Skip to main navigation Skip to main content Skip to page footer
"StocKinger Consulting GmbH" "StocKinger Consulting GmbH"

So kommen Unternehmen zum OpenAi Auftragsverarbeitungsvertrag (avv/dpa)

Warum dieses Thema wichtig ist

Sobald Unternehmen OpenAI-Dienste geschäftlich einsetzen – sei es über die API, ChatGPT Business oder ChatGPT Enterprise – stellt sich zwangsläufig die DSGVO‑Frage:

Gibt es einen Auftragsverarbeitungsvertrag (AVV) mit OpenAI – und wie komme ich dazu?

Die gute Nachricht: Ja, es gibt ihn. Die weniger gute: Er ist nicht ganz dort, wo man ihn intuitiv erwartet.

Dieser Artikel zeigt Schritt für Schritt:

  • was das OpenAI Data Processing Addendum (DPA) rechtlich ist,
  • für welche Lizenzen es gilt (API, Business, Enterprise),
  • wie man es abschließt und
  • woher man die benötigte Organization ID (Org ID) bekommt.

 

Was ist das OpenAI Data Processing Addendum?

Das Data Processing Addendum (DPA) von OpenAI ist der Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Darin regelt OpenAI unter anderem:

  • die Verarbeitung personenbezogener Daten im Auftrag des Kunden,
  • Zweckbindung und Weisungsgebundenheit,
  • technische und organisatorische Maßnahmen (TOMs),
  • Unterauftragsverarbeiter,
  • internationale Datentransfers (inkl. EU‑Standardvertragsklauseln, SCCs).

Das offizielle Dokument findest du hier: https://openai.com/de-DE/policies/data-processing-addendum/

Wichtig: Das DPA gilt nicht automatisch, sondern wird aktiv abgeschlossen.

 

Für welche OpenAI‑Produkte gilt das DPA?

Das OpenAI‑DPA gilt für alle kommerziellen OpenAI‑Angebote, bei denen OpenAI als Auftragsverarbeiter agiert:

Gilt für

  • OpenAI API (inkl. GPT‑4.x, GPT‑4o, Assistants, Fine‑Tuning)
  • ChatGPT Business
  • ChatGPT Enterprise

Gilt nicht für

  • ChatGPT Free
  • ChatGPT Plus (Privatnutzung)

Entscheidend ist also nicht das Tool, sondern der vertragliche Nutzungskontext.

 

Wie kommt ein Kunde zum Vertrag?

Der Weg zum AVV läuft nicht über den Admin‑Bereich von ChatGPT, sondern über ein separates Signatur‑Formular.

Schritt 1: Organisation bei OpenAI anlegen (ChatGPT Account oder API Account)

Voraussetzung ist eine Organisation im OpenAI‑Platform‑Account.

Das erfolgt unter: https://platform.openai.com/settings/organization/general

Dort sieht man:

  • Organisationsname
  • Organization ID (Org ID)
  • Verifizierungsstatus

Schritt 2: Die Organization ID (Org ID) finden

Die Org ID ist ein technischer, aber rechtlich relevanter Identifier.

So findest du sie:

  1. Öffne https://platform.openai.com/settings/organization/general
  2. Wechsle in den Bereich Organization → General
  3. Kopiere den Wert Organization ID (beginnt typischerweise mit org-…)

Diese Org ID wird im DPA‑Formular zwingend abgefragt.

Schritt 3: DPA‑Formular ausfüllen

Am Ende der DPA‑Seite https://openai.com/de-DE/policies/data-processing-addendum/ befindet sich der Link

„Datenverarbeitungsvereinbarung ausführen“

Dieser führt zu einem Online‑Formular (aktuell über ironcladapp.com).

 

Abgefragte Informationen

Im Formular werden u. a. verlangt:

  • Vollständiger rechtlicher Firmenname
  • Organization ID
  • Sitz im EWR oder der Schweiz (Ja/Nein)
  • zuständige OpenAI‑Vertragseinheit
  • zeichnungsberechtigte Person
  • E‑Mail‑Adresse des Unterzeichners

Nach Absenden:

  • erhält der Unterzeichner eine Bestätigung per E‑Mail
  • das DPA wird rechtswirksam Teil des Vertragsverhältnisses

Rechtlicher Effekt nach Abschluss

Nach erfolgreichem Abschluss gilt:

  • dein Unternehmen = Verantwortlicher (Controller)
  • OpenAI = Auftragsverarbeiter (Processor)

Das DPA:

  • kann ins Verzeichnis der Auftragsverarbeiter aufgenommen werden
  • ist Grundlage für DSFA, TOM‑Bewertungen und Datenschutz‑Audits
  • deckt API‑Nutzung, Business und Enterprise zentral ab

Typische Praxisfragen (kurz beantwortet)

Reicht der Link zum DPA allein? → Nein. Entscheidend ist der abgeschlossene Vertrag, nicht das Dokument an sich.

Muss ich das pro Projekt abschließen? → Nein. Das DPA gilt organisationsweit für die jeweilige Org ID.

Brauche ich zusätzlich SCCs? → Nein. Die SCCs sind Bestandteil des DPA.

Fazit

OpenAI macht es Unternehmen möglich, DSGVO‑konform mit modernen KI‑Modellen zu arbeiten –

aber nur, wenn man den formalen Schritt zum DPA aktiv geht.

Wer API, ChatGPT Business oder Enterprise nutzt, sollte:

  1. eine Organisation anlegen,
  2. die Org ID dokumentieren,
  3. das DPA‑Formular ausführen,
  4. den Vertrag sauber ablegen.

Damit ist OpenAI kein Graubereich mehr – sondern ein sauber eingebundener Auftragsverarbeiter.

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar, sondern beschreibt den aktuellen praktischen Ablauf aus Unternehmens‑ und Datenschutzsicht.