: 5,2 von 10), Claude (6,0 von 10) und Gemini (6,5 von 10) ist das AVV in der Regel nur in kostenpflichtigen Business- oder Enterprise-Plänen vorgesehen, im kostenlosen Plan meist gar nicht. Konkrete Preise dafür bitte direkt beim jeweiligen Anbieter prüfen. Findest du keine Vorlage im Konto, fordere sie per E-Mail beim Support an und verweise dabei ausdrücklich auf Art. 28 DSGVO.
Danach liegt dir ein AVV-Entwurf des Anbieters zur Prüfung vor.
Schritt 3: Pflichtinhalte nach Art. 28 Abs. 3 DSGVO prüfen
Prüfe, ob der Entwurf alle Pflichtangaben enthält: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien betroffener Personen, deine Rechte und Pflichten als Verantwortlicher, die technischen und organisatorischen Maßnahmen des Anbieters, eingesetzte Subprozessoren sowie klare Regeln zu Löschung und Rückgabe der Daten nach Vertragsende. Fehlt einer dieser Punkte, ist das AVV unvollständig und muss nachverhandelt werden, bevor du unterschreibst.
Häufiger Fehler: AVV unterschreiben, ohne den TOM-Anhang überhaupt geöffnet zu haben – dabei ist er oft der wichtigste Teil des Vertrags.
Danach weißt du, ob der Entwurf vollständig ist oder ob du Nachbesserungen einfordern musst.
Schritt 4: Auslandstransfer klären
Sitzt der Anbieter außerhalb der EU, brauchst du zusätzlich eine eigene Rechtsgrundlage für die Drittlandübermittlung – etwa Standardvertragsklauseln oder eine gültige DPF-Zertifizierung des US-Anbieters. Ohne diesen zusätzlichen Nachweis ist der Datentransfer unzulässig, selbst wenn das AVV inhaltlich vollständig ist. Prüfe deshalb bei jedem außereuropäischen Anbieter separat, welche Transfergrundlage tatsächlich vorliegt und ob sie noch aktuell ist.
Danach weißt du, ob für den jeweiligen Anbieter noch eine zusätzliche Transfergrundlage fehlt.
Schritt 5: TOMs prüfen und dokumentieren
Die TOMs beschreiben konkret, wie der Anbieter deine Daten technisch und organisatorisch schützt, etwa durch Verschlüsselung, Zugriffskontrollen, Protokollierung und Mitarbeiterschulungen. Sie müssen als eigene, konkrete Anlage Teil des AVV sein – ein allgemeiner Verweis auf die Sicherheitsseite des Anbieters reicht rechtlich nicht aus. Lade die Anlage herunter und lege sie zusammen mit dem AVV ab.
Häufiger Fehler: Sich mit einem Verweis auf ein allgemeines Zertifikat statt auf konkrete, im AVV benannte TOMs zufriedengeben.
Danach liegt dir eine vollständige, konkrete TOM-Anlage vor.
Schritt 6: AVV unterschreiben und archivieren
Lass das AVV von einer vertretungsberechtigten Person unterschreiben, digital oder physisch, und lege es anschließend im Verarbeitungsverzeichnis ab. Verknüpfe es dort direkt mit dem passenden Verarbeitungseintrag, damit der Zusammenhang auch Monate später noch nachvollziehbar ist. Setze dir zusätzlich einen jährlichen Termin, um zu prüfen, ob sich am Leistungsumfang, an Subprozessoren oder an der Transfergrundlage etwas geändert hat.
Danach ist der Abschluss vollständig dokumentiert und auffindbar, falls eine Aufsichtsbehörde nachfragt.
Häufige Fehler / Stolperfallen
- AGB statt AVV als ausreichend akzeptieren, obwohl beide unterschiedliche Zwecke erfüllen
- TOM-Anhang nicht inhaltlich geprüft, sondern nur überflogen oder ignoriert
- Auslandstransfer bei US-Anbietern übersehen, obwohl das AVV selbst vollständig war
- AVV zwar unterschrieben, aber nie im Verarbeitungsverzeichnis verknüpft oder auffindbar abgelegt
- Unterschrift durch eine Person ohne Vertretungsbefugnis, was den Vertrag angreifbar macht
Checkliste: Ist dein AVV vollständig?
- Gegenstand und Dauer der Verarbeitung konkret benannt
- Art und Zweck der Verarbeitung nachvollziehbar beschrieben
- Kategorien betroffener Personen und Datenarten vollständig aufgeführt
- Rechte und Pflichten des Verantwortlichen eindeutig geregelt
- TOMs als eigene, konkrete Anlage beigefügt
- Subprozessoren namentlich gelistet, Zustimmungspflicht bei Wechsel vereinbart
- Löschung oder Rückgabe der Daten nach Vertragsende klar geregelt
- Unterstützungspflichten bei Betroffenenanfragen und Meldepflichten festgelegt
- Nachweis- und Kontrollrechte für dein Unternehmen vereinbart
- Bei Drittlandtransfer: SCCs oder DPF-Zertifizierung nachweislich vorhanden
- Von beiden Seiten vertretungsberechtigt unterschrieben und archiviert
Ergebnis
Nach diesen Schritten hast du für jedes relevante KI-Tool ein unterschriebenes, inhaltlich geprüftes AVV vorliegen, dokumentiert im Verarbeitungsverzeichnis und mit gesetztem Review-Termin für das kommende Jahr. Damit hast du einen wichtigen Baustein für den datenschutzkonformeren Einsatz der Tools in deinem Unternehmen geschaffen – die konkrete Nutzung solltest du dennoch weiterhin regelmäßig prüfen.
Häufige Fragen
Brauche ich für jedes KI-Tool ein eigenes AVV? Ja, für jeden Anbieter, der in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du ein separates AVV – ein pauschaler Vertrag für alle Tools existiert nicht.
Was passiert, wenn ich kein AVV abschließe? Die Verarbeitung erfolgt dann ohne Rechtsgrundlage. Das kann bei einer Prüfung durch die Aufsichtsbehörde zu Bußgeldern führen und macht dich im Streitfall zusätzlich angreifbar.
Kann ich das Standard-AVV eines Anbieters unverändert übernehmen? Meist ja, sofern es alle Pflichtpunkte aus Art. 28 Abs. 3 DSGVO enthält. Prüfe das anhand der Checkliste oben, bevor du unterschreibst, statt dem Anbieter blind zu vertrauen.
Wie lange muss ich ein unterschriebenes AVV aufbewahren? Mindestens solange die Verarbeitung läuft, plus die üblichen handels- und steuerrechtlichen Aufbewahrungsfristen danach.
Was mache ich, wenn ein Anbieter kein AVV anbietet? Frage aktiv beim Support unter Verweis auf Art. 28 DSGVO nach. Bietet der Anbieter dauerhaft kein AVV an, solltest du auf ein anderes Tool mit vergleichbarer Funktion ausweichen.
Kostet der Abschluss eines AVV etwas? Bei den meisten Anbietern ist das AVV selbst kostenlos, setzt aber häufig einen kostenpflichtigen Business- oder Enterprise-Plan voraus – das solltest du vorab direkt beim Anbieter klären.