Chatbots & Datenschutz: 7 Tipps für einen DSGVO-konformen Chatbot

Datenschutz, DSGVO und mehr: Was 2026 wichtig ist  

Parallel zur fortschreitenden Technologieentwicklung nimmt auch die Bedeutung von Datenschutz und Datensicherheit immer weiter zu. Seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) im Jahr 2016 gelten in Europa einheitliche Standards für den Umgang mit personenbezogenen Daten, an die sich Webseiten-Betreiber, Online-Shops und Unternehmen halten müssen. Die Einhaltung der Datenschutzregelungen ist für europäische Unternehmen demnach kein Nice-to-have, sondern ein klares Must-have. Folgende Anforderungen sind zwingend notwendig unter der DSGVO: 

• Einwilligung und Transparenz: Die aktive, informierte Zustimmung vor Datenverarbeitung sowie die Kennzeichnung für Bot vs. Mensch sind verpflichtend.
• Serverstandort & Datenhosting: Der Server muss sich in Deutschland/der EU befinden ("made in Germany"), Drittland-Übermittlungen ohne Schutzniveau sind nicht zulässig.
• Auftragsverarbeitungsvertrag (AVV): Der Vertrag muss verpflichtend geschlossen werden zur Regelung von Verantwortlichkeiten und Pflichten.
• Technische und organisatorische Maßnahmen (TOMs): z.B. für die Ende-zu-Ende-Verschlüsselung, Zugriffskontrolle, Logging, Sicherheitsaudits
• Sicherstellung der Betroffenenrechte: Auskunft, Löschung, Datenportabilität sind Rechte der Verbraucher, das Widerspruchsrecht ist zu implementieren
• Datensparsamkeit und Speicherfristen: Es gilt, nur notwendige Daten zu erheben und die automatische Löschung nach definierten Fristen zu sichern
• KI-Training und Datennutzung: Es muss transparent dargestellt werden, ob Chat-Daten für Training genutzt werden. Zudem müssen Opt-out-Optionen angeboten werden.

Die Regularien schaffen einen rechtlichen Rahmen für alle und schützen Verbraucher vor Datenmissbrauch, Identitätsdiebstahl und anderen Risiken. Hierbei handelt es sich um einen kontinuierlichen Prozess, da Unternehmen immer wieder neue Produkte, Prozesse oder Tools einführen. In der Regel verfügen die meisten Firmen deshalb über eine datenschutzbeauftragte Person, die sich um die Beachtung der Datenschutzregelungen kümmert.

Gesetze und Regulatorik für KI-Chatbots

Unternehmen müssen beim Einsatz von KI-Chatbots die Datenverarbeitung transparent gestalten (DSGVO), Eine Einwilligung zur Datenverarbeitung ist nach TDDDG erforderlich, wenn nicht technisch notwendige Cookies oder Tracking-Technologien eingesetzt werden. Wenn ein KI-Chatbot menschenähnlich wirkt oder nicht eindeutig als KI erkennbar ist, schreibt das EU-AI-Act eine klare Kennzeichnungspflicht vor. Die DSA stellt eine zusätzliche Verantwortungsebene für KI-Unternehmen dar. 

Hier die wichtigsten Regularien in 2026 im Überblick:

Wichtig für Unternehmen: Bis August 2026 müssen alle eingesetzten Chatbots die Transparenzanforderungen des AI Act erfüllen und DSGVO-konform sein. Die Gesetze verschärfen sich durch KI-spezifische Auslegungen, z. B. muss für Nutzer klar ersichtlich sein, dass sie mit einer KI interagieren.

Datenschutz-Trends

Die Forderung nach Datenlokalisierung und Datenkontrolle nimmt grundsätzlich zu. Auch bei Chatbots dürfen grundsätzlich nur nach Einwilligung Daten verarbeitet und verwendet werden, zudem nur noch die absolut notwendigen Daten. Chatbots werden zunehmend eingesetzt und Daten werden direkt und freiwillig vom Kunden erfasst, Dies wird auch als "Zero-Party Data" bezeichnet. Datenschutzrechtlich gesehen ist das deutlich sicherer als z.B. Tracking. Die Zweckbindung bestimmt, dass die Daten nur für den spezifischen Zweck genutzt werden dürfen, für den der Nutzer explizit sein Einverständnis gegeben hat. Weiterhin müssen Systeme die Daten automatisch nach vorgeschriebenen Zeiträumen löschen. Ein Trend bei Chatbots geht zur kontextbezogenen Anonymisierung, um Privatsphäre zu schützen und gleichzeitig umfassende Funktionen zu bieten.

Allgemein betrachtet ist es 2026 wichtig für Unternehmen, Datenschutz, KI-Governance und Cybersecurity zusammenzuführen und nicht mehr als einzelne Silos zu betrachten. Obwohl prozedurale DSGVO-Änderungen und neue Anforderungen an Sicherheitsmechanismen Unternehmen herausfordern, ist Datenschutz vor allem ein Vertrauensbonus für Kunden und somit ein direkter Wettbewerbsvorteil.

Chatbots DSGVO-konform einsetzen: Die 7 wichtigsten Anforderungen

Datenschutz und Chatbots sind eng miteinander verbunden, da ein Chatbot täglich eine Vielzahl von Konversationen mit Menschen führt und daher große Datenmengen verarbeitet.  

Der Umfang personenbezogener Informationen von Benutzern, auf die der Chatbot Zugriff hat, variiert je nach Einsatzgebiet des Chatbots. Bei den verarbeiteten Informationen kann es sich beispielsweise um Namen, Kontaktdaten, Präferenzen und sogar persönliche Probleme oder Anliegen handeln. Es ist daher von entscheidender Bedeutung, dass Unternehmen sicherstellen, dass ihre Chatbots den europäischen und deutschen Datenschutzbestimmungen entsprechen und die Privatsphäre von Usern respektieren.

Anforderung Nr. 1: Das Recht auf Vergessenwerden nicht vergessen

Ein wichtiges Kriterium, um als Chatbot-Anbieter und als Firma, die diesen einsetzt, DSGVO-konform zu sein, ist die Gewährleistung des Rechts auf Vergessenwerden. Demnach haben alle Nutzer Anspruch darauf, das Löschen sämtlicher persönlicher Daten über sie zu veranlassen. Äußert ein Nutzer diesen Wunsch, muss der Anbieter dieser Aufforderung nachkommen und die Benutzerdaten löschen.

Bei moinAI ist die DSGVO-konforme Verwaltung von Unterhaltungen transparent und individuell einstellbar, sodass zu jeder Zeit volle Kontrolle und die Nachweispflicht gegeben sind. Die Speicherdauer der KI-Chatbot-Unterhaltungen kann individuell definiert werden. Möglich sind Zeiträume von nie bis 1 Jahr. Eine kurze Speicherdauer wird aus Datenschutzsicht empfohlen, da dies den Grundsatz der Datenminimierung unterstützt.

Anforderung Nr. 2: Das Recht auf Datenauskunft gewährleisten

User haben grundsätzlich das Recht, beim jeweiligen Dienstleister eine Auskunft über die Daten, die zur eigenen Person gespeichert werden, anzufordern.

Anforderung Nr. 3: Für das Recht auf Berichtigung und Ergänzung sorgen

Zusätzlich zum Recht auf Vergessenwerden und zum Recht auf Datenauskunft haben Anwender das Recht auf Berichtigung und Ergänzung. Das bedeutet, dass Unternehmen dafür sorgen müssen, dass Nutzende ihre Daten, wie z. B. die Adresse oder Telefonnummer, ändern können. Der Chatbot kann hier helfen, beispielsweise indem er die Schnittstelle ist, über die ein Nutzer dem Unternehmen kommuniziert, dass gewisse Daten im System geändert werden sollen.

Anforderung Nr. 4: Einwilligung einholen

Bevor ein Unternehmen Nutzerdaten speichern und weitergeben kann, muss es die Zustimmung der Nutzer dafür via Opt-in-Verfahren einholen. Beispiele hierfür sind die Bestätigung von Cookies, die Anmeldung zu einem Newsletter oder der Download von Dokumenten. Auch innerhalb eines Chatbots kann von einem Opt-in-Verfahren Gebrauch gemacht werden, z.B., indem bereits vor Beginn der Konversation ein Datenschutzhinweis ausgespielt wird. Ob ein solcher Hinweis erforderlich ist, hängt von der datenschutzrechtlichen Einordnung ab.

Bei dem folgenden Beispiel wird die Einwilligung zur Datenverarbeitung geholt, bevor der Chatbot überhaupt genutzt wird. Dadurch, dass die Datenschutzerklärung direkt verlinkt ist, wurde eine datenschutzrechtliche Einordnung gegeben. 

Wichtig zu wissen: Ein Hinweis im Startbildschirm sollte nur dann hinzugefügt werden, wenn er entsprechend einer datenschutzrechtlichen Einordnung erforderlich ist. Denn der Hinweis stellt eine Hürde bei der Nutzung des Chats dar und wird daher eher während der Nutzung des Chat-Widgets empfohlen. 

Anforderung Nr. 5: Vertrag zur Auftragsverarbeitung abschließen

Ein Auftragsverarbeitungsvertrag (AVV) sollte immer dann zum Einsatz kommen, wenn ein Unternehmen personenbezogene Daten im Auftrag an Dritte weitergibt bzw. diese verarbeitet oder nutzt. Schließen Sie mit dem Chatbot-Anbieter Ihrer Wahl daher am besten einen datenschutzkonformen AVV ab, um einen ordnungsgemäßen Umgang mit den Daten Ihrer Nutzer gewährleisten zu können.

Anforderung Nr. 6: Vollständige Datenschutzerklärung bereitstellen

Ein weiterer wichtiger Punkt, auf den bei der Wahl des richtigen Chatbot-Anbieters geachtet werden sollte, ist eine aktuelle, leicht zugängliche und vollständige Datenschutzerklärung. Webseitenbetreibende müssen dafür sorgen, dass die Erklärung einfach verständlich und von jeder Unterseite der Webseite innerhalb eines Klicks einsehbar ist.

H3: Anforderung Nr. 7: Serverstandort Deutschland wählen

Gemäß den Regelungen des europäischen Datenschutzrechts, Art. 45 DSGVO, dürfen keine personenbezogenen Daten aus der EU in unsichere Drittländer übermittelt werden, sondern nur in ein Drittland mit einem Schutzniveau, das dem der EU entspricht. Alle EU-Mitgliedsstaaten sowie Island, Liechtenstein und Norwegen (EWR) gelten automatisch als sicher. Weitere sichere Drittstaaten sind folgende:

• Andorra
• Argentinien
• Färöer-Inseln
• Guernsey
• Isle of Man
• Israel (eingeschränkt)
• Japan (nur Privatsektor)
• Jersey
• Kanada (nur kommerzielle Organisationen)
• Neuseeland
• Republik Korea (Südkorea)
• Schweiz
• Vereinigtes Königreich (UK)
• Uruguay

Gibt es keinen Beschluss, müssen andere Garantien wie Standarddatenschutzklauseln (SCCs) oder Binding Corporate Rules genutzt werden. Länder wie die USA, Russland oder China gelten beispielsweise als unsichere Drittländer. Wird ein DSGVO-konformer Chatbot-Anbieter gesucht, muss dieser also über Server verfügen, die sich entweder in der EU, dem Europäischen Wirtschaftsraum oder in einem der genannten sicheren Drittstaaten befinden.

Alle 7 Tipps im Überblick

Datenschutz und ChatGPT – was 2026 erwartet wird

ChatGPT hat im Jahr 2022 eine regelrechte KI-Welle ausgelöst und konnte viele Menschen für Chatbots begeistern. Nach einem ersten ChatGPT-Hype wurden allerdings auch zunehmend kritische Stimmen laut, die Datenschutzbedenken äußerten. ChatGPT wird unter der EU-KI-Verordnung (EU AI Act) als ein KI-System mit allgemeinem Verwendungszweck, auf Englisch „General-Purpose AI“ (GPAI),  eingestuft. Das bedeutet, dass ChatGPT als Modell vielseitig eingesetzt werden kann, um Aufgaben im Unternehmen zu übernehmen, mithilfe generischer KI und einer selbstlernenden Modellbasis. Somit unterliegt die KI allerdings auch spezifischen Transparenzpflichten und Regeln, Neuere GPT-Versionen können ggf. als Modelle mit systemischem Risiko eingestuft werden, d.h. als Modelle mit Potenzial für großflächige negative Auswirkungen. Weitere Beispiele dieser Kategorie sind DALL-E, Google BERT oder Claude. Folgende Pflichten ergeben sich laut KI-Verordnung zusätzlich: 

• Risikobewertung und -mitigierung: aktive Identifizierung, Bewertung und Minimierung
• Adversarial Testing zur Bewertung: anhand von Sicherheitstest
• Incident Reporting: Umgehende Meldung schwerwiegender Vorfälle
• Cybersicherheitsanforderungen: adäquate Sicherheitsvorkehrungen notwendig

Besonders folgende drei Punkte verdeutlichen, dass Datenschutz, DSGVO und ChatGPT nicht gut zusammenpassen:

Kritische Rechtsgrundlage zur Datenverarbeitung 

Gemäß Artikel 6 Absatz 1 der Datenschutz-Grundverordnung ist eine Datenverarbeitung nur dann zulässig, wenn eine entsprechende Rechtsgrundlage vorliegt, d. h., es müssen konkrete vertragliche Verpflichtungen vorhanden sein. Anderenfalls ist für die Datenverarbeitung das Einverständnis der Betroffenen erforderlich. OpenAI bietet für ChatGPT Business, ChatGPT Enterprise und die API einen Auftragsverarbeitungsvertrag (DPA) an, der die DSGVO-Compliance unterstützt. Für ChatGPT Free und DALL-E als Verbraucherdienste ist allerdings kein DPA verfügbar, daher sollten Unternehmen zwingend Business-Accounts nutzen, da ansonsten keine klaren Vertragsgrundlagen für die Datenverarbeitung bestehen.

Verarbeitung von Daten in unsicheren Drittländern

Um als DSGVO-konform gelten zu können, müsste ChatGPT Daten entweder in der EU bzw. dem Europäischen Wirtschaftsraum oder in den von der EU als sicher eingestuften Drittländern verarbeiten. OpenAI ist ein US-amerikanisches Unternehmen, das seine Server in den USA verwaltet. Dort gelten die amerikanischen Datenregelungen, die aktuell noch nicht mit den europäischen vereinbar sind. Denn: Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Unternehmen zur Datenweitergabe und die Vertraulichkeit kann nicht gewährleistet werden. Für EU-Kunden nutzt OpenAI Standardvertragsklauseln (SCCs) als Transfermechanismus. Datenschutzbehörden hinterfragen allerdings stark, ob diese Transfers ausreichend Schutz für EU-Bürger bieten. 

Fehlende Transparenz zur Datenverarbeitung

Artikel 13 der europäischen Datenschutzverordnung sieht vor, dass Unternehmen Nutzer darüber informieren müssen, wie mit deren Daten umgegangen wird, sprich, welche Daten verarbeitet werden und in welchem Zusammenhang darauf zugegriffen werden darf. Fehlende oder unzureichende Transparenz bei der Datenverarbeitung ist einer der Hauptkritikpunkte von Datenschützern an ChatGPT. Bemängelt werden vor allem folgende Punkte:

• Verwendung von Daten für das Modelltraining: Die Weiterentwicklung der Modelle erfolgt unter Verwendung der Nutzerprompts, Im bezahlten Tarif kann eigenständig die Opt-out-Funktion genutzt werden, um "Verbessern des Modells für alle" zu deaktivieren.
• Unzureichende Aufklärung über Datenzwecke: Wie und warum Daten gesammelt und verarbeitet werden und ob Daten über den ursprünglichen Zweck hinaus verwendet werden, ist nicht immer klar dargelegt.
• Löschung und Auskunft: Einhaltung von Auskunftspflichten nach der DSGVO sind aufgrund der Komplexität der KI-Systeme unklar

Aufgrund dieser Vorwürfe wird ein rechtskonformer Einsatz von ChatGPT im Unternehmenskontext erheblich erschwert. OpenAI arbeitet an der Verbesserung des Datenschutzes und daran, Anpassungen der Systeme an den europäischen Markt vorzunehmen. Die klare Empfehlung für eine sichere Nutzung ist daher: keine personenbezogenen Daten oder Unternehmensdokumente eingeben, in den Einstellungen "Modell verbessern" deaktivieren und ggf. Enterprise/API-Lizenzen für Verträge nutzen. 

Im Artikel „ChatGPT im Kundenservice: Bringt die KI echten Mehrwert?“ zeigen wir im Detail auf, welche Herausforderungen beim Einsatz im Kundenservice bestehen. 

ChatGPT? Praktisch, aber nicht für die Kundenkommunikation geeignet.

Unternehmen, die Chatbot-Anbieter wie ChatGPT für die Kundenkommunikation wählen, riskieren nicht nur Bußgelder, weil sie gegen die DSGVO verstoßen, sondern auch Imageschäden durch sogenannte „Chatbot-Fails“. Diese entstehen vor allem dann, wenn eine generative KI keine Kontrollmöglichkeiten bietet und halluziniert – also frei erfundene, falsche oder unpassende Inhalte ausspielt. 

Mehr Informationen zum Thema KI-Halluzinationen und wie man ihnen vorbeugt, erhalten Sie in unserem Artikel „Die 6 größten Chatbot-Fails und Tipps, wie man sie vermeidet“.

Fazit: Auf der sicheren Seite mit einem deutschen KI-Chatbot-Anbieter 

Ein genauer Blick auf die DSGVO und die Analyse von ChatGPT in diesem Zusammenhang zeigen: Augen auf bei der Chatbot-Anbieter-Wahl. DSGVO-konforme Anbieter nehmen die Rechte von Verbrauchern ernst, schützen diese, bieten vollständige Transparenz bezüglich des Umgangs mit Daten und sorgen für eine Datenverarbeitung an sicheren Standorten wie Deutschland. 

Sie möchten anhand eines Beispiels verdeutlicht sehen, dass Datenschutz und KI-Chatbots keine Gegenpole darstellen, sondern gut miteinander kombinierbar sind? moinAI hat nicht nur jahrelange Branchenerfahrung, sondern bietet auch KI made in Hamburg.

Im Rahmen der Wissensüberprüfung erfolgt eine Überprüfung des Inhalts der Ressourcen für die Generierung von Antworten, sodass Ausgaben an Nutzer nicht halluziniert, sondern sicher und korrekt sind.

Dieser Artikel wird nur zu Informationszwecken bereitgestellt und ist kein Ersatz für eine rechtliche Beratung.‍

[[CTA headline="DSGVO-konform? Mit moinAI ganz sicher!" subline="Entdecken Sie KI made in Germany. URL eingeben, erste Automatisierungs-Ideen bekommen und überzeugen lassen." button="Jetzt testen"]]