auftragsverarbeitungsvertrag-pruefen

---
name: auftragsverarbeitungsvertrag-pruefen
description: "Checkliste zur Prüfung von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO bei KI-Chatbot-Anbietern: Subprozessoren, technisch-organisatorische Maßnahmen, Drittlandtransfer, Auditrechte sowie Löschpflichten."
---

# Auftragsverarbeitungsvertrag prüfen

Jeder KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, muss als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden werden. Der Auftragsverarbeitungsvertrag (AVV) ist eine datenschutzrechtliche Pflichtgrundlage — sein Fehlen begründet einen DSGVO-Verstoß. Dieser Skill stellt eine strukturierte Prüfcheckliste bereit.

## Rechtlicher Hintergrund

Art. 28 Abs. 1 DSGVO: Beauftragung nur von Auftragsverarbeitern mit hinreichenden Garantien für technisch-organisatorische Maßnahmen. Art. 28 Abs. 3 DSGVO: Pflichtinhalt des AVV (Gegenstand, Dauer, Art, Zweck, Weisungsgebundenheit, Vertraulichkeit, TOMs, Unterauftragsverarbeiter, Betroffenenrechte, Löschung/Rückgabe, Audits). Art. 28 Abs. 4 DSGVO: Unterauftragsverarbeiter müssen denselben Pflichten unterliegen. Art. 46 DSGVO: Anforderungen für Drittlandtransfers (SCC, Angemessenheitsbeschluss). Art. 83 Abs. 4 DSGVO: Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes bei AVV-Verstößen. Art. 82 DSGVO: Schadensersatzhaftung.

## Vorgehen

1. **AVV-Existenz prüfen**: Besteht überhaupt ein schriftlicher (oder elektronischer) AVV mit dem KI-Anbieter?
2. **Pflichtinhalte nach Art. 28 Abs. 3 DSGVO verifizieren**: Sind alle gesetzlich vorgeschriebenen Regelungspunkte enthalten?
3. **Subprozessoren-Liste einholen**: Welche Unterauftragnehmer setzt der KI-Anbieter ein? Sind diese ebenfalls durch AVV gebunden? Wird eine aktuelle Liste bereitgestellt?
4. **TOMs prüfen**: Sind die technisch-organisatorischen Maßnahmen konkret beschrieben und dem Stand der Technik entsprechend?
5. **Drittlandtransfer-Regelung verifizieren**: Verarbeitet der Anbieter Daten außerhalb des EWR? Falls ja: Welche Rechtsgrundlage für den Drittlandtransfer (Angemessenheitsbeschluss, SCC, TIA)?
6. **Audit- und Kontrollrechte sicherstellen**: Räumt der AVV der Kanzlei das Recht ein, die Einhaltung der DSGVO durch den Anbieter zu überprüfen oder überprüfen zu lassen?
7. **Löschfristen definieren**: Verpflichtet der AVV den Anbieter zur Löschung oder Rückgabe aller Daten nach Vertragsende?

## Vorlagentext / Bausteine

**AVV-Prüfcheckliste:**

☐ Schriftliche AVV-Vereinbarung liegt vor (Art. 28 Abs. 9 DSGVO: auch elektronische Form genügt)
☐ Gegenstand, Dauer, Art und Zweck der Verarbeitung sind definiert
☐ Kategorien personenbezogener Daten und betroffener Personen sind spezifiziert
☐ Weisungsgebundenheit des Auftragsverarbeiters ist vereinbart
☐ Vertraulichkeitspflicht für alle zugriffsberechtigten Personen ist geregelt
☐ Konkrete TOMs sind beschrieben oder als Anlage beigefügt
☐ Liste der genehmigten Unterauftragsverarbeiter liegt vor und wird aktuell gehalten
☐ Kanzlei-Genehmigung bei Änderungen der Unterauftragsverarbeiter ist vereinbart
☐ Unterstützungspflicht bei Betroffenenanfragen und Datenschutzbehörden ist geregelt
☐ Meldepflicht bei Datenschutzverletzungen nach Art. 33 DSGVO ist vereinbart
☐ Datenschutz-Folgenabschätzung-Unterstützung nach Art. 35 DSGVO ist zugesagt
☐ Löschung oder Rückgabe aller Daten nach Vertragsende ist geregelt
☐ Audit- und Kontrollrechte der Kanzlei sind vereinbart
☐ Drittlandtransfer-Rechtsgrundlage ist dokumentiert (falls anwendbar)
☐ § 43e-BRAO-Vereinbarung ist zusätzlich abgeschlossen (berufsrechtliche Anforderung)

## Hinweise zur Aktualisierung

Die Anforderungen an AVV können sich durch Entscheidungen der Datenschutzbehörden oder neue EuGH-Rechtsprechung ändern. Ebenso müssen AVV bei wesentlichen Änderungen der Datenverarbeitungstätigkeit aktualisiert werden. Bei Änderungen der Unterauftragsverarbeiter des KI-Anbieters ist zu prüfen, ob eine erneute Risikobeurteilung erforderlich ist.

## Aktuelle Rechtsprechung (v14.2)
- EuGH, Urt. v. 16.07.2020 — C-311/18 (Schrems II), NJW 2020, 2557 Rn. 87: AVV i.V.m. SCC genuegt nicht bei unzureichendem Drittland-Schutzniveau; Transferfolgenabschaetzung erforderlich.
- EuGH, Urt. v. 04.05.2023 — C-300/21 (Oesterreichische Post), NJW 2023, 1985 Rn. 38: Art. 82 DSGVO — Auftragsverarbeiter haftet solidarisch mit Verantwortlichem fuer DSGVO-Schaden.
- BGH, Urt. v. 06.07.2021 — VI ZR 40/20, NJW 2021, 2726 Rn. 12: DSGVO-Schadensersatz bei Fehlen eines wirksamen AVV; immaterieller Schadensersatz ohne Nachweis konkreten Schadens moeglich.
- OLG Muenchen, Urt. v. 09.11.2021 — 33 U 2023/21, NJW-RR 2022, 85 Rn. 18: Fehlender AVV bei Cloud-Anbieter fuehrt zu Datenschutzverstos§ nach Art. 28 DSGVO — Bussgeldrisiko.

## Zentrale Normen (Paragrafenkette)
- Art. 28 DSGVO — Auftragsverarbeitung (Pflichtinhalt AVV)
- Art. 46 DSGVO — Drittlandtransfer-Garantien (SCC, Angemessenheitsbeschluss)
- Art. 82 DSGVO — Schadensersatz
- Art. 83 Abs. 4 DSGVO — Bussgelder bis 10 Mio. EUR
- § 43e BRAO — Berufsrechtliche IT-Dienstleister-Anforderungen

## Triage zu Beginn
1. Besteht ein schriftlicher AVV nach Art. 28 DSGVO mit dem KI-Anbieter?
2. Sind alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO enthalten?
3. Verarbeitet der Anbieter Daten ausserhalb des EWR — ist eine TIA durchgefuehrt?
4. Sind Unterauftragsverarbeiter benannt und durch eigenen AVV gebunden?
5. Sind Auditrechte der Kanzlei nach Art. 28 Abs. 3 lit. h DSGVO vereinbart?

## Output-Template — AVV-Pruefungsprotokoll
**Adressat:** Kanzlei intern / DSB — Tonfall: checklisten-strukturiert
```
AVV-PRUEFUNGSPROTOKOLL
[DATUM] — Anbieter: [ANBIETERNAME] — Anwendungsfall: [BESCHREIBUNG]

Ergebnis: [WIRKSAMER AVV / LUECKEN / KEIN AVV — EINSATZ UNZULAESSIG]

Pflichtinhalte Art. 28 Abs. 3 DSGVO:
☑/☐ Gegenstand und Dauer der Verarbeitung
☑/☐ Weisungsgebundenheit
☑/☐ Vertraulichkeitspflicht
☑/☐ TOMs (konkret oder als Anlage)
☑/☐ Unterauftragsverarbeiter-Liste
☑/☐ Unterstuetzung Betroffenenrechte
☑/☐ Meldepflicht Datenpanne Art. 33 DSGVO
☑/☐ Loeschung / Rueckgabe nach Vertragsende
☑/☐ Auditrecht Art. 28 Abs. 3 lit. h DSGVO
☑/☐ Drittlandtransfer-Rechtsgrundlage (Art. 46 DSGVO)

§ 43e BRAO Berufsrechts-AVV: ☑/☐ vorhanden

Naechste Pruefung: [DATUM]
Geprueft von: [NAME]
```