Enterprise
Der DSGVO-Auftragsverarbeitungsvertrag, erklärt
Verarbeitungsumfang, Unterauftragsverarbeiter, Übertragungsmechanismen und Ausführung — was der AVV abdeckt und der genaue Pfad, dem dein Datenschutzteam folgt, um ihn unterschrieben zu bekommen.
Ciaos DSGVO-Auftragsverarbeitungsvertrag (AVV) ist der Vertrag, der regelt, wie Ciao personenbezogene Daten in deinem Auftrag verarbeitet: der Umfang der Verarbeitung, die beteiligten Unterauftragsverarbeiter — einschließlich Modellanbieter, die unter Zero-Retention-Verträgen arbeiten — und die anwendbaren Übertragungsmechanismen. Anders als Anbieter, die den AVV als Nachgedanken behandeln, leitet Ciao ihn durch einen definierten Beschaffungspfad, sodass dein Rechtsteam echte Dokumente prüft und ausführt, keine Zusammenfassungen.
Veröffentlicht 2026-07-03 · Zuletzt aktualisiert 2026-07-03
Warum der AVV der Punkt ist, an dem KI-Plattformen hängen bleiben
Für ein europäisches Datenschutzteam — oder jedes Team, das europäische Nutzer bedient — ist der AVV kein Papierkram, er ist die Kontrolle. Er definiert, was der Auftragsverarbeiter mit personenbezogenen Daten tun darf, welche Unterauftragsverarbeiter sie berühren, und auf welcher Rechtsgrundlage Daten Grenzen überschreiten. Eine KI-Entwicklungsplattform fügt eine Schicht hinzu, die ältere AVV-Vorlagen nie vorhergesehen haben: Modellanbieter, die in der Verarbeitungskette sitzen, mit ihrem eigenen Aufbewahrungsverhalten.
Hier bleiben viele KI-Tool-Evaluierungen stecken. Die Produktdemo läuft gut, dann fragt das Datenschutzbüro nach der Unterauftragsverarbeiter-Liste und den Aufbewahrungsbedingungen des Modellanbieters, und die Antwort des Anbieters ist ein Support-Ticket-Thread. Wochen vergehen. Deals — und interne Projekte — sterben in dieser Lücke, nicht weil die Antwort schlecht war, sondern weil sie niemand aufgeschrieben hatte.
Ciaos Ansatz ist, den AVV zu einem erstklassigen Beschaffungsartefakt zu machen. Der Vertrag deckt die Verarbeitung ab, die Ciao durchführt, um die Plattform zu betreiben, benennt die Kategorien der beteiligten Unterauftragsverarbeiter, und sitzt neben den Verpflichtungen, die deine Prüfer daneben sehen wollen: Kundencode wird nicht zum Training von Modellen verwendet, Inferenz läuft unter Zero-Retention-Modellverträgen, und SOC 2 Type II Berichte sind unter NDA verfügbar.
Was der AVV abdeckt
- Verarbeitungsumfang und Rollen — Was Ciao in deinem Auftrag verarbeitet, um die Plattform zu betreiben, in welcher Rolle, und zu welchem Zweck — das Verantwortlicher-Auftragsverarbeiter-Fundament, auf dem deine Datenschutzbewertung aufbaut.
- Unterauftragsverarbeiter — Die Kategorien der Unterauftragsverarbeiter hinter der Plattform — darunter Cloud-Infrastruktur- und Modellanbieter —, mit der aktuellen Liste als Teil der AVV-Dokumentensammlung, die dein Team vor der Unterschrift prüft.
- Modellanbieter im Rahmen — Die Modellschicht wird als Teil der Verarbeitungskette behandelt, nicht als Ausnahme davon: Inferenz läuft unter Zero-Retention-Modellverträgen, und Kundencode wird nicht zum Training von Modellen verwendet.
- Übertragungsmechanismen — Die für grenzüberschreitende Übertragungen anwendbaren Rechtsmechanismen sind im Vertrag dokumentiert, sodass dein DPO tatsächliche Sprache statt Zusicherungen bewertet.
- Deployment-Konfigurationen, die die Frage verkleinern — Deployment in dein eigenes AWS-, Azure- oder GCP-Konto, eine private VPC oder On-Prem unter separaten Bedingungen hält Anwendungsdaten innerhalb einer Infrastruktur, die du kontrollierst, was die Residenzanalyse vereinfacht. Siehe die Datenresidenz-Seite für diese Dimension.
- Sicherheitsmaßnahmen mit Nachweisen dahinter — Die vom AVV referenzierten technischen und organisatorischen Maßnahmen verbinden sich mit verifizierbaren Artefakten: SOC 2 Type II Berichten unter NDA und dem Security-Pack auf Anfrage.
Wie man den AVV ausführt
1. Die Dokumentensammlung anfordern
Kontaktiere das Enterprise-Team über die Kontaktseite und bitte um den AVV zusammen mit dem Security-Pack — sie sind so gestaltet, dass sie gemeinsam geprüft werden.
2. Umfang und Unterauftragsverarbeiter prüfen
Dein Datenschutzteam gleicht die Verarbeitungsbeschreibung und die Unterauftragsverarbeiter-Liste mit deinen Verarbeitungsverzeichnissen und deinem Risiko-Framework ab.
3. Die Modellschicht bewerten
Prüfe die Zero-Retention- und Kein-Training-Verpflichtungen als Teil derselben Übung; wenn du deine eigenen Modell-Keys oder Endpunkte mitbringst, fügen sich deine bestehenden Anbieterbedingungen in die Analyse ein.
4. Fragen mit einem Ansprechpartner klären
AVV-Fragen laufen als Teil der Beschaffung an das Enterprise-Team — ein benannter Prozess, kein Community-Forum.
5. Ausführen und ablegen
Der unterschriebene AVV wird Teil deiner Anbieterakte zusammen mit dem unter NDA geprüften SOC 2 Type II Bericht, was deinen Prüfern eine kohärente Beweissammlung gibt.
Verifikations- und kommerzielle Hinweise
Eine Seite wie diese kann den Vertrag selbst nicht ersetzen und versucht es nicht: Der AVV, die Unterauftragsverarbeiter-Liste und die Datenhandhabungs-Bedingungen sind Dokumente, die dein Rechtsteam während der Beschaffung vollständig liest. Was diese Seite verspricht, ist der Pfad — Anfrage über die Kontaktseite, Prüfung mit einem benannten Enterprise-Ansprechpartner, Ausführung als Teil des Engagements. Die AVV-Ausführung ist in der Enterprise-Beschaffung enthalten, statt separat verkauft zu werden; ernsthafte Produktionsprogramme beginnen bei 10.000 USD pro Jahr. Nichts hier ist Rechtsberatung — es ist eine Beschreibung des Workflows und der Dokumente, für die Menschen, deren Aufgabe es ist, sie zu bewerten.
Ein praktischer Tipp von Teams, die diese Prüfung schnell durchgeführt haben: Parallelisieren. Schicke den AVV in derselben Woche an den Datenschutz, den SOC 2 Type II Bericht an die Sicherheit und die kommerziellen Bedingungen an die Beschaffung — die Dokumentensammlung ist so gestaltet, dass die drei Prüfungen sich nicht gegenseitig blockieren, und das Enterprise-Team kann alle drei Threads gleichzeitig bearbeiten.
Die AVV-Prüfer-Checkliste, abgebildet
| Prüferfrage | Wo die Antwort liegt |
|---|---|
| Welche Verarbeitung führt der Anbieter durch? | Verarbeitungsumfang im AVV |
| Wer sind die Unterauftragsverarbeiter? | Unterauftragsverarbeiter-Liste in der AVV-Dokumentensammlung |
| Bewahren oder trainieren Modellanbieter mit unseren Daten? | Zero-Retention-Modellverträge; kein Training auf Kundencode — vertragliche Bedingungen |
| Welche Übertragungsmechanismen gelten? | Übertragungsbestimmungen im AVV |
| Welche Sicherheitsmaßnahmen stützen das? | SOC 2 Type II Bericht unter NDA; Security-Pack auf Anfrage |
| Wo laufen Anwendungsdaten physisch? | Deployment-Konfiguration: Ciao-Cloud, dein Cloud-Konto, private VPC, oder On-Prem unter separaten Bedingungen |
Häufig gestellte Fragen
Wie bekommen wir den AVV?
Fordere ihn als Teil eines Enterprise-Gesprächs über die Kontaktseite an. Er kommt mit dem Security-Pack und den Datenhandhabungs-Bedingungen, sodass deine Datenschutz- und Sicherheitsprüfungen parallel statt nacheinander laufen können.
Sind Modellanbieter als Unterauftragsverarbeiter aufgeführt?
Die Modellschicht ist als Teil der Verarbeitungskette in der AVV-Dokumentensammlung dokumentiert, zusammen mit den wichtigsten Verpflichtungen: Inferenz läuft unter Zero-Retention-Modellverträgen, und Kundencode wird nicht zum Training von Modellen verwendet.
Wie werden Änderungen an Unterauftragsverarbeitern mitgeteilt?
Der Benachrichtigungsmechanismus ist im AVV selbst definiert — dein Team prüft die genauen Bedingungen während der Beschaffung, statt sich auf eine Paraphrase hier zu verlassen. Die aktuelle Unterauftragsverarbeiter-Liste ist Teil der Dokumentensammlung, die du erhältst.
Ändert Deployment in unserer eigenen Cloud die AVV-Analyse?
Es verengt sie. Wenn die Anwendung in deinem eigenen AWS-, Azure- oder GCP-Konto, einer privaten VPC oder On-Prem unter separaten Bedingungen läuft, bleiben Anwendungsdaten innerhalb einer Infrastruktur, die du kontrollierst, was die Residenz- und Übertragungsfragen vereinfacht, die dein DPO beantworten muss.
Kann unsere externe Rechtsberatung prüfen, bevor wir uns kommerziell binden?
Ja. Der AVV und das Security-Pack werden während der Beschaffung genau deshalb geteilt, damit die rechtliche Prüfung vor der Unterschrift stattfindet, neben dem SOC 2 Type II Bericht unter NDA. Bring Rechtsberatung so früh wie möglich hinzu — die Dokumente sind für sie bereit.
Verwandte Seiten
Hol dir das Security-Pack.
DSGVO-AVV: Umfang, Unterauftragsverarbeiter, Unterschrift | Ciao