Kostenlos beraten
DSGVO-Checkliste für KI-Tools – Bewertung von KI-Anbietern für deutsche Unternehmen
Leitfäden

DSGVO-Checkliste für KI-Tools: 10 Fragen vor dem AVV

DSGVO-Prüfung von KI-Anbietern: Das Wichtigste im Überblick

Vor dem Einsatz eines KI-Tools, das personenbezogene Daten verarbeitet, müssen deutsche Unternehmen die DSGVO-Konformität des Anbieters prüfen. Diese 10-Punkte-Checkliste deckt alles ab, was Sie vor der Unterzeichnung eines Auftragsverarbeitungsvertrags wissen müssen.

  • Ein Auftragsverarbeitungsvertrag (AVV) ist gemäß Art. 28 DSGVO gesetzlich vorgeschrieben
  • Drittlandtransfers erfordern Standardvertragsklauseln (SCC) oder gleichwertige Mechanismen
  • Das Training von KI-Modellen mit Ihren Daten muss vertraglich ausgeschlossen werden
  • Deutsche Unternehmen unterliegen zusätzlichen Anforderungen aus BDSG §26 und BetrVG §87

Bevor deutsche Unternehmen ein KI-Tool einsetzen, das personenbezogene Daten verarbeitet, müssen sie eine DSGVO-konforme Prüfung des Anbieters durchführen. Diese Checkliste zeigt, wie Compound Law vorgeht — entwickelt auf Grundlage der Analyse von mehr als 55 KI-Tools, die von Unternehmen in Deutschland und der DACH-Region genutzt werden.

Art. 28 der Datenschutz-Grundverordnung verpflichtet jeden Verantwortlichen, mit einem Auftragsverarbeiter vor Beginn der Datenverarbeitung einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Wer ohne AVV arbeitet, verstößt gegen die DSGVO — unabhängig davon, wie verbreitet das jeweilige Tool ist oder ob es vom Anbieter als „DSGVO-konform” beworben wird.

Diese Checkliste hilft Ihnen, die richtigen Fragen zu stellen — und zeigt, was eine akzeptable Antwort ausmacht.

Warum die DSGVO-Prüfung von KI-Anbietern so wichtig ist

Wenn Sie ein KI-Tool einsetzen, das personenbezogene Daten verarbeitet — Kundennamen, Mitarbeiterdaten, E-Mail-Inhalte, hochgeladene Dokumente — werden Sie zum Verantwortlichen (Controller) und der Anbieter zum Auftragsverarbeiter (Processor). Art. 28 DSGVO regelt diese Beziehung vollständig.

Die rechtlichen Risiken sind erheblich:

  • Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei Verstößen gegen Art. 28 DSGVO (Art. 83 Abs. 4 DSGVO)
  • Aufsichtsbehördliche Untersuchungen auf Basis einer einzigen Beschwerde von Betroffenen
  • Schadensersatzansprüche betroffener Personen gemäß Art. 82 DSGVO bei Datenmissbrauch
  • Gesamtschuldnerische Haftung bei Datenpannen, wenn kein wirksamer AVV vorliegt

Der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) sowie die Datenschutzbehörden der Länder haben die Anforderungen aus Art. 28 DSGVO in den vergangenen Jahren konsequent durchgesetzt. Mehrere Unternehmen erhielten formelle Beanstandungen, weil sie KI-Tools ohne vorherige Anbieterprüfung eingesetzt hatten.

Die 10-Punkte-DSGVO-Checkliste für KI-Tools

Verwenden Sie diese Checkliste vor der Unterzeichnung eines AVV mit einem KI-Anbieter. Zu jedem Punkt finden Sie Hinweise darauf, was eine akzeptable Antwort ausmacht.

1. Stellt der Anbieter einen Auftragsverarbeitungsvertrag (AVV) bereit?

Ein Anbieter, der personenbezogene Daten in Ihrem Auftrag verarbeitet, muss einen AVV anbieten. Verweigert ein Anbieter die Unterzeichnung oder verfügt er über keinen AVV, dürfen Sie das Tool nicht einsetzen. Der AVV ist gemäß Art. 28 DSGVO gesetzlich vorgeschrieben — kein Verhandlungsgegenstand.

Worauf zu achten ist: Ein AVV, der ausdrücklich auf Art. 28 DSGVO verweist, alle Verarbeitungstätigkeiten auflistet, Unterauftragsverarbeiter benennt und technisch-organisatorische Maßnahmen (TOMs) in einem Anhang beschreibt.

In unseren AVV-Bewertungen aller KI-Tools dokumentieren wir, wie die einzelnen Anbieter diese Anforderung erfüllen — von Enterprise-Lösungen bis hin zu freemium-basierten SaaS-Diensten.

2. Welche Rolle nimmt der Anbieter ein — Verarbeiter, Verantwortlicher oder gemeinsam Verantwortlicher?

Nicht jeder KI-Anbieter ist ein reiner Auftragsverarbeiter. Manche Anbieter nutzen Ihre Daten auch für eigene Zwecke — für Analysen, Modelltraining oder Produktentwicklung. Dies würde den Anbieter zum Verantwortlichen oder gemeinsam Verantwortlichen machen. Das ändert sowohl die erforderliche Rechtsgrundlage als auch Ihr Haftungsrisiko erheblich.

Worauf zu achten ist: AVV-Klauseln, die dem Anbieter ausdrücklich verbieten, Ihre Daten für andere Zwecke als die Erbringung des vertraglich vereinbarten Dienstes zu nutzen. Fehlt eine solche Klausel, ist dies ein Warnsignal.

3. Wo werden die Daten gespeichert und verarbeitet? (EU vs. Drittländer)

Werden Daten außerhalb des EU/EWR gespeichert oder verarbeitet, gelten die zusätzlichen Anforderungen aus Kapitel V DSGVO zu internationalen Datentransfers. Die Vereinigten Staaten gelten für die DSGVO als Drittland — auch wenn der Anbieter europäische Tochtergesellschaften oder Rechenzentren in der EU betreibt.

Worauf zu achten ist: EU-basierter Datenspeicherort als Standardoption oder klar dokumentierte Transfermechanismen für alle Drittlandsverarbeitungen. Ein Anbieter, der keine Auskunft über den Datenspeicherort geben kann, ist mit besonderer Vorsicht zu bewerten.

4. Welche SCC oder welcher Transfermechanismus gilt für internationale Transfers?

Werden Daten in einem Drittland verarbeitet, muss der Anbieter einen wirksamen Datentransfermechanismus vorweisen. Die wichtigsten Optionen gemäß DSGVO sind:

  • Standardvertragsklauseln (SCC) — der häufigste Mechanismus, von der Europäischen Kommission 2021 aktualisiert
  • Angemessenheitsbeschluss — gilt für Länder wie Großbritannien, Schweiz, Japan sowie (eingeschränkt) USA im Rahmen des EU-US Data Privacy Framework
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) — für große multinationale Unternehmensgruppen

Worauf zu achten ist: Verweis auf die SCC von 2021 (Durchführungsbeschluss der Kommission 2021/914) im AVV oder seinen Anhängen. Anbieter, die noch auf die alten SCC von 2010 verweisen, operieren auf veralteter Rechtsgrundlage.

5. Trainiert der Anbieter KI-Modelle mit Ihren Daten?

Dies ist die wichtigste Frage bei KI-Tools. Viele Anbieter behalten sich das Recht vor, Kundendaten zum Training oder zur Verbesserung ihrer Modelle zu nutzen — ein Vorgehen, das mit der DSGVO unvereinbar ist, sofern Ihr Unternehmen keine spezifische Rechtsgrundlage für diesen Zweck hat.

Worauf zu achten ist: Eindeutige, unmissverständliche Formulierungen im AVV, dass der Anbieter Kundendaten nicht für KI-Modelltraining, Fine-Tuning oder Produktverbesserungen verwendet. Fehlt eine solche Klausel, fordern Sie schriftliche Bestätigung ein, bevor Sie unterzeichnen.

Dies war eines der bedeutsamsten Unterscheidungsmerkmale in unserer Analyse von 55+ KI-Tools. Einige Anbieter regeln dies klar auf Enterprise-Ebene; andere erfordern spezifische Vertragsergänzungen (Addenda), um das Training zu deaktivieren.

6. Wie lange werden Daten gespeichert und wie erfolgt die Löschung?

Das Prinzip der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten nicht länger als für den angegebenen Zweck erforderlich aufbewahrt werden. Der AVV muss genau regeln, wie lange der Anbieter Ihre Daten speichert und wie die Löschung nach Vertragsende erfolgt.

Worauf zu achten ist:

  • Konkrete Aufbewahrungsfristen für jede Datenkategorie
  • Bestätigung der Löschung innerhalb eines definierten Zeitraums (in der Regel 30–90 Tage) nach Vertragsende
  • Möglichkeit, jederzeit während der Vertragslaufzeit die Löschung zu beantragen
  • Schriftliche Löschbestätigung auf Anfrage

7. Wer sind die Unterauftragsverarbeiter und wie werden sie genehmigt?

Jeder KI-Anbieter nutzt Unterauftragsverarbeiter — Cloud-Infrastrukturdienstleister, Analyseplattformen, Support-Tools, Content-Delivery-Netzwerke. Gemäß Art. 28 Abs. 4 DSGVO muss der Anbieter diesen Unterauftragsverarbeitern gleichwertige Datenschutzverpflichtungen auferlegen. Und Sie haben das Recht zu erfahren, wer diese sind.

Worauf zu achten ist:

  • Eine veröffentlichte, aktuelle Liste aller Unterauftragsverarbeiter
  • Einen vertraglichen Mechanismus zur Vorabinformation über Änderungen (30 Tage Vorlauf ist branchenüblich)
  • Ein Widerspruchsrecht gegen neue Unterauftragsverarbeiter vor deren Einbindung

8. Welche technisch-organisatorischen Maßnahmen (TOMs) sind dokumentiert?

Art. 32 DSGVO verlangt, dass Auftragsverarbeiter geeignete technisch-organisatorische Maßnahmen (TOMs) implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der AVV muss die konkret angewandten TOMs enthalten oder darauf verweisen.

Worauf zu achten ist:

  • Verschlüsselung im Ruhezustand und bei der Übertragung
  • Zugangskontrollen, rollenbasierte Berechtigungen und Authentifizierungsanforderungen
  • Verfahren zur Reaktion auf Sicherheitsvorfälle und Meldung von Datenpannen (innerhalb von 72 Stunden nach Art. 33 DSGVO)
  • Externe Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 Typ II

9. Unterstützt der Anbieter die Anforderungen einer Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Art. 35 DSGVO verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für natürliche Personen mit sich bringt. KI-Tools, die umfangreiche Verarbeitungen sensibler Daten, automatisierte Entscheidungsfindung mit erheblichen Auswirkungen oder systematische Überwachung von Personen beinhalten, lösen diese Anforderung wahrscheinlich aus.

Worauf zu achten ist: Der Anbieter sollte Dokumentation bereitstellen können, die Ihre DSFA unterstützt: Beschreibungen der Verarbeitungstätigkeiten, Risikominderungsmaßnahmen und eigene Risikoabschätzungen. Einige Anbieter stellen DSFA-Vorlagen oder vorausgefüllte Fragebögen zur Verfügung.

10. Fällt das Tool unter die Hochrisiko-Klassifizierung des EU AI Acts?

Der EU AI Act ist seit dem 1. August 2024 in Kraft. Die vollständigen Pflichten für Hochrisiko-KI-Systeme nach Anhang III des AI Acts gelten ab August 2026. Hochrisiko-Kategorien umfassen KI-Systeme, die in den Bereichen Beschäftigung und Arbeitnehmerverwaltung, Zugang zu wesentlichen Dienstleistungen, Bildung oder biometrische Identifizierung eingesetzt werden.

Worauf zu achten ist: Der Anbieter sollte bestätigen können, ob sein System unter eine der Anhang-III-Kategorien fällt. Falls ja, sind zusätzliche Konformitätsdokumentation und eine Registrierung in der EU-KI-Datenbank vor der Inbetriebnahme erforderlich.

Wie wir diese Checkliste angewandt haben

Compound Law hat die AVV und Nutzungsbedingungen von mehr als 55 KI-Tools bewertet, die von Unternehmen in Deutschland und der DACH-Region eingesetzt werden. Alle KI-Tool-Bewertungen ansehen →

Jede Bewertung wendet diesen 10-Punkte-Rahmen an, um die Fragen zu beantworten, die Einkauf, IT und Rechtsabteilung tatsächlich benötigen: Liegt ein AVV vor? Wo werden Daten gespeichert? Trainiert der Anbieter Modelle mit Kundendaten? Welche SCC gelten? Ist eine DSFA erforderlich?

Das Ergebnis ist eine einheitliche, vergleichbare Bibliothek faktischer AVV-Zusammenfassungen — mit konsistenten Kriterien für alle bewerteten Tools.

Besondere Anforderungen für deutsche Unternehmen

Über die DSGVO-Grundanforderungen hinaus unterliegen deutsche Unternehmen beim Einsatz von KI-Tools weiteren rechtlichen Verpflichtungen, die vor der Unterzeichnung bekannt sein sollten.

BDSG (Bundesdatenschutzgesetz)

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO um nationale Besonderheiten, insbesondere für Beschäftigtendaten. § 26 BDSG regelt die Datenverarbeitung im Beschäftigungsverhältnis und stellt strengere Anforderungen an Einwilligung und Zweckbindung für KI-Tools im HR-Bereich. Jedes KI-Tool, das zur Analyse von Mitarbeiterproduktivität, zur Sichtung von Bewerbungen oder zur Überwachung von Arbeitsabläufen eingesetzt wird, fällt in diesen Anwendungsbereich.

BetrVG (Betriebsverfassungsgesetz)

Verfügt Ihr Unternehmen über einen Betriebsrat, erfordern KI-Tools, die das Verhalten von Beschäftigten überwachen, deren Leistung bewerten oder die Arbeitsbedingungen beeinflussen, ein Mitbestimmungsrecht nach § 87 BetrVG. Dies gilt für KI-gestützte Dienstplanungssoftware, Produktivitätsmonitoring und automatisierte Leistungsbeurteilungssysteme.

Praktische Konsequenz: Beziehen Sie Betriebsrat und HR-Abteilung frühzeitig in den Auswahlprozess ein. Eine fehlende Betriebsvereinbarung kann eine KI-Tool-Einführung unwirksam machen und das Unternehmen arbeitsrechtlichen Risiken aussetzen — unabhängig von einem etwaigen DSGVO-Verstoß.

Dokumentierte Compliance

Deutsche Aufsichtsbehörden erwarten dokumentierte Nachweise über die Anbieterprüfung — nicht nur einen AVV in den Unterlagen. Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO, das alle KI-Anbieter, die Rechtsgrundlage und den AVV-Verweis enthält, ist sowohl gesetzliche Pflicht als auch praktischer Schutz im Fall einer Untersuchung.

Einen umfassenden Überblick über die Anforderungen an einen DSGVO-konformen AVV und Hinweise zur Vertragsverhandlung finden Sie in unserem Leitfaden zum Auftragsverarbeitungsvertrag (AVV).

Häufig gestellte Fragen

Was ist ein Auftragsverarbeitungsvertrag gemäß DSGVO?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein gesetzlich vorgeschriebener Vertrag gemäß Art. 28 DSGVO. Er ist immer dann erforderlich, wenn ein Unternehmen (der Verantwortliche) personenbezogene Daten an einen Anbieter (den Auftragsverarbeiter) weitergibt, der diese in seinem Auftrag verarbeitet. Der AVV muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien personenbezogener Daten und betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen regeln. Einen ausführlichen Überblick über alle Pflichtinhalte finden Sie in unserem AVV-Leitfaden.

Wann ist eine DSGVO-Prüfung eines KI-Anbieters erforderlich?

Eine DSGVO-Anbieterprüfung ist erforderlich, bevor Sie mit einem Softwaretool beginnen, das personenbezogene Daten in Ihrem Auftrag verarbeitet. Dies gilt für KI-Tools im Kundendienst, HR, Marketing, Rechtsabteilung und anderen Geschäftsbereichen, in denen personenbezogene Daten anfallen. Deutsche Unternehmen müssen diese Prüfung vor Unterzeichnung oder Aktivierung des Dienstes abschließen — nicht im Nachhinein.

Benötigt jedes KI-Tool einen AVV?

Jedes KI-Tool, das personenbezogene Daten in Ihrem Auftrag verarbeitet, benötigt gemäß Art. 28 DSGVO einen AVV. Dies gilt für Tools zur E-Mail-Verarbeitung, Dokumentenanalyse, Kundensupport-Automatisierung, Code-Generierung mit Datenzugang und HR-Analysen. Tools, die ausschließlich echte anonymisierte Daten verarbeiten oder bei denen Ihr Unternehmen selbst als betroffene Person auftritt, benötigen möglicherweise keinen AVV — die Abgrenzung erfordert jedoch eine sorgfältige rechtliche Einzelfallprüfung.

Was passiert, wenn ich ein KI-Tool ohne AVV verwende?

Die Nutzung eines KI-Tools zur Verarbeitung personenbezogener Daten ohne gültigen AVV stellt einen Verstoß gegen Art. 28 DSGVO dar. Deutsche Aufsichtsbehörden — darunter der BfDI und die Landesdatenschutzbehörden — können gemäß Art. 83 Abs. 4 DSGVO Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen. Zusätzlich können betroffene Personen Schadensersatz nach Art. 82 DSGVO geltend machen, und jede damit verbundene Datenpanne begründet weitere aufsichtsrechtliche und wirtschaftliche Risiken.

Dieser Artikel stellt allgemeine rechtliche Informationen zur DSGVO-Compliance beim Einsatz von KI-Tools bereit. Für eine Beratung zu Ihrer konkreten Situation — einschließlich der Prüfung oder Verhandlung von AVV mit KI-Anbietern — empfehlen wir die Einholung individuellen Rechtsrats.

Weitere Compliance-Guides

EU AI Act Rechtsberatung DSGVO Kanzlei Deutschland
Leitfäden

EU AI Act Rechtsberatung für Unternehmen in Deutschland

Compound Law berät Unternehmen in Deutschland zur EU AI Act-Compliance und DSGVO. Rechtliche Unterstützung bei KI-Regulierung im DACH-Raum.
KI-Bildgenerierung Compliance in Deutschland
compliance

KI-Bildgenerierung DSGVO 2026: Compliance-Leitfaden fuer Deutschland

KI-Bildgenerierung DSGVO-konform nutzen: Midjourney, DALL-E, Adobe Firefly und Stable Diffusion im Compliance-Check fuer deutsche Unternehmen 2026.
Enterprise Search DSGVO KI-Unternehmenssuche Compliance Deutschland
compliance

Enterprise Search DSGVO: KI-Unternehmenssuche rechtssicher einsetzen

KI-Unternehmenssuche DSGVO: Was Unternehmen bei Microsoft Copilot und Google Workspace AI bezüglich AVV, BetrVG und SCCs beachten müssen.

Häufige Fragen

Was ist ein Auftragsverarbeitungsvertrag gemäß DSGVO?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein gesetzlich vorgeschriebener Vertrag nach Art. 28 DSGVO. Er ist immer dann erforderlich, wenn ein Unternehmen personenbezogene Daten an einen Anbieter weitergibt, der diese in seinem Auftrag verarbeitet. Der AVV muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien personenbezogener Daten sowie die Pflichten und Rechte des.

Wann ist eine DSGVO-Prüfung des KI-Anbieters erforderlich?

Eine DSGVO-Prüfung ist erforderlich, bevor Sie mit einem Softwaretool beginnen, das personenbezogene Daten in Ihrem Auftrag verarbeitet. Dies gilt für KI-Tools im Kundendienst, HR, Marketing, Rechtsabteilung und anderen Geschäftsbereichen. Die Prüfung muss vor der Unterzeichnung oder Aktivierung des Dienstes erfolgen – nicht danach.

Benötigt jedes KI-Tool einen AVV?

Jedes KI-Tool, das personenbezogene Daten in Ihrem Auftrag verarbeitet, benötigt gemäß Art. 28 DSGVO einen AVV. Dies gilt für Tools zur E-Mail-Verarbeitung, Dokumentenanalyse, Kundensupport-Automatisierung, Code-Generierung mit Zugang zu Kundendaten und HR-Analysen. Tools, die ausschließlich anonymisierte Daten verarbeiten, benötigen möglicherweise keinen AVV – dies ist jedoch rechtlich.

Was passiert, wenn ich ein KI-Tool ohne AVV verwende?

Die Nutzung eines KI-Tools zur Verarbeitung personenbezogener Daten ohne gültigen AVV stellt einen Verstoß gegen Art. 28 DSGVO dar. Deutsche Aufsichtsbehörden können gemäß Art. 83 Abs. 4 DSGVO Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen. Zusätzlich drohen Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO.

Kostenlos beraten