Zurück zum Blog

AVV mit KI-Anbietern: DSGVO-Checkliste fürs Maklerbüro 2026

Wann Maklerbüros einen AVV mit ihrem KI-Anbieter brauchen, welche Punkte Pflicht sind und was ohne gültigen Vertrag droht – die Checkliste 2026.

6 min lesezeit

Wann brauchst du überhaupt einen AVV mit deinem KI-Anbieter?

Ein Auftragsverarbeitungsvertrag (AVV) ist immer dann Pflicht, wenn ein KI-Anbieter im Auftrag deines Maklerbüros personenbezogene Daten verarbeitet – also praktisch immer, sobald Kundendaten in einen KI-Chat, einen Voice-Agent oder ein KI-gestütztes Analysetool fließen. Das ergibt sich direkt aus Art. 28 DSGVO: Sobald ein externer Dienstleister Daten "im Auftrag" des Verantwortlichen verarbeitet, wird er zum Auftragsverarbeiter, und für diese Konstellation schreibt die DSGVO einen schriftlichen oder elektronisch dokumentierten Vertrag vor.

Für Maklerbüros heißt das konkret: Nicht nur die Anbindung des CRM-Systems braucht einen AVV, sondern auch jedes KI-Tool, das Namen, Kontaktdaten oder Angaben zur Bedarfsanalyse eines Kunden verarbeitet – unabhängig davon, ob es sich um einen Chat-Assistenten, ein Diktiertool für Beratungsprotokolle oder ein Analyse-Feature im Maklerverwaltungsprogramm handelt.

Warum das Thema 2026 drängender wird

Die Zahl der Maklerbüros mit mindestens einem produktiv eingesetzten KI-Tool steigt spürbar, und mit ihr die Zahl der AVVs, die tatsächlich geprüft und aktuell gehalten werden müssen. Laut der Bitkom-Studie "Künstliche Intelligenz in Deutschland 2026" nutzen inzwischen 41 Prozent der Unternehmen ab 20 Beschäftigten aktiv KI-Anwendungen – deutlich mehr als im Vorjahr –, weitere 48 Prozent planen den Einsatz oder befinden sich in der Diskussionsphase.

Der Druck kommt dabei nicht nur von der Anbieterseite, sondern auch von den Kunden selbst: Nach einer repräsentativen Bitkom-Umfrage unter gut 1.000 Deutschen wünschen sich 47 Prozent KI-Unterstützung beim Ausfüllen eines Versicherungsantrags und 45 Prozent eine KI-gestützte Bedarfsanalyse nach einem Lebensereignis wie Hochzeit oder Umzug. Je mehr KI-Funktionen im Erstkontakt eingesetzt werden, desto mehr Verarbeitungsvorgänge müssen vertraglich sauber abgesichert sein.

Die Pflichtinhalte eines AVV nach Art. 28 DSGVO

Ein AVV muss laut Art. 28 Abs. 3 DSGVO mindestens folgende Punkte konkret regeln – ein pauschaler Verweis auf "geltendes Datenschutzrecht" reicht dafür nicht aus:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen (also deines Maklerbüros)
  • Vertraulichkeitsverpflichtung der beim KI-Anbieter eingesetzten Personen
  • Technische und organisatorische Sicherheitsmaßnahmen (TOMs)
  • Regeln zum Einsatz von Unterauftragsverarbeitern
  • Unterstützungspflichten bei Betroffenenrechten (Auskunft, Löschung, Berichtigung)
  • Meldepflichten bei Datenschutzverletzungen
  • Löschung oder Rückgabe der Daten nach Vertragsende
  • Nachweis- und Kontrollrechte des Verantwortlichen

KI-spezifische Fallstricke im AVV

Bei klassischen IT-Dienstleistern sind diese Punkte inzwischen Routine – bei KI-Anbietern kommen zusätzliche Fragen hinzu, die im Standard-AVV oft fehlen:

PrüfpunktWarum wichtigWorauf achten
Trainingsdaten-Opt-outOhne Ausschluss können Kundendaten ins Modelltraining einfließenVertraglich ausschließen lassen, dass Eingabedaten zum Training verwendet werden
DrittlandtransferViele KI-Anbieter verarbeiten (auch) außerhalb der EUStandardvertragsklauseln oder Angemessenheitsbeschluss prüfen
Unterauftragsverarbeiter (Subprozessoren)KI-Anbieter nutzen oft selbst Cloud- und Modellanbieter als SubprozessorenAktuelle Liste der Subprozessoren einfordern und Informationspflicht bei Änderungen vereinbaren
LöschfristenKI-Systeme protokollieren Anfragen teils länger als nötigKonkrete, kurze Löschfristen statt vager Formulierungen vereinbaren
Protokollierung und NachvollziehbarkeitBei Rückfragen der Aufsichtsbehörde muss die Datenverarbeitung erklärbar seinVertraglich festhalten, dass Verarbeitungsschritte dokumentiert und auf Anfrage einsehbar sind

Was passiert ohne gültigen AVV?

Fehlt ein wirksamer AVV, liegt ein eigenständiger DSGVO-Verstoß vor – unabhängig davon, ob die eigentliche Datenverarbeitung sauber läuft. Nach Art. 83 DSGVO drohen dafür Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für ein Maklerbüro ist die Wahrscheinlichkeit einer Höchststrafe zwar gering, doch schon eine Beanstandung durch die Aufsichtsbehörde bindet Zeit und schadet dem Vertrauen von Kunden, die ohnehin sensible Daten preisgeben.

Wie sich Haftungsfragen beim Einsatz von KI im Versicherungsvertrieb generell darstellen, auch über den Datenschutz hinaus, beschreibt unser Beitrag zur Maklerhaftung bei KI-Einsatz.

Wer im Maklerbüro für den AVV verantwortlich ist

In den meisten Maklerbüros gibt es keine eigene Rechtsabteilung, die AVVs routinemäßig prüft – die Verantwortung liegt damit faktisch bei der Geschäftsführung oder der Person, die für Datenschutz zuständig ist. Das ist unabhängig davon, ob ein Datenschutzbeauftragter bestellt ist: Auch ohne DSB bleibt das Maklerbüro als Verantwortlicher im Sinne der DSGVO für die Wirksamkeit und Aktualität seiner AVVs haftbar.

Praktisch bewährt sich deshalb eine kurze, aber verbindliche Prüfroutine: Bevor ein neues KI-Tool produktiv geschaltet wird, muss der zugehörige AVV vorliegen und gegen die Checkliste aus diesem Beitrag abgeglichen sein. Wird diese Prüfung an den Anfang des Auswahlprozesses gestellt statt sie nachträglich zu erledigen, lassen sich unpassende Anbieter frühzeitig aussortieren, ohne dass bereits Kundendaten geflossen sind. Kriterien für die Anbieterauswahl insgesamt – über den Datenschutz hinaus – haben wir in unserem Beitrag zur Checkliste zur KI-Anbieter-Auswahl zusammengefasst.

So gehst du praktisch vor

  1. Alle eingesetzten KI-Tools auflisten: Chat-Assistent, Voice-Agent, Diktier- oder Analysetools – jedes Tool, das mit Kundendaten arbeitet, gehört auf die Liste.
  2. Vorhandene AVVs prüfen: Existiert überhaupt ein AVV, und deckt er die KI-spezifischen Punkte aus der Tabelle oben ab?
  3. Fehlende Punkte nachfordern: Beim Anbieter aktiv nach Trainingsdaten-Opt-out, Subprozessoren-Liste und Löschfristen fragen, statt sie stillschweigend anzunehmen.
  4. Verzeichnis von Verarbeitungstätigkeiten aktualisieren: Jedes neue KI-Tool gehört ins bestehende Verzeichnis, inklusive Verweis auf den zugehörigen AVV.
  5. Wiedervorlage einplanen: AVVs sind kein einmaliges Dokument – bei Anbieterwechsel, neuen Funktionen oder neuen Subprozessoren muss der Vertrag erneut geprüft werden.

Wie sich Datenschutzfragen speziell rund um KI-Telefonie darstellen, behandelt unser Beitrag zu DSGVO und KI-Telefonie; einen Überblick über die regulatorischen Pflichten aus dem EU AI Act liefert unser Beitrag EU AI Act 2026 für Versicherungsmakler.

FAQ

Reicht ein allgemeiner AVV-Mustervertrag für alle KI-Anbieter aus? Nur, wenn er die KI-spezifischen Punkte wie Trainingsdaten-Opt-out, Drittlandtransfer und Subprozessoren-Liste konkret abdeckt. Ein generischer IT-Standard-AVV ohne diese Punkte reicht bei KI-Anbietern in der Regel nicht aus.

Muss ich für jedes einzelne KI-Feature einen eigenen AVV abschließen? Nein, in der Regel reicht ein AVV pro Anbieter, sofern er alle von diesem Anbieter bereitgestellten Funktionen abdeckt. Wechselst du zu einem zusätzlichen Anbieter für ein neues Feature, brauchst du dafür einen eigenen Vertrag.

Wer haftet, wenn der KI-Anbieter gegen den AVV verstößt? Grundsätzlich bleibt dein Maklerbüro als Verantwortlicher gegenüber Kunden und Aufsichtsbehörde in der Pflicht, kann sich aber im Innenverhältnis vertraglich gegenüber dem Anbieter absichern. Deshalb lohnt sich eine sorgfältige Prüfung des AVV vor Vertragsschluss.


Häufige Fragen rund um Datenschutz und KI-Einsatz im Maklerbüro beantwortet safebird.ai/faq – oder teste direkt, wie ein DSGVO-konform betriebener KI-Assistent in der Live-Demo auf safebird.ai arbeitet.

Datenschutz auf safebird.ai

Wir verwenden technisch notwendige Cookies für Betrieb und Sicherheit. Optionale Analyse und Performance-Messung laden wir nur mit deiner Zustimmung.

Datenschutzhinweise