Ein KI-Chatbot verarbeitet personenbezogene Daten in Echtzeit. Jede Konversation enthält Namen, E-Mail-Adressen, Telefonnummern - manchmal sogar Gesundheitsdaten oder Vertragsnummern. Und genau das macht Chatbots aus Datenschutzsicht heikler als die meisten anderen Werkzeuge, die Sie im Unternehmen einsetzen.
Trotzdem installieren viele Firmen einfach den günstigsten Chatbot vom Markt, ohne zu prüfen, wo die Daten landen. Das kann teuer werden - nicht nur bei einer Prüfung durch die Aufsichtsbehörde.
Warum Chatbots ein besonderes DSGVO-Risiko sind
Ein CRM speichert Daten, die jemand bewusst eingetragen hat. Ein Chatbot dagegen sammelt Daten im laufenden Gespräch - oft ungefiltert, oft unstrukturiert. Kunden tippen ihre Adresse ein, ihre Kundennummer, manchmal ihre Beschwerden mit Details, die kein Formular abfragen würde.
Das bedeutet:
- Echtzeitverarbeitung personenbezogener Daten ohne vorherige Filterung
- Unvorhersehbare Dateninhalte - Sie wissen vorher nicht, was Kunden schreiben
- Automatische Entscheidungen basierend auf dem Gesprächsverlauf (Weiterleitung, Priorisierung)
- Speicherung von Konversationsverläufen - je nach Anbieter unbegrenzt
All das fällt direkt unter die DSGVO. Und wenn Ihr Chatbot-Anbieter die Daten in den USA verarbeitet, haben Sie ein Problem.
Die drei größten DSGVO-Fallen bei Chatbots
1. US-Hosting und Schrems II
Nach dem Schrems-II-Urteil des EuGH (2020) ist die Übermittlung personenbezogener Daten in die USA nur unter strengen Bedingungen erlaubt. Das EU-US Data Privacy Framework hilft bei zertifizierten Unternehmen - aber viele Chatbot-Anbieter sind nicht zertifiziert, nutzen Unterauftragsverarbeiter in den USA oder haben Server in Regionen ohne angemessenes Schutzniveau.
Konkretes Risiko: Ihre Kunden schreiben persönliche Daten in den Chat. Diese landen auf einem Server in Virginia. Eine Aufsichtsbehörde fragt nach Ihrer Rechtsgrundlage für den Drittlandtransfer. Sie haben keine.
2. Fehlendes Auftragsverarbeitungsvertrag (AVV/DPA)
Jeder Chatbot-Anbieter, der personenbezogene Daten Ihrer Kunden verarbeitet, ist ein Auftragsverarbeiter nach Art. 28 DSGVO. Sie brauchen einen schriftlichen Auftragsverarbeitungsvertrag (AVV) - nicht irgendwann, sondern bevor der Chatbot live geht.
Viele SaaS-Anbieter haben ein DPA irgendwo in den AGB versteckt. Das reicht formal oft nicht aus, weil die technischen und organisatorischen Maßnahmen (TOMs) nicht ausreichend beschrieben sind.
3. Training auf Kundendaten
Das ist die versteckte Falle, die die meisten Unternehmen übersehen. Viele KI-Chatbot-Anbieter verwenden die Konversationsdaten, um ihre Modelle zu verbessern. Das heißt: Die Anfragen Ihrer Kunden fließen in das Training eines Sprachmodells ein - zusammen mit den Daten tausender anderer Unternehmen.
Ob das mit der DSGVO vereinbar ist, ist mehr als fraglich. Auf jeden Fall brauchen Sie dafür eine explizite Rechtsgrundlage - und die haben Sie in den meisten Fällen nicht.
DSGVO-Checkliste für Ihren KI-Chatbot
Bevor Sie einen Chatbot einsetzen oder Ihren bestehenden Anbieter überprüfen, gehen Sie diese Punkte durch:
Hosting und Infrastruktur
- Server-Standort in der EU (Frankfurt, Amsterdam, Helsinki - nicht "EU-Region" eines US-Anbieters)
- Verschlüsselung in Transit: TLS 1.3 für alle Verbindungen
- Verschlüsselung at Rest: AES-256 für gespeicherte Konversationsdaten
- Kein automatischer Transfer in Drittländer, auch nicht für Backups oder Analytics
Vertragliche Grundlagen
- Unterschriebener AVV/DPA mit konkreten TOMs (nicht nur ein Link zu einer Webseite)
- Klare Unterauftragsverarbeiter-Liste - wer verarbeitet die Daten noch?
- Vereinbarung über Datenaufbewahrung: Wie lange werden Konversationen gespeichert?
- Prozess für Löschanfragen: Können Sie Daten einzelner Nutzer auf Anfrage löschen?
Modell und Training
- Kein Training auf Ihren Kundendaten - schriftlich bestätigt
- Keine Weitergabe von Konversationsdaten an Dritte
- Optionales Logging: Sie entscheiden, ob und wie lange Konversationen gespeichert werden
Betroffenenrechte
- Auskunftsrecht (Art. 15): Können Sie alle gespeicherten Daten eines Nutzers exportieren?
- Recht auf Löschung (Art. 17): Vollständige Löschung inklusive Backups
- Einwilligungsmanagement: Cookie-Banner allein reicht nicht - bei einem Chatbot brauchen Sie eine separate Datenschutzinformation
Wie Syntalith das umsetzt
Wir bauen KI-Chatbots mit Datenschutz als Grundprinzip - nicht als nachträgliche Ergänzung. Konkret:
EU-only Hosting: Alle Chatbots laufen auf Servern bei Hetzner in Deutschland und Finnland. Keine US-Cloud, keine "EU-Region" bei einem amerikanischen Anbieter. Die Daten bleiben physisch in der EU.
Standard-AVV: Jeder Kunde erhält vor dem Go-Live einen vollständigen Auftragsverarbeitungsvertrag mit detaillierten TOMs. Kein Kleingedrucktes, kein Suchen in den AGB.
Kein Training auf Kundendaten: Wir nutzen die Sprachmodelle von OpenAI, Anthropic und Google als Dienstleister - aber die Konversationsdaten Ihrer Kunden werden niemals zum Training eines Modells verwendet. Das ist vertraglich festgelegt und technisch umgesetzt (API-Nutzung ohne Training-Opt-in).
Löschung auf Knopfdruck: Sie bestimmen die Aufbewahrungsfrist. Nach Ablauf werden Konversationen automatisch gelöscht. Auf Anfrage löschen wir einzelne Datensätze innerhalb von 48 Stunden.
Verschlüsselung durchgängig: TLS 1.3 für alle Verbindungen, AES-256 für gespeicherte Daten, verschlüsselte Backups.
Fünf Fragen, die Sie jedem Chatbot-Anbieter stellen sollten
Bevor Sie einen Vertrag unterschreiben:
1. Wo genau stehen Ihre Server? Akzeptieren Sie nur konkrete Standorte (Stadt, Rechenzentrum), nicht "Europa" oder "EU-Region".
2. Werden unsere Konversationsdaten zum Training verwendet? Bestehen Sie auf einer schriftlichen Bestätigung, dass keine Kundendaten in das Modell-Training einfließen.
3. Können Sie uns einen vollständigen AVV vorlegen? Nicht ein DPA-Addendum in den AGB, sondern einen eigenständigen Vertrag mit TOMs.
4. Wie funktioniert die Löschung? Fragen Sie nach dem konkreten Prozess: Wer löscht, wie schnell, inklusive Backups?
5. Welche Unterauftragsverarbeiter setzen Sie ein? Jeder Drittanbieter (Sprachmodell-API, Hosting, Analytics) muss benannt sein.
Wenn ein Anbieter auf eine dieser Fragen keine klare Antwort hat, ist das ein Warnsignal.
Was passiert bei einem Verstoß?
Die Bußgelder nach Art. 83 DSGVO sind bekannt: bis zu EUR 20.000.000 oder 4% des weltweiten Jahresumsatzes. Aber in der Praxis sind die häufigeren Konsequenzen:
- Anordnung zur Einstellung der Verarbeitung - Ihr Chatbot geht offline
- Nachforderung eines AVV - mit Frist und Androhung von Zwangsgeldern
- Reputationsschaden - besonders im B2B-Bereich, wo Datenschutz ein Einkaufskriterium ist
- Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO
Die meisten Fälle entstehen nicht durch böswillige Absicht, sondern durch Nachlässigkeit. Ein Chatbot ohne AVV, ein US-Server, den niemand geprüft hat - das reicht.
Was es kostet
DSGVO-Konformität ist kein Luxus-Aufpreis. Bei Syntalith ist sie Standard:
| Position | Betrag |
|---|---|
| Setup (LITE) | ab EUR 459 |
| Monatliche Betriebskosten | ab EUR 139 |
| AVV/DPA | im Setup enthalten |
| EU-Hosting | im Preis enthalten |
| DSGVO-Dokumentation | im Setup enthalten |
Zum Vergleich: Eine Abmahnung durch die Aufsichtsbehörde kostet mindestens EUR 5.000 an Anwaltskosten - selbst wenn kein Bußgeld verhängt wird.
Zusammenfassung
Ein KI-Chatbot ohne DSGVO-Konformität ist kein Risiko, das sich lohnt. Die gute Nachricht: Es ist nicht kompliziert, wenn Sie es von Anfang an richtig machen. EU-Hosting, ein sauberer AVV, kein Training auf Kundendaten, klare Löschprozesse - das sind die vier Säulen. Alles andere ergibt sich daraus.
Wenn Sie unsicher sind, ob Ihr aktueller Chatbot DSGVO-konform ist, oder wenn Sie einen neuen Chatbot planen - sprechen Sie mit uns. Wir prüfen Ihre Situation und zeigen Ihnen, was zu tun ist.