AVV mit OpenAI / ChatGPT abschließen – so geht’s

1. Wann ist ein Auftragsverarbeitungsvertrag erforderlich?

Ein AVV ist notwendig, wenn du als Verantwortlicher personenbezogene Daten an einen Dienstleister weitergibst, der diese Daten in deinem Auftrag verarbeitet. Das ist z. B. bei Cloud- oder KI-Diensten der Fall. Wenn du ChatGPT zur internen Arbeit nutzt, etwa zur Textanalyse oder Kundenkommunikation, und dabei echte Kundendaten oder Mitarbeiterinformationen eingibst, brauchst du einen AVV.

Nicht erforderlich ist ein AVV, wenn du ChatGPT nur mit fiktiven oder anonymisierten Daten nutzt oder wenn OpenAI die Daten für eigene Zwecke verarbeitet. In diesen Fällen liegt keine weisungsgebundene Verarbeitung vor.

2. Welche ChatGPT-Versionen bieten einen AVV an?

Ein AVV ist nicht in allen ChatGPT-Versionen verfügbar. Die kostenlose und die Plus-Version sind für private Nutzung gedacht und erlauben keinen Abschluss eines AVV. Wenn du ChatGPT professionell in deinem Unternehmen einsetzen möchtest, sind folgende Versionen relevant:

• ChatGPT Team: In einigen Fällen ist hier der Abschluss eines AVV möglich, abhängig vom Vertragstyp.
• ChatGPT Enterprise: Diese Version bietet ein vollwertiges Data Processing Addendum (DPA). Daten werden hier nicht zum Training der KI verwendet.
• OpenAI API: Auch hier kann ein DPA abgeschlossen werden. Die Verarbeitung ist auf Geschäftsdaten ausgerichtet, Trainingsdaten werden getrennt behandelt.

OpenAI bietet den AVV ausschließlich in Verbindung mit diesen Unternehmensmodellen an.

3. So schließt du den AVV mit OpenAI ab

1. Lizenz auswählen – Stelle sicher, dass du ein Team-, Enterprise- oder API-Konto verwendest.
2. In deinem OpenAI-Account anmelden – Melde dich über https://platform.openai.com/account/ an.
3. Organisation ID aufrufen – Öffne im Dashboard den Bereich „Organisation ID“. Diese wird im Vertrag benötigt.
4. Data Processing Addendum aufrufen – Gehe in den Bereich „Policies“ und wähle dort „Data Processing Addendum“ oder „Execute DPA“ oder ruf https://openai.com/de-DE/policies/data-processing-addendum/ auf.
5. DPA-Formular aufrufen – Scrolle ganz nach unten und klicke auf Datenverarbeitungsvereinbarung ausfertigen.
6. Daten eintragen – Gib Firmenname, Adresse, Organisation ID und Ansprechpartner ein.
7. Vertrag prüfen – Kontrolliere, ob folgende Punkte enthalten sind:
   • Zweck der Verarbeitung
   • Arten der Daten
   • Technische und organisatorische Maßnahmen (TOM)
   • Regelungen zu Unterauftragsverarbeitern
   • Lösch- und Rückgabepflichten
   • Hinweise zu Drittlandtransfers (Standardvertragsklauseln)
8. Vertrag bestätigen – Nach elektronischer Unterzeichnung erhältst du eine Kopie per E-Mail. Bewahre sie zentral auf, z. B. in deinem Datenschutzmanagementsystem.

4. Worauf du beim AVV mit OpenAI achten solltest

Achte darauf, dass OpenAI die Daten ausschließlich zur Auftragsverarbeitung nutzt und kein Training des Modells mit deinen Eingaben stattfindet. Prüfe, welche Unterauftragsverarbeiter OpenAI einsetzt und ob Standardvertragsklauseln für Datenübermittlungen in die USA vereinbart sind.

Ergänze intern:

• Richtlinien zur Nutzung von ChatGPT (keine Eingabe sensibler Daten)
• Schulungen für Mitarbeitende
• Dokumentation im Verzeichnis der Verarbeitungstätigkeiten

5. Anforderungen durch den AI Act

Der europäische AI Act ergänzt die DSGVO um spezifische Anforderungen an den Einsatz von KI-Systemen. Für Unternehmen bedeutet das:

• Transparenzpflichten: Nutzer müssen wissen, dass sie mit einem KI-System interagieren.
• Risikoklassifizierung: Je nach Einsatzgebiet (z. B. Personalwesen, Kundendatenverarbeitung) kann ChatGPT als „mittleres Risiko“-System gelten.
• Datensicherheit und Governance: Unternehmen müssen nachvollziehbare Prozesse etablieren, wie Eingaben verarbeitet, gespeichert und gelöscht werden.
• Monitoring und Auditierbarkeit: Der Einsatz von KI muss überprüfbar und dokumentierbar sein.
• Schulungspflichten: Mitarbeitende müssen im Umgang mit KI-Systemen geschult werden.

Für dich heißt das konkret: Neben dem AVV solltest du prüfen, ob dein KI-Einsatz unter den AI Act fällt und welche Dokumentationspflichten du erfüllen musst. Weitere Informationen findest du dazu im Blog „KI-Verordnung 2025: Neue Regeln für Künstliche Intelligenz“ und im Knowledge-Base Eintrag „Die KI-Verordnung 2025: Anforderungen und Auswirkungen auf Unternehmen“.

6. Rechtliche Risiken und laufende Überprüfung

Beim Einsatz von ChatGPT im Unternehmen bestehen verschiedene rechtliche Risiken:

• Datenübermittlungen in Drittländer: Die Übertragung personenbezogener Daten in die USA kann rechtlich problematisch sein, auch wenn Standardvertragsklauseln verwendet werden.
• Unklare Verantwortlichkeiten: In manchen Fällen ist nicht eindeutig, ob OpenAI als Auftragsverarbeiter oder gemeinsam Verantwortlicher agiert.
• Zweckänderung: Wird ChatGPT zu anderen Zwecken genutzt, als im AVV vorgesehen, kann das einen Datenschutzverstoß darstellen.
• Regeländerungen durch OpenAI: Änderungen an den Nutzungsbedingungen oder am DPA können neue Risiken schaffen.

Da sich der KI-Bereich rasant entwickelt, ist eine regelmäßige Überprüfung deiner Datenschutz- und Compliance-Maßnahmen erforderlich. Plane mindestens einmal jährlich eine interne Überprüfung des AVV, der Datenflüsse und der eingesetzten KI-Systeme.

7. Empfehlungen für die Praxis

• Verwende ChatGPT nur über Unternehmenslizenzen mit aktivem DPA.
• Schließe den AVV direkt im OpenAI-Konto ab und dokumentiere ihn.
• Prüfe regelmäßig, ob sich der Vertrag oder die Datenschutzbedingungen geändert haben.
• Führe ein Transfer Impact Assessment (TIA) für Datenübermittlungen in Drittländer durch.
• Erstelle interne Richtlinien zur Nutzung generativer KI.
• Berücksichtige die neuen Anforderungen des AI Act in deinem Datenschutz-Managementsystem.