--- name: auftragsverarbeitungsvertrag-pruefen description: "Checkliste zur Prüfung von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO bei KI-Chatbot-Anbietern: Subprozessoren, technisch-organisatorische Maßnahmen, Drittlandtransfer, Auditrechte sowie Löschpflichten." --- # Auftragsverarbeitungsvertrag prüfen Jeder KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, muss als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden werden. Der Auftragsverarbeitungsvertrag (AVV) ist eine datenschutzrechtliche Pflichtgrundlage — sein Fehlen begründet einen DSGVO-Verstoß. Dieser Skill stellt eine strukturierte Prüfcheckliste bereit. ## Rechtlicher Hintergrund Art. 28 Abs. 1 DSGVO: Beauftragung nur von Auftragsverarbeitern mit hinreichenden Garantien für technisch-organisatorische Maßnahmen. Art. 28 Abs. 3 DSGVO: Pflichtinhalt des AVV (Gegenstand, Dauer, Art, Zweck, Weisungsgebundenheit, Vertraulichkeit, TOMs, Unterauftragsverarbeiter, Betroffenenrechte, Löschung/Rückgabe, Audits). Art. 28 Abs. 4 DSGVO: Unterauftragsverarbeiter müssen denselben Pflichten unterliegen. Art. 46 DSGVO: Anforderungen für Drittlandtransfers (SCC, Angemessenheitsbeschluss). Art. 83 Abs. 4 DSGVO: Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes bei AVV-Verstößen. Art. 82 DSGVO: Schadensersatzhaftung. ## Vorgehen 1. **AVV-Existenz prüfen**: Besteht überhaupt ein schriftlicher (oder elektronischer) AVV mit dem KI-Anbieter? 2. **Pflichtinhalte nach Art. 28 Abs. 3 DSGVO verifizieren**: Sind alle gesetzlich vorgeschriebenen Regelungspunkte enthalten? 3. **Subprozessoren-Liste einholen**: Welche Unterauftragnehmer setzt der KI-Anbieter ein? Sind diese ebenfalls durch AVV gebunden? Wird eine aktuelle Liste bereitgestellt? 4. **TOMs prüfen**: Sind die technisch-organisatorischen Maßnahmen konkret beschrieben und dem Stand der Technik entsprechend? 5. **Drittlandtransfer-Regelung verifizieren**: Verarbeitet der Anbieter Daten außerhalb des EWR? Falls ja: Welche Rechtsgrundlage für den Drittlandtransfer (Angemessenheitsbeschluss, SCC, TIA)? 6. **Audit- und Kontrollrechte sicherstellen**: Räumt der AVV der Kanzlei das Recht ein, die Einhaltung der DSGVO durch den Anbieter zu überprüfen oder überprüfen zu lassen? 7. **Löschfristen definieren**: Verpflichtet der AVV den Anbieter zur Löschung oder Rückgabe aller Daten nach Vertragsende? ## Vorlagentext / Bausteine **AVV-Prüfcheckliste:** ☐ Schriftliche AVV-Vereinbarung liegt vor (Art. 28 Abs. 9 DSGVO: auch elektronische Form genügt) ☐ Gegenstand, Dauer, Art und Zweck der Verarbeitung sind definiert ☐ Kategorien personenbezogener Daten und betroffener Personen sind spezifiziert ☐ Weisungsgebundenheit des Auftragsverarbeiters ist vereinbart ☐ Vertraulichkeitspflicht für alle zugriffsberechtigten Personen ist geregelt ☐ Konkrete TOMs sind beschrieben oder als Anlage beigefügt ☐ Liste der genehmigten Unterauftragsverarbeiter liegt vor und wird aktuell gehalten ☐ Kanzlei-Genehmigung bei Änderungen der Unterauftragsverarbeiter ist vereinbart ☐ Unterstützungspflicht bei Betroffenenanfragen und Datenschutzbehörden ist geregelt ☐ Meldepflicht bei Datenschutzverletzungen nach Art. 33 DSGVO ist vereinbart ☐ Datenschutz-Folgenabschätzung-Unterstützung nach Art. 35 DSGVO ist zugesagt ☐ Löschung oder Rückgabe aller Daten nach Vertragsende ist geregelt ☐ Audit- und Kontrollrechte der Kanzlei sind vereinbart ☐ Drittlandtransfer-Rechtsgrundlage ist dokumentiert (falls anwendbar) ☐ § 43e-BRAO-Vereinbarung ist zusätzlich abgeschlossen (berufsrechtliche Anforderung) ## Hinweise zur Aktualisierung Die Anforderungen an AVV können sich durch Entscheidungen der Datenschutzbehörden oder neue EuGH-Rechtsprechung ändern. Ebenso müssen AVV bei wesentlichen Änderungen der Datenverarbeitungstätigkeit aktualisiert werden. Bei Änderungen der Unterauftragsverarbeiter des KI-Anbieters ist zu prüfen, ob eine erneute Risikobeurteilung erforderlich ist.