AV-Vertrag mit Aleph Alpha einrichten
Schritt-für-Schritt-Anleitung für DSGVO-konforme Nutzung von Luminous/Pharia Enterprise-Diensten

⚠️ Wichtig vorab: Diese Anleitung bezieht sich ausschließlich auf Aleph Alpha Enterprise-Dienste (API, Luminous-Modelle, Pharia). Für die kostenlose Testversion oder Chat-Oberfläche gelten abweichende Bedingungen.
Stand: Oktober 2025
Rechtsgrundlage: Art. 28 DSGVO, EU AI Act (in Kraft seit 01.08.2024, gestaffelte Umsetzung bis 2027)
1️⃣ Kontotyp prüfen
Nur Enterprise-Kunden mit API-Zugang erhalten automatisch einen rechtsgültigen Auftragsverarbeitungsvertrag (AVV/DPA). Der erste Schritt besteht darin, Ihren aktuellen Kontostatus zu überprüfen und gegebenenfalls ein Upgrade vorzunehmen.
Enterprise/Business
  • Vollständiger Zugang via Aleph Alpha API
  • DPA wird automatisch Teil der Terms of Service
  • On-Premise und Private Cloud Deployment möglich
  • Souveränes Hosting in Deutschland/EU verfügbar
  • Dedizierter Account Manager und technischer Support
  • Individuelle Vertragsgestaltung möglich
Test-/Free-Tier
  • Kein automatisches DPA verfügbar
  • Nicht für personenbezogene Daten geeignet
  • Nur für Entwicklungs- und Testzwecke
  • Eingeschränkte API-Funktionen
  • Keine Garantien für Datenlöschung
  • Begrenztes Anfragevolumen

Handlungsempfehlung: Wenn Sie derzeit nur die kostenlose Test-API nutzen, kontaktieren Sie Aleph Alpha für ein Enterprise-Upgrade unter: enterprise@aleph-alpha.com
2️⃣ Data Processing Agreement aktivieren
Beschaffung des DPA
01
Enterprise-Vertrag abschließen
Registrieren Sie sich für einen Enterprise Account unter https://aleph-alpha.com/enterprise und vereinbaren Sie ein Beratungsgespräch.
02
DPA anfordern
Das DPA ist nicht öffentlich herunterladbar und wird individuell mit dem Enterprise-Vertrag bereitgestellt. Kontaktieren Sie legal@aleph-alpha.com oder Ihren Account Manager.
03
Vertragsbestandteile prüfen
Lassen Sie das DPA durch Ihre Rechts- oder Datenschutzabteilung prüfen, bevor Sie es unterzeichnen.
Wesentliche Vertragsbestandteile
  • Verarbeitungszweck: API-Nutzung, Modell-Inferenz, optionales Fine-Tuning
  • Datenarten: Von Ihnen definiert (Input-Prompts, Dokumente, Metadaten)
  • Verarbeitungsdauer: Während der Vertragslaufzeit plus definierte Nachlauffrist
  • Subprozessoren: Vollständige Liste wird separat bereitgestellt und regelmäßig aktualisiert
  • TOMs (Art. 32 DSGVO): Detailliertes Sicherheitskonzept mit Zertifizierungen verfügbar
Hosting-Optionen
Aleph Alpha bietet verschiedene Hosting-Modelle an, die unterschiedliche Sicherheits- und Compliance-Anforderungen erfüllen. Die Wahl des richtigen Modells ist entscheidend für die DSGVO-Konformität.
Deutschland/EU-Hosting
Sovereign Cloud
  • Dediziertes Hosting in deutschen Rechenzentren
  • Daten verlassen niemals die EU
  • Ideal für sensible Daten und Behörden
  • Volle DSGVO-Compliance ohne Drittlandtransfer
  • Zugang zu deutschen Zertifizierungen (z.B. BSI)
Private Cloud/On-Premise
Maximale Kontrolle
  • Vollständige Kontrolle über Datenverarbeitung
  • Deployment auf eigener Infrastruktur (Azure, AWS, Google Cloud)
  • Kein Datentransfer zu Aleph Alpha
  • Höchste Sicherheitsstufe für kritische Anwendungen
  • Individuelle Sicherheitsarchitektur möglich

⚠️ Wichtig: Standardmäßig werden Daten in EU-Rechenzentren verarbeitet, aber prüfen Sie die genauen Standorte und Transfermechanismen explizit in Ihrem individuellen Vertrag!
3️⃣ Standardvertragsklauseln prüfen
Standardvertragsklauseln (SCCs) sind rechtliche Instrumente zur Legitimierung von Drittlandtransfers personenbezogener Daten. Ihre Notwendigkeit hängt von der gewählten Hosting-Option und den eingesetzten Subprozessoren ab.
EU-Hosting
Bei ausschließlicher Verarbeitung innerhalb der EU/EWR sind keine Standardvertragsklauseln erforderlich. Die DSGVO gilt direkt als Rechtsgrundlage.
Subprozessoren außerhalb EU
Wenn Aleph Alpha Subprozessoren mit Sitz außerhalb der EU einsetzt (z.B. Cloud-Provider), werden SCCs nach Kommissionsbeschluss 2021/914 automatisch Teil des DPA.
On-Premise Deployment
Bei vollständigem On-Premise Betrieb in Ihrer eigenen Infrastruktur entstehen keine Drittlandtransfers zu Aleph Alpha, sofern keine externen Services eingebunden sind.
Prüfungspunkte im DPA
  • Subprozessoren-Liste: Vollständige Auflistung aller eingesetzten Dienstleister mit Namen, Standort und Funktion
  • SCCs-Version: Verwendung der aktuellen Standardvertragsklauseln nach Kommissionsbeschluss 2021/914
  • Transfer Impact Assessment (TIA): Dokumentierte Bewertung der Rechtsrisiken bei US-Subprozessoren unter Berücksichtigung des Schrems-II-Urteils
  • Zusätzliche Schutzmaßnahmen: Technische und organisatorische Maßnahmen, die über SCCs hinausgehen (z.B. Verschlüsselung, Pseudonymisierung)
4️⃣ Training & Datenspeicherung konfigurieren
Ein zentraler datenschutzrechtlicher Aspekt bei der Nutzung von KI-Diensten ist die Frage, ob und wie Ihre Eingabedaten für das Training oder die Verbesserung der Modelle verwendet werden. Aleph Alpha verfolgt hier einen strikten Ansatz.
Standardeinstellungen
Aleph Alpha speichert KEINE Daten für Modelltraining
  • Eingaben werden ausschließlich für die Verarbeitung Ihrer Anfrage verwendet
  • Keine automatische Speicherung von Prompts oder generierten Outputs
  • Keine Nutzung für Modellverbesserung ohne explizite vertragliche Vereinbarung
  • Strikte Trennung zwischen Produktionsdaten und Entwicklungsdaten
Logging und temporäre Speicherung
API-Logs
Werden für technische Zwecke und Fehlerdiagnose temporär gespeichert.
Standard: 30 Tage
Konfigurierbar: Je nach Enterprise-Vertrag
Custom Fine-Tuning
Bei eigenem Modelltraining bestimmen SIE die Datennutzung vollständig.
Kontrolle: Ihre Trainingsdaten
Speicherung: Nach Ihren Vorgaben
Compliance-Logs
Audit-Logs für DSGVO-Nachweise und Compliance-Dokumentation.
Zweck: Nachweispflichten
Zugriff: Auf Anfrage verfügbar

Wichtig: Es ist kein separater Opt-Out erforderlich – die Nicht-Nutzung Ihrer Daten für Training ist bei Aleph Alpha Enterprise standardmäßig gewährleistet und vertraglich zugesichert!
5️⃣ Verarbeitungsverzeichnis dokumentieren
Gemäß Art. 30 DSGVO sind Sie als Verantwortlicher verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die Nutzung von Aleph Alpha als Auftragsverarbeiter muss dort dokumentiert werden.
Pflichtangaben für das Verarbeitungsverzeichnis
Verantwortlicher
[Ihr Unternehmensname]
[Vollständige Adresse]
[Kontaktdaten des Datenschutzbeauftragten]
Auftragsverarbeiter
Aleph Alpha GmbH
Gipsstraße 15
10119 Berlin, Deutschland
privacy@aleph-alpha.com
Verarbeitungszweck
Konkrete Beschreibung, z.B.:
"Automatisierte Dokumentenanalyse mittels KI-gestützter Sprachmodelle"
"Chatbot für Kundenservice mit natürlicher Sprachverarbeitung"
Kategorien personenbezogener Daten
Beispiele:
• Kundennamen in Support-Tickets
• E-Mail-Inhalte und Metadaten
• Vertragsdokumente mit Kontaktdaten
• Mitarbeiter-Kommunikation
Kategorien von Betroffenen
Beispiele:
• Kunden und Interessenten
• Mitarbeiter und Bewerber
• Geschäftspartner
• Website-Besucher
Speicherdauer
Gemäß Ihrem Enterprise-Vertrag, z.B.:
"API-Logs: 30 Tage"
"Produktionsdaten: Keine dauerhafte Speicherung"
Technische und organisatorische Maßnahmen (TOMs)
Verweis auf Aleph Alphas Sicherheitskonzept:
  • ISO 27001-Zertifizierung (falls vorhanden)
  • Verschlüsselung in Transit und at Rest
  • Zugriffskontrollsysteme
  • Regelmäßige Security Audits
  • Incident Response Prozesse
Drittlandtransfer
Angabe erforderlich:
  • Bei EU-Hosting: "Nein, ausschließlich EU-Verarbeitung"
  • Bei Subprozessoren außerhalb EU: "Ja, auf Basis von SCCs gemäß Art. 46 DSGVO"
  • Drittland: [z.B. USA, Schweiz]
  • Garantien: Verweis auf SCCs im DPA
Weitere Compliance-Maßnahmen
Datenschutz-Folgenabschätzung (DSFA)
Art. 35 DSGVO fordert eine DSFA bei Hochrisiko-Verarbeitungen. Durchführen Sie eine DSFA, wenn Sie:
  • Umfangreiche automatisierte Entscheidungen treffen
  • Besondere Kategorien von Daten verarbeiten (Art. 9 DSGVO)
  • Systematisches Monitoring großer Bereiche durchführen
  • Profile erstellen, die rechtliche Wirkung entfalten
Betroffenenrechte sicherstellen
Implementieren Sie Prozesse zur Umsetzung von:
  • Auskunftsrecht (Art. 15): Welche Daten wurden verarbeitet?
  • Löschrecht (Art. 17): Entfernung auf Anfrage
  • Widerspruchsrecht (Art. 21): Opt-Out Möglichkeiten
  • Datenportabilität (Art. 20): Export in maschinenlesbarem Format
Informationspflichten erfüllen
Informieren Sie Betroffene transparent über den KI-Einsatz gemäß Art. 13/14 DSGVO:
  • Dass KI-Systeme zum Einsatz kommen
  • Welche Daten verarbeitet werden
  • An welche Auftragsverarbeiter Daten übermittelt werden
  • Wie lange Daten gespeichert werden
  • Welche Rechte Betroffene haben
6️⃣ AI Act Compliance prüfen
Der EU AI Act ist seit 01.08.2024 in Kraft und wird gestaffelt bis 2027 vollständig umgesetzt. Er regelt den Einsatz von KI-Systemen nach einem risikobasierten Ansatz.
Aleph Alpha als GPAI-Anbieter
Aleph Alpha Luminous und Pharia sind General Purpose AI (GPAI) Modelle. Der Anbieter (Aleph Alpha) unterliegt spezifischen Pflichten nach Art. 53 AI Act.
Pflichten für Aleph Alpha
  • Technische Dokumentation bereitstellen
  • Transparenz über Trainingsdaten und Modell-Fähigkeiten
  • Copyright-Compliance für Trainingsdaten nachweisen
  • AI Literacy-Maßnahmen für Nutzer anbieten
  • Energie-Effizienz dokumentieren
Ihre Pflichten als Betreiber
Die konkreten Anforderungen hängen von der Risikoeinstufung Ihrer Anwendung ab – nicht vom verwendeten Modell selbst!
Risikoeinstufung Ihrer Anwendung
⚠️ Hochrisiko-KI
Beispiele:
  • HR-Recruiting und Mitarbeiterbewertung
  • Kritische Infrastruktur (Energie, Verkehr)
  • Biometrische Identifizierung
  • Kreditwürdigkeitsprüfung
  • Strafverfolgung und Justiz
  • Bildung (Prüfungsbewertung)
Erforderliche Maßnahmen:
  • Risikomanagementsystem einrichten
  • Menschliche Aufsicht sicherstellen
  • Transparenz-Kennzeichnung
  • Konformitätsbewertung durchführen
  • Registrierung in EU-Datenbank (ab Mitte 2025)
  • Technische Dokumentation führen
  • Post-Market Monitoring
Minimales Risiko
Beispiele:
  • Chatbot für FAQ und Kundenservice
  • Dokumentenzusammenfassungen
  • Sprachübersetzungen
  • Content-Erstellung und -Optimierung
  • Interne Wissensmanagement-Systeme
Erforderliche Maßnahmen:
  • Transparenzpflicht: Nutzer informieren, dass KI eingesetzt wird
  • Freiwillige Verhaltenskodizes beachten
  • Grundlegende Dokumentation führen
  • Keine verpflichtende Konformitätsbewertung

Empfehlung: Lassen Sie Ihre konkrete Anwendung von einem spezialisierten KI-Compliance-Experten oder Rechtsanwalt für IT-Recht einordnen. Die Risikobewertung ist komplex und sollte nicht eigenständig ohne juristische Beratung erfolgen!
7️⃣ Löschen von Daten
Das Recht auf Löschung (Art. 17 DSGVO) muss auch bei der Nutzung von KI-Diensten gewährleistet werden. Aleph Alpha bietet klare Prozesse für die Datenlöschung.
1
API-Daten
Input/Output: Keine dauerhafte Speicherung
Verarbeitung: Nur zur Anfragebeantwortung
Löschung: Automatisch nach Verarbeitung
2
API-Logs
Zweck: Technische Diagnose und Fehleranalyse
Dauer: 30-90 Tage (vertragsabhängig)
Löschung: Automatisch nach Ablauf
3
Fine-Tuning Daten
Kontrolle: Vollständig bei Ihnen
Speicherung: Nach Ihren Vorgaben
Löschung: Auf Anfrage oder automatisch bei Vertragsende
Löschung beantragen
Schritt 1: Anfrage stellen
Betreff: "Löschung personenbezogener Daten gemäß Art. 17 DSGVO"
Schritt 2: Informationen angeben
Erforderliche Angaben in der E-Mail:
  • Ihre Account-ID oder Kundennummer
  • Zeitraum der betroffenen Verarbeitung
  • Art der zu löschenden Daten
  • Begründung (optional, aber empfohlen)
Schritt 3: Bestätigung erhalten
Löschfrist: Gemäß DPA, typischerweise innerhalb von 30 Tagen nach Vertragsende oder Löschanfrage
Sie erhalten eine schriftliche Bestätigung der durchgeführten Löschung.

⚠️ Hinweis: Die genannte 30-Tages-Frist ist ein typischer Branchenstandard. Prüfen Sie die exakten Löschfristen in Ihrem individuellen DPA, da diese je nach Vertragskonstellation variieren können!
8️⃣ Checkliste: Habe ich alles richtig gemacht?
Vor dem produktiven Einsatz von Aleph Alpha sollten Sie diese umfassende Checkliste durchgehen, um sicherzustellen, dass alle rechtlichen und technischen Anforderungen erfüllt sind.
1
Vertragliche Grundlagen
  • Enterprise-Vertrag mit Aleph Alpha abgeschlossen?
  • Data Processing Agreement (DPA) angefordert und unterzeichnet?
  • Hosting-Option geprüft und ausgewählt (EU/Deutschland/On-Premise)?
  • Subprozessoren-Liste eingesehen und dokumentiert?
2
Datenschutz-Compliance
  • Drittlandtransfers abgeklärt und SCCs vorhanden (falls erforderlich)?
  • Training-Einstellungen überprüft (Standard: deaktiviert)?
  • Verarbeitungsverzeichnis aktualisiert (Art. 30 DSGVO)?
  • DSFA durchgeführt (falls Hochrisiko-Verarbeitung)?
3
AI Act Anforderungen
  • AI Act Klassifizierung Ihrer Anwendung vorgenommen?
  • Menschliche Aufsicht etabliert (falls Hochrisiko-KI)?
  • Risikomanagementsystem implementiert (falls erforderlich)?
  • Dokumentationspflichten erfüllt?
4
Transparenz & Betroffenenrechte
  • Betroffene über KI-Einsatz informiert (Art. 13/14 DSGVO)?
  • Prozesse für Betroffenenrechte etabliert (Auskunft, Löschung)?
  • Datenschutzerklärung aktualisiert?
  • Löschkonzept definiert und dokumentiert?

Wenn alle Punkte gecheckt sind: Sie können DSGVO- und AI-Act-konform mit Aleph Alpha arbeiten!
🔗 Wichtige Links & Kontakte
Aleph Alpha Ressourcen
Enterprise-Informationen
Kontaktmöglichkeiten
Rechtliche Fragen
Für Vertragsfragen, DPA-Anforderungen, Compliance-Themen
Datenschutz
Für Löschanfragen, Betroffenenrechte, DSGVO-Fragen
Enterprise Sales
Für Upgrade-Anfragen, Vertragsverhandlungen, Beratung
Externe Ressourcen
  • Datenschutzkonferenz (DSK): https://www.datenschutzkonferenz-online.de
Häufige Fragen & Vergleiche
FAQ zu Aleph Alpha und Datenschutz
Ist Aleph Alpha DSGVO-konform?
Ja, für Enterprise-Kunden mit unterzeichnetem DPA und EU-Hosting. Die DSGVO-Konformität ist gegeben, wenn alle vertraglichen und technischen Anforderungen erfüllt sind.
Wo werden meine Daten verarbeitet?
Standardmäßig in der EU, typischerweise in Deutschland. On-Premise und Private Cloud Deployments ermöglichen vollständige Kontrolle über den Verarbeitungsort.
Nutzt Aleph Alpha meine Daten für Training?
Nein, nicht standardmäßig bei Enterprise-Kunden. Sie behalten volle Kontrolle über Ihre Daten. Eine Nutzung für Modelltraining erfolgt nur mit expliziter vertraglicher Vereinbarung.
Wie lange werden API-Logs gespeichert?
Typischerweise 30-90 Tage für technische Zwecke. Die genaue Dauer ist in Ihrem individuellen DPA geregelt und kann vertraglich angepasst werden.
Ist Aleph Alpha AI-Act-konform?
Aleph Alpha erfüllt die Anforderungen als GPAI-Anbieter. Die Compliance Ihrer spezifischen Anwendung muss jedoch zusätzlich geprüft und sichergestellt werden.
Kann ich Aleph Alpha für biometrische Identifikation nutzen?
Technisch möglich, aber rechtlich hochriskant. Dies qualifiziert als Hochrisiko-KI nach AI Act und erfordert umfassende Compliance-Maßnahmen, Konformitätsbewertung und behördliche Registrierung.
🛡️ Aleph Alpha im Anbietervergleich
vs. US-Anbieter
(OpenAI, Anthropic, Google)
Vorteile:
  • Souveränes EU/DE-Hosting
  • Keine Standard-Drittlandtransfers
  • Europäisches Unternehmen (deutsche GmbH)
  • Spezialisierung auf Enterprise & Behörden
  • Direkter Ansprechpartner in Deutschland
vs. Open-Source
(Llama, Mistral)
Vorteile:
  • Managed Service mit Support
  • DPA inklusive (bei Open-Source: kein DPA mit Meta/Mistral)
  • Professioneller Enterprise-Support
Nachteile:
  • Kostenpflichtig
  • Keine kostenlose Nutzung wie bei Llama
vs. Andere EU-Anbieter
(Mistral AI, Cohere)
Vorteile:
  • Spezialisierung auf deutsche/europäische Regulierung
  • Detaillierte DSGVO-Dokumentation
  • Deutschsprachiger Support
Nachteile:
  • Kleineres Modell-Ökosystem
  • Weniger Sprachvarianten
⚠️ Haftungsausschluss
Diese Anleitung dient ausschließlich Informationszwecken und ersetzt keine individuelle Rechtsberatung. Die Verträge von Aleph Alpha können sich jederzeit ändern. Prüfen Sie regelmäßig die aktuellen Bedingungen unter aleph-alpha.com.
Individuelle Prüfung erforderlich bei:
  • Spezifischen Hosting-Anforderungen (Behörden, kritische Infrastruktur, KRITIS)
  • AI Act Hochrisiko-Klassifizierung Ihrer konkreten Anwendung
  • Branchen-spezifischer Compliance (BaFin, Medizinprodukte, Bildung)
  • Drittlandtransfers bei Subprozessoren
  • Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
  • Einsatz in regulierten Sektoren (Finanzwesen, Gesundheitswesen)
  • Custom Fine-Tuning mit sensiblen Daten
  • Grenzüberschreitenden Datentransfers
Stand dieser Anleitung: Oktober 2025

Wichtiger Hinweis: Lassen Sie Ihren konkreten Anwendungsfall durch einen Fachanwalt für IT-Recht oder zertifizierten Datenschutzexperten prüfen, insbesondere bei Hochrisiko-Anwendungen oder sensiblen Datenverarbeitungen!