Die Kernpunkte im Überblick
- Ein AVV ist nach Art. 28 DSGVO Pflicht, sobald ein KI-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet, etwa wenn du Kundendaten in ChatGPT eingibst.
- ChatGPT Free und Plus haben keinen Standard-AVV. Für Unternehmensdaten brauchst du Business, Enterprise oder die API. Claude, Copilot und Gemini liefern AVVs für ihre Business-Pläne.
- Der AVV muss alle Pflichtinhalte aus Art. 28 Abs. 3 abdecken, unter anderem Weisungsbindung, TOMs, Subunternehmer-Regelung und den Ausschluss des Modelltrainings mit deinen Daten.
- Fehlt der AVV, drohen Bußgelder bis 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Real verhängt wurden schon 5.000 Euro gegen einen kleinen Betrieb.
- Die Prüfung gelingt in fünf Schritten in unter einer Stunde pro Tool. Die kostenlose Checkliste weiter unten führt dich durch alle Pflichtpunkte.
Brauchst du einen AVV für KI-Tools? Die kurze Antwort
Ein Auftragsverarbeitungsvertrag (AVV) für KI-Tools ist Pflicht, sobald ein KI-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet. Artikel 28 DSGVO verlangt dafür einen schriftlichen Vertrag. Ohne AVV ist der Einsatz von ChatGPT, Claude oder Copilot mit Kundendaten rechtswidrig, egal wie gut das Tool funktioniert.
Die gute Nachricht: Die großen Anbieter liefern den AVV inzwischen selbst. Du musst ihn nicht aushandeln, sondern nur beschaffen, gegen die Pflichtinhalte prüfen und dokumentieren. Der Haken steckt in den Details, etwa bei kostenlosen Versionen, beim Datentransfer in die USA und bei der Frage, welche Nutzerdaten überhaupt beim Anbieter landen. Dieser Leitfaden ersetzt keine Rechtsberatung im Einzelfall. Wer den Datenschutz insgesamt ordnen will, findet Kontext im Beitrag zu ChatGPT im Unternehmen DSGVO-konform nutzen.
Warum der AVV bei KI-Tools so oft untergeht
Stell dir vor, dein Marketing-Team testet seit Wochen ChatGPT. Es formuliert Angebote, beantwortet Kundenmails, wertet Feedback aus. Alles läuft schneller. Niemand hat einen Vertrag unterschrieben, niemand hat die Rechtsabteilung gefragt. Das Tool war ja in zwei Minuten eingerichtet.
Genau hier entsteht das Risiko. In dem Moment, in dem eine echte Kundenmail mit Namen und Adresse in das Prompt-Feld kopiert wird, verarbeitet ein US-Anbieter personenbezogene Daten in deinem Auftrag. Damit greift Art. 28 DSGVO. Ohne AVV ist das ein Datenschutzverstoß, auch wenn nichts passiert und niemand etwas merkt.
Das Tückische: KI-Tools fühlen sich nicht wie klassische Auftragsverarbeitung an. Bei einem CRM ist jedem klar, dass dort Kundendaten liegen. Bei einem Chatfenster denkt kaum jemand an einen Vertrag. Die Daten fließen unsichtbar über einzelne Prompts ins System. Welche Werkzeuge bei euch im Umlauf sind, zeigt der Überblick zu KI-Tools für Geschäftsführer.
Dazu kommt die Tempo-Falle. KI-Tools werden von einzelnen Mitarbeitern eingeführt, nicht von der IT. Ein Agenturmitarbeiter nutzt seinen privaten ChatGPT-Account für Kundenprojekte. Ein Vertriebler lädt eine Interessentenliste in ein Recherche-Tool. Solche Schatten-KI entsteht schnell und bleibt unter dem Radar.
Besonders heikel wird es in Agenturen. Dort arbeitest du nicht nur mit eigenen Daten, sondern mit denen deiner Kunden. Wenn du eine Kundenliste durch ein KI-Tool jagst, bist du gegenüber deinem Kunden selbst Auftragsverarbeiter und brauchst zugleich einen AVV mit dem KI-Anbieter. Eine Kette aus Verträgen, die schnell reißt, wenn ein Glied fehlt.
Was ist ein AVV und wann brauchst du ihn für KI-Tools?
Ein Auftragsverarbeitungsvertrag (AVV) ist ein schriftlicher Vertrag zwischen dir als Verantwortlichem und einem Dienstleister, der personenbezogene Daten in deinem Auftrag verarbeitet. Er regelt, was der Dienstleister mit den Daten tun darf und was nicht. Rechtsgrundlage ist Artikel 28 der DSGVO.
Du brauchst ihn immer dann, wenn drei Bedingungen zusammenkommen: Es geht um personenbezogene Daten, ein externer Anbieter verarbeitet sie, und er tut das weisungsgebunden für dich, nicht für eigene Zwecke. Bei den meisten Cloud-basierten KI-Tools ist das der Fall, sobald du Kunden- oder Mitarbeiterdaten eingibst.
Ein Beispiel aus dem E-Commerce: Ein Onlineshop nutzt ein KI-Tool, um Produktrezensionen automatisch zu beantworten. Die Rezensionen enthalten Kundennamen. Der KI-Anbieter verarbeitet diese Namen in deinem Auftrag, ein AVV ist Pflicht. Anders liegt der Fall, wenn du nur einen anonymen Produkttext generieren lässt, ohne jeden Personenbezug. Dann liegt keine Auftragsverarbeitung vor.
Wichtig ist die Abgrenzung zur eigenen Verantwortlichkeit. Nutzt ein Anbieter deine Daten für eigene Zwecke, etwa zum Training seiner Modelle ohne deine Weisung, ist er kein reiner Auftragsverarbeiter mehr. Dann reicht ein AVV nicht, und die Nutzung wird rechtlich deutlich komplizierter. Wer die Verantwortung im Haus klar verteilen will, sollte über einen KI-Beauftragten im Unternehmen nachdenken.
Welche Daten darfst du überhaupt in KI-Tools eingeben?
Die klügste AVV-Strategie beginnt vor dem Vertrag, nämlich bei der Datenminimierung. Je weniger personenbezogene Daten du in ein KI-Tool gibst, desto kleiner ist dein Risiko. Art. 5 DSGVO verlangt ohnehin, nur die Daten zu verarbeiten, die für den Zweck wirklich nötig sind.
In der Praxis heißt das: Anonymisiere oder pseudonymisiere, wo es geht. Ein Händler, der Kundenfeedback mit KI auswerten will, kann Namen und Bestellnummern vorher entfernen. Aus „Frau Meier aus Coburg beschwert sich über Lieferzeit" wird „Kunde beschwert sich über Lieferzeit". Der Nutzen bleibt, der Personenbezug verschwindet, und der AVV-Bedarf sinkt.
Für ein produzierendes Unternehmen, das Serviceprotokolle analysiert, gilt dasselbe. Wer Daten vor der Eingabe säubert, reduziert nicht nur das rechtliche Risiko, sondern auch die Angriffsfläche bei einem Datenleck. Willst du firmeninternes Wissen sicher nutzbar machen, ist ein RAG-Chatbot als Wissensdatenbank oft der datensparsamere Weg.
Ganz ohne personenbezogene Daten geht es aber selten. Sobald echte Kundenkommunikation, Bewerbungen oder Personaldaten ins Spiel kommen, ist der AVV Pflicht. Datenminimierung ersetzt ihn nicht, sie verkleinert nur den Bereich, in dem du dich rechtlich absichern musst.
Welche Angaben muss ein AVV nach Art. 28 DSGVO enthalten?
Ein gültiger AVV muss die in Art. 28 Abs. 3 DSGVO genannten Pflichtinhalte abdecken. Fehlt einer davon, ist der Vertrag lückenhaft und schützt dich im Ernstfall nicht. Die Aufsichtsbehörden prüfen genau diese Punkte. Diese Angaben gehören zwingend hinein:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Art der Daten und die Kategorien betroffener Personen.
- Die Weisungsgebundenheit: Der Anbieter darf Daten nur auf deine dokumentierte Weisung hin verarbeiten.
- Vertraulichkeitsverpflichtung aller Personen, die Zugriff auf die Daten haben.
- Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten nach Art. 32 DSGVO.
- Regeln für den Einsatz von Subunternehmern, inklusive deiner Genehmigung und einer aktuellen Liste.
- Unterstützung bei Betroffenenrechten, bei Meldepflichten nach Datenpannen und bei der Datenschutz-Folgenabschätzung.
- Löschung oder Rückgabe aller Daten nach Vertragsende sowie Nachweis- und Kontrollrechte für dich, etwa durch Audits.
Bei KI-Tools lohnt ein zweiter Blick auf zwei Punkte: Werden deine Eingaben zum Training der Modelle genutzt? Und liegt eine transparente Subunternehmerliste vor? Seriöse Anbieter schließen das Training mit Geschäftskunden-Daten vertraglich aus. Prüfe das im AVV und in den Produktbedingungen, bevor du das Tool freigibst. Mehr zum rechtlichen Rahmen findest du im Beitrag zum EU AI Act für KMU.
Haben ChatGPT, Claude, Copilot und Gemini einen AVV?
Ja, alle vier großen Anbieter stellen für ihre Business- und Enterprise-Pläne einen AVV oder ein Data Processing Addendum (DPA) bereit. Der entscheidende Unterschied liegt in der Version: Kostenlose oder rein private Tarife sind meist nicht abgedeckt. Die folgende Übersicht zeigt den Stand für 2026.
| KI-Tool | AVV/DPA? | Gilt für | Besonderheit |
|---|---|---|---|
| ChatGPT (OpenAI) | Ja | Business, Enterprise, Edu, API | DPA seit 1. Januar 2026. Free und Plus ohne Standard-AVV. |
| Claude (Anthropic) | Ja | Team, Enterprise, API | AVV mit Standardvertragsklauseln (SCCs) für den Datentransfer. |
| Microsoft Copilot | Ja | Copilot für Microsoft 365 (kommerziell) | AVV in den Product Terms, automatisch aktiv. EU Data Boundary optional. |
| Google Gemini | Ja | Workspace Business und Enterprise | DPA nach DSGVO, aber US-Anbieter (CLOUD Act). |
OpenAI hat sein DPA zum 1. Januar 2026 in Kraft gesetzt. Es gilt automatisch für ChatGPT Enterprise, Business, Edu und die API. Für ChatGPT Free und Plus liegt kein AVV vor, was diese Versionen für Unternehmensdaten ausschließt. Genau daran scheitern viele Agenturen, die mit privaten Accounts arbeiten.
Microsoft liefert den AVV als Teil der Product Terms, er ist für alle kommerziellen Microsoft-365-Kunden aktiv. Prompts und Antworten aus Copilot fließen laut Microsoft nicht ins Modelltraining. Trotzdem bleibt vertragliche Sicherheit nur ein Teil des Ganzen: Im Januar 2026 sorgte ein Fehler in der Data-Loss-Prevention dafür, dass vertrauliche Inhalte in Copilot-Antworten auftauchten. Ein AVV ersetzt also keine saubere Konfiguration.
Google und Anthropic runden das Bild ab. Google stellt für Workspace mit Gemini ein DSGVO-konformes DPA bereit, bleibt als US-Anbieter aber dem CLOUD Act unterworfen. Anthropic bindet für Claude Standardvertragsklauseln direkt in den AVV ein. In allen Fällen gilt: Der Vertrag existiert, du musst ihn nur aktiv beschaffen und der richtigen Tarifstufe zuordnen.
Wie prüfst du einen KI-AVV in fünf Schritten?
Die Prüfung folgt einem festen Ablauf. Plane pro Tool etwa 45 bis 60 Minuten ein. Das ist kein Anwaltsjob, sondern eine strukturierte Kontrolle, die du intern erledigen kannst.
- Auftragsverarbeitung klären: Werden über das Tool personenbezogene Daten weisungsgebunden verarbeitet? Wenn nein, brauchst du keinen AVV, dokumentiere aber die Entscheidung.
- AVV beschaffen: Lade den Vertrag aus dem Trust Center oder der Admin-Konsole des Anbieters herunter. Bei manchen Diensten musst du ihn aktiv gegenzeichnen.
- Pflichtinhalte abgleichen: Gehe die Liste aus Art. 28 Abs. 3 durch. Nutze dafür die Checkliste in der Vorlage unten.
- Subunternehmer und Drittland prüfen: Kontrolliere die Liste der Subunternehmer und ob Standardvertragsklauseln für den Transfer in die USA vorliegen.
- TOMs prüfen und dokumentieren: Sieh dir die technischen und organisatorischen Maßnahmen an und trage das Tool in dein Verzeichnis von Verarbeitungstätigkeiten ein.
Für ein produzierendes Unternehmen, das ein KI-Tool zur Auswertung von Serviceanfragen einsetzt, bedeutet das konkret: einmal sauber prüfen, dokumentieren und danach nur bei Vertragsänderungen erneut kontrollieren. Wie du KI-Tools technisch sicher in deine Systeme einbindest, zeigt die KI-Implementierung. Wer maximale Kontrolle über die Daten will, prüft zusätzlich das Self-Hosting von n8n gegenüber der Cloud.
Kostenlose Vorlage: AVV-Prüf-Checkliste für KI-Tools (PDF)
Die Vorlage enthält die vollständige Prüf-Checkliste aller Pflichtinhalte nach Art. 28 DSGVO, eine Status-Übersicht für ChatGPT, Claude, Copilot und Gemini sowie eine Muster-Vertragsstruktur zum Ausfüllen. Eine praktische Arbeitshilfe, kein Rechtsdokument.
Vorlage als PDF herunterladen →Wie unterscheiden sich AVV, Nutzungsbedingungen und DSFA?
Der AVV ist nur ein Baustein von mehreren. Die Nutzungsbedingungen regeln das kommerzielle Verhältnis, also Preis, Leistung und Haftung. Der AVV regelt den Datenschutz. Beide gelten parallel, dürfen sich aber nicht widersprechen. Prüfe deshalb, ob die AGB dem AVV an einer Stelle die Wirkung nehmen.
Ein dritter Baustein ist die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Sie wird nötig, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte betroffener Personen birgt. Setzt du KI etwa für automatisierte Entscheidungen über Menschen ein, zum Beispiel im Bewerbermanagement, kann eine DSFA Pflicht sein, zusätzlich zum AVV.
Für die meisten KMU-Anwendungsfälle reicht der AVV plus ein Eintrag im Verarbeitungsverzeichnis. Wer KI-Inhalte erstellt, sollte parallel die Rechte klären, dazu passt der Beitrag zum Urheberrecht bei KI-generierten Inhalten. Ein unterschriebener AVV ersetzt weder die Prüfung der AGB noch eine bei hohem Risiko nötige DSFA.
Was tun, wenn ein Anbieter keinen AVV anbietet?
Bietet ein KI-Tool keinen AVV, hast du drei Optionen. Erstens: das Tool nicht mit personenbezogenen Daten nutzen und strikt auf anonymisierte Eingaben beschränken. Zweitens: auf einen Anbieter oder Tarif mit AVV wechseln. Drittens: ganz auf das Tool verzichten. Ein Einsatz mit echten Kundendaten ohne AVV ist keine Option, weil er offen gegen Art. 28 DSGVO verstößt.
Gerade bei kleineren KI-Startups oder Nischentools fehlt der AVV oft. Frage in dem Fall aktiv beim Support nach, viele Anbieter stellen ihn auf Anfrage bereit oder haben ihn im Trust Center versteckt. Bekommst du keine klare Antwort, ist das ein Warnsignal für den Reifegrad des Anbieters insgesamt.
Für den Handel und für Agenturen, die häufig neue Tools testen, lohnt sich eine einfache Regel: Kein Tool geht in den Produktivbetrieb mit Kundendaten, bevor der AVV vorliegt und geprüft ist. Diese Regel verhindert, dass ein hilfreiches Tool zur teuren Datenschutzlücke wird.
Was gilt beim Datentransfer in die USA?
Sobald ein US-Anbieter Daten außerhalb der EU verarbeitet, brauchst du eine Rechtsgrundlage für den Drittlandtransfer. In der Praxis sind das die Standardvertragsklauseln (SCCs), die im AVV enthalten sein sollten. Anthropic etwa bindet diese Klauseln direkt in seinen AVV ein.
Der Haken bleibt der US-CLOUD-Act. Auch wenn Daten physisch in einem EU-Rechenzentrum liegen, können US-Behörden theoretisch Zugriff verlangen, weil der Anbieter US-amerikanisch ist. Das gilt für Google, Microsoft und OpenAI gleichermaßen. Die SCCs mindern das Risiko, heben es aber nicht vollständig auf.
Für sensible Daten lohnt daher der Blick auf Zusatzoptionen: EU Data Boundary bei Microsoft, EU-Datenhaltung bei OpenAI Enterprise oder europäische Modell-Alternativen. Wer Gesundheits- oder Finanzdaten verarbeitet, sollte diese Fälle mit einem Datenschutzbeauftragten abstimmen und nicht allein auf den Standard-AVV vertrauen.
Was die Zahlen über AVV und KI-Nutzung zeigen
Die Verbreitung von KI wächst schneller als die dazugehörige Compliance. Diese Daten ordnen das Risiko ein:
- Laut ifo Institut (2026) nutzten im Mai 2026 bereits 54,5 Prozent der deutschen Unternehmen KI, nach 40,9 Prozent ein Jahr zuvor. Mittlere Unternehmen liegen mit 47,2 Prozent noch unter dem Schnitt.
- Laut KfW Research (2026) setzten 20 Prozent der kleinen und mittleren Unternehmen zwischen 2022 und 2024 KI ein, eine Verfünffachung innerhalb von sechs Jahren.
- Rund 73 Prozent der KI-nutzenden Unternehmen setzen auf generative KI wie ChatGPT oder Claude, also genau die Tools, bei denen der AVV zur Pflicht wird.
- Der Bußgeldrahmen der DSGVO reicht bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist.
- Real verhängt: 5.000 Euro gegen ein Versandunternehmen wegen eines fehlenden AVV und 15 Millionen Euro gegen einen Konzern im Juni 2025 wegen mangelnder Kontrolle seiner Auftragsverarbeiter.
Die Botschaft dahinter ist klar. Behörden skalieren die Höhe nach Unternehmensgröße, treffen aber auch kleine Betriebe. 5.000 Euro tun einem Zehn-Personen-Betrieb weh, und der Aufwand für einen sauberen AVV liegt bei einem Bruchteil dieser Summe. Eine breitere Datenbasis zur KI-Nutzung im Mittelstand liefert der Statistik-Überblick 2026.
Die wichtigsten Lehren für deinen AVV-Prozess
Wenn du KI-Tools im Unternehmen einsetzt, verankere den AVV als festen Schritt in der Tool-Einführung. Das spart dir spätere Nacharbeit und schützt vor bösen Überraschungen.
- Der AVV ist kein einmaliges Formular, sondern Teil deines laufenden Datenschutz-Managements.
- Kostenlose Tool-Versionen sind fast nie AVV-fähig. Trenne private Tests klar vom Einsatz mit echten Daten.
- Datenminimierung senkt dein Risiko, bevor der AVV überhaupt greift. Entferne Personenbezug, wo der Zweck es zulässt.
- Ein AVV allein reicht nicht. Konfiguration, Zugriffsrechte und Mitarbeiterschulung gehören dazu.
- Schatten-KI ist das größte Risiko. Kläre im Team, welche Tools erlaubt sind und welche nicht.
Checkliste vor der Freigabe eines KI-Tools:
- Habe ich geprüft, ob personenbezogene Daten beim Anbieter landen?
- Liegt ein unterzeichneter oder gegengezeichneter AVV vor?
- Deckt der AVV alle Pflichtinhalte aus Art. 28 Abs. 3 DSGVO ab?
- Ist der Drittlandtransfer über Standardvertragsklauseln abgesichert?
- Ist das Modelltraining mit meinen Daten vertraglich ausgeschlossen?
- Habe ich das Tool ins Verzeichnis von Verarbeitungstätigkeiten eingetragen?
- Weiß mein Team, welche Version des Tools genutzt werden darf?
Wie sich solche Leitplanken in eine übergeordnete Roadmap einfügen, zeigt der Leitfaden zur KI-Strategie für den Mittelstand.
Dein nächster Schritt zum sauberen AVV
Ein Auftragsverarbeitungsvertrag für KI-Tools ist keine Hürde, sondern eine überschaubare Pflichtaufgabe. Die Anbieter liefern die Verträge, du prüfst und dokumentierst sie. Der Aufwand liegt bei unter einer Stunde pro Tool, das Risiko ohne AVV bei bis zu 20 Millionen Euro.
Wichtig ist, dass du systematisch vorgehst, statt Tool für Tool zu improvisieren. Erst prüfen, ob überhaupt Auftragsverarbeitung vorliegt. Dann den AVV beschaffen, gegen die Pflichtinhalte abgleichen, den Drittlandtransfer klären und alles sauber ablegen. Unterschätze dabei die Kommunikation im Team nicht: Der beste AVV nützt wenig, wenn Mitarbeiter weiter private Accounts nutzen.
Dein konkreter erster Schritt: Erstelle eine Liste aller genutzten KI-Tools, auch der inoffiziellen, und prüfe sie mit der Vorlage oben. Ob sich strukturierter KI-Einsatz bei euch lohnt, zeigt schnell der KI-Check mit ROI-Rechner. Wenn du Bestandsaufnahme und Richtlinie strukturiert aufsetzen willst, ist ein KI-Audit der pragmatische Einstieg. Dieser Beitrag ersetzt keine Rechtsberatung im Einzelfall.
Häufige Fragen zum AVV für KI-Tools
Brauche ich für ChatGPT einen Auftragsverarbeitungsvertrag?
Ja, sobald du personenbezogene Daten eingibst. ChatGPT Business, Enterprise und die API haben ein DPA, das seit 1. Januar 2026 gilt. ChatGPT Free und Plus haben keinen Standard-AVV und sind für Unternehmensdaten daher ungeeignet.
Was passiert, wenn ich keinen AVV abschließe?
Ohne AVV verstößt du gegen Art. 28 DSGVO. Es drohen Bußgelder bis 20 Millionen Euro oder 4 Prozent des Jahresumsatzes sowie Schadenersatzansprüche betroffener Personen. Real verhängt wurden schon 5.000 Euro gegen einen kleinen Betrieb.
Reicht ein AVV, wenn ich mehrere KI-Modelle über einen Anbieter nutze?
Ja. Bündelt ein Anbieter mehrere Modelle, reicht ein AVV mit diesem Hauptanbieter. Er fungiert als Auftragsverarbeiter und muss seine Subunternehmer transparent auflisten. Prüfe diese Liste trotzdem sorgfältig.
Wer schließt den AVV im Unternehmen ab?
Der Verantwortliche, also dein Unternehmen, meist vertreten durch die Geschäftsführung oder eine bevollmächtigte Person. Bei den großen Anbietern genügt oft das Akzeptieren des Vertrags in der Admin-Konsole. Ein Datenschutzbeauftragter sollte prüfen.
Deckt der AVV auch den Datentransfer in die USA ab?
Nur wenn Standardvertragsklauseln (SCCs) enthalten sind. Diese sind bei seriösen Anbietern Teil des AVV. Der US-CLOUD-Act bleibt ein Restrisiko, das SCCs mindern, aber nicht vollständig ausschließen.
Muss ich das KI-Tool ins Verarbeitungsverzeichnis eintragen?
Ja. Jede Verarbeitung personenbezogener Daten gehört ins Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Vermerke dort das Tool, den Zweck, die Datenkategorien und den Anbieter samt AVV.
Gilt die AVV-Pflicht auch für kleine Unternehmen und Agenturen?
Ja, unabhängig von der Größe. Auch ein Fünf-Personen-Betrieb oder eine Agentur braucht einen AVV, sobald ein Dienstleister Daten im Auftrag verarbeitet. Aufsichtsbehörden nehmen kleine Unternehmen zunehmend in den Blick.
Quellen
DSGVO-Gesetz: Artikel 28, Auftragsverarbeiter (Volltext)
Plotdesk: Auftragsverarbeitungsvertrag (AVV) für KI-Dienste (2026)
Proliance: DSGVO-Check ChatGPT, Copilot und Gemini im Vergleich (2026)
Compound Law: Anthropic Auftragsverarbeitungsvertrag, DSGVO-Leitfaden (2026)
RosePartner: 5.000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag
ifo Institut: Companies in Germany Increasingly Relying on Artificial Intelligence (2026)
KfW Research: Einsatz von Künstlicher Intelligenz im Mittelstand, Fokus Nr. 533 (2026)