EN Login
T2-C20-02 tactics

KI-Auftragsverarbeitung — DSGVO Art. 28 in der Mandatsträger-Pipeline 2026

Wenn eine Mandatsträger-Pipeline externe KI-Tools nutzt (OpenAI, Anthropic, Google, ElevenLabs, etc.), wird der Provider zum Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein Auftragsverarbeitungs-Vertrag (AVV) ist Pflicht. Stand 2026 ist diese Schicht für deutsche Pipelines compliance-zentral — insbesondere bei US-Providern und Datenfluss in Drittländer.

Wenn eine Mandatsträger-Pipeline externe KI-Tools nutzt — OpenAI für Whisper-Transkription oder GPT-4-Caption, Anthropic für Claude-LLM-Scoring, Google für Gemini, ElevenLabs für Voice-Cloning — wird der jeweilige Provider zum Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein Auftragsverarbeitungs-Vertrag (AVV) ist Pflicht.[1] Stand 2026 ist diese Schicht compliance-zentral, insbesondere bei US-Providern und Datenfluss in Drittländer.

Was hier untersucht wird

Dieser Tiefe-2-Artikel zerlegt die Auftragsverarbeitungs-Frage für KI-Tools in Mandatsträger-Pipelines. Die Art.-22-Vor-Vertiefung in T2-C20-01 hat die automatisierten Entscheidungen behandelt. Hier wird die strukturell andere Auftragsverarbeitungs-Schicht erläutert.

Wann Art. 28 greift

Art. 28 DSGVO greift, wenn:[1]

Mandatsträger (oder Mitarbeiter, Fraktion) ist Verantwortlicher. — Externer Provider verarbeitet personenbezogene Daten im Auftrag. — Im Rahmen einer Dienst-Erbringung.

Diese drei Voraussetzungen erfüllen praktisch alle externen KI-Tools, sobald die Pipeline personenbezogene Daten dort verarbeiten lässt — und Plenarrede-Transkripte enthalten oft personenbezogene Aussagen über Dritte.

Was im AVV stehen muss

Pflicht-Inhalte eines AVV nach Art. 28 Abs. 3:[1]

Gegenstand und Dauer der Verarbeitung. — Art und Zweck der Verarbeitung. — Art der personenbezogenen Daten.Kategorien betroffener Personen.Pflichten und Rechte des Verantwortlichen.

Plus weitere acht spezifische Pflicht-Klauseln (Vertraulichkeit, Sicherheit, Weiter-Verarbeiter-Zustimmung, Unterstützung bei Datenpannen, Lösch-Pflicht am Vertrags-Ende etc.).

Die Provider-AVV-Lage 2026

Vier wichtigste KI-Tool-Provider und ihre AVV-Lage 2026.

OpenAI: AVV-Standard-Vertrag verfügbar, basiert auf Standard Contractual Clauses (SCC) für USA-Datenfluss plus Microsoft Azure als EU-Region-Option. Compliance-Pfad ist 2026 etabliert, aber laufende juristische Debatte zur DPF-Wirksamkeit.[2]

Anthropic: AVV via Standard-Subscription. AWS-basierte Hosting-Lösung mit EU-Region-Option (Frankfurt) verfügbar. Compliance-Pfad ist 2026 etabliert.

Google (Vertex AI, Gemini): AVV via Google-Cloud-Standard-Verträge. EU-Region-Hosting verfügbar.

ElevenLabs: AVV-Verfügbarkeit 2026 differenzierter; Enterprise-Tier hat AVV, Standard-Tier hat eingeschränkte AVV-Konformität.

Der Datentransfer-Aspekt

Ein zusätzliches Compliance-Feld: Datenfluss in Drittländer (USA, ggf. andere). Stand 2026:

EU-US-Data Privacy Framework (DPF) ist seit 2023 aktiv. US-Provider können DPF-zertifiziert sein, was den Datenfluss in die USA juristisch legitimiert. — DPF-Wirksamkeit ist juristisch beobachtet. Aktive Klagen vor dem EuGH (Schrems-III-Generation) könnten DPF kippen.

Empfehlung 2026: EU-Region-Hosting bevorzugen, wo verfügbar. DPF als Fallback bei US-only-Providern, mit Erwartung, dass DPF kurzfristig instabil werden könnte.

Operative Pflichten für Mandatsträger-Pipelines

Drei Pflichten als Mindest-Compliance.

Pflicht eins: AVV pro Provider. Vor Tool-Einsatz: AVV abschließen. Bei Enterprise-Tier typisch automatisch verfügbar; bei Personal/Pro-Tier teils nur eingeschränkt.

Pflicht zwei: EU-Region-Bevorzugung. Wenn der Provider EU-Region-Hosting anbietet (OpenAI mit Microsoft Azure EU-West, Anthropic mit AWS Frankfurt, Google mit Vertex EU): wählen.

Pflicht drei: Datenfluss-Dokumentation. Pro Tool dokumentieren: welche Daten gehen wohin, in welche Region? Diese Dokumentation ist DSGVO-Art.-30-Pflicht (Verzeichnis von Verarbeitungstätigkeiten).

Operative Konsequenzen

Drei priorisierte Empfehlungen.

Priorität A: AVV-Audit aller KI-Tools. Pro Tool prüfen: AVV vorhanden, EU-Region möglich. Aufwand: vier Stunden.

Priorität B: Verzeichnis-Datenflüsse pflegen. Art.-30-DSGVO-Verzeichnis um KI-Tool-Datenflüsse erweitern.

Priorität C: DPF-Status-Tracking. Quartalsweise Sichtung der DPF-Rechtsprechungs-Entwicklung.

Empfehlungen mit Priorität

Priorität A: AVV-Audit aller KI-Tools. — Priorität B: Datenfluss-Verzeichnis. — Priorität C: DPF-Status-Tracking.

Status-Hinweis

Stand 19.05.2026: Pre-Launch-Compliance-Review abgeschlossen. Bei konkretem Anwendungs- oder Streitfall ist die Konsultation eines spezialisierten Fachanwalts weiterhin empfohlen.

Wo das hingehört

Tiefe-1 DSGVO und KI: T1-C20. Art.-22-automatisierte-Entscheidungen: T2-C20-01. Folge: T2-C20-03 — Whisper-Transkription-DSGVO.

Codex AI-Automation Sektion 13.

Quellen

  1. DSGVO, Art. 28 — Auftragsverarbeiter, Permalink, Abruf 18.05.2026.

  2. OpenAI, Data Processing Addendum, Permalink, Abruf 18.05.2026.

  3. Anthropic, Data Processing Agreement, Permalink, Abruf 18.05.2026.

  4. Bundesbeauftragter für den Datenschutz (BfDI), EU-US Data Privacy Framework, Permalink, Abruf 18.05.2026.

Verwandte Knoten
T1-C20 T2-C20-01 T2-C20-03