KI Chatbot und DSGVO: Was Website-Betreiber prüfen müssen

Ein KI Chatbot kann Website-Besuchern schneller Orientierung geben, wenn Struktur, Inhalte und Eskalationspfade sauber geplant sind.

Ein KI Chatbot auf Ihrer Website kann Support beschleunigen, Leads qualifizieren und repetitive Aufgaben reduzieren. Dennoch birgt die Einführung eines KI-Chatbots ohne Prüfung der DSGVO-Anforderungen das Risiko von Bußgeldern und Vertrauensverlust bei Ihren Kunden. Dieser Leitfaden liefert eine praktische Checkliste, die Sie mit den Rechts-, Technik- und Produktteams vor der Veröffentlichung durchgehen sollten.

Nachfolgend finden Sie konkrete Schritte zum Aufzeichnen von Datenflüssen, zur Wahl der Rechtsgrundlage, zur Begrenzung der Speicherhaltung, zur Auswahl vertraglicher Bedingungen mit Anbietern sowie operative Prüfungen wie Datenschutz-Folgenabschätzung (DPIA), Vorbereitetheit bei Sicherheitsvorfällen und Umgang mit Betroffenenanfragen. Nutzen Sie diese Punkte als Arbeitscheckliste während der Implementierung und für regelmäßige Reviews.

Zuerst: Rollen und Verantwortlichkeiten klären

Warum das wichtig ist

Die DSGVO-Pflichten hängen davon ab, ob Sie für Interaktionen mit dem KI-Chatbot als Verantwortlicher oder als Auftragsverarbeiter auftreten. Eine klare Zuweisung beeinflusst Vertragsformulierungen, technische Kontrollen und wer auf Betroffenenanfragen reagiert.

Konkrete Schritte

• Entscheiden Sie, wer Verantwortlicher und wer Auftragsverarbeiter ist. Wenn Ihr Unternehmen Zweck und Mittel der Verarbeitung bestimmt (z. B. wenn Sie Transkripte für Analytics behalten wollen), sind Sie in der Regel Verantwortlicher.
• Fordern Sie vom Anbieter eine schriftliche Bestätigung seiner Rolle. Verarbeitet er Daten nur nach Ihren Weisungen, ist er Auftragsverarbeiter.
• Benennen Sie interne Verantwortliche: Rechts-/Compliance-Verantwortliche, Engineering-Lead, Produktverantwortliche und Support-Leitung. Veröffentlichen Sie ein kurzes Runbook, das Zuständigkeiten für Konfiguration, Anbieter-Management, Vorfallreaktion und Auskunftsersuchen regelt.
• Führen Sie eine Übersicht: Listen Sie Anbieter, deren Rolle, Ansprechpartner für AVV/Datenschutzfragen und Speicherorte der Daten auf. Das unterstützt die Dokumentation nach Artikel 30 DSGVO.

Erfassen, welche personenbezogenen Daten der KI-Chatbot erhebt und warum

Warum das wichtig ist

Sie können Verarbeitung nicht absichern oder rechtfertigen, wenn Sie nicht wissen, welche Daten durch den Bot laufen. Viele Chatbots erfassen E-Mail, Namen, Telefonnummern, Bestellnummern und Freitext, der sensible Daten enthalten kann.

Konkrete Schritte

• Erstellen Sie ein Dateninventar für den KI-Chatbot. Für jedes Feld oder Freitext-Eingabefeld erfassen Sie:
  • Datentyp (E-Mail, Name, Bestellnummer, Gesundheitsdaten, Standort, etc.)
  • Quelle (Benutzereingabe, vorausgefüllt aus CRM, Cookies)
  • Zweck (Support, Personalisierung, Modelltraining, Analytics)
  • Speicherort (nur Session, Datenbank, Anbieter-Logs, Modelltraining)
• Achten Sie besonders auf besondere Kategorien personenbezogener Daten (z. B. Gesundheit, Religion). Standardisieren Sie Blockierung oder verlangen Sie eine ausdrückliche Einwilligung.
• Identifizieren Sie versteckte Lecks. Chat-Transkripte enthalten oft Kontonummern, Zahlungsdaten oder Identifikatoren, die Nutzer unabsichtlich eingeben. Suchen Sie in historischen Logs nach Beispielen, um das Risiko zu quantifizieren.
• Kartieren Sie nachgelagerte Verwendungen: Dashboards, CRM-Anreicherung, Marketing-Automation oder Modell-Retrainings. Jede nachgelagerte Nutzung benötigt eine Rechtsgrundlage und technische Steuerung.

Rechtsgrundlage wählen und Einwilligung korrekt umsetzen

Warum das wichtig ist

Die DSGVO verlangt für jede Verarbeitung eine Rechtsgrundlage. Bei Website-KI-Chatbots werden häufig berechtigte Interessen oder Einwilligung relevant; die richtige Wahl hängt vom Zweck ab und davon, ob Profiling oder Marketing erfolgt.

Konkrete Schritte

• Berechtigte Interessen vs. Einwilligung:
  • Verwenden Sie berechtigte Interessen für Verarbeitungen, die zur Erbringung des Supports oder zur Vertragserfüllung unbedingt erforderlich sind (z. B. Beantwortung einer Bestellreklamation).
  • Verwenden Sie ausdrückliche Einwilligung, wenn Sie Transkripte für Modelltraining, personalisiertes Marketing oder andere nicht nötige Zwecke nutzen.
• Wenn Sie auf Einwilligung setzen:
  • Stellen Sie sicher, dass die Einwilligung spezifisch, informiert und freiwillig ist. Bündeln Sie nicht die Einwilligung für Modelltraining mit der Einwilligung für Support.
  • Bieten Sie eine einfache Widerrufsmöglichkeit und führen Sie einen Nachweis, wann und wie die Einwilligung erteilt wurde.
• Für Cookies und clientseitiges Tracking stellen Sie sicher, dass Ihre Cookie-Einwilligung den Anforderungen des ePrivacy-Regelwerks und der DSGVO entspricht. Nicht notwendige Cookies für Tracking oder Analytics benötigen in der Regel Einwilligung, bevor sie gesetzt werden.
• Informieren Sie transparent: Nennen Sie Rechtsgrundlage und Speicherfristen in Ihrer Datenschutzerklärung und ggf. in der Chat-Oberfläche. Beispiel: „Wir verarbeiten das Chat-Transkript, um Ihr Anliegen zu beantworten (Rechtsgrundlage: Vertrag / berechtigtes Interesse). Wenn Sie einwilligen, nutzen wir anonymisierte Transkripte zur Verbesserung des Chatbots (Einwilligung).“

Datensparsamkeit, Aufbewahrungsfristen und Löschkonzepte

Warum das wichtig ist

Datenminimierung reduziert Risiko. Je weniger personenbezogene Daten Sie speichern, desto geringer ist Ihr Aufwand und die Folgen eines möglichen Vorfalls.

Konkrete Schritte

• Vermeiden Sie die Erfassung personenbezogener Daten, sofern nicht unbedingt erforderlich. Ersetzen Sie Freitextfelder durch strukturierte Optionen, wo möglich (Dropdown für Produkt-IDs, pseudonymisierte Session-IDs).
• Setzen Sie clientseitige Redaktions- oder Validierungsmechanismen ein, um Kreditkartennummern, Personalausweisnummern und andere sensible Werte zu blockieren. Nutzen Sie Pattern-Matching, um gängige Identifikatoren zu erkennen und die Übertragung zum Server zu verhindern.
• Legen Sie Aufbewahrung nach Zweck fest:
  • Session-Transkripte, die nur zur kurzfristigen Bearbeitung dienen: Löschen Sie unmittelbar nach Ende der Session oder nach kurzer Frist (z. B. 7–30 Tage), sofern nicht zur Eskalation markiert.
  • Transkripte für Training/Analytics: Speichern Sie nur nach ausdrücklicher Einwilligung und wenden Sie Anonymisierungsverfahren an.
  • Sicherheitsrelevante Audit-Logs: Bewahren Sie nur unbedingt notwendige Metadaten auf und beschränken Sie den Zugriff.
• Implementieren Sie automatisierte Löschprozesse. Definieren Sie einen Datenlebenszyklus, der:
  • Chat-Transkripte nach Ablauf der Frist löscht.
  • PII-Felder automatisch maskiert, wenn Transkripte länger für Analysen behalten werden.
• Dokumentieren Sie die Aufbewahrungsregeln in Ihrer Datenschutzerklärung und im internen Dateninventar.

Anbieterwahl und Vertragsprüfung: Was im AVV stehen muss

Warum das wichtig ist

Wenn Sie einen Drittanbieter oder Modell-Provider nutzen, bestimmen der Auftragsverarbeitungsvertrag (AVV) und technische Kontrollen, wer haftet und wie mit Daten verfahren wird.

Checkliste für den AVV

• Subprozessoren: Lassen Sie sich Subprozessoren nennen oder fordern Sie eine Pflicht zur Benachrichtigung, bevor neue Subprozessoren hinzugefügt werden.
• Zweckbindung: Der Anbieter darf Daten nur auf Ihre Weisung verarbeiten und nicht zur Verbesserung eigener Modelle nutzen, es sei denn, das ist ausdrücklich vereinbart und rechtlich gedeckt.
• Löschung oder Rückgabe: Vereinbaren Sie, dass der Anbieter bei Vertragsende Ihre Daten innerhalb eines kurzen, definierten Zeitraums löscht oder zurückgibt und Ihnen die Löschung zertifiziert.
• Prüfrechte: Behalten Sie das Recht auf Audit oder den Erhalt unabhängiger Prüfberichte (z. B. SOC2, ISO 27001).
• Sicherheitsmaßnahmen: Fordern Sie Verschlüsselung in Transit und at rest, rollenbasierte Zugriffsrechte und Zugriffsprotokollierung.
• Internationale Transfers: Vereinbaren Sie geeignete Garantien für Transfers außerhalb des EWR, z. B. Standardvertragsklauseln oder Hosting ausschließlich in der EU.
• Vorfallmeldung: Verpflichten Sie den Anbieter zur Benachrichtigung bei Sicherheitsvorfällen innerhalb von 24 Stunden und zur Unterstützung bei Kommunikationen.
• Trainingsdatenklausel: Legen Sie ausdrücklich fest, ob der Anbieter Ihre Chat-Daten zum Trainieren von Modellen nutzen darf. Falls ja, verlangen Sie Anonymisierung oder separate Einwilligung der Betroffenen.

Operative Prüfungen

• Klären Sie, wo Modelle gehostet sind und ob API-Aufrufe das geografische Gebiet verlassen.
• Fordern Sie die Unterstützung des Anbieters für Konfigurationen wie Session-only-Modus, Redaction-Hooks und Aufbewahrungssteuerungen.
• Archivieren Sie AVV und Vertrag im zentralen Vertragsrepository.

Datenschutz-Folgenabschätzung, automatisierte Entscheidungen und Betroffenenrechte

Warum das wichtig ist

Verarbeitungen mit hohem Risiko oder automatisierte Entscheidungen können eine Datenschutz-Folgenabschätzung (DPIA) und zusätzliche Schutzmaßnahmen auslösen.

DPIA – praktische Schritte

• Führen Sie eine DPIA durch, wenn der KI-Chatbot:
  • systematisch öffentliches Verhalten in großem Umfang überwacht,
  • automatisierte Entscheidungen trifft, die rechtliche oder ähnlich erhebliche Auswirkungen haben (z. B. automatisierte Ablehnung von Diensten, Preisgestaltung, Risikobewertung),
  • oder besondere Kategorien von Daten in großem Umfang verarbeitet.
• Der DPIA-Umfang sollte umfassen: Zweck, Datenflüsse, Risikoanalyse, Minderungsmaßnahmen und die Akzeptanz des Restrisikos.
• Beziehen Sie Recht, Produkt, Engineering und Support in die DPIA ein und dokumentieren Sie Ergebnisse und Entscheidungen.

Automatisierte Entscheidungen

• Trifft der Chatbot Entscheidungen mit rechtlicher oder erheblich ähnlicher Wirkung, müssen Sie:
  • aussagekräftige Informationen zur Logik bereitstellen,
  • eine Möglichkeit menschlicher Überprüfung und eine Opt-out-Option anbieten,
  • in verständlicher Sprache Modellinputs und -outputs erklären können.

Operatives Handling von Betroffenenrechten

• Richten Sie Prozesse ein für:
  • Auskunftsersuchen: Stellen Sie Chat-Transkripte und Metadaten innerhalb eines Monats bereit.
  • Berichtigung und Löschung: Korrigieren oder löschen Sie personenbezogene Daten und sorgen Sie für die Weiterleitung von Löschanfragen an Anbieter.
  • Datenübertragbarkeit: Exportieren Sie Daten in einem strukturierten, gängigen Format.
  • Widerspruch und Einschränkung: Berücksichtigen Sie Widersprüche gegen Verarbeitung, insbesondere für Direktmarketing.
• Erstellen Sie Vorlagen und Runbooks, damit Support-Mitarbeitende DSARs schnell an das Datenteam weiterleiten können.

Sicherheit und Vorbereitetsein auf Sicherheitsvorfälle bei Chat-Systemen

Warum das wichtig ist

Chatsysteme sind Ziel von Social Engineering; Logs enthalten häufig sensible Artefakte. Technische Sicherheitsmaßnahmen reduzieren sowohl Compliance- als auch Betriebsrisiken.

Sicherheits-Checkliste

• Verschlüsselung: Erzwingen Sie TLS für alle Endpunkte und verschlüsseln Sie gespeicherte Transkripte.
• Zugriffskontrolle: Beschränken Sie den Zugriff auf Chat-Transkripte nach Rolle und verlangen Sie MFA für Zugänge mit berechtigtem Zugriff.
• Protokollierung und Monitoring: Sammeln Sie Zugrifflogs und alarmieren Sie bei ungewöhnlichen Downloads oder Exporten von Chatdaten.
• Input-Validierung: Filtern oder blockieren Sie offensichtliche PII-Muster clientseitig, um Expositionen zu reduzieren.
• Rate Limiting und Bot-Schutz: Verhindern Sie Missbrauch von Chat-Endpunkten, mit dem versucht werden kann, Daten auszulesen.
• Red Teaming: Führen Sie Tests durch, um zu sehen, ob sensible Daten aus Bot oder Backend extrahiert werden können.
• Incident Response:
  • Pflegen Sie ein Incident-Playbook mit Anbieterbenachrichtigung, Eindämmungsmaßnahmen, Vorlagen für Betroffenenkommunikation und Meldewegen an Aufsichtsbehörden.
  • Testen Sie das Playbook mindestens jährlich. Beachten Sie Meldefristen—die DSGVO verlangt Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, wenn ein Risiko für Betroffenenrechte besteht.

Integration und UX-Kontrollen: Datenschutz sichtbar und praktikabel machen

Warum das wichtig ist

Nutzer sollten verstehen, was mit ihren Chatdaten geschieht, und ohne Hürden Entscheidungen treffen können.

Praktische UX-Schritte

• Zeigen Sie eine kurze Datenschutzhinweis im Chat-Launcher oder in der ersten Chat-Nachricht. Halten Sie sie knapp und verlinken Sie auf die vollständige Richtlinie. Beispielkurztext: „Dieser Chat erhebt Ihren Namen und Ihre Nachricht, um Ihr Anliegen zu bearbeiten. Details zu Aufbewahrung und Rechten finden Sie in unserer Datenschutzerklärung.“ Bieten Sie einen Opt-in-Schalter für nicht notwendige Zwecke an.
• Implementieren Sie ein Einwilligungs-Toggle für Training/Modellverbesserung und protokollieren Sie die Entscheidung. Lehnen Nutzer ab, leiten Sie deren Daten in eine Nicht-Training-Pipeline.
• Bieten Sie eine „Lösche meinen Chat“-Schaltfläche in der UI an, um sofortige Löschung zu ermöglichen.
• Erfassen Sie Provenienz-Metadaten (Einwilligungsstatus, Zeitstempel, Nutzer-ID), um künftige Auskunftsersuchen effizient zu beantworten.
• Integrieren Sie die Chat-Einwilligung mit Ihrer Cookie-Consent-Lösung, damit Sie kein nicht notwendiges Tracking starten, bevor die Einwilligung vorliegt.

Kurze Antworten

• Kann ich Transkripte ohne Einwilligung zum Trainieren von Modellen nutzen?
  • Nein. Die Nutzung für Modelltraining erfordert in der Regel ausdrückliche Einwilligung oder zuverlässige Anonymisierung sowie eine rechtliche Grundlage. Regeln Sie dies vertraglich mit dem Anbieter.
• Brauche ich eine Datenschutz-Folgenabschätzung (DPIA) für einen Chatbot?
  • Möglicherweise. Führen Sie eine DPIA durch, wenn der Chatbot Nutzer großflächig profiliert, besondere Kategorien von Daten verarbeitet oder automatisierte Entscheidungen mit erheblichen Auswirkungen trifft.
• Wie lange darf ich Chat-Logs aufbewahren?
  • Nur so lange wie nötig. Kürzere Aufbewahrungsfristen (z. B. Tage bis wenige Monate für Betriebslogs) sind ein sicherer Ausgangspunkt; dokumentieren Sie die Begründung.
• Was, wenn der Anbieter einen Drittanbieter-Modell-Provider nutzt?
  • Stellen Sie vertragliche Schutzmaßnahmen, Offenlegungspflichten zu Subprozessoren und rechtmäßige Transfermechanismen wie Standardvertragsklauseln oder EU-Hosting sicher.

Interne Ressourcen und nächste Schritte

• Prüfen Sie Produktfunktionen Ihres Chatbot-Anbieters, die Retention, Redaction und Einwilligungsmanagement unterstützen. Siehe Features für Konfigurationsoptionen, die Sie aktivieren sollten.
• Bei einer Neuerstellung eines Chatbots folgen Sie der technischen Setup-Checkliste im Getting started guide und verknüpfen Sie die DSGVO-Kontrollen mit jedem Implementierungsschritt.

Fazit

Die datenschutzkonforme Einführung eines KI-Chatbots auf Ihrer Website ist mit einer fokussierten Checkliste gut machbar: Klären Sie Rollen, kartieren Sie Datenflüsse, wählen Sie passende Rechtsgrundlagen, minimieren und löschen Sie Daten, verschärfen Sie Anbieter-Verträge und operationalisieren Sie DPIAs sowie Vorfallreaktionen. Betrachten Sie Datenschutzprüfungen nicht als Einmalaufgabe, sondern als fortlaufende Pflicht. Binden Sie Recht, Produkt und Engineering von Anfang an ein, um Risiken zu reduzieren und Vertrauen bei Ihren Nutzern aufzubauen.