AVV (Auftragsverarbeitungsvertrag)

Sobald dein Unternehmen Kundendaten an einen externen Dienstleister weitergibt, etwa einen Cloud-Dienst, eine E-Mail-Plattform oder einen KI-Chatbot, verlangt die DSGVO einen schriftlichen Vertrag, der regelt, was der Dienstleister mit diesen Daten tun darf. Dieser Vertrag heißt Auftragsverarbeitungsvertrag, kurz AVV (auf Englisch: Data Processing Agreement, DPA). Er legt die Eckpunkte fest: Der Anbieter verarbeitet die Daten nur nach deiner Weisung, schützt sie technisch und organisatorisch, meldet dir Datenpannen und löscht alles nach Vertragsende.

Ein alltägliches Beispiel: Ein kleines Handwerksbetrieb möchte, dass sein KI-Assistent Angebote mit Kundennamen und Adressen formuliert. Auf einem Consumer-Konto gibt es in der Regel keinen AVV; bei einer Prüfung durch den BfDI oder eine Landesdatenschutzbehörde wird es dann schwierig zu erklären, wie diese Daten geschützt sind. Auf Business-Tarifen bieten Anbieter wie OpenAI, Anthropic und Google einen AVV an, den du während der Einrichtung oft per Klick akzeptieren kannst.

Die Faustregel, nüchtern formuliert: echte Kundendaten plus KI zeigt fast immer in Richtung Business-Plan mit AVV. Der Tarif-Finder hilft dir herauszufinden, welcher Tarif zu dir passt; die aktuellen AVV-Bedingungen findest du auf den Rechts- oder Trust-Seiten des jeweiligen Anbieters.

Wo du dem AVV begegnest

• Rechts- und Trust-Seiten der KI-Anbieter: OpenAI, Anthropic und Google veröffentlichen ihre AVVs
• Administrator- oder Abrechnungseinstellungen von Business- und Enterprise-Plänen, wo du den AVV akzeptierst
• Deine eigene Anbieterliste, wenn dein Unternehmen bereits nach DSGVO-Maßstäben arbeitet

Verwandte Begriffe

• Verantwortlicher →
• DSGVO →
• Enterprise-Tarif →
• Personenbezogene Daten →