LIVEEU verabschiedet Durchführungsverordnung zum AI Act·Wir haben fünf LLMs mit Rechtstexten getestet. Das Ergebnis hat uns überrascht·Neue Open-Source-Modelle unterbieten API-Preise um 40 %Sonntag, 5. Juli 2026

DSGVO und LLMs: Auftragsverarbeitung richtig regeln

Wer Sprachmodelle externer Anbieter im Unternehmen einsetzt, muss die Auftragsverarbeitung DSGVO-konform gestalten. Ein Überblick über die wichtigsten Stolperfallen.

ER
ecompanion Redaktion2.7.2026 · 9 Min. Lesezeit
↗ Teilen🔖 Merken🎧 Anhören
artikel-hero · contentmachine

Kaum ein Unternehmen kommt heute noch ohne den Einsatz externer Sprachmodelle aus — sei es für die Kundenkommunikation, die interne Dokumentenanalyse oder die automatisierte Texterstellung. Doch sobald personenbezogene Daten an einen KI-Anbieter übermittelt werden, greift die Datenschutz-Grundverordnung in voller Schärfe, und der Einsatz eines LLM-Anbieters stellt in aller Regel eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO dar. Das Problem beginnt oft schon bei der Frage, wer eigentlich Verantwortlicher und wer Auftragsverarbeiter ist: Nutzt ein Unternehmen die API eines KI-Anbieters für automatisierte Kundenanfragen, bleibt es selbst verantwortliche Stelle, während der Anbieter als Auftragsverarbeiter fungiert — werden hingegen Daten zur Verbesserung der Anbieter-Modelle genutzt, kann je nach Vertragsgestaltung eine gemeinsame Verantwortlichkeit entstehen.

Der Auftragsverarbeitungsvertrag als Fundament

Zentrales Instrument bleibt der Auftragsverarbeitungsvertrag (AVV), den jedes Unternehmen vor dem produktiven Einsatz eines KI-Dienstes abschließen sollte. Viele große Anbieter stellen standardisierte AVV-Vorlagen bereit, die jedoch nicht unkritisch übernommen werden sollten: Besonders zu prüfen sind Klauseln zur Datenverarbeitung außerhalb der EU, zur Weitergabe an Unterauftragsverarbeiter sowie zur Löschung von Daten nach Vertragsende. Ein häufig übersehener Punkt betrifft zudem die Speicherung von Prompts durch den Anbieter, etwa zur Missbrauchserkennung — enthalten diese personenbezogene Daten, muss diese Speicherung im AVV ausdrücklich geregelt und in der eigenen Datenschutz-Folgenabschätzung berücksichtigt werden.

Praktische Empfehlungen für die Umsetzung

In der Praxis empfiehlt sich ein mehrstufiges Vorgehen: Zunächst sollten Unternehmen ein Verzeichnis aller eingesetzten KI-Dienste führen und dokumentieren, welche Datenkategorien verarbeitet werden, um beurteilen zu können, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist — etwa bei der Verarbeitung sensibler Daten wie Gesundheits- oder Personalinformationen. Nicht zuletzt sollten Unternehmen ihre Mitarbeitenden für den datenschutzkonformen Umgang mit KI-Tools sensibilisieren, denn viele Verstöße entstehen nicht durch fehlerhafte Verträge, sondern durch unbedachte Eingaben im Arbeitsalltag — klare interne Richtlinien und verbindliche Freigabeprozesse für neue KI-Tools sind daher ebenso wichtig wie der saubere AVV auf dem Papier.

dsgvocompliance