Liedio
B2B-Trust · Recht

AVV für KI-Tools im Kindergarten — der Praxis-Guide für Träger und Leitungen

Zuletzt aktualisiert: · Fachredaktion Liedio

Wenn ein Kindergarten ein KI-Tool einsetzt — etwa für personalisierte Kinderlieder mit Vornamen oder für KI-gestützte Doku — gilt Art. 28 DSGVO. Dieser Guide erklärt, wann ein Auftragsverarbeitungsvertrag (AVV) nötig ist, was er enthalten muss, wie kirchliche Träger (DSG-EKD/KDG) zu behandeln sind, und welche Pflichten der EU AI Act ab 2026 ergänzt.

Brauche ich einen AVV für KI-Tools im Kindergarten?

Ja. Sobald eine KI-Plattform Daten von Kindergarten-Kindern verarbeitet — auch nur einen Vornamen für ein personalisiertes Lied — ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Bei kirchlichen Trägern gilt zusätzlich DSG-EKD (evangelisch) oder KDG (katholisch). Seriöse KI-Anbieter für Kindergärten stellen den AVV proaktiv bereit (PDF-Download), oft mit fertigem Muster-Text + TOMs + Subprozessoren-Liste.

Was ist ein AVV — und warum ist er Pflicht?

Ein Auftragsverarbeitungsvertrag (AVV) regelt nach Art. 28 DSGVO, wie ein externer Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Im Kindergarten-Kontext: Sobald ein Cloud-Tool, eine KI-Anwendung oder eine Foto-Plattform Daten von Kindern, Eltern oder Personal verarbeitet, ist der Träger verpflichtet, mit dem Anbieter einen AVV zu schließen. Ohne AVV ist die Verarbeitung rechtswidrig und kann mit Bußgeldern bis zu 20 Mio. Euro nach Art. 83 DSGVO geahndet werden.

Wichtig: Auch ein einzelner Vorname genügt. Sobald eine Information sich auf eine identifizierte oder identifizierbare natürliche Person bezieht (Art. 4 Nr. 1 DSGVO), liegt eine Verarbeitung personenbezogener Daten vor. In einer Kindergarten-Gruppe ist jeder Vorname in Kombination mit Gruppen- und Einrichtungsname einer konkreten Person zuordenbar.

KI-Tools im Kindergarten — was ist anders?

KI-Anwendungen im Kindergarten bringen drei zusätzliche Anforderungen:

1. Trainingsdaten-Klausel

Der AVV muss explizit ausschließen, dass Kindernamen oder andere Eingaben zum Training des KI-Modells verwendet werden.

2. EU AI Act-Klassifizierung

Seit Februar 2026 verlangt der EU AI Act Transparenz über die Risiko-Klasse der eingesetzten KI. Für Kindergarten-Tools ist die Klassifizierung „begrenztes Risiko" mit Transparenzpflichten relevant.

3. Modell-Hosting

EU-Hosting allein reicht nicht — wenn das KI-Modell selbst auf Drittland-Servern läuft, sind zusätzlich Standardvertragsklauseln nach Art. 46 DSGVO erforderlich.

Datenminimierung ist bei KI-Tools die wichtigste Schutzmaßnahme: Je weniger Daten verarbeitet werden, desto kleiner das Risiko. Liedio verarbeitet ausschließlich Vornamen + Anlass + Stimmung — keine Nachnamen, keine Geburtsdaten, keine Fotos, keine Kontaktdaten.

AVV für kirchliche Kindergarten-Träger (DSG-EKD und KDG)

Diakonie und evangelische Träger fallen unter das Kirchengesetz über den Datenschutz der EKD (DSG-EKD), Caritas und katholische Träger unter das Gesetz über den kirchlichen Datenschutz (KDG). Beide Regelwerke entsprechen weitgehend der DSGVO, haben aber eigene Aufsichtsbehörden (Beauftragte/r für den Datenschutz der EKD bzw. der jeweiligen Bistümer) und teilweise abweichende Einwilligungsformulierungen.

Ein guter Kindergarten-AVV ist DSG-EKD- und KDG-anschlussfähig formuliert: Er nennt parallel die DSGVO-Grundlagen und verweist auf die kirchenrechtliche Anwendbarkeit. So funktioniert er für staatliche, freie und kirchliche Träger gleichermaßen, ohne dass für jeden Träger eine Sonderversion ausgefertigt werden muss.

Liedios AVV ist genau so aufgebaut: ein Mantel-AVV für beliebige Trägertypen mit klarer DSG-EKD/KDG-Anschlussfähigkeit. Das spart kirchlichen Trägern die Verhandlung individueller Sonderverträge.

Liedio-AVV — Muster + Inhalt

Der Liedio-Muster-AVV liegt als PDF zum Download bereit und enthält alle Pflichtbestandteile aus Art. 28 Abs. 3 DSGVO sowie die KI-spezifischen Klauseln (Trainingsdaten-Ausschluss, EU AI Act-Klassifizierung, Modell-Hosting):

  • Datenminimierung: nur Vorname, Anlass und Stimmung
  • EU-Hosting (Server in Deutschland und Belgien)
  • Subprozessoren-Liste mit Sitz aller Auftragsverarbeiter
  • Keine Verwendung der Eingaben zu KI-Trainingszwecken
  • Löschung der Daten nach 30 Tagen (sofern keine längere Speicherung explizit vereinbart)
  • Audit-Recht des Trägers nach Vorankündigung
  • DSG-EKD/KDG-Anschlussfähigkeit für kirchliche Träger
  • Schriftform mit elektronischer Signatur möglich

Muster-AVV als PDF-Download

Der Muster-AVV ist sofort herunterladbar, anpassbar und vom Träger zu unterzeichnen. Bei Rückfragen oder gewünschten Anpassungen für kirchliche oder kommunale Träger: info@liedio.de.

AVV-Muster herunterladen (PDF) ↓

Checkliste: AVV-Prüfung für KI-Tools im Kindergarten

  1. Liegt ein AVV als PDF/Word zum Download bereit (oder nur per Klick)?
  2. Sind alle Pflichtbestandteile aus Art. 28 Abs. 3 DSGVO enthalten?
  3. Ist DSG-EKD/KDG-Anschlussfähigkeit für kirchliche Träger geklärt?
  4. Werden Eingaben (Vornamen) zum KI-Training verwendet — oder explizit ausgeschlossen?
  5. Wo läuft das KI-Modell selbst (EU oder Drittland)?
  6. Liegt eine vollständige Subprozessoren-Liste mit Sitz der Auftragsverarbeiter vor?
  7. Wie lange werden die Daten gespeichert, und wie ist die Löschung geregelt?
  8. Gibt es ein Audit-Recht für den Träger?
  9. Ist die EU AI Act-Klassifizierung des Tools dokumentiert (ab 2026)?
  10. Ist die Schriftform mit elektronischer Signatur möglich (für Multi-Standort-Träger)?

Häufige Fragen zum AVV im Kindergarten

Häufige Fragen

Sobald ein externer Dienstleister personenbezogene Daten von Kindern, Eltern oder Personal im Auftrag des Kindergartens verarbeitet, schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) vor. Das gilt für jede Cloud-App, jeden KI-Dienst, jede Foto-Plattform und jedes Lernspiel — auch wenn nur ein Vorname verarbeitet wird. Ohne AVV ist die Verarbeitung rechtswidrig.

Ja. Sobald eine KI-Plattform Daten von Kita-Kindern verarbeitet — auch nur Vornamen für ein personalisiertes Lied — ist ein AVV nach Art. 28 DSGVO Pflicht. Zusätzlich gelten ab Februar 2026 Transparenzpflichten aus dem EU AI Act. Seriöse KI-Anbieter für Kindergärten stellen einen AVV proaktiv bereit, ohne dass die Einrichtung danach fragen muss.

Pflichtbestandteile nach Art. 28 Abs. 3 DSGVO: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Daten, Kategorie der Betroffenen, Rechte und Pflichten beider Parteien, Weisungsbindung des Auftragsverarbeiters, Vertraulichkeit, Technische und Organisatorische Maßnahmen (TOMs), Subunternehmerketten, Unterstützung bei Betroffenenrechten, Löschungs- oder Rückgabepflicht nach Vertragsende, Audit-Rechte. Bei KI-Diensten zusätzlich: Trainingsdaten-Klausel, EU AI Act-Klassifizierung, Modell-Hosting-Standort.

Ja. Diakonie und evangelische Träger fallen unter das Kirchengesetz über den Datenschutz der EKD (DSG-EKD), Caritas und katholische Träger unter das Gesetz über den kirchlichen Datenschutz (KDG). Beide Regelwerke entsprechen weitgehend der DSGVO, haben aber eigene Aufsichtsbehörden und teilweise abweichende Einwilligungsformulierungen. Ein guter Kindergarten-AVV ist DSG-EKD- und KDG-anschlussfähig formuliert, sodass er für staatliche, freie und kirchliche Träger gleichermaßen funktioniert.

Der Träger als Verantwortlicher im Sinne der DSGVO ist Vertragspartner des AVV — nicht die einzelne Einrichtungsleitung. In der Praxis bereitet die Kindergarten-Leitung den Vertrag vor und legt ihn dem Träger zur Unterschrift vor. Bei Mehrstandort-Trägern empfiehlt sich ein zentraler Mantel-AVV, der für alle Einrichtungen gilt — das spart Verhandlungen mit jedem Standort einzeln.

Die Datenverarbeitung wird rechtswidrig. Bußgelder nach Art. 83 DSGVO sind möglich — bei Verstößen gegen Grundprinzipien bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes des Trägers. Realistisch werden gegen Kita-Träger niedrigere Bußgelder verhängt (vier- bis fünfstellig dokumentiert), aber bereits die Pflicht zur Meldung von Datenpannen, der Aufwand für Aufsichtsbehörden-Korrespondenz und der mögliche Reputationsschaden sind erheblich.

Die Einwilligung ist die Rechtsgrundlage der Erziehungsberechtigten gegenüber dem Kindergarten — sie erlaubt der Einrichtung, Daten ihrer Kinder zu verarbeiten. Der AVV regelt das Verhältnis Einrichtung/Träger zum externen Dienstleister — er sorgt dafür, dass der Dienstleister die Daten nur weisungsgebunden verarbeitet. Beide werden parallel benötigt: ohne Einwilligung darf der Kindergarten gar nicht erst verarbeiten, ohne AVV darf er die Verarbeitung nicht an Dritte auslagern.

Aufsichtsbehörden bewerten Klick-AVVs als problematisch, wenn sie nicht alle Pflichtbestandteile aus Art. 28 Abs. 3 DSGVO enthalten und nicht individuell unterschriebenfähig sind. Empfehlung: zusätzlich zum Klick-AVV einen unterschriebenen Mantel-AVV zwischen Träger und Anbieter abschließen. Seriöse Anbieter stellen das auf Anfrage sofort bereit.

Empfohlen: innerhalb von 5 Werktagen nach Anfrage durch den Träger. Bei seriösen B2B-Kindergarten-Anbietern liegt der AVV als Muster bereits öffentlich verfügbar bereit (PDF-Download), sodass die Trägerseite ihn vor dem Vertragsschluss prüfen kann. Liedio stellt seinen Muster-AVV unter liedio.de/avv-template.pdf bereit.

Ja — pro Anbieter ein AVV. Plus: Wenn der Anbieter Subunternehmer einsetzt (z. B. eine eigene KI-API für die Lied-Generierung), muss diese Subunternehmer-Kette im AVV transparent gemacht werden. Bei Cloud-AVVs ist eine vollständige Liste der Subprozessoren nach Art. 28 Abs. 4 DSGVO Pflicht — inklusive deren Sitz (für DSGVO-Drittlandtransfer-Beurteilung).

Verwandte Themen

DSGVO & GEMA für KinderliederDatenschutz & AVV für KindergärtenTrägerlizenz für mehrere StandorteEinwilligungsvorlage für ElternSicherheit & TOMsDatenschutzerklärungKI-Transparenz
Zur Homepage