AVV für ChatGPT — So schließen Sie ihn DSGVO-konform ab
Schritt-für-Schritt-Anleitung für den Abschluss eines Auftragsverarbeitungsvertrags mit OpenAI. Inklusive SCC, TIA und häufigen Fallstricken.
AVV für ChatGPT — So schließen Sie ihn DSGVO-konform ab
Sie nutzen ChatGPT im Unternehmen und fragen sich, ob Sie einen AVV brauchen? Kurze Antwort: Ja, sobald personenbezogene Daten — auch nur eine E-Mail-Adresse in einem Prompt — verarbeitet werden. Hier lesen Sie, worauf Sie achten müssen.
Was ist ein AVV?
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO regelt, unter welchen Bedingungen ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Ohne AVV ist die Übermittlung personenbezogener Daten an den Dienstleister rechtswidrig.
ChatGPT Free, Plus und Enterprise — wichtiger Unterschied
- ChatGPT Free/Plus (Consumer): OpenAI trainiert potenziell auf Eingaben. Nicht für Unternehmensdaten geeignet.
- ChatGPT Team/Enterprise/API: Kundendaten werden standardmäßig nicht für Training verwendet. AVV-Abschluss möglich und nötig.
So schließen Sie den AVV mit OpenAI ab
Schritt 1: Richtige Entity wählen
Schließen Sie mit OpenAI Ireland Ltd. ab, nicht mit der US-Entity. Nur die irische Entity ist Ihr direkter Ansprechpartner nach Art. 28 DSGVO.
Schritt 2: Data Processing Addendum herunterladen
OpenAI stellt das DPA im Admin-Dashboard zur Verfügung. Einmal akzeptieren — fertig.
Schritt 3: SCC 2021/914 Modul 2
Da OpenAI in den USA hostet (mit optionalen EU-Regionen), gilt Drittlandtransfer. Die Standardvertragsklauseln sind Teil des DPA. Prüfen Sie, dass Modul 2 (Controller → Processor) angewendet wird.
Schritt 4: Transfer-Impact-Assessment (TIA)
Nach Schrems II verlangen die deutschen Aufsichtsbehörden ein TIA: Sie müssen dokumentieren, warum trotz US-Transfer ein angemessenes Schutzniveau besteht. Das ist kein einmaliges Ritual — es sollte jährlich überprüft werden.
Schritt 5: Trainings-Opt-Out aktivieren
Im Admin-Dashboard prüfen: "Do not use data for training" muss aktiv sein. Screenshot machen und dokumentieren.
Schritt 6: Sub-Prozessoren-Liste monitoren
OpenAI nutzt Sub-Prozessoren (u. a. Microsoft Azure). Die Liste ändert sich. Abonnieren Sie die Änderungsbenachrichtigungen.
Häufige Fallstricke
- AVV aus ChatGPT Plus als Beleg: Geht nicht. Plus ist Consumer-Tarif ohne DPA.
- Mündliche Absprache mit Account Manager: Rechtlich wertlos. Es muss dokumentiert sein.
- AVV archiviert, aber kein TIA: Reicht nicht nach aktueller Rechtslage.
- Trainings-Opt-Out vergessen: Kommt öfter vor als man denkt.
Kürzer: unser AVV-Generator
Wir haben alle oben genannten Punkte in unseren AVV-Generator gepackt. Sie wählen "OpenAI (ChatGPT)" aus der Anbieter-Liste, ergänzen Ihre eigenen Daten, und erhalten einen fertigen AVV inklusive aller Hinweise zu SCC, TIA und Sub-Prozessoren.