Überblick: Worum geht es?
Definition der Datenverarbeitungsvereinbarung
Eine Datenverarbeitungsvereinbarung (DVA) ist ein rechtlich verbindlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Sie regelt die Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO und stellt sicher, dass beide Parteien ihre datenschutzrechtlichen Pflichten erfüllen.
Bedeutung für DSGVO-Compliance
Die DVA ist ein unverzichtbares Instrument zur Einhaltung der Datenschutz-Grundverordnung. Ohne eine ordnungsgemäße Vereinbarung drohen erhebliche Bußgelder und rechtliche Konsequenzen. Sie schafft Transparenz über die Art und Weise der Datenverarbeitung und definiert klare Verantwortlichkeiten zwischen den Vertragsparteien.
Kontext: OpenAI im Beratungs- und Automotive-Umfeld
Die FBL GmbH & Co. KG nutzt OpenAI-Dienste zur Optimierung von Beratungsprozessen, zur Entwicklung innovativer KI-Strategien und zur Digitalisierung im Automotive-Bereich. Diese Zusammenarbeit erfordert eine sorgfältige datenschutzrechtliche Absicherung, da sensible Kundendaten und Geschäftsinformationen verarbeitet werden können.
Wichtig: Die DVA bildet die rechtliche Grundlage für die sichere und compliant Nutzung von KI-Technologien in unserem Unternehmen.
Rechtssicherheit
Vertragliche Absicherung aller Datenverarbeitungsvorgänge
Compliance
Erfüllung aller DSGVO-Anforderungen
Vertrauen
Transparente Zusammenarbeit mit klaren Verantwortlichkeiten
Verantwortlichkeiten im Überblick
FBL GmbH & Co. KG als Verantwortlicher
Als Verantwortlicher bestimmt die FBL GmbH & Co. KG die Zwecke und Mittel der Datenverarbeitung. Dies bedeutet konkret: Wir entscheiden, welche Daten verarbeitet werden, zu welchem Zweck und wie lange. Wir tragen die Hauptverantwortung für die Einhaltung der DSGVO und müssen sicherstellen, dass nur rechtmäßige Verarbeitungsvorgänge stattfinden.
- Festlegung der Verarbeitungszwecke
- Sicherstellung der Rechtsgrundlage
- Transparenz gegenüber Betroffenen
- Gewährleistung der Betroffenenrechte
OpenAI als Auftragsverarbeiter
OpenAI verarbeitet personenbezogene Daten ausschließlich auf Anweisung der FBL GmbH & Co. KG. Als Auftragsverarbeiter hat OpenAI keine eigenen Entscheidungsbefugnisse über die Datenverarbeitung. Das Unternehmen ist verpflichtet, technische und organisatorische Maßnahmen zum Schutz der Daten umzusetzen und die Weisungen des Verantwortlichen strikt zu befolgen.
- Verarbeitung nur auf Anweisung
- Umsetzung von Sicherheitsmaßnahmen
- Unterstützung bei Betroffenenrechten
- Meldung von Datenschutzvorfällen
Praxisbeispiele: Was bedeutet das im Tagesgeschäft?
01
Kundenberatung
Bei der Nutzung von KI-Tools zur Analyse von Kundenanfragen im Automotive-Bereich stellt FBL sicher, dass nur notwendige Daten an OpenAI übermittelt werden. Sensible Kundendaten werden vorab anonymisiert oder pseudonymisiert.
02
Dokumentenanalyse
Wenn OpenAI-Dienste zur Analyse von Geschäftsdokumenten eingesetzt werden, trägt FBL die Verantwortung dafür, dass die Dokumente keine personenbezogenen Daten Dritter enthalten oder eine entsprechende Rechtsgrundlage vorliegt.
03
Mitarbeiterschulung
FBL schult alle Mitarbeiter im datenschutzkonformen Umgang mit KI-Tools. OpenAI stellt dafür technische Sicherheitsfeatures bereit, aber die Verantwortung für die korrekte Nutzung liegt bei FBL.
04
Incident Response
Im Falle eines Datenschutzvorfalls meldet OpenAI diesen unverzüglich an FBL. FBL wiederum muss die zuständige Aufsichtsbehörde und ggf. betroffene Personen informieren.
Welche Daten werden verarbeitet?
Identifikations- und Kontaktdaten
Diese Kategorie umfasst grundlegende Informationen zur Identifizierung von Personen:
- Namen von Ansprechpartnern
- E-Mail-Adressen
- Telefonnummern
- Unternehmenszugehörigkeit
- Funktionsbezeichnungen
Diese Daten werden primär zur Kommunikation und zur Zuordnung von Anfragen benötigt.
Nutzereingaben
Sämtliche Informationen, die durch die Nutzung der OpenAI-Dienste generiert werden:
- Textprompts und Anfragen
- Hochgeladene Dokumente
- Gesprächsverläufe
- Feedbackdaten
- Präferenzen und Einstellungen
Diese Daten sind für die Funktionalität der KI-Services essentiell.
Keine besonderen Kategorien
Wichtiger Hinweis: Es ist keine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO geplant.
Dies bedeutet konkret: Keine Gesundheitsdaten, keine biometrischen Daten, keine Daten über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder Gewerkschaftszugehörigkeit.
Sollte die Verarbeitung solcher Daten dennoch notwendig werden, muss die DVA entsprechend angepasst werden.
Zwecke der Verarbeitung
1
Betrieb der Dienste
Die Kerntechnologie von OpenAI erfordert die Verarbeitung von Eingabedaten, um KI-gestützte Antworten, Analysen und Empfehlungen zu generieren. Dies umfasst die Speicherung von Prompts, die Verarbeitung von Kontextinformationen und die Bereitstellung von Outputs. Alle Verarbeitungsvorgänge dienen ausschließlich der Funktionalität der vereinbarten Services.
2
Sicherheit und Missbrauchserkennung
OpenAI implementiert automatisierte Systeme zur Erkennung und Verhinderung von Missbrauch. Dies beinhaltet die Überwachung auf schädliche Inhalte, die Verhinderung von Betrug und die Gewährleistung der Systemintegrität. Personenbezogene Daten werden dabei nur im notwendigen Umfang analysiert, um die Sicherheit aller Nutzer zu gewährleisten.
3
Analytics und Performance-Optimierung
Zur kontinuierlichen Verbesserung der Dienste werden aggregierte und anonymisierte Nutzungsstatistiken erhoben. Dies ermöglicht die Optimierung von Response-Zeiten, die Identifikation von Systemengpässen und die Weiterentwicklung der KI-Modelle. Personenbezogene Daten werden dabei grundsätzlich pseudonymisiert oder anonymisiert.
4
Was explizit NICHT erfolgt
- Keine Nutzung für Werbezwecke
- Kein Verkauf von Daten an Dritte
- Keine Profilbildung für Marketing
- Kein Tracking über verschiedene Dienste hinweg
- Keine Weitergabe an Datenmakler
Prinzip der Weisungsbindung
Verarbeitung ausschließlich auf Anweisung
Das Prinzip der Weisungsbindung ist ein Kernbestandteil der DSGVO und der DVA. OpenAI darf personenbezogene Daten nur in dem Umfang und zu den Zwecken verarbeiten, die von der FBL GmbH & Co. KG ausdrücklich angewiesen wurden. Jede darüber hinausgehende Verarbeitung ist unzulässig und würde einen Vertragsbruch darstellen.
Die Weisungen können schriftlich, elektronisch oder in anderer dokumentierter Form erteilt werden. Bei Unklarheiten ist OpenAI verpflichtet, umgehend Rücksprache mit FBL zu halten, bevor eine Verarbeitung erfolgt.
Keine Eigenverarbeitung durch OpenAI
OpenAI hat keinerlei Befugnis, selbstständig Entscheidungen über die Verarbeitung zu treffen. Alle Verarbeitungsvorgänge basieren auf den Vorgaben von FBL. Dies schließt auch die Auswahl von Subprozessoren ein, die nur mit Zustimmung von FBL eingesetzt werden dürfen.
Keine Datenkombination ohne Anweisung
OpenAI ist es untersagt, die Daten von FBL mit Daten anderer Kunden oder mit eigenen Datenbeständen zu kombinieren, es sei denn, dies wurde ausdrücklich angewiesen. Diese Regelung schützt die Vertraulichkeit und verhindert unzulässige Profilbildungen.
Pflicht zur Meldung bei Bedenken
Sollte OpenAI der Ansicht sein, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, ist das Unternehmen verpflichtet, FBL unverzüglich darauf hinzuweisen. In solchen Fällen darf die Verarbeitung nicht durchgeführt werden, bis eine rechtskonforme Lösung gefunden wurde.
Subprozessoren: Transparenz und Kontrolle
Was sind Subprozessoren?
Subprozessoren sind Drittunternehmen, die OpenAI mit der Verarbeitung bestimmter Datenverarbeitungsaufgaben beauftragt. Dies können beispielsweise Cloud-Hosting-Anbieter, Rechenzentren oder spezialisierte Technologiepartner sein. Die Einbindung von Subprozessoren ist in der modernen IT-Infrastruktur üblich und technisch oft notwendig, um hochwertige Services bereitzustellen.
15-Tage-Vorankündigung
OpenAI ist vertraglich verpflichtet, FBL mindestens 15 Tage vor der Beauftragung eines neuen Subprozessors oder der Änderung eines bestehenden Subprozessors zu informieren. Diese Frist gibt FBL ausreichend Zeit, die Vertrauenswürdigkeit und Sicherheitsstandards des Subprozessors zu prüfen.
Widerspruchsmöglichkeit
Innerhalb der 15-Tage-Frist hat FBL das Recht, gegen die Beauftragung eines Subprozessors Widerspruch einzulegen. Der Widerspruch muss begründet werden, beispielsweise durch datenschutzrechtliche Bedenken oder Sicherheitsrisiken. OpenAI nimmt solche Einwände ernst und sucht nach Lösungen.
Lösungswege bei Widerspruch
- Alternativer Subprozessor: OpenAI bietet einen anderen, akzeptablen Anbieter an
- Technische Anpassungen: Modifikation der Dienste zur Vermeidung des Subprozessors
- Deaktivierung von Features: Verzicht auf bestimmte Funktionen
- Teilkündigung: Beendigung des betroffenen Service-Teils bei unauflösbaren Differenzen
Technische und organisatorische Maßnahmen (TOMs)
Zugriffskontrolle
OpenAI implementiert rollenbasierte Zugriffskontrolle (RBAC) und Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiter mit Zugang zu personenbezogenen Daten. Zugriffsrechte werden nach dem Prinzip der minimalen Privilegien vergeben und regelmäßig überprüft. Alle Zugriffe werden protokolliert und können nachvollzogen werden.
Verschlüsselung
Alle Daten werden sowohl bei der Übertragung (TLS 1.2+) als auch im Ruhezustand (AES-256) verschlüsselt. Kryptografische Schlüssel werden in Hardware-Sicherheitsmodulen (HSMs) gespeichert und unterliegen strengen Verwaltungsprotokollen. Regelmäßige Schlüsselrotationen erhöhen die Sicherheit zusätzlich.
Netzwerksegmentierung
Die IT-Infrastruktur ist in separate Sicherheitszonen unterteilt. Produktionsumgebungen sind strikt von Entwicklungs- und Testumgebungen getrennt. Firewalls und Intrusion-Detection-Systeme überwachen den Datenverkehr zwischen den Zonen kontinuierlich und blockieren verdächtige Aktivitäten automatisch.
Monitoring und Logging
Alle sicherheitsrelevanten Ereignisse werden in Echtzeit überwacht. Security Information and Event Management (SIEM) Systeme analysieren Logdaten automatisch auf Anomalien. Verdächtige Aktivitäten lösen sofortige Alarme aus, und ein 24/7 Security Operations Center (SOC) reagiert umgehend auf Vorfälle.
Physische Sicherheit
Rechenzentren unterliegen strengsten physischen Sicherheitsmaßnahmen: Biometrische Zugangskontrollen, Videoüberwachung, Sicherheitspersonal rund um die Uhr, Brandschutzsysteme und redundante Stromversorgung. Der Zugang zu Serverräumen ist auf autorisiertes Personal beschränkt.
Audits und Zertifizierungen
OpenAI unterzieht sich regelmäßigen externen Audits und verfügt über SOC 2 Type II Zertifizierungen. Penetrationstests werden quartalsweise von unabhängigen Sicherheitsexperten durchgeführt. Alle identifizierten Schwachstellen werden priorisiert und zeitnah behoben. Audit-Berichte können auf Anfrage eingesehen werden.
Unterstützung durch OpenAI bei Datenschutzpflichten
Betroffenenrechte
Wenn Betroffene ihre Rechte gemäß DSGVO geltend machen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch), unterstützt OpenAI die FBL GmbH & Co. KG bei der Erfüllung dieser Anfragen.
OpenAI stellt technische Mittel bereit, um Daten zu identifizieren, zu exportieren oder zu löschen. Die Bearbeitung von Betroffenenanfragen erfolgt innerhalb der gesetzlichen Fristen (i.d.R. 30 Tage).
Datenschutzvorfälle
Im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach) meldet OpenAI dies unverzüglich an FBL – in der Regel innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls.
Die Meldung umfasst Art der Verletzung, betroffene Datenkategorien und Personenkreis, mögliche Folgen sowie ergriffene und geplante Maßnahmen. FBL kann dann entscheiden, ob eine Meldung an die Aufsichtsbehörde erforderlich ist.
DPIA-Unterstützung
Wenn FBL eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment) durchführen muss, stellt OpenAI alle erforderlichen Informationen zur Verfügung.
Dies umfasst technische Details zur Verarbeitung, Risikobewertungen, implementierte Sicherheitsmaßnahmen und weitere relevante Dokumentation. OpenAI arbeitet aktiv mit FBL zusammen, um Risiken zu minimieren.
Internationale Datenübermittlung
01
Primäre Verarbeitung in der EU/EWR
Die Verarbeitung personenbezogener Daten erfolgt primär durch OpenAI Ireland Limited mit Sitz in Dublin, Irland. Als EU-Unternehmen unterliegt OpenAI Ireland vollständig der DSGVO. Dies gewährleistet das höchste Datenschutzniveau ohne zusätzliche Schutzmechanismen.
02
Standardvertragsklauseln (SCCs)
Für den Fall, dass Daten außerhalb der EU/EWR verarbeitet werden müssen – beispielsweise bei technischen Support-Vorgängen oder bei der Einbindung bestimmter Subprozessoren – kommen die von der EU-Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses) zur Anwendung.
03
UK International Data Transfer Addendum
Für Datenübermittlungen in das Vereinigte Königreich wird zusätzlich das UK International Data Transfer Addendum eingesetzt. Dies stellt sicher, dass auch nach dem Brexit ein angemessenes Datenschutzniveau gewährleistet ist und die Anforderungen der UK GDPR erfüllt werden.
Transparenz: FBL wird über alle internationalen Datenübermittlungen informiert und kann jederzeit Nachweise über die eingesetzten Schutzmaßnahmen anfordern. OpenAI führt regelmäßige Transfer Impact Assessments durch, um die Wirksamkeit der Garantien zu überprüfen.
Speicherdauer und Löschung
API-Daten: Maximal 30 Tage
Daten, die über die OpenAI-API übermittelt werden, werden standardmäßig für maximal 30 Tage zur Missbrauchserkennung und zur Fehleranalyse gespeichert. Nach Ablauf dieser Frist werden die Daten automatisch gelöscht, sofern keine gesetzliche Aufbewahrungspflicht oder kein berechtigtes Interesse an einer längeren Speicherung besteht.
FBL kann durch entsprechende API-Konfigurationen kürzere Speicherfristen festlegen oder eine sofortige Löschung nach Verarbeitung anweisen.
Löschung nach Vertragsende
Bei Beendigung der Geschäftsbeziehung zwischen FBL und OpenAI – sei es durch Kündigung, Vertragsablauf oder aus anderen Gründen – werden alle personenbezogenen Daten innerhalb von 90 Tagen vollständig gelöscht.
Verpflichtung der Subprozessoren
OpenAI stellt sicher, dass auch alle eingebundenen Subprozessoren dieselben strengen Löschpflichten einhalten. Die Löschung erfolgt auf allen Systemen, Backups und Sicherungskopien. FBL kann auf Wunsch eine schriftliche Bestätigung über die erfolgte Löschung anfordern.
Nutzung anonymisierter Daten
Nach erfolgter Anonymisierung darf OpenAI die Daten für eigene Zwecke nutzen, beispielsweise zur Verbesserung der KI-Modelle oder für statistische Analysen. Anonymisierung bedeutet, dass ein Personenbezug irreversibel entfernt wurde und keine Rückführung auf Einzelpersonen möglich ist.
Pflichten der FBL GmbH & Co. KG
Rechtsgrundlage sicherstellen
Vor jeder Verarbeitung personenbezogener Daten durch OpenAI muss FBL eine rechtliche Grundlage gemäß Art. 6 DSGVO sicherstellen. Dies kann eine Einwilligung der betroffenen Person, die Erfüllung eines Vertrags, eine rechtliche Verpflichtung oder ein berechtigtes Interesse sein. Ohne gültige Rechtsgrundlage darf keine Verarbeitung erfolgen.
Transparenz gegenüber Betroffenen
FBL ist verpflichtet, alle betroffenen Personen umfassend über die Datenverarbeitung zu informieren. Dies erfolgt typischerweise über Datenschutzerklärungen, die transparent und in verständlicher Sprache darlegen, welche Daten zu welchem Zweck verarbeitet werden, wer Zugriff hat und welche Rechte die Betroffenen haben. Die Information muss vor der Verarbeitung erfolgen.
Sichere Nutzung der Dienste
FBL muss technische und organisatorische Maßnahmen ergreifen, um die sichere Nutzung der OpenAI-Dienste zu gewährleisten. Dazu gehören: Starke Passwörter und deren regelmäßige Änderung, Nutzung von Multi-Faktor-Authentifizierung, Schulung der Mitarbeiter im Umgang mit sensiblen Daten, regelmäßige Überprüfung der Zugangsberechtigungen und Einhaltung interner Richtlinien zur Datenverarbeitung.
Keine unsicheren Kommunikationswege
Personenbezogene Daten dürfen niemals über unsichere Kanäle an OpenAI übermittelt werden. FBL muss sicherstellen, dass die Datenübertragung ausschließlich über verschlüsselte Verbindungen erfolgt. Die Nutzung unsicherer E-Mail-Anhänge, unverschlüsselter Cloud-Speicher oder öffentlicher WLAN-Netze ohne VPN ist untersagt. Bei Zweifeln sind IT-Sicherheitsexperten zu konsultieren.
Risiken bei Nichteinhaltung
Bußgelder
Verstöße gegen die DSGVO können zu empfindlichen Bußgeldern führen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für weniger schwere Verstöße. Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes für schwerwiegende Verstöße wie fehlende Rechtsgrundlagen oder Missachtung von Betroffenenrechten. Die Aufsichtsbehörden haben in den letzten Jahren ihre Durchsetzung deutlich verschärft.
Imageschäden
Datenschutzvorfälle oder öffentlich gewordene Compliance-Mängel können erhebliche Reputationsschäden verursachen. Vertrauensverlust bei Kunden und Geschäftspartnern, negative Medienberichterstattung und der Verlust von Wettbewerbsvorteilen sind mögliche Folgen. Gerade im Automotive- und Beratungsbereich ist Vertrauen ein entscheidender Erfolgsfaktor.
Vertragsrisiken
Nichteinhaltung der Vereinbarung kann zur Kündigung durch OpenAI, zu Schadenersatzforderungen oder zu rechtlichen Auseinandersetzungen führen. Zudem können Kunden von FBL ihre Verträge kündigen, wenn sie Zweifel an der Datensicherheit haben. Langfristige Geschäftsbeziehungen können irreparabel geschädigt werden.
Abschluss: Was muss FBL mitnehmen?
1
Klare Rollenverteilung
FBL ist Verantwortlicher und trägt die Hauptverantwortung für die Einhaltung der DSGVO. OpenAI agiert als Auftragsverarbeiter nach Weisung. Diese Unterscheidung ist fundamental für alle weiteren Compliance-Maßnahmen.
2
Transparenz als Grundprinzip
Alle Datenverarbeitungsvorgänge müssen transparent dokumentiert und kommuniziert werden – sowohl intern als auch gegenüber betroffenen Personen. Nur so kann Vertrauen aufgebaut und rechtliche Sicherheit gewährleistet werden.
3
Technische Sicherheit hat Priorität
Die umfangreichen technischen und organisatorischen Maßnahmen von OpenAI bieten ein hohes Schutzniveau. FBL muss diese Maßnahmen durch eigene Sicherheitsvorkehrungen ergänzen und die Mitarbeiter entsprechend schulen.
4
Proaktive Risikominimierung
Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Regelmäßige Überprüfungen, Schulungen und Anpassungen an neue rechtliche oder technische Entwicklungen sind erforderlich.
5
Nutzen für Professionalität
Eine sorgfältige Umsetzung der DVA stärkt nicht nur die Compliance, sondern auch die Wettbewerbsposition von FBL. Kunden schätzen datenschutzkonforme Partner und sind bereit, langfristige Geschäftsbeziehungen aufzubauen.
Fragen & nächste Schritte
To-Dos für FBL
- Abstimmung mit dem Datenschutzbeauftragten: Die DVA sollte gemeinsam mit dem DSB geprüft und ggf. angepasst werden. Der DSB kann wertvolle Hinweise zu spezifischen Risiken und Anforderungen geben.
- Dokumentation interner Prozesse: Alle relevanten Verarbeitungstätigkeiten sollten im Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert werden. Dies ist eine DSGVO-Pflicht und erleichtert spätere Audits.
- Mitarbeiterschulung: Alle Mitarbeiter, die mit OpenAI-Diensten arbeiten, müssen im datenschutzkonformen Umgang geschult werden. Schulungen sollten regelmäßig wiederholt und aktualisiert werden.
- Regelmäßige Überprüfung: Die DVA und die Einhaltung der Verpflichtungen sollten mindestens jährlich überprüft werden.
Ihre Ansprechpartner
FBL GmbH & Co.KG
Automotive Management + Beratung + Digitalisierung + KI-Strategie
Automotive Management + Beratung + Digitalisierung + KI-Strategie
Speckenstraße 23
59302 Oelde - Stromberg
59302 Oelde - Stromberg
E-Mail: [email protected]
Tel.: +49 (0)49 160 71 93 100
Tel.: +49 (0)49 160 71 93 100
Bei Fragen zur Datenverarbeitungsvereinbarung oder zu spezifischen Compliance-Themen stehen wir Ihnen gerne zur Verfügung.