Das Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO ist keine Kür — es ist Pflicht. Sobald du KI-Tools wie ChatGPT, Claude oder DeepL Pro im beruflichen Kontext nutzt und dabei personenbezogene Daten verarbeitest, musst du diese Tätigkeiten dokumentieren. Das gilt auch für Kleinbetriebe: Die Ausnahme für Unternehmen unter 250 Mitarbeitende (Art. 30 Abs. 5 DSGVO) greift nur, wenn die Verarbeitung weder regelmäßig noch risikobehaftet ist — beides trifft auf KI-Tools im Arbeitsalltag kaum zu. Ob dein VVT im Einzelfall ausreicht, hängt von deiner konkreten Nutzung und Branche ab; dieser Guide ersetzt keine individuelle Rechtsberatung.
Was du brauchst
- Eine vollständige Liste aller genutzten KI-Tools (auch kostenlose und Browser-Plugins)
- Zugang zu den Datenschutzseiten und AVV-Dokumenten jedes Tools
- Ein Tabellen-Tool (Excel, LibreOffice Calc, Notion oder eine Datenschutz-Software)
- Ca. 90 Minuten für die Erstanlage bei 5–8 Tools
Schritt 1: Bestandsaufnahme — alle KI-Tools erfassen
Bevor du das VVT anlegst, brauchst du eine vollständige Tool-Liste. Frag dich und dein Team: Welche KI-Tools werden regelmäßig genutzt — auch inoffiziell? KI-Features in bestehenden Abonnements wie Notion KI (DSGVO-Score: 5,5/10) oder Microsoft 365 Copilot (DSGVO-Score: 8,0/10) werden häufig übersehen, weil sie keine eigene Anmeldung erfordern.
Für jedes Tool notierst du:
- Tool-Name und Anbieter
- Einsatzzweck (konkret: z.B. „Textkorrektur von Kundenanfragen”, „Übersetzung von Verträgen”)
- Abteilung und Nutzerkreis
- Ob personenbezogene Daten verarbeitet werden (Namen, E-Mails, Kundeninhalte)
Häufiger Fehler: Browser-Plugins wie Grammarly (DSGVO-Score: 6,5/10) werden als unsichtbare Helfer vergessen — dabei lesen sie jeden eingetippten Text mit und sind dokumentationspflichtig.
Schritt 2: AVV prüfen und anfordern
Für jeden Anbieter, der als Auftragsverarbeiter tätig ist, brauchst du einen Auftragsverarbeitungsvertrag (AVV). Ohne gültigen AVV ist die Verarbeitung in aller Regel unzulässig.
So findest du den AVV:
- Öffne die Datenschutzseite des Tools (meist unter
/privacyoder/dpa) - Suche nach „Data Processing Agreement”, „DPA” oder „Auftragsverarbeitungsvertrag”
- Lade das Dokument herunter oder akzeptiere es digital — und halte Datum und Fundstelle fest
Prüfe dabei unbedingt die beigefügte Sub-Prozessoren-Liste: Das sind Drittanbieter, die der Anbieter seinerseits einsetzt (z.B. AWS, Microsoft Azure). Diese Liste bestimmt, in welche Länder deine Daten fließen — bei US-Servern ist das für Drittlandtransfers entscheidend.
Schritt 3: Pflichtangaben nach Art. 30 Abs. 1 DSGVO eintragen
Für jedes Tool trägst du die Pflichtfelder in dein VVT ein. Eine Tabellenzeile pro Tool-Einsatzzweck hat sich bewährt:
| Pflichtfeld | Beispiel (ChatGPT Plus) |
|---|---|
| Verantwortlicher | Dein Unternehmen, Adresse |
| Zweck der Verarbeitung | Entwurf von Antworten auf Kundenanfragen |
| Kategorien betroffener Personen | Kunden, Interessenten |
| Kategorien personenbezogener Daten | Name, Anliegen, ggf. E-Mail |
| Empfänger / Sub-Prozessoren | OpenAI, Microsoft Azure (USA) |
| Drittlandtransfer | USA — Standardvertragsklauseln |
| Aufbewahrungsfrist | Gemäß OpenAI-DPA; keine Speicherung nach Sitzungsende |
| Technische und organisatorische Maßnahmen | Verschlüsselung laut AVV, Opt-out für Training aktiviert |
Zur Orientierung die DSGVO-Scores aus unserer Tool-Datenbank:
| Tool | DSGVO-Score | AVV verfügbar |
|---|---|---|
| Microsoft 365 Copilot | 8,0/10 | Ja (Enterprise-Bedingungen) |
| Mistral AI | 7,0/10 | Ja |
| DeepL Pro | 7,0/10 | Ja |
| Grammarly | 6,5/10 | Ja |
| Claude (Anthropic) | 6,0/10 | Ja |
| Notion KI | 5,5/10 | Ja |
| ChatGPT Plus | 5,0/10 | Ja (Opt-in erforderlich) |
Scores nach Stand unserer Datenbank; der Score deines konkreten Nutzungsszenarios kann abweichen.
Schritt 4: Datenschutzeinstellungen und Opt-out dokumentieren
Viele KI-Tools nutzen Nutzerdaten standardmäßig zum Training ihrer Modelle. Du musst dokumentieren, ob und wie du das deaktiviert hast.
Suche in den Einstellungen nach Optionen wie:
- „Improve the product with my data” → deaktivieren
- „Data controls” / „Training data” → Opt-out setzen
Nach dem Deaktivieren: Halte in deinem VVT fest, wann du den Opt-out gesetzt hast und wo er zu finden ist. Ein Screenshot als Anhang ist empfehlenswert.
Beispiel-Eintrag: „ChatGPT Plus: Training-Opt-out aktiviert am [Datum] unter Settings → Data controls → Improve the model for everyone → OFF.”
Bei Tools ohne Opt-out-Möglichkeit ist zu prüfen, ob das Tool für Verarbeitungen mit Kundendaten überhaupt geeignet ist.
Schritt 5: VVT pflegen und regelmäßig überprüfen
Ein VVT ist kein einmaliges Dokument. Trage einen Überprüfungstermin alle 6–12 Monate ein. Ein Update ist außerdem anlassbezogen nötig bei:
- Einsatz eines neuen KI-Tools
- Änderung der Sub-Prozessoren-Liste durch den Anbieter
- Neuem Einsatzzweck für ein bestehendes Tool
- Kündigung oder Abbestellung eines Tools
Führe Versionsnummer und Änderungsdatum im VVT-Dokument — das erleichtert Nachweise bei Behördenanfragen.
Stolperfallen
1. Sub-Prozessoren-Liste nicht gelesen AVV unterschrieben, die beigefügte Liste der Sub-Prozessoren aber nie geöffnet. Diese Liste bestimmt, in welche Länder Daten tatsächlich fließen — Pflicht-Lektüre vor Unterzeichnung.
2. Opt-out aktiviert, aber nicht dokumentiert Training deaktiviert, aber nirgends festgehalten wann und wo. Im Zweifelsfall ist das nicht nachweisbar — und der Nachweis liegt bei dir.
3. VVT erst nach Produktivstart angelegt Das Tool läuft seit Wochen, das VVT folgt beim nächsten Audit. Die Dokumentationspflicht gilt ab dem ersten produktiven Einsatz.
4. Zweck zu vage formuliert „KI-Unterstützung” genügt nicht. Art. 30 DSGVO erfordert einen konkreten Zweck: „Entwurf von Antworten auf Kundenanfragen zu Bestellproblemen.”
5. Aufbewahrungsfristen leer gelassen Das Feld bleibt offen, weil unklar ist, was der Anbieter speichert. Nachlesen im AVV bzw. in der Privacy Policy — und den Wert oder „keine Speicherung nach Sitzungsende” eintragen.
Ergebnis
Nach diesen fünf Schritten hast du ein VVT, das die Pflichtangaben nach Art. 30 Abs. 1 DSGVO für deine KI-Tools abdeckt: Zwecke, Datenkategorien, Empfänger, Drittlandtransfers, Aufbewahrungsfristen und technisch-organisatorische Maßnahmen. Das Dokument ist bei Behördenanfragen vorlegbar und schafft intern Transparenz darüber, welche Tools unter welchen Bedingungen eingesetzt werden.
Checkliste: KI-Tools im Verarbeitungsverzeichnis
- Alle genutzten KI-Tools erfasst — inklusive Browser-Plugins und eingebettete Funktionen
- Für jedes Tool: Einsatzzweck konkret und spezifisch beschrieben
- AVV vorhanden, heruntergeladen, Datum und Fundstelle notiert
- Sub-Prozessoren-Liste des AVV geprüft und dokumentiert
- Drittlandtransfers mit Transfermechanismus (z.B. Standardvertragsklauseln) eingetragen
- Opt-out für Modelltraining aktiviert und dokumentiert (mit Datum und Pfad)
- Aufbewahrungsfristen aus AVV oder Privacy Policy übernommen
- Überprüfungsintervall festgelegt und als Kalendertermin eingetragen
Häufige Fragen
Muss ich als Kleinbetrieb mit weniger als 250 Mitarbeitenden ein VVT führen? Nur wenn die Verarbeitung weder gelegentlich noch risikofrei ist — das trifft auf die regelmäßige KI-Nutzung mit Kundendaten fast immer zu. Die Ausnahme nach Art. 30 Abs. 5 DSGVO greift in der Praxis selten. Im Zweifel: VVT anlegen, es kostet weniger als ein Bußgeld.
Reicht der AVV allein als DSGVO-Nachweis? Nein. Der AVV regelt die vertragliche Grundlage der Auftragsverarbeitung; das VVT dokumentiert die Verarbeitungstätigkeit selbst. Beides wird bei einer Behördenanfrage benötigt. Fehlt das VVT, hilft auch ein vollständiger AVV-Stack nicht weiter.
Wie oft muss ich das VVT aktualisieren? Mindestens einmal jährlich und bei jedem Anlassfall: neues Tool, neuer Zweck, geänderte Sub-Prozessoren-Liste, Kündigung eines Tools. Eine Versionsnummer mit Änderungsdatum im Dokument erleichtert spätere Nachweise erheblich.
Was gehört in die Spalte „Empfänger” für Cloud-KI-Tools? Der Anbieter selbst sowie alle Sub-Prozessoren aus seiner DPA- oder Sub-Processor-Liste. Bei US-Anbietern ist das typischerweise mindestens eine US-Cloud-Infrastruktur (AWS, Azure, GCP). Land und Transfermechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss) angeben.
Was droht, wenn das VVT bei einer Behördenanfrage fehlt? Art. 30 Abs. 4 DSGVO gibt Aufsichtsbehörden das Recht, das VVT jederzeit abzufordern. Fehlt es, liegt ein Verstoß vor, der nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden kann — der jeweils höhere Betrag gilt. Das Fehlen wird zudem als Indiz für einen mangelhaften Datenschutz-Gesamtzustand gewertet.