DSGVO-konformer Chatbot 2026: Checkliste & EU AI Act Guide

Warum DSGVO bei Chatbots unvermeidbar ist

Jede Chatbot-Interaktion verarbeitet personenbezogene Daten. Schon die IP-Adresse des Besuchers, die Eingaben im Chat und die gespeicherten Gesprächsverläufe fallen unter die DSGVO. Dazu kommen optional erfasste Daten wie Name, E-Mail-Adresse, Telefonnummer und Unternehmensinformationen bei der Lead-Erfassung.

Das bedeutet: Wer einen Chatbot auf seiner Website betreibt, unterliegt automatisch den Pflichten der Datenschutz-Grundverordnung. Das gilt unabhängig davon, ob der Bot regelbasiert oder KI-gestützt arbeitet. Bei KI-Chatbots kommen zusätzliche Anforderungen hinzu — insbesondere wenn der Bot auf Large Language Models (LLMs) wie GPT, Gemini oder Claude zugreift.

Die Konsequenz bei Verstößen ist real: Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Und ab August 2026 greift zusätzlich der EU AI Act mit eigenen Bußgeldern bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes.

Die 7 DSGVO-Pflichten für Chatbot-Betreiber

1. Rechtsgrundlage festlegen (Art. 6 DSGVO)

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Für Chatbots kommen drei in Frage:

Einwilligung (Art. 6 Abs. 1 lit. a): Der Nutzer stimmt der Datenverarbeitung aktiv zu — z.B. durch einen Klick auf „Datenschutzhinweis akzeptieren“ vor dem Chat. Pflicht bei sensiblen Daten (Art. 9) oder werblicher Nutzung.
Vertragserfüllung (Art. 6 Abs. 1 lit. b): Wenn der Nutzer eine vorvertragliche Anfrage stellt — z.B. nach Preisen, Verfügbarkeiten oder Lieferbedingungen. Keine separate Einwilligung nötig, aber nur für den konkreten Zweck.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Effizienter Kundenservice ist ein berechtigtes Interesse. Allerdings empfehlen EU-Datenschutzbeauftragte bei KI-Chatbots einen Drei-Stufen-Test.

Praxis-Empfehlung

Kombinieren Sie Einwilligung + berechtigtes Interesse. Schalten Sie einen Datenschutzhinweis vor den Chat (Einwilligung) und stützen Sie die reine FAQ-Nutzung auf berechtigtes Interesse. Webweezl AI bietet einen konfigurierbaren Privacy-Notice-Screen im Widget — mit klickbarem Link zur Datenschutzerklärung.

2. Datenschutzerklärung anpassen (Art. 13/14 DSGVO)

Ihre Datenschutzerklärung muss den Chatbot-Einsatz abdecken. Folgende Punkte gehören hinein:

Welche Daten verarbeitet der Chatbot (IP-Adresse, Chat-Eingaben, Gesprächsverläufe, Lead-Daten)?
Zu welchem Zweck (Kundenservice, Lead-Erfassung, Produktberatung)?
Auf welcher Rechtsgrundlage (Einwilligung, berechtigtes Interesse)?
Wer ist Auftragsverarbeiter (Chatbot-Anbieter)?
Wo werden die Daten verarbeitet (Server-Standort)?
Wie lange werden die Daten gespeichert (Löschfristen)?
Welche Rechte hat der Nutzer (Auskunft, Löschung, Widerruf)?

3. Auftragsverarbeitungsvertrag abschließen (Art. 28 DSGVO)

Wenn Sie einen externen Chatbot-Anbieter nutzen, wird dieser zum Auftragsverarbeiter. Dafür ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht. Der AVV regelt, welche Daten verarbeitet werden, zu welchem Zweck, welche technischen und organisatorischen Maßnahmen der Anbieter einsetzt und was bei Vertragsende mit den Daten passiert.

Achtung bei US-Anbietern

Chatbot-Anbieter mit Servern außerhalb der EU erfordern zusätzliche Schutzmaßnahmen (Standardvertragsklauseln nach Art. 46 DSGVO oder Angemessenheitsentscheidung). In der Praxis empfehlen Datenschutzbehörden: Wählen Sie einen europäischen Anbieter mit EU-Hosting. Das vermeidet die Drittland-Problematik komplett.

4. EU-Server-Hosting sicherstellen

Die Wahl des Server-Standorts ist kein technisches Detail — es ist eine rechtliche Anforderung. Personenbezogene Daten, die auf Servern außerhalb der EU verarbeitet werden, erfordern zusätzliche Rechtsgrundlagen und Risikobewertungen.

Webweezl AI läuft auf Cloudflare-Infrastruktur mit EU-Rechenzentren. Die Datenverarbeitung findet vollständig innerhalb der EU statt. Kein Transfer in Drittländer, keine Standardvertragsklauseln nötig.

5. Einwilligung korrekt einholen (Opt-in)

Die Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. In der Praxis:

Vor dem Chat: Datenschutzhinweis mit Opt-in-Button — der Chat startet erst nach Zustimmung
Im Chat: Der Bot selbst holt die Einwilligung ein — „Sind Sie mit der Verarbeitung Ihrer Daten einverstanden? [Ja] [Nein]“
Widerruf: Der Nutzer muss seine Einwilligung jederzeit widerrufen können — so einfach wie die Erteilung

6. Recht auf Löschung gewährleisten (Art. 17 DSGVO)

Jeder Nutzer hat das Recht, die Löschung seiner Daten zu verlangen. Das betrifft Chat-Verläufe, erfasste Kontaktdaten und gespeicherte Gesprächszusammenfassungen. Zusätzlich sollten Löschfristen definiert werden — kurze Fristen (30–90 Tage) unterstützen das Prinzip der Datenminimierung.

7. Kein Training auf Nutzerdaten

Ein kritischer Punkt bei KI-Chatbots: Werden die Gesprächsdaten Ihrer Kunden zum Training des KI-Modells verwendet? Bei vielen kostenlosen Tools (z.B. ChatGPT Free) ist das der Fall — die Daten fließen ins Modelltraining. Das ist aus DSGVO-Sicht höchst problematisch.

Webweezl AI nutzt Gemini über die API — standardmäßig ohne Training auf Nutzerdaten. Die Daten Ihrer Kunden bleiben isoliert in Ihrer Workspace-Datenbank und werden nicht zum Training des LLM verwendet.

Neu ab August 2026: EU AI Act Transparenzpflicht

Der EU AI Act (KI-Verordnung) bringt ab dem 2. August 2026 eine neue Pflicht für alle Chatbot-Betreiber: Transparenz-Kennzeichnung nach Art. 50 KI-VO.

Was das bedeutet

Nutzer müssen vor Beginn der Interaktion darauf hingewiesen werden, dass sie mit einem KI-System kommunizieren. Ein einfacher Hinweis wie „Ich bin ein virtueller Assistent“ genügt. Verboten ist es, den Bot als menschlichen Agenten auszugeben — z.B. durch ein Foto und einen Namen wie „Sarah, Ihre Beraterin“.

Risikoklassifizierung

Der AI Act unterscheidet vier Risikostufen:

Minimales Risiko (z.B. Spamfilter) — keine besonderen Pflichten
Begrenztes Risiko (z.B. Kundenservice-Chatbots) — Transparenzpflicht
Hochrisiko (z.B. KI im Personalwesen, Kreditprüfung) — umfangreiche Dokumentations- und Konformitätspflichten
Verboten (z.B. Social Scoring) — nicht erlaubt

Die meisten Kundenservice-Chatbots fallen in die Kategorie „begrenztes Risiko“ — es gelten primär die Transparenzpflichten, keine Konformitätsbewertung.

Bußgelder

Verstöße gegen den AI Act sind bußgeldbewehrt: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Das ist höher als die DSGVO-Bußgelder.

Webweezl AI ist vorbereitet

Das Widget zeigt standardmäßig eine konfigurierbare Begrüßungsnachricht. Der Transparenzhinweis lässt sich direkt in der Greeting-Nachricht oder als Privacy-Notice-Screen integrieren. Die Trennung zwischen Bot und menschlichem Agent ist visuell klar — beim Human Takeover wechselt der Avatar und eine „Agent beigetreten“-Nachricht erscheint.

DSGVO-Checkliste für Chatbot-Betreiber (2026)

Pflicht	Beschreibung	Status bei Webweezl AI
Rechtsgrundlage definiert	Einwilligung, Vertragserfüllung oder berechtigtes Interesse	✓ Privacy-Notice konfigurierbar
Datenschutzerklärung aktualisiert	Chatbot-Abschnitt mit Zweck, Daten, Anbieter	✓ AVV verfügbar
AVV abgeschlossen	Auftragsverarbeitungsvertrag nach Art. 28 DSGVO	✓ auf Anfrage
EU-Server-Hosting	Datenverarbeitung innerhalb der EU	✓ Cloudflare EU-Rechenzentren
Einwilligung (Opt-in)	Aktive Zustimmung vor dem Chat	✓ im Widget integriert
Recht auf Löschung	Nutzerdaten auf Anfrage löschbar	✓ Workspace-Isolation + Löschfunktion
Kein Training auf Nutzerdaten	LLM-Anbieter trainiert nicht mit Kundendaten	✓ Gemini API (kein Training)
AI Act Transparenz (ab 08/2026)	Hinweis auf KI-Interaktion vor Gesprächsbeginn	✓ konfigurierbare Greeting-Nachricht
Datenminimierung	Nur notwendige Daten erfassen, kurze Speicherfristen	✓ konfigurierbare Aufbewahrung
Widerrufsrecht	Nutzer kann Einwilligung jederzeit widerrufen	✓ über Privacy-Einstellungen

Die 5 häufigsten DSGVO-Fehler bei Chatbots

Kein Datenschutzhinweis vor dem Chat. Der Bot startet sofort und erfasst Daten ohne Einwilligung. Lösung: Privacy-Notice-Screen aktivieren.
US-Anbieter ohne Standardvertragsklauseln. Daten werden in die USA übertragen, ohne dass die Drittland-Anforderungen der DSGVO erfüllt sind. Lösung: EU-Anbieter wählen.
Kein AVV abgeschlossen. Der Chatbot-Anbieter verarbeitet Daten ohne vertragliche Grundlage. Lösung: AVV vor Go-Live abschließen — bei Webweezl AI auf Anfrage verfügbar.
Kostenlose KI-Tools nutzen, die auf Kundendaten trainieren. ChatGPT Free, Gemini Free und ähnliche Tools verwenden Konversationsdaten zum Modelltraining. Lösung: Enterprise-API-Versionen mit Training-Opt-Out nutzen.
Keine Löschfristen definiert. Chat-Verläufe werden unbegrenzt gespeichert. Lösung: Automatische Löschung nach 30–90 Tagen konfigurieren.

Häufig gestellte Fragen

Brauche ich eine Einwilligung für meinen Chatbot?

In den meisten Fällen ja. Wenn der Chatbot personenbezogene Daten verarbeitet (was praktisch immer der Fall ist — schon die IP-Adresse zählt), brauchen Sie eine Rechtsgrundlage. Eine Einwilligung über einen Datenschutzhinweis vor dem Chat ist die sicherste Option. Alternativ können reine FAQ-Chatbots auf berechtigtes Interesse gestützt werden.

Ist mein Chatbot-Anbieter ein Auftragsverarbeiter?

Ja — wenn der Anbieter die Chatbot-Infrastruktur betreibt und dabei Zugriff auf personenbezogene Daten hat. Sie müssen einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen. Ohne AVV ist der Einsatz des Chatbots ein DSGVO-Verstoß.

Darf ich einen US-amerikanischen Chatbot-Anbieter nutzen?

Grundsätzlich ja — aber unter strengen Voraussetzungen. Sie benötigen Standardvertragsklauseln (SCC), ein Transfer Impact Assessment (TIA) und müssen sicherstellen, dass der Anbieter angemessene Schutzmaßnahmen implementiert hat. In der Praxis empfehlen Datenschutzbehörden: Wählen Sie einen EU-Anbieter, um die Drittland-Problematik komplett zu vermeiden.

Was ändert sich durch den EU AI Act 2026?

Ab dem 2. August 2026 müssen alle Chatbot-Betreiber die Transparenzpflicht nach Art. 50 KI-VO erfüllen: Nutzer müssen vor der Interaktion erfahren, dass sie mit einer KI kommunizieren. Verstöße sind bußgeldbewehrt (bis 35 Mio. € oder 7 % des Jahresumsatzes). Für Standard-Kundenservice-Chatbots gelten primär die Transparenzanforderungen — keine Konformitätsbewertung.

Ist Webweezl AI DSGVO-konform?

Ja. Webweezl AI läuft auf Cloudflare-Infrastruktur mit EU-Rechenzentren. Features wie Privacy-Notice im Widget, Einwilligungsabfrage, Workspace-Datenisolierung und automatische Löschfristen sind standardmäßig integriert. Eine AVV ist auf Anfrage verfügbar. Das LLM (Gemini API) wird ohne Training auf Nutzerdaten eingesetzt.

Muss ich eine Datenschutz-Folgenabschätzung (DSFA) durchführen?

Nicht zwingend für Standard-Kundenservice-Chatbots. Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen birgt — z.B. bei automatisierten Entscheidungen, Verarbeitung sensibler Daten oder systematischer Überwachung. Empfohlen wird sie dennoch als Nachweis der Compliance-Sorgfalt.

Fazit

DSGVO-Compliance bei Chatbots ist keine optionale Kür — es ist Pflicht. Und ab August 2026 kommt mit dem EU AI Act eine weitere Regulierungsebene hinzu. Wer jetzt auf einen DSGVO-konformen Anbieter mit EU-Hosting, Privacy-Features und AVV setzt, spart sich spätere Nachrüstung und Compliance-Risiken.

Webweezl AI erfüllt alle DSGVO- und AI-Act-Anforderungen standardmäßig. Testen Sie die Plattform kostenlos — mit vollem Feature-Zugang, ohne Kreditkarte.