AVV (Auftragsverarbeitungsvertrag)

Ein Auftragsverarbeitungsvertrag (AVV) ist ein nach DSGVO (Art. 28) verpflichtender Vertrag zwischen einem Unternehmen und einem externen Dienstleister der personenbezogene Daten in dessen Auftrag verarbeitet.

In der Praxis bedeutet das: Wenn ihr ein KI-Tool nutzt und dabei personenbezogene Daten (Kundendaten, Mitarbeiterdaten, Nutzerdaten) in das Tool eingebt, müsst ihr mit dem Tool-Anbieter einen AVV abschließen. Ohne AVV kann die Nutzung des Tools einen DSGVO-Verstoß darstellen.

Was steht im AVV? Der Auftragnehmer (das KI-Tool) verpflichtet sich, die Daten nur zweckgebunden zu verarbeiten, technische Sicherheitsmaßnahmen einzuhalten, Unterauftragnehmer offenzulegen und bei Datenpannen zu informieren.

Viele große KI-Anbieter haben standardisierte AVVs die online abgeschlossen werden können: OpenAI, Anthropic, Google Cloud und Microsoft bieten DSGVO-konforme AVVs an. Prüft aber immer ob der Serverstandort in der EU liegt — sonst kann auch mit AVV eine Übermittlung in unsichere Drittländer problematisch sein.