Chatbot DSGVO-konform betreiben: Anforderungen, Risiken und Lösungen
Wie Sie einen Chatbot DSGVO-konform einsetzen: Datenschutzanforderungen, Einwilligungspflichten, Hosting und welche Chatbot-Lösungen für DACH geeignet sind.
Warum DSGVO bei Chatbots wichtig ist
Chatbots auf B2B-Websites sammeln fast immer personenbezogene Daten — auch wenn Sie es nicht beabsichtigen. Die IP-Adresse allein reicht aus, um die DSGVO auszulösen. Dazu kommen Gesprächsinhalte, Email-Adressen und Firmendaten die Nutzer im Chat eingeben.
Die DSGVO-Anforderungen im Überblick
1. Rechtsgrundlage (Art. 6 DSGVO)
Für den Chatbot-Betrieb brauchen Sie eine Rechtsgrundlage:
- Einwilligung (Art. 6 Abs. 1 lit. a): Der Nutzer stimmt der Datenverarbeitung aktiv zu — sicherster Weg
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Kann argumentiert werden, ist aber angreifbar
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Nur wenn der Chatbot Teil eines Vertrags ist
Empfehlung: Einwilligung über Cookie-Banner vor der ersten Chatbot-Interaktion.
2. Informationspflichten (Art. 13/14 DSGVO)
Ihre Datenschutzerklärung muss enthalten:
- Dass ein Chatbot eingesetzt wird
- Welche Daten erhoben werden
- Zu welchem Zweck
- An wen Daten weitergegeben werden (z.B. AI-Provider)
- Wie lange Daten gespeichert werden
- Rechte des Nutzers (Auskunft, Löschung, Widerspruch)
3. Auftragsverarbeitung (Art. 28 DSGVO)
Wenn ein externer Anbieter den Chatbot betreibt oder Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) mit:
- Dem Chatbot-Softwareanbieter
- Dem AI-API-Provider (OpenAI, Anthropic, etc.)
- Dem Hosting-Provider
4. Drittlandtransfer (Art. 44-49 DSGVO)
Wenn Daten in die USA oder andere Drittländer fließen:
- EU-US Data Privacy Framework: Für zertifizierte US-Unternehmen möglich
- Standard Contractual Clauses (SCCs): Vertragliche Absicherung
- EU-Hosting: Sicherster Weg — Daten verlassen die EU nicht
5. Datensparsamkeit und Löschung
- Nur Daten sammeln die wirklich nötig sind
- Gesprächsdaten nach definiertem Zeitraum löschen (z.B. 30-90 Tage)
- Anonymisierung wo möglich
- Keine unnötige Weitergabe an Dritte
Chatbot-Lösungen und ihre DSGVO-Tauglichkeit
| Lösung | Hosting | DSGVO-Status | AVV verfügbar |
|---|---|---|---|
| Eigener Chatbot (Self-Hosted) | EU (eigener Server) | Sehr gut | Nicht nötig |
| Intercom | US/EU wählbar | Gut (mit EU-Hosting) | Ja |
| Drift | US | Kritisch | Ja, aber US-Verarbeitung |
| HubSpot Chatbot | EU wählbar | Gut | Ja |
| Custom (Claude API, EU Region) | EU (AWS Frankfurt) | Gut | Ja (Anthropic AVV) |
| ChatGPT Widget | US | Kritisch | Begrenzt |
Best Practices für DSGVO-konforme Chatbots
1. Einwilligung vor dem Chat
Der Chatbot sollte nicht automatisch Daten sammeln. Entweder:
- Cookie-Banner mit Chatbot-Kategorie
- Oder: Einwilligungstext im Chat selbst (“Mit der Nutzung des Chats stimmen Sie…“)
2. EU-Hosting bevorzugen
Wenn möglich: AI-API über EU-Regionen nutzen (AWS Frankfurt, Azure West Europe). Das eliminiert das Drittlandtransfer-Problem komplett.
3. Keine unnötigen Daten abfragen
Fragen Sie im Chat nur was Sie wirklich brauchen:
- Nötig: Name, Email (wenn Follow-up gewünscht)
- Nicht nötig: Telefon, Adresse, Geburtsdatum
4. Gesprächsdaten begrenzen
- Definieren Sie eine Aufbewahrungsfrist (30-90 Tage)
- Automatische Löschung nach Fristablauf
- Anonymisierung für Analytics
5. Transparenz
Machen Sie klar, dass es ein KI-Chatbot ist — nicht ein Mensch. Die EU AI Act Transparenzpflicht verlangt das zusätzlich zur DSGVO.
Checkliste: DSGVO-konformer Chatbot
- Rechtsgrundlage definiert (Einwilligung empfohlen)
- Datenschutzerklärung enthält Chatbot-Abschnitt
- Cookie-Banner schließt Chatbot ein
- AVV mit Chatbot-Anbieter abgeschlossen
- AVV mit AI-API-Provider abgeschlossen
- EU-Hosting oder SCCs für Drittlandtransfer
- Löschkonzept definiert und implementiert
- Nutzer werden als KI-Chat informiert
- Opt-Out-Möglichkeit vorhanden
- Datenminimierung umgesetzt
Fazit
Einen Chatbot DSGVO-konform zu betreiben ist machbar — erfordert aber sorgfältige Planung. Die sicherste Lösung: EU-gehosteter Chatbot mit Einwilligung, AVV und transparenter Datenschutzerklärung. Für B2B-Unternehmen im DACH-Raum ist ein eigener oder EU-gehosteter Chatbot die beste Wahl — US-basierte Lösungen ohne EU-Hosting sind ein vermeidbares Risiko.
Häufige Fragen
Muss ein Chatbot DSGVO-konform sein?
Ja. Sobald ein Chatbot personenbezogene Daten verarbeitet (Name, Email, IP-Adresse, Gesprächsinhalte), gilt die DSGVO. Das betrifft praktisch jeden Chatbot — auch wenn nur die IP-Adresse erfasst wird. Verstöße können bis zu 4% des Jahresumsatzes oder 20 Millionen Euro kosten.
Welche Daten sammelt ein Chatbot?
Typischerweise: IP-Adresse (automatisch), Gesprächsinhalte (Text), vom Nutzer eingegebene Daten (Name, Email, Firma), Metadaten (Zeitstempel, Browser, Standort), und bei AI-Chatbots die an externe APIs gesendeten Daten. Alle diese Daten unterliegen der DSGVO.
Darf ich ChatGPT als Chatbot auf meiner Website einsetzen?
Problematisch. ChatGPT (OpenAI) verarbeitet Daten auf US-Servern, was nach DSGVO kritisch ist. Alternativen: EU-gehostete LLM-APIs (z.B. Claude via AWS EU, Azure OpenAI in EU-Regionen), oder Self-Hosted Open Source Modelle. Mindestens: Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter.
Was brauche ich für einen DSGVO-konformen Chatbot?
1) Cookie-/Einwilligungsbanner vor Chatbot-Nutzung, 2) Datenschutzerklärung mit Chatbot-Abschnitt, 3) Auftragsverarbeitungsvertrag mit dem Chatbot-Anbieter, 4) EU-Hosting oder SCCs für Drittlandtransfers, 5) Löschkonzept für Gesprächsdaten, 6) Opt-Out-Möglichkeit.