---
name: auftragsverarbeitungsvertrag-pruefen
description: "Auftragsverarbeitungsvertrag nach Art. 28 DSGVO bei KI-Anbietern prüfen: Anwendungsfall Kanzlei schließt Vertrag mit KI-Dienstleister und muss AVV auf DSGVO-Konformität prüfen. Art. 28 DSGVO AVV-Pflicht, § 43e BRAO IT-Dienstleister, AI Act Betreiberpflichten. Prüfraster Subprozessoren-Genehmigung..."
---

# Auftragsverarbeitungsvertrag prüfen

## Arbeitsbereich

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO bei KI-Anbietern prüfen: Anwendungsfall Kanzlei schließt Vertrag mit KI-Dienstleister und muss AVV auf DSGVO-Konformität prüfen. Art. 28 DSGVO AVV-Pflicht, § 43e BRAO IT-Dienstleister, AI Act Betreiberpflichten. Prüfraster Subprozessoren-Genehmigung, technisch-organisatorische Massnahmen TOMs, Drittlandtransfer SCC, Auditrrechte, Löschpflichten, Training-Opt-out. Output AVV-Prüfprotokoll mit Lueckenliste und Nachverhandlungsbedarf. Abgrenzung zu Musterklauseln-IT-Vertrag und zu Dienstleister-Due-Diligence. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: BRAO, BORA, FAO, BNotO, StBerG, WPO, PAO; DSGVO — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen

Jeder KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, muss als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden werden. Der Auftragsverarbeitungsvertrag (AVV) ist eine datenschutzrechtliche Pflichtgrundlage — sein Fehlen begründet einen DSGVO-Verstoß. Dieser Skill stellt eine strukturierte Prüfcheckliste bereit.

## Rechtlicher Hintergrund

Art. 28 Abs. 1 DSGVO: Beauftragung nur von Auftragsverarbeitern mit hinreichenden Garantien für technisch-organisatorische Maßnahmen. Art. 28 Abs. 3 DSGVO: Pflichtinhalt des AVV (Gegenstand, Dauer, Art, Zweck, Weisungsgebundenheit, Vertraulichkeit, TOMs, Unterauftragsverarbeiter, Betroffenenrechte, Löschung/Rückgabe, Audits). Art. 28 Abs. 4 DSGVO: Unterauftragsverarbeiter müssen denselben Pflichten unterliegen. Art. 46 DSGVO: Anforderungen für Drittlandtransfers (SCC, Angemessenheitsbeschluss). Art. 83 Abs. 4 DSGVO: Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes bei AVV-Verstößen. Art. 82 DSGVO: Schadensersatzhaftung.

## Vorlagentext / Bausteine

**AVV-Prüfcheckliste:**

☐ Schriftliche AVV-Vereinbarung liegt vor (Art. 28 Abs. 9 DSGVO: auch elektronische Form genügt)
☐ Gegenstand, Dauer, Art und Zweck der Verarbeitung sind definiert
☐ Kategorien personenbezogener Daten und betroffener Personen sind spezifiziert
☐ Weisungsgebundenheit des Auftragsverarbeiters ist vereinbart
☐ Vertraulichkeitspflicht für alle zugriffsberechtigten Personen ist geregelt
☐ Konkrete TOMs sind beschrieben oder als Anlage beigefügt
☐ Liste der genehmigten Unterauftragsverarbeiter liegt vor und wird aktuell gehalten
☐ Kanzlei-Genehmigung bei Änderungen der Unterauftragsverarbeiter ist vereinbart
☐ Unterstützungspflicht bei Betroffenenanfragen und Datenschutzbehörden ist geregelt
☐ Meldepflicht bei Datenschutzverletzungen nach Art. 33 DSGVO ist vereinbart
☐ Datenschutz-Folgenabschätzung-Unterstützung nach Art. 35 DSGVO ist zugesagt
☐ Löschung oder Rückgabe aller Daten nach Vertragsende ist geregelt
☐ Audit- und Kontrollrechte der Kanzlei sind vereinbart
☐ Drittlandtransfer-Rechtsgrundlage ist dokumentiert (falls anwendbar)
☐ § 43e-BRAO-Vereinbarung ist zusätzlich abgeschlossen (berufsrechtliche Anforderung)

## Hinweise zur Aktualisierung

Die Anforderungen an AVV können sich durch Entscheidungen der Datenschutzbehörden oder neue EuGH-Rechtsprechung ändern. Ebenso müssen AVV bei wesentlichen Änderungen der Datenverarbeitungstätigkeit aktualisiert werden. Bei Änderungen der Unterauftragsverarbeiter des KI-Anbieters ist zu prüfen, ob eine erneute Risikobeurteilung erforderlich ist.

## Aktuelle Rechtsprechung (v14.2)
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Zentrale Normen (Paragrafenkette)
- Art. 28 DSGVO — Auftragsverarbeitung (Pflichtinhalt AVV)
- Art. 46 DSGVO — Drittlandtransfer-Garantien (SCC, Angemessenheitsbeschluss)
- Art. 82 DSGVO — Schadensersatz
- Art. 83 Abs. 4 DSGVO — Bussgelder bis 10 Mio. EUR
- § 43e BRAO — Berufsrechtliche IT-Dienstleister-Anforderungen

## Triage zu Beginn
1. Besteht ein schriftlicher AVV nach Art. 28 DSGVO mit dem KI-Anbieter?
2. Sind alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO enthalten?
3. Verarbeitet der Anbieter Daten ausserhalb des EWR — ist eine TIA durchgefuehrt?
4. Sind Unterauftragsverarbeiter benannt und durch eigenen AVV gebunden?
5. Sind Auditrechte der Kanzlei nach Art. 28 Abs. 3 lit. h DSGVO vereinbart?

## Output-Template — AVV-Pruefungsprotokoll
**Adressat:** Kanzlei intern / DSB — Tonfall: checklisten-strukturiert
```
AVV-PRUEFUNGSPROTOKOLL
[DATUM] — Anbieter: [ANBIETERNAME] — Anwendungsfall: [BESCHREIBUNG]

Ergebnis: [WIRKSAMER AVV / LUECKEN / KEIN AVV — EINSATZ UNZULAESSIG]

Pflichtinhalte Art. 28 Abs. 3 DSGVO:
☑/☐ Gegenstand und Dauer der Verarbeitung
☑/☐ Weisungsgebundenheit
☑/☐ Vertraulichkeitspflicht
☑/☐ TOMs (konkret oder als Anlage)
☑/☐ Unterauftragsverarbeiter-Liste
☑/☐ Unterstuetzung Betroffenenrechte
☑/☐ Meldepflicht Datenpanne Art. 33 DSGVO
☑/☐ Loeschung / Rueckgabe nach Vertragsende
☑/☐ Auditrecht Art. 28 Abs. 3 lit. h DSGVO
☑/☐ Drittlandtransfer-Rechtsgrundlage (Art. 46 DSGVO)

§ 43e BRAO Berufsrechts-AVV: ☑/☐ vorhanden

Naechste Pruefung: [DATUM]
Geprueft von: [NAME]
```

## Normen und Rechtsprechung

### Kuratierte Normen-Bibliothek

- Art. 28 DSGVO
- § 203 StGB
- Art. 22 DSGVO
- Art. 9 DSGVO
- Art. 6 DSGVO
- § 2 UrhG
- Art. 30 DSGVO
- Art. 46 DSGVO
- Art. 13 DSGVO
- § 44b UrhG
- Art. 35 DSGVO
- § 5 UrhG

### Leitentscheidungen

- BGH VI ZR 273/16