Glossar
Souveränität & Compliance

Auftragsverarbeitungsvertrag (AVV / DPA)

Ein Data Processing Agreement (DPA), auf Deutsch Auftragsverarbeitungsvertrag oder kurz AVV, ist der nach GDPR Artikel 28 erforderliche Vertrag zwischen einem Verantwortlichen (Controller, Sie) und einem Auftragsverarbeiter (Processor, Ihrem Inferenz-Anbieter), der regelt, wie der Anbieter personenbezogene Daten in Ihrem Auftrag verarbeiten darf. Er legt die Pflichten des Anbieters fest - Weisungen, Vertraulichkeit, Sicherheit, Sub-Prozessoren und Löschung - und ist Voraussetzung dafür, überhaupt personenbezogene Daten rechtmäßig an einen AI-Dienst zu senden.

Warum AI-Inferenz einen AVV (DPA) braucht

Wenn Ihre Anwendung einen Prompt an eine Inferenz-API sendet, enthält dieser häufig personenbezogene Daten - Namen, E-Mails, Support-Tickets, medizinische oder juristische Texte. Nach GDPR sind Sie der Controller und der Inferenz-Anbieter ein Processor, der auf Ihre Weisung handelt; Artikel 28 verlangt, dass dieses Verhältnis durch einen schriftlichen Vertrag geregelt wird: den DPA. Ohne ihn hat das Senden personenbezogener Daten an den Anbieter auf Verarbeitungsseite keine Rechtsgrundlage - unabhängig davon, wie gut die Sicherheit des Anbieters ist.

Ein DPA ist daher eines der ersten Dinge, die ein Enterprise- oder regulierter Käufer prüft - "Bieten Sie einen unterzeichenbaren DPA?" ist eine Gate-Frage in den meisten Beschaffungs- und Security-Prüfungen. Ein Anbieter, der keinen ordentlichen Artikel-28-DPA vorlegen kann, ist für alles, was personenbezogene Daten berührt, nicht nutzbar - und fällt damit aus den meisten ernsthaften EU-Deployments heraus.

Was ein DPA abdecken muss

Artikel 28 legt fest, was der Vertrag enthalten muss. Der Processor muss: personenbezogene Daten nur auf dokumentierte Weisung des Controllers verarbeiten; sicherstellen, dass alle Zugriffsberechtigten zur Vertraulichkeit verpflichtet sind; angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen; keine Sub-Prozessoren ohne Genehmigung einsetzen und diesen dieselben Pflichten auferlegen; den Controller bei Betroffenenrechten und Meldepflichten unterstützen; und die Daten am Ende des Dienstes löschen oder zurückgeben.

Bei der Sub-Prozessor-Klausel treffen sich Souveränität und DPA. Jede Partei in der Kette, die die Daten berühren kann - das Rechenzentrum, jeder Managed-Service- oder Hardware-Anbieter mit Zugriff - ist ein Sub-Prozessor, der benannt und gebunden werden muss. Deshalb zählt Transparenz: Ein DPA ist nur so stark wie die Ehrlichkeit seiner Sub-Prozessor-Liste, und ein Anbieter unter fremder Jurisdiktion kann trotz unterschriebenem Vertrag zur Offenlegung gezwungen werden.

Der DPA bei Infercom

Infercom bietet Enterprise-Kunden einen unterzeichenbaren GDPR-Artikel-28-Data Processing Agreement, gestützt auf eine EU-Betreibergesellschaft und EU-Verarbeitung. Unsere Sub-Prozessoren und Zertifizierungen sind transparent in unserem Trust Center gelistet, einschließlich dort, wo eine Komponente - etwa der Hardware-Anbieter - außerhalb der EU sitzt, sodass Sie die gesamte Kette bewerten können statt eines Siegels. Ein DPA plus EU-Jurisdiktion macht aus "Ihre Daten bleiben in der EU" statt einer Marketing-Zeile einen Vertrag, an dem Sie uns festhalten können.

Quellen

Verwandte Begriffe

Sehen Sie, wie EU-Jurisdiktion, Data Residency und ein unterzeichenbarer DPA auf unserer EU-souveränen AI-Plattform zusammenkommen - Kontrolle, an der Sie uns festhalten können, kein Siegel.

Bereit, die Zukunft der AI in Europa zu gestalten?

Schließen Sie sich zukunftsorientierten Unternehmen an, die Souveräne KI mit Weltklasse-Performance einsetzen