KI-Chatbot DSGVO-konform einsetzen: So geht's ohne Abmahnung

Ein KI-Chatbot auf der Firmenwebsite klingt verlockend – bis die erste Frage kommt: „Ist das überhaupt DSGVO-konform?" Die Antwort lautet: ja – aber nur, wenn Sie ein paar wesentliche Punkte richtig umsetzen. Andernfalls riskieren Sie Abmahnungen, Bußgelder und das Vertrauen Ihrer Kunden.

Dieser Artikel erklärt, welche datenschutzrechtlichen Anforderungen für KI-Chatbots gelten, wo die entscheidenden Unterschiede zwischen verschiedenen Betriebsmodellen liegen und was der EU AI Act ab 2026 neu vorschreibt. Am Ende finden Sie eine konkrete Checkliste zum Abhaken.

DSGVO-Grundlagen für KI-Chatbots

Ein KI-Chatbot verarbeitet zwangsläufig personenbezogene Daten – allein dadurch, dass Nutzer mit ihm schreiben. Schon die IP-Adresse eines Website-Besuchers gilt nach DSGVO als personenbezogenes Datum. Sobald der Chatbot Nachrichten empfängt, wird Artikel 6 DSGVO relevant: Es muss eine Rechtsgrundlage für die Verarbeitung vorliegen.

Für Unternehmens-Chatbots greift in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung oder vorvertragliche Maßnahmen), wenn der Chatbot der Beantwortung von Kundenanfragen dient. Alternativ ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) möglich, sofern das Interesse des Unternehmens an der Automatisierung gegenüber den Interessen der Nutzer überwiegt – was bei einem einfachen Support-Chatbot regelmäßig der Fall ist.

Wichtig: Die Verarbeitung muss in der Datenschutzerklärung der Website transparent beschrieben werden. Nutzer müssen wissen, dass ein KI-System ihre Anfragen bearbeitet, welche Daten gespeichert werden und wie lange.

Datensparsamkeit als Prinzip

Das DSGVO-Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c) gilt auch für Chatbots. Konkret bedeutet das:

• Speichern Sie nur, was Sie wirklich brauchen – keine unnötigen Gesprächsverläufe
• Setzen Sie automatische Löschfristen für Chatbot-Logs (z. B. 30 oder 90 Tage)
• Vermeiden Sie die Abfrage sensibler Kategorien (Gesundheit, Religion, politische Meinung) ohne ausdrückliche Einwilligung
• Bieten Sie Nutzern die Möglichkeit, die Konversation zu löschen

Auftragsverarbeitungsvertrag (AVV): Das Fundament

Wenn Sie einen externen KI-Dienst nutzen – sei es Claude API, OpenAI API oder Google Gemini API – verarbeitet dieser Anbieter personenbezogene Daten in Ihrem Auftrag. Das macht ihn zum Auftragsverarbeiter nach Art. 28 DSGVO. Ein schriftlicher Auftragsverarbeitungsvertrag (AVV) ist in diesem Fall gesetzlich verpflichtend.

Die gute Nachricht: Alle großen KI-API-Anbieter stellen AVVs bereit.

Anbieter	AVV verfügbar	Wo abzuschließen
Anthropic (Claude API)	Ja	console.anthropic.com → Settings → Privacy
OpenAI API	Ja	platform.openai.com → Settings → Data Controls
Google Gemini API	Ja (über Google Cloud)	Google Cloud Console → IAM → Data Processing

Für US-amerikanische Anbieter kommen zusätzlich die EU-Standardvertragsklauseln (SCCs) ins Spiel. Diese Klauseln sind in der Regel Bestandteil des AVVs und regeln den Datentransfer in Drittstaaten – ein Thema, das nach dem Schrems-II-Urteil des EuGH besondere Beachtung verdient.

ChatGPT Free vs. API: Der entscheidende Unterschied

Dieser Punkt ist für viele Unternehmen der größte Stolperstein – und auch das häufigste Missverständnis. Der Unterschied zwischen den verschiedenen OpenAI-Produkten ist juristisch und datenschutztechnisch gravierend:

ChatGPT Free und ChatGPT Plus (chatgpt.com)

Wenn Mitarbeiter oder Kunden den kostenlosen ChatGPT-Dienst unter chatgpt.com nutzen, gelten die Nutzungsbedingungen für Endverbraucher. Diese erlauben OpenAI, Gesprächsdaten standardmäßig für das Training und die Verbesserung der Modelle zu nutzen. Das Deaktivieren der Opt-out-Option ist möglich, aber oft nicht bekannt oder aktiviert.

Für den Unternehmenseinsatz bedeutet das: Mitarbeiter, die ChatGPT Free für Kundendaten nutzen, verstoßen gegen die DSGVO – egal ob bewusst oder unbewusst. Kundendaten, interne Dokumente oder Personalinformationen haben in ChatGPT Free nichts zu suchen.

OpenAI API und ChatGPT Enterprise

Die OpenAI API ist ein grundlegend anderes Produkt. Laut den AGB von OpenAI werden API-Eingaben und -Ausgaben nicht für das Training der Modelle verwendet. Zudem können Unternehmen mit OpenAI einen AVV abschließen, der die gesetzliche Grundlage für die Auftragsverarbeitung schafft.

Analoges gilt für die Anthropic Claude API: Auch hier werden Daten über die API standardmäßig nicht für Training genutzt, und ein AVV ist verfügbar.

Produkt	Daten für Training?	AVV möglich?	Für Unternehmen geeignet?
ChatGPT Free	Ja (Standard)	Nein	Nein
ChatGPT Plus	Ja (opt-out möglich)	Nein	Bedingt
OpenAI API	Nein	Ja	Ja
ChatGPT Enterprise	Nein	Ja	Ja
Claude API (Anthropic)	Nein	Ja	Ja
Gemini API (Google)	Nein (API)	Ja (Google Cloud)	Ja

Serverstandort: Warum Deutschland sinnvoll ist

Ein häufiges Missverständnis: „DSGVO-konform" bedeutet nicht zwingend, dass alle Server in Deutschland stehen müssen. Die DSGVO erlaubt die Datenverarbeitung in allen EU/EWR-Mitgliedstaaten ohne zusätzliche Anforderungen. Auch die USA sind unter dem EU-US Data Privacy Framework (seit 2023) als sicheres Drittland anerkannt – sofern der Anbieter zertifiziert ist.

Trotzdem ist die Wahl eines deutschen oder EU-Servers für den Anwendungsserver (d. h. den Server, auf dem Ihr Chatbot-Backend läuft) aus mehreren Gründen empfehlenswert:

• Rechtssicherheit: Keine Diskussionen über Drittlandübermittlung für den Primärdatenspeicher
• Latenz: Deutsche Server sind für deutsche Nutzer oft schneller
• Kundenvertrauen: „Daten bleiben in Deutschland" ist ein starkes Argument gegenüber datenschutzbewussten Kunden
• Behördliche Anfragen: Anfragen nur über deutsche/EU-Behörden, kein US-CLOUD-Act-Problem

Self-Hosting auf Hetzner Cloud

Für Unternehmen mit höheren Datenschutzanforderungen empfehle ich Hetzner Cloud als Hosting-Plattform. Hetzner ist ein deutsches Unternehmen mit Rechenzentren in Nürnberg, Falkenstein und Helsinki. Die Rechenzentren sind ISO 27001 zertifiziert, und Hetzner bietet ein DSGVO-konformes Auftragsverarbeitungsvertrag-Muster an.

Ein typischer Stack für einen DSGVO-konformen KI-Chatbot auf Hetzner:

• Hetzner Cloud VPS (CX21 oder CX31, Standort Nürnberg oder Falkenstein)
• n8n als Workflow-Engine für die KI-Logik (selbst gehostet)
• PostgreSQL-Datenbank für Gesprächsverläufe (selbst gehostet)
• API-Anbindung an Claude oder OpenAI über verschlüsselte HTTPS-Verbindung
• Automatische Datenlöschung nach 90 Tagen per Cron-Job

Cookie-Consent: Wann er nötig ist – und wann nicht

Eine häufige und erleichternde Erkenntnis: Ein rein funktionaler KI-Chatbot benötigt keinen Cookie-Consent-Banner. Warum? Weil ein solcher Chatbot keine technisch nicht notwendigen Cookies setzt und keine personenbezogenen Daten für Werbezwecke oder Analysen verarbeitet.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die zugrunde liegende ePrivacy-Richtlinie verlangen die Einwilligung nur für das Setzen nicht notwendiger Cookies. Ein Chatbot, der lediglich Session-Daten im Arbeitsspeicher hält und nach Gesprächsende nichts dauerhaft im Browser speichert, fällt nicht darunter.

Cookie-Consent ist erforderlich, wenn der Chatbot:

• Tracking-Pixel oder Analytics-Skripte von Drittanbietern lädt
• Nutzungsprofile über den Seitenbesuch hinaus anlegt
• Remarketing-Cookies setzt
• Gesprächsdaten mit einem Marketing-CRM synchronisiert

Kein Cookie-Consent nötig, wenn der Chatbot:

• Nur Session-Daten im Browser speichert (localStorage/sessionStorage für die aktuelle Sitzung)
• Keine Drittanbieter-Skripte nachlädt
• Keine Nutzerprofile über mehrere Sitzungen hinweg anlegt
• Ausschließlich zur Beantwortung von Serviceanfragen dient

DSGVO-Checkliste für Ihren KI-Chatbot

Nutzen Sie diese Checkliste, um die Datenschutzkonformität Ihres KI-Chatbots zu prüfen. Alle Punkte sollten mit „Ja" beantwortet werden können.

EU AI Act 2026: Was sich ändert

Der EU AI Act ist seit August 2024 in Kraft und wird in Phasen angewendet. Für Unternehmens-Chatbots sind besonders die ab August 2026 vollständig gültigen Regelungen relevant.

Risikostufen für Chatbots

Der EU AI Act klassifiziert KI-Systeme nach Risikostufen. Die meisten Unternehmens-Chatbots fallen unter Niedrigrisiko oder minimales Risiko – mit einer wichtigen Ausnahme:

Chatbot-Typ	Risikostufe	Anforderungen
FAQ- und Support-Chatbot	Minimal	Transparenzpflicht (Kennzeichnung als KI)
Verkaufs- und Beratungs-Chatbot	Niedrig	Transparenzpflicht + Dokumentation
HR-Chatbot (Bewerberauswahl)	Hoch	Konformitätsbewertung, menschliche Aufsicht, Registrierung in EU-Datenbank
Medizinischer Beratungs-Chatbot	Hoch	Konformitätsbewertung, CE-Kennzeichnung erforderlich
Chatbot mit Emotionserkennung	Verboten (in Arbeitsumgebungen)	Einsatz nicht erlaubt

Die Transparenzpflicht ab 2026

Die wichtigste neue Pflicht für alle KI-Chatbots: Nutzer müssen klar und deutlich darauf hingewiesen werden, dass sie mit einer KI interagieren – und zwar bevor die Konversation beginnt. Ein kleiner Hinweis „Powered by ChatGPT" in der Fußzeile reicht nicht aus.

Konkret bedeutet das: Ein sichtbarer Hinweis wie „Sie sprechen mit unserem KI-Assistenten" oder ein entsprechendes Icon muss bereits beim Öffnen des Chat-Fensters sichtbar sein. Nutzer sollten außerdem die Möglichkeit haben, mit einem menschlichen Mitarbeiter zu sprechen, wenn sie das wünschen.