OpenAI API DSGVO-Compliance: AVV und Datenschutz für Unternehmen
OpenAI stellt API-Kunden einen Auftragsverarbeitungsvertrag (AVV) zur Verfügung. Deutsche Unternehmen, die die OpenAI API nutzen, müssen diesen AVV gemäß Artikel 28 DSGVO abschließen, bevor sie personenbezogene Daten über OpenAI-Endpunkte verarbeiten. Die API umfasst GPT-4o, GPT-4, GPT-3.5, Whisper, DALL-E sowie die Assistants API. Die Datenverarbeitung erfolgt auf US-Infrastruktur von Microsoft Azure, weshalb Standardvertragsklauseln für EU-US-Datentransfers erforderlich sind. API-Eingaben und -Ausgaben werden standardmäßig nicht für das Modelltraining verwendet. Unternehmen mit strengeren Datenlokalisierungsanforderungen sollten ChatGPT Enterprise oder den Azure OpenAI Service prüfen, die eine Verarbeitung in europäischen Rechenzentren ermöglichen.
Bietet OpenAI einen AVV für die API an?
Ja. OpenAI stellt einen Data Processing Addendum (DPA), der als Auftragsverarbeitungsvertrag (AVV) im Sinne des Artikel 28 DSGVO fungiert, für API-Kunden bereit. Er ist direkt über die OpenAI-Kontoeinstellungen verfügbar oder kann im Rahmen eines Enterprise-Vertrags mit dem OpenAI-Vertrieb ausgehandelt werden.
Wesentliche Inhalte des OpenAI AVV:
- Auftragsverarbeiter-Stellung: OpenAI verarbeitet Daten in Ihrem Auftrag. Sie als Unternehmen bleiben Verantwortlicher (Art. 4 Nr. 7 DSGVO) und bestimmen Zweck und Mittel der Verarbeitung.
- Kein Training mit API-Daten: API-Eingaben und -Ausgaben werden standardmäßig nicht zur Verbesserung oder zum Training von OpenAI-Modellen verwendet. Dies unterscheidet die API wesentlich vom Verbraucherprodukt ChatGPT.
- Standardvertragsklauseln: Der AVV enthält die EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914 der Kommission) für Datentransfers aus dem EWR in die USA.
- Unterauftragsverarbeiter-Liste: OpenAI veröffentlicht eine Liste seiner Unterauftragsverarbeiter — darunter Microsoft Azure als primärer Cloud-Infrastrukturanbieter — und informiert bei Änderungen.
- Datenspeicherung: API-Daten werden für einen begrenzten Zeitraum zur Missbrauchsprüfung aufbewahrt und anschließend gelöscht. Für einige Modelle ist über Enterprise-Verträge eine Zero Data Retention (ZDR)-Option verfügbar.
Der AVV muss vor der ersten Verarbeitung personenbezogener Daten über die API abgeschlossen sein. Eine Verarbeitung personenbezogener Daten ohne Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO stellt einen Datenschutzverstoß dar, der von Aufsichtsbehörden geahndet werden kann.
OpenAI API AVV für Deutschland: So schließen Sie ihn ab
So stellen Sie eine DSGVO-konforme Auftragsverarbeitungsbeziehung mit OpenAI her:
- AVV akzeptieren: Den OpenAI Data Processing Addendum in den Kontoeinstellungen unter „Datenschutz” akzeptieren oder einen unterzeichneten Enterprise-Vertrag mit OpenAI vereinbaren.
- Standardvertragsklauseln prüfen: Sicherstellen, dass der AVV die aktuellen EU-SCCs (Modul 2: Verantwortlicher an Auftragsverarbeiter) für den EU-US-Datentransfer enthält.
- Verzeichnis der Verarbeitungstätigkeiten aktualisieren: OpenAI API als Auftragsverarbeiter in das Verzeichnis nach Artikel 30 DSGVO aufnehmen — für jede API-gestützte Verarbeitungstätigkeit separat.
- Unterauftragsverarbeiter prüfen: Die OpenAI-Liste der Unterauftragsverarbeiter einsehen und beurteilen, ob einzelne Sub-Prozessoren zusätzliche Risiken begründen.
- Datenschutzhinweise aktualisieren: Datenschutzerklärungen gegenüber Mitarbeitenden und Kunden müssen die API-gestützte Verarbeitung sowie den Datentransfer in die USA offenlegen.
Datenspeicherort: Wo verarbeitet OpenAI die API-Daten?
Standard-API-Anfragen werden auf der Microsoft-Azure-Infrastruktur in den Vereinigten Staaten verarbeitet. Für die Standard-OpenAI-API besteht keine EU-Rechenzentrum-Option. Dies begründet einen obligatorischen EU-US-Datentransfer nach Kapitel V DSGVO — abgedeckt durch die Standardvertragsklauseln im OpenAI AVV.
Für Unternehmen mit strengen Datenlokalisierungsanforderungen gibt es zwei Alternativen:
Azure OpenAI Service: Microsoft bietet OpenAI-Modelle (GPT-4, GPT-3.5 etc.) über Azure an, mit der Möglichkeit, europäische Rechenzentrumsregionen (z. B. „Sweden Central”, „West Europe”) auszuwählen. In einer europäischen Azure-Region verarbeitete Daten verlassen die EU nicht. Der Vertrag läuft dann über den Microsoft Azure-Datenschutzvertrag. Dies ist die bevorzugte Option für Unternehmen in regulierten Branchen — Banken, Versicherungen, Gesundheitswesen —, die EU-Datenlokalisierung benötigen.
ChatGPT Enterprise: Das Enterprise-Produkt von OpenAI enthält einen AVV mit erweiterten Bedingungen und bietet EU-Datenverarbeitungsoptionen. ChatGPT Enterprise ist primär eine Chat-Oberfläche, eignet sich aber für Geschäftsanwendungen ohne direkte API-Integration.
Für die meisten deutschen Startups und KMUs, die die Standard-API nutzen, bieten die Standardvertragsklauseln im OpenAI AVV den erforderlichen Transfermechanismus. Die dokumentierte Nutzung der SCCs — ggf. ergänzt durch eine Transfer Impact Assessment (TIA) — ist der Standardansatz.
OpenAI API vs. ChatGPT Enterprise — Compliance-Unterschiede
| Merkmal | OpenAI API | ChatGPT Enterprise |
|---|---|---|
| AVV verfügbar | Ja (API DPA) | Ja (Enterprise DPA) |
| Daten für Training genutzt | Nein (Standard) | Nein |
| EU-Datenverarbeitung möglich | Nein (Azure USA) | Ja (Enterprise) |
| Zero Data Retention | Ja (Enterprise) | Ja |
| SCCs für Unterauftragsverarbeiter | Ja | Ja |
| SAML SSO / Zugriffskontrolle | Nein | Ja |
| Geeignet für regulierte Branchen | Mit Azure OpenAI | Besser geeignet |
Wenn Ihre Anwendung sensible personenbezogene Daten verarbeitet — Gesundheitsdaten, Finanzinformationen, Personalakten — und EU-Datenlokalisierung zwingend erforderlich ist, ist der Azure OpenAI Service (nicht die Standard-OpenAI-API) die DSGVO-konformere Wahl.
OpenAI API in Deutschland: EU AI Act
Die OpenAI API stellt General-Purpose AI (GPAI)-Modelle bereit — primär GPT-4o, GPT-4 und GPT-3.5. Gemäß dem EU AI Act (Verordnung (EU) 2024/1689) unterliegen GPAI-Modelle, die auf dem EU-Markt bereitgestellt werden, Transparenz- und Dokumentationspflichten. Als Modellanbieter trägt OpenAI diese Verpflichtungen — nicht unmittelbar der API-Kunde.
Als Betreiber der API müssen deutsche Unternehmen jedoch:
- Das Risikoniveau der eigenen Anwendung bestimmen. Ein internes FAQ-Chatbot-Tool ist begrenztes Risiko; ein automatisiertes Entscheidungssystem mit Auswirkungen auf Mitarbeitende oder Kunden kann hohes Risiko darstellen.
- Menschliche Aufsicht sicherstellen, wenn KI-Ausgaben wesentliche Entscheidungen beeinflussen.
- KI-Interaktionen offenlegen, wenn Nutzer direkt mit einer KI interagieren, Artikel 52 EU AI Act.
- Hochrisikoanwendungen dokumentieren, die in den Kategorien aus Anhang III des AI Act fallen — z. B. Beschäftigung, Bildung, wesentliche Dienstleistungen.
Die meisten API-basierten Produktivitätsanwendungen, Code-Assistenten und Content-Generierungen fallen unter begrenztes oder minimales Risiko. Komplexere Anwendungen — automatische Bewerbungsauswahl, KI-gestützte Kreditwürdigkeitsbewertung, prädiktive HR-Analysen — erfordern eine vollständige Konformitätsbewertung.
Compliance-Checkliste für die DSGVO-konforme OpenAI-API-Integration
- AVV abgeschlossen: OpenAI Data Processing Addendum über Kontoeinstellungen akzeptiert oder unterzeichneter Enterprise-Vertrag vorhanden
- Standardvertragsklauseln bestätigt: EU-SCCs (Modul 2) im AVV für US-Datentransfer enthalten
- Unterauftragsverarbeiter geprüft: OpenAI-Liste gesichtet; Microsoft Azure als primärer Auftragsverarbeiter erfasst
- Verarbeitungsverzeichnis aktualisiert: OpenAI API nach Art. 30 DSGVO für jede relevante Verarbeitung eingetragen
- Rechtsgrundlage dokumentiert: Art. 6(1) DSGVO-Rechtsgrundlage für jeden API-Anwendungsfall ermittelt (b — Vertrag, f — berechtigtes Interesse, a — Einwilligung wo erforderlich)
- Datenschutzhinweise aktualisiert: Kunden- und mitarbeiterbezogene Hinweise offenbaren API-Verarbeitung und US-Datentransfer
- Zero Data Retention geprüft: Bewertung, ob ZDR für sensible Anwendungsfälle erforderlich ist
- Azure OpenAI geprüft: Bei zwingend erforderlicher EU-Datenlokalisierung Azure OpenAI Service als Alternative evaluiert
- AI Act Klassifizierung durchgeführt: Risikoniveau des Anwendungsfalls nach Anhang III EU AI Act bewertet
- DSFA durchgeführt: Bei Hochrisikoverarbeitung nach Art. 35 DSGVO (groß angelegte Verarbeitung, besondere Datenkategorien, automatisierte Entscheidungsfindung)
- Betriebsrat informiert: Betriebsrat einbezogen, wenn API-Tool Arbeitsprozesse von Mitarbeitenden betrifft (§87 BetrVG)
- Prompt-Sicherheitsüberprüfung erfolgt: Sicherstellen, dass in API-Prompts keine unnötigen personenbezogenen Daten enthalten sind
Compound Law berät deutsche Unternehmen bei OpenAI-API-Deployments: AVV-Prüfung, Transfer Impact Assessments, Datenschutz-Folgenabschätzungen und AI-Act-Compliance. Weitere Informationen unter Compliance-Services.
Weiterführend: OpenAI Whisper DSGVO-Compliance sowie der AI-Act-Compliance-Hub.
Häufig gestellte Fragen
Bietet OpenAI einen AVV (Auftragsverarbeitungsvertrag) für die API an?
Ja. OpenAI stellt einen Data Processing Addendum für API-Kunden bereit, der als Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO fungiert. Der AVV ist über die Kontoeinstellungen unter dem Abschnitt „Datenschutz” verfügbar oder kann als unterzeichneter Enterprise-Vertrag vereinbart werden. Er legt fest, dass OpenAI als Auftragsverarbeiter handelt, enthält EU-Standardvertragsklauseln für den US-Datentransfer und bestätigt, dass API-Daten standardmäßig nicht für das Modelltraining verwendet werden. Der AVV muss vor der ersten Verarbeitung personenbezogener Daten abgeschlossen sein.
Ist die OpenAI API DSGVO-konform?
Die OpenAI API kann DSGVO-konform eingesetzt werden — die Konformität hängt jedoch von Ihrer Implementierung ab. Sie müssen einen AVV mit OpenAI abschließen, eine Rechtsgrundlage nach Art. 6 DSGVO für jeden Anwendungsfall dokumentieren, Ihre Datenschutzhinweise aktualisieren und OpenAI in das Verarbeitungsverzeichnis nach Art. 30 DSGVO aufnehmen. OpenAI selbst zertifiziert keine DSGVO-Konformität — die Rechtmäßigkeit Ihrer Nutzung hängt von Ihrer eigenen Umsetzung ab.
Verarbeitet OpenAI API-Daten in der EU?
Nein — Standard-API-Anfragen werden auf der Microsoft-Azure-Infrastruktur in den Vereinigten Staaten verarbeitet. Es gibt keine EU-Rechenzentrum-Option für die Standard-OpenAI-API. Der OpenAI AVV enthält Standardvertragsklauseln, die diesen EU-US-Transfer abdecken. Wenn EU-Datenlokalisierung zwingend erforderlich ist, empfiehlt sich der Azure OpenAI Service, über den europäische Azure-Regionen (z. B. „Sweden Central”) ausgewählt werden können.
Brauchen wir eine Betriebsvereinbarung für die OpenAI API?
Wenn Sie die OpenAI API für Anwendungen einsetzen, die Arbeitsprozesse von Mitarbeitenden betreffen — z. B. ein interner KI-Assistent, Code-Tool oder Wissensdatenbank — kann der Betriebsrat Mitbestimmungsrechte nach §87 Abs. 1 Nr. 6 BetrVG haben. Jedes technische System, das das Verhalten oder die Leistung von Arbeitnehmern überwachen kann oder Arbeitsprozesse wesentlich verändert, bedarf der Beteiligung des Betriebsrats. Binden Sie den Betriebsrat frühzeitig ein und schließen Sie ggf. eine Betriebsvereinbarung über den zulässigen Einsatz, Datenzugang und Überwachungsbeschränkungen ab.
Was ist der Unterschied zwischen OpenAI API und Azure OpenAI Service aus DSGVO-Sicht?
Der wesentliche Unterschied liegt im Datenspeicherort. Die Standard-OpenAI-API verarbeitet Daten in US-Rechenzentren; der Azure OpenAI Service ermöglicht die Auswahl europäischer Azure-Regionen, sodass keine Daten die EU verlassen. Der AVV ist beim Azure OpenAI Service mit Microsoft abzuschließen (nicht mit OpenAI). Für Unternehmen in regulierten Branchen oder mit vertraglichen EU-Datenlokalisierungspflichten ist der Azure OpenAI Service die rechtlich sicherere Wahl.
