Do I need a DPA with every AI vendor?

Under GDPR Article 28, you must have a Data Processing Agreement with every third party that processes personal data on your behalf, which includes AI vendors who process personal data as part of their service. This applies regardless of whether the vendor is based in the EU. If the vendor is processing personal data in a country without an EU adequacy decision, you also need to ensure appropriate transfer mechanisms are in place, such as Standard Contractual Clauses. For AI vendors specifically, the DPA must address the risk that personal data could be used to train AI models, a risk not present in traditional SaaS vendor relationships.

Can AI vendors use my data to train their models?

By default, many consumer-facing AI services include terms that permit use of your inputs to improve their models. Enterprise and API tiers of major AI platforms typically offer no-training commitments, but you must confirm this in writing and have it reflected in the DPA. Under GDPR, using personal data to train AI models without an appropriate legal basis and data subject consent is likely unlawful. Your DPA should include an explicit clause prohibiting the vendor from using your data (including prompts and outputs) for model training, product improvement, or any purpose other than delivering the contracted service.

What should I check in an AI vendor's sub-processor list?

AI vendors typically use multiple sub-processors: cloud infrastructure providers (AWS, Azure, GCP), model hosting providers, and specialist AI compute providers. When reviewing the sub-processor list, check: whether all sub-processors are identified by name and jurisdiction; whether any are located in countries without EU adequacy decisions (requiring SCCs or BCRs); whether the vendor commits to notifying you before adding new sub-processors; and whether you have the right to object to new sub-processors. Pay particular attention to sub-processors in the US, as data transfers from the EU require reliance on the EU-US Data Privacy Framework or SCCs.

What is the 72-hour breach notification requirement?

Under GDPR Article 33, data controllers must notify their supervisory authority of a personal data breach within 72 hours of becoming aware of it. This means your DPA with AI vendors must require the vendor (as data processor) to notify you of any breach without undue delay and within a timeframe that allows you to meet your 72-hour regulatory obligation. In practice, DPAs should require vendor notification within 24 hours of a breach being identified, allowing you time to assess, document, and notify regulators within the 72-hour window. The DPA should also specify the content of the breach notification, the point of contact, and the vendor's obligation to cooperate with your regulatory notification process.

Sichern Sie sich Ihre kostenlose 90-Tage-Testversion zur Risikoerkennung für generative KI:90 Tage Risikoerkennung für generative KI:Jetzt starten

Demo buchen

Kostenlose Vorlage

KI-Auftragsverarbeitungs
vertrag, Vorlage

Eine einsatzbereite DPA-Vorlage, zugeschnitten auf KI- und Machine-Learning-Anbieter. Behandelt Datenverarbeitungsbedingungen, Unterauftragsverarbeiter, grenzüberschreitende Übermittlungen, Meldung von Verletzungen sowie DSGVO/CCPA-Compliance-Klauseln.

Vorlage herunterladen Demo buchen

0 Abschnitte

vollständige DPA-Abdeckung

DSGVO Art. 0

konforme Struktur

KI-spezifisch

Klausel zum Trainingsausschluss enthalten

Kostenlos

zur Nutzung und Anpassung

Warum Standard-DPAs für KI-Anbieter unzureichend sind

Die meisten Unternehmen verwenden eine generische DPA-Vorlage für alle SaaS-Anbieter. KI-Anbieter bergen Datenschutzrisiken, die generische DPAs nicht abdecken, insbesondere das Risiko, dass Ihre Daten zum Trainieren von KI-Modellen verwendet werden. Ohne KI-spezifische Klauseln können Sie die DSGVO-Compliance beim Einsatz von KI-Tools, die personenbezogene Daten verarbeiten, nicht nachweisen.

DSGVO

Erfordert DPAs mit allen Auftragsverarbeitern

Artikel 28 schreibt einen schriftlichen Vertrag mit jedem Auftragsverarbeiter vor. Kein DPA bedeutet keine Rechtsgrundlage für das Verarbeitungsverhältnis.

KI-Risiko

Modelltrainingsklauseln stehen in den meisten Standardbedingungen der Anbieter

Viele KI-Anbieter nehmen das Recht, auf Kundendaten zu trainieren, in ihre Standardbedingungen auf. Sie müssen dies ausdrücklich heraushandeln.

72 Std.

Das Meldefenster für Verletzungen ist knapp

Die Meldepflichten des Anbieters bei Verletzungen müssen auf 24 Stunden festgelegt werden, damit Sie Ihre regulatorische Frist von 72 Stunden einhalten können.

Unter-AV

KI-Anbieter nutzen viele Unterauftragsverarbeiter

KI-Dienste stützen sich auf mehrere Unterauftragsverarbeiter für Infrastruktur, Rechenleistung und Modellhosting, jeder davon ein potenzielles Haftungsrisiko, wenn nicht abgedeckt.

Die DPA-Vorlage

Klappen Sie jeden Abschnitt auf, um die Vorlagenklauseln anzuzeigen. Lassen Sie sie vor der Unterzeichnung von Ihrer Rechtsberatung prüfen und anpassen. Hinweis: Dies ist eine Vorlage, keine Rechtsberatung.

Dieser Auftragsverarbeitungsvertrag („Vertrag") ist Bestandteil des Rahmendienstleistungsvertrags zwischen [Name des Verantwortlichen] („Verantwortlicher") und [Name des Auftragsverarbeiters/Anbieters] („Auftragsverarbeiter").

Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung von [KI-Dienst beschreiben, z. B. KI-gestützte Dokumentenanalyse, KI-Schreibassistenz, KI-Codegenerierung] gemäß dem Rahmendienstleistungsvertrag.

Art der Verarbeitung

Die Verarbeitungstätigkeiten können das Erheben, Speichern, Analysieren, Strukturieren, Abrufen, Verwenden, Offenlegen und Löschen personenbezogener Daten umfassen, soweit dies zur Erbringung der vertraglich vereinbarten Dienste erforderlich ist. Die Verarbeitung erfolgt ausschließlich in automatisierter Form, sofern nicht schriftlich anders vereinbart.

Kategorien betroffener Personen

[z. B. Mitarbeitende und Auftragnehmer des Verantwortlichen; Kunden und Interessenten des Verantwortlichen; Endnutzer der Produkte des Verantwortlichen, nach Bedarf anpassen]

Kategorien personenbezogener Daten

[z. B. Namen, E-Mail-Adressen, Berufsbezeichnungen, berufliche Kommunikation, Dokumentinhalte, Nutzungsdaten, anhand der tatsächlichen Datenflüsse anpassen. Geben Sie gesondert an, ob besondere Kategorien von Daten nach Artikel 9 DSGVO verarbeitet werden]

Verarbeitungsdauer

Die Verarbeitung dauert für die Laufzeit des Rahmendienstleistungsvertrags an und bis alle personenbezogenen Daten gemäß Abschnitt 6 dieses Vertrags zurückgegeben oder gelöscht sind.

Wichtig: KI-spezifische Klausel, der Auftragsverarbeiter darf die personenbezogenen Daten, Prompts oder Ausgaben des Verantwortlichen nicht verwenden, um seine KI-Modelle oder KI-Modelle Dritter zu trainieren, feinabzustimmen oder zu verbessern. Die Verarbeitung beschränkt sich ausschließlich auf die Erbringung der vertraglich vereinbarten Dienste.

Vollständige DPA-Vorlage herunterladen

So verhandeln Sie ein DPA mit einem KI-Anbieter

Befolgen Sie diese Schritte, um ein DPA mit Ihren KI-Anbietern zu prüfen, zu verhandeln und abzuschließen. Beziehen Sie Ihre Rechtsberatung und Ihren DSB während des gesamten Prozesses ein.

Bilden Sie Datenflüsse ab, bevor Sie das DPA prüfen

Bevor Sie ein DPA prüfen können, bilden Sie genau ab, welche personenbezogenen Daten an den KI-Anbieter fließen, zu welchem Zweck, auf welcher Rechtsgrundlage und ob Daten Ihre Rechtsordnung verlassen. Ohne dies können Sie nicht erkennen, welche Klauseln für Ihren konkreten Anwendungsfall kritisch sind.

Identifizieren und entfernen Sie Modelltrainingsklauseln

Prüfen Sie das Standard-DPA des Anbieters auf Klauseln, die die Nutzung Ihrer Daten zum Trainieren von KI-Modellen erlauben. Dies ist das häufigste KI-spezifische Risiko in Anbieter-DPAs. Verlangen Sie eine ausdrückliche schriftliche Zusage, dass Ihre Daten nicht für Modelltraining, Feinabstimmung oder Produktverbesserung verwendet werden.

Verhandeln Sie die Liste der Unterauftragsverarbeiter und die Übermittlungsbestimmungen

KI-Anbieter nutzen in der Regel mehrere Unterauftragsverarbeiter für Modellhosting und Rechenleistung. Stellen Sie sicher, dass das DPA eine vollständige Liste der Unterauftragsverarbeiter, eine Vorankündigung von 30 Tagen bei Änderungen, Ihr Widerspruchsrecht und geeignete Übermittlungsmechanismen (SCCs oder Angemessenheitsbeschlüsse) für jede grenzüberschreitende Verarbeitung enthält.

Überprüfen Sie Sicherheitszertifizierungen und Prüfungsrechte

Fordern Sie vor der Unterzeichnung das ISO-27001-Zertifikat und den SOC-2-Type-II-Bericht des Anbieters an. Stellen Sie sicher, dass das DPA Ihr Recht zur Überprüfung der Einhaltung und die Mitwirkungspflicht des Anbieters enthält. Ein DPA ohne Prüfungsrechte ist schwer durchsetzbar.

Verfolgen Sie DPAs in Ihrem KI-Anbieterregister

Erfassen Sie das abgeschlossene DPA in Ihrem KI-Anbieterregister mit Wirksamkeitsdatum, jährlichem Überprüfungsdatum und Kontakt für die Meldung von Verletzungen. Richten Sie Erinnerungen für jährliche Überprüfungen ein, die Listen der Unterauftragsverarbeiter und die Bedingungen von KI-Anbietern ändern sich häufig. Das Versäumnis, DPAs aktuell zu halten, ist ein häufiger Befund bei DSGVO-Prüfungen.

FAQ

Häufig gestellte Fragen

Nach Artikel 28 DSGVO müssen Sie mit jedem Dritten, der personenbezogene Daten in Ihrem Auftrag verarbeitet, einen Auftragsverarbeitungsvertrag haben, was KI-Anbieter einschließt, die personenbezogene Daten als Teil ihres Dienstes verarbeiten. Dies gilt unabhängig davon, ob der Anbieter in der EU ansässig ist. Verarbeitet der Anbieter personenbezogene Daten in einem Land ohne EU-Angemessenheitsbeschluss, müssen Sie außerdem sicherstellen, dass geeignete Übermittlungsmechanismen wie Standardvertragsklauseln vorhanden sind. Speziell bei KI-Anbietern muss das DPA das Risiko adressieren, dass personenbezogene Daten zum Trainieren von KI-Modellen verwendet werden könnten, ein Risiko, das bei herkömmlichen SaaS-Anbieterbeziehungen nicht besteht.

Erste Schritte

Verfolgen Sie den DPA-Status über alle Ihre KI-Anbieter

Aona pflegt ein Live-Anbieterregister, das verfolgt, welche KI-Tools DPAs abgeschlossen haben, welche zur Prüfung anstehen und welche zur Verlängerung gekennzeichnet sind. Verschaffen Sie sich vollständige Transparenz über die Compliance-Lage Ihrer KI-Anbieter ohne Tabellenpflege.

Demo buchen

Verwandte Ressourcen

Aona AI-Plattform Sicherheitsfragebogen für KI-Anbieter Richtlinie zur akzeptablen Nutzung von KI ISO-42001-Gap-Analyse Alle Vorlagen

KI-Auftragsverarbeitungsvertrag, Vorlage

Verfolgen Sie den DPA-Status über alle Ihre KI-Anbieter

KI-Auftragsverarbeitungs
vertrag, Vorlage