Ein KI-Chatbot auf der Unternehmenswebsite verarbeitet Nutzerdaten — das ist unvermeidbar. Damit beginnen die datenschutzrechtlichen Anforderungen. Wer als KMU einen KI-Chatbot einführt, muss die Verarbeitungsvorgänge kennen, den richtigen Rechtsrahmen wählen und die Auftragsverarbeitung mit dem Anbieter klar regeln.
Dieser Artikel gibt eine praxisnahe Übersicht der zentralen DSGVO-Anforderungen — ohne Juristendeutsch, aber mit konkreten Handlungsschritten.
Was ein KI-Chatbot an Daten verarbeitet
Jeder KI-Chatbot verarbeitet mindestens IP-Adressen und Gesprächsinhalte. Je nach Konfiguration kommen hinzu: Name, E-Mail-Adresse, Telefonnummer (wenn der Nutzer sie eingibt), Verhaltensdaten wie Klickpfade und Sitzungsdauer, sowie Inhalte, die in angebundene Systeme übertragen werden.
Die entscheidende Frage ist nicht ob, sondern wie diese Daten verarbeitet werden: Wer hat darauf Zugriff? Wo werden sie gespeichert? Wie lange werden sie aufbewahrt? Verlassen sie die EU?
Die fünf zentralen DSGVO-Pflichten
1. Rechtsgrundlage dokumentieren
Für jeden Verarbeitungsvorgang brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO. Für Kundenanfragen über einen Chatbot ist das typischerweise Art. 6 Abs. 1 lit. b (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f (berechtigtes Interesse). Wenn personenbezogene Daten für Marketing ausgewertet werden sollen, brauchen Sie in der Regel eine Einwilligung (lit. a).
2. Datenschutzerklärung aktualisieren
Sobald ein Chatbot live geht, muss die Datenschutzerklärung der Website die Datenverarbeitung durch das System dokumentieren: welche Daten, zu welchem Zweck, wie lange, wo gespeichert, an wen weitergegeben. Fehlt diese Information, verstoßen Sie gegen die Informationspflichten nach Art. 13 DSGVO.
3. Auftragsverarbeitungsvertrag (AVV) abschließen
Wenn der Chatbot-Anbieter Zugriff auf personenbezogene Daten Ihrer Nutzer hat, handelt es sich um Auftragsverarbeitung nach Art. 28 DSGVO. Sie brauchen zwingend einen schriftlichen AVV. Fehlt dieser Vertrag, riskieren Sie ein Bußgeld — unabhängig davon, ob tatsächlich ein Datenschutzverstoß vorliegt.
4. Speicherort und Drittlandübertragung prüfen
Läuft der Chatbot auf einem US-Server — was bei vielen SaaS-Anbietern der Fall ist —, findet eine Datenweitergabe in ein Drittland statt. Das ist nicht per se verboten, aber rechtfertigungspflichtig: entweder über Standardvertragsklauseln (SCCs) oder über besondere Schutzmaßnahmen. Die sicherste Lösung für deutsche KMU ist der Betrieb auf EU-Servern ohne Datentransfer in die USA.
5. Löschfristen und Datensparsamkeit umsetzen
Chatterlogs und Gesprächsdaten dürfen nicht unbegrenzt gespeichert werden. Definieren Sie vor dem Go-Live: Wie lange werden Gespräche gespeichert? Wer hat Zugriff? Gibt es eine automatische Löschroutine? Diese Fragen sollten im AVV und im Verarbeitungsverzeichnis beantwortet sein.
DSGVO-Checkliste: KI-Chatbot für KMU
- Verarbeitungsverzeichnis um Chatbot-Eintrag ergänzt (Art. 30 DSGVO)
- Rechtsgrundlage für jede Verarbeitungsart dokumentiert (Art. 6 DSGVO)
- Datenschutzerklärung aktualisiert: Chatbot, Verarbeitungszweck, Speicherdauer, Anbieter
- AVV mit Chatbot-Anbieter abgeschlossen (Art. 28 DSGVO)
- Serverstandort des Anbieters schriftlich bestätigt (EU oder Drittland mit SCCs)
- Löschfristen für Gesprächsdaten technisch umgesetzt
- Chatbot als KI-System erkennbar gekennzeichnet (kein Vortäuschen eines Menschen)
- Auskunfts- und Löschrecht für Nutzer sichergestellt (Art. 15, 17 DSGVO)
- Datenschutzbeauftragten eingebunden (sofern vorhanden oder gesetzlich vorgeschrieben)
Typische Fehler bei KMU
AVV vergessen. Viele KMU setzen einen Chatbot-Dienst auf, ohne einen AVV abzuschließen — oft weil der Anbieter ihn im Onboarding nicht aktiv anbietet oder tief in den Einstellungen versteckt. Fragen Sie aktiv danach, bevor Sie den Dienst aktivieren.
Serverstandort unbekannt. „Wir nutzen den Cloud-Dienst von Anbieter X“ ist keine ausreichende Antwort. Fordern Sie eine schriftliche Bestätigung des Serverstandorts — und prüfen Sie, ob der LLM-Anruf ebenfalls in der EU verbleibt oder an einen US-Dienst weitergeleitet wird.
KI-System als Mensch getarnt. Ein Chatbot, der vorgibt, ein Mensch zu sein, verstößt nicht nur gegen ethische Grundsätze. Bei Vertragsabschlüssen oder sensiblen Informationen kann das auch rechtliche Konsequenzen haben.
Datenschutzerklärung nicht aktualisiert. Diese Pflicht wird häufig vergessen oder auf „irgendwann später“ verschoben. Machen Sie es vor dem Go-Live — nicht danach.
Was DSGVO-konforme Implementierung in der Praxis bedeutet
Ein seriöser KI-Anbieter bietet Ihnen von Anfang an: einen dokumentierten EU-Serverstandort, einen vorformulierten AVV nach Art. 28 DSGVO, technische Datensparsamkeitsmaßnahmen und nachvollziehbare Löschroutinen.
Das ist keine Zusatzleistung — das ist Grundvoraussetzung für den deutschen Markt. Ein Anbieter, der dazu keine klaren Antworten liefert, ist kein geeigneter Partner für ein KMU in Deutschland.
—
Bei cyberEiche sind alle KI-Systeme von Anfang an DSGVO-by-Design entwickelt: EU-Serverstandort, AVV nach Art. 28, keine Weitergabe personenbezogener Daten an das Sprachmodell. Wenn Sie wissen möchten, wie das in Ihrer konkreten Situation aussieht, sprechen wir gerne in einem kostenlosen Erstgespräch.