DSGVO Art. 28 · Auftragsverarbeitung

Lieferantensteuerung — kein KI-Dienstleister ohne dokumentierten AVV.

Cloud-KI-Dienste, KI-APIs, Modell-Hosting-Provider, Datenverarbeitungs-Dienstleister — jeder Auftragsverarbeiter braucht einen Vertrag nach Art. 28 DSGVO. EAB verwaltet diese Verträge strukturiert und verknüpft sie mit den KI-Systemen, die sie betreffen.

AVV-Ablaufdaten, Sub-Auftragsverarbeiter-Ketten, Drittlandtransfer-Tracking, Compliance-Status pro Lieferant — EAB macht die Lieferantenkette sichtbar und alertiert, wenn Handlungsbedarf entsteht.

Preise & Anmeldung AVV-Struktur ansehen
Art. 28 DSGVO Sub-AV-Tracking Drittlandtransfer
AVV-Pflichtinhalte

Was jeder Auftragsverarbeitungsvertrag enthalten muss.

Art. 28 Abs. 3 DSGVO definiert den Mindestinhalt eines Auftragsverarbeitungsvertrags. EAB strukturiert diesen Inhalt in ein einheitliches Schema: Verarbeitungsgegenstand, Dauer, Natur der Verarbeitung, Zweck, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen.

Besondere Aufmerksamkeit gilt der Sub-Auftragsverarbeiter-Klausel: Welche Sub-AVs hat der Auftragsverarbeiter autorisiert? Unter welchen Bedingungen können neue Sub-AVs hinzukommen? EAB verfolgt diese Kette und alertiert, wenn ein Sub-AV-Wechsel die Genehmigungspflicht auslöst.

Für KI-Dienste aus Drittländern ist die Transfersituation besonders komplex: SCC (Standard Contractual Clauses), BCR (Binding Corporate Rules), oder Angemessenheitsbeschluss? EAB verfolgt das angewandte Transferinstrument, dessen Gültigkeitsstatus und warnt, wenn ein Instrument wegfällt (wie beim Privacy Shield 2020).

AVV-Tracking in EAB
  • VerknüpfungZugeordnet zu KI-Systemen
  • AblaufVertragslaufzeit mit Alert vor Ablauf
  • Sub-AVSub-Auftragsverarbeiter-Liste versioniert
  • DrittlandTransfer-Instrument und Gültigkeitsstatus
  • AuditAuditrechte des Verantwortlichen dokumentiert
  • WeisungenWeisungsprotokoll für Auftragsverarbeiter
  • StatusCompliance-Status pro Lieferant
KI-Lieferkette

Warum KI-Lieferantensteuerung besonders komplex ist.

Model-as-a-Service

Cloud-KI-APIs als Auftragsverarbeiter

Wer GPT-4, Claude, Gemini oder andere Cloud-Modelle für die Verarbeitung personenbezogener Daten einsetzt, hat einen Auftragsverarbeiter. Die AVV-Anforderungen gelten — unabhängig davon, dass der Anbieter ein Global-Player ist. EAB strukturiert diese Beziehungen explizit.

Trainingsdaten

Datenlieferanten für KI-Training

Wenn Drittanbieter personenbezogene Daten für das Training interner KI-Systeme liefern, sind die DSGVO-Anforderungen an Datenherkunft und Weiterverarbeitung zu prüfen. EAB verknüpft Trainingsdaten-Quellen aus dem technischen Profil mit der AVV-Verwaltung.

Infrastruktur

Cloud-Infrastruktur-Anbieter

AWS, Azure, Google Cloud — die Infrastruktur, auf der KI-Systeme laufen, ist typischerweise selbst eine Auftragsverarbeitung. EAB verfolgt Infrastruktur-AVVs gemeinsam mit den KI-System-AVVs und macht die vollständige Lieferkette sichtbar.

Lieferantensteuerung

Kein KI-Dienstleister ohne dokumentierten AVV in EAB.

Art. 28 DSGVO strukturiert durchgesetzt: AVV-Inhalte, Sub-AV-Ketten, Drittlandtransfer, Ablaufdaten — verknüpft mit den KI-Systemen, die die Auftragsverarbeiter nutzen.

Preise & Anmeldung Zum Portal

EU-gehostet · Verankert in CELEX 32024R1689

Kontakt aufnehmen
Mehr Informationen anfordern

Erzählen Sie uns von Ihrer Organisation und Ihrem Anliegen. Wir melden uns mit den relevanten Informationen.