← Journal

    Quellenlage

    Auftragsverarbeitung bei LLM-Anbietern: worauf Verträge achten müssen

    Abderrahmen Beltaief · 20. Juni 2026 · 7 Min.

    Die Reihenfolge ist in vielen Unternehmen dieselbe: Zuerst nutzen einzelne Teams ein Sprachmodell für Entwürfe und Zusammenfassungen, dann wandern Kundennamen, Vertragsdetails und Beschwerdetexte in die Prompts, und irgendwann stellt jemand die Frage, auf welcher vertraglichen Grundlage das eigentlich passiert. Die Antwort entscheidet darüber, ob der Einsatz datenschutzrechtlich geordnet ist oder ob personenbezogene Daten ohne Rechtsgrundlage an einen Dritten fließen.

    Die Auftragsverarbeitung ist dabei kein Spezialthema für Konzerne. Sie ist das Standardinstrument der DSGVO für genau diese Konstellation: Ein Dienstleister verarbeitet personenbezogene Daten im Auftrag des Unternehmens. Bei LLM-Anbietern kommt allerdings eine Reihe von Eigenheiten dazu, die ein gewöhnlicher Cloud-Vertrag nicht abdeckt.

    Wann eine Auftragsverarbeitung vorliegt

    Sobald in Prompts oder angebundenen Dokumenten personenbezogene Daten enthalten sind, also Informationen über identifizierte oder identifizierbare Personen, verarbeitet der LLM-Anbieter diese Daten im Auftrag des Unternehmens. Das Unternehmen bleibt Verantwortlicher, der Anbieter wird Auftragsverarbeiter, und dieses Verhältnis verlangt einen Auftragsverarbeitungsvertrag, üblicherweise als AVV oder DPA bezeichnet. Seriöse Anbieter stellen für ihre Geschäftskunden entsprechende Verträge bereit, oft als Teil der kommerziellen Konditionen.

    Die praktisch wichtigste Abgrenzung verläuft zwischen Geschäfts- und Privatkonten. Wer über ein privates Endkundenkonto arbeitet, hat in der Regel keinen AVV, keine Zusicherungen zur Datenverwendung und keine Kontrolle darüber, was mit den Eingaben geschieht. Für die Verarbeitung personenbezogener Daten ist das keine tragfähige Grundlage. Die Verantwortung dafür liegt nicht beim Anbieter, sondern beim Unternehmen, das diese Nutzung zulässt.

    Die Kernfragen an den Anbieter

    Ein AVV ist ein Standarddokument, aber bei LLM-Anbietern entscheiden einige Punkte, die man gezielt prüfen muss. Vier Fragen bilden den Kern.

    • Trainingsausschluss. Werden die übermittelten Inhalte zum Training oder zur Verbesserung der Modelle verwendet. Für den Geschäftseinsatz ist ein klarer vertraglicher Ausschluss die Grundvoraussetzung. Wichtig ist, dass der Ausschluss für den konkret genutzten Dienst und Vertragstyp gilt, nicht nur für ein anderes Produkt desselben Anbieters.
    • Speicherorte und Drittlandtransfer. Wo werden Eingaben und Ausgaben verarbeitet und gespeichert. Liegt die Verarbeitung außerhalb der EU beziehungsweise des EWR, braucht es die üblichen Garantien für Drittlandübermittlungen, und das Unternehmen muss diese in seiner eigenen Dokumentation abbilden können.
    • Unterauftragnehmer. Welche weiteren Dienstleister setzt der Anbieter ein, etwa für Infrastruktur oder Missbrauchsprüfung, und wie wird über Änderungen informiert. Die Liste der Subprozessoren gehört gelesen, nicht nur verlinkt.
    • Löschung und Aufbewahrung. Wie lange werden Prompts und Ausgaben gespeichert, wofür, und wann werden sie gelöscht. Viele Anbieter halten Eingaben für eine begrenzte Zeit zur Missbrauchskontrolle vor. Diese Fristen muss man kennen, ebenso die Möglichkeit, Aufbewahrung zu verkürzen oder abzuschalten, wo der Anbieter das anbietet.

    Dazu kommen die klassischen Prüfpunkte jedes AVV: technische und organisatorische Maßnahmen, Vertraulichkeitsverpflichtungen, Unterstützung bei Betroffenenrechten und der Umgang mit Datenpannen.

    Datenminimierung vor dem Prompt

    Der beste Vertrag ersetzt nicht die Frage, welche Daten überhaupt hinausgehen müssen. Der Grundsatz der Datenminimierung gilt auch hier, und er ist bei Sprachmodellen besonders wirksam, weil viele Aufgaben ohne Personenbezug genauso gut funktionieren. Ein Vertragsentwurf lässt sich mit Platzhaltern statt echten Namen prüfen, eine Beschwerde ohne Kundennummer zusammenfassen, ein Datensatz vor der Analyse pseudonymisieren.

    In der Praxis bewährt sich eine zweistufige Logik. Erstens: Was der Prompt nicht braucht, kommt nicht hinein. Zweitens: Wo regelmäßig größere Datenmengen verarbeitet werden, lohnt eine technische Zwischenschicht, die Eingaben vor dem Versand prüft und erkennbare Identifikatoren entfernt oder ersetzt. Das senkt nicht nur das rechtliche Risiko, sondern auch die Abhängigkeit von den Zusicherungen des Anbieters.

    Interne Regeln für Mitarbeitende

    Verträge binden den Anbieter, nicht die eigene Belegschaft. Ohne interne Regeln entsteht die riskanteste Lücke im ganzen Gefüge: Mitarbeitende, die mit besten Absichten Daten in Werkzeuge eingeben, die dafür nie vorgesehen waren. Eine brauchbare Regelung ist kurz und konkret. Sie benennt die freigegebenen Werkzeuge und Konten, verbietet die Nutzung privater Konten für dienstliche Inhalte, und legt in einfachen Worten fest, welche Datenarten nicht in Prompts gehören, etwa Gesundheitsdaten, vollständige Kundendatensätze oder Zugangsdaten.

    Entscheidend ist die Form: Beispiele wirken stärker als Verbotslisten. Wer zeigt, wie eine Aufgabe mit anonymisierten Angaben genauso gut gelöst wird, verändert Verhalten nachhaltiger als ein Dokument im Intranet, das niemand liest.

    Dokumentation

    Der letzte Baustein ist die Nachweisbarkeit. Die Nutzung von LLM-Diensten gehört in das Verzeichnis der Verarbeitungstätigkeiten, mit Zweck, Datenkategorien, Empfänger und den Angaben zum Drittlandtransfer. Bei Verarbeitungen mit voraussichtlich hohem Risiko für die Betroffenen ist zu prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Und die Prüfung des Anbieters selbst, also die Antworten auf die Kernfragen oben, sollte schriftlich festgehalten werden, samt Datum und geprüfter Vertragsversion.

    Diese Dokumentation ist kein Selbstzweck. Anbieter ändern Konditionen, Modelle und Subprozessoren in kurzen Zyklen. Wer festgehalten hat, worauf die eigene Freigabe beruhte, erkennt bei der nächsten Änderung sofort, ob sie eine Neubewertung auslöst oder nicht.

    Fazit

    Die Auftragsverarbeitung bei LLM-Anbietern folgt den bekannten Regeln der DSGVO, verlangt aber eigene Schwerpunkte: Trainingsausschluss, Speicherorte, Unterauftragnehmer und Löschfristen sind die Punkte, an denen sich brauchbare Verträge von Feigenblättern unterscheiden. Ebenso wichtig wie der Vertrag ist das, was vor ihm liegt: Datenminimierung im Prompt, klare Regeln für Mitarbeitende und eine Dokumentation, die Änderungen beim Anbieter bewertbar macht. Wer diese vier Ebenen zusammen denkt, kann Sprachmodelle im Unternehmen nutzen, ohne bei jeder Eingabe ein offenes Risiko mitlaufen zu lassen.

    Sprechen wir über Ihr Vorhaben.

    Unverbindliches Erstgespräch. Wir melden uns zeitnah bei Ihnen.

    Erstgespräch anfragen →