intoCHAT LogointoCHAT
Zurück zum Blog
Compliance · Deutschland 2026-05-30 9 Min. Lesezeit

DSGVO und Chatbots: die Compliance-Checkliste 2026 für deutsche Unternehmen

intoCHAT Team
intoCHAT Team
9 Min. Lesezeit
DSGVO-Compliance-Checkliste für Chatbot-Bereitstellungen in Deutschland

Wenn Ihr Unternehmen in Deutschland tätig ist und einen Chatbot betreibt, verarbeiten Sie personenbezogene Daten unter der EU-DSGVO und dem Bundesdatenschutzgesetz (BDSG). Deutschland wendet die strengste DSGVO-Auslegung in der EU an — Aufsichtsbehörden auf Landesebene (BfDI, HmbBfDI, LfDI) verhängen mehr Maßnahmen pro Kopf als jeder andere EU-Mitgliedsstaat. Dieser Artikel ist die praktische Compliance-Checkliste für Chatbot-Bereitstellungen — was Sie Anbieter fragen, was Sie dokumentieren und was Sie vor dem Launch auditieren sollten.

Was DSGVO tatsächlich für Chatbots verlangt

Art. 6 DSGVO verlangt eine Rechtsgrundlage für jede Verarbeitungstätigkeit. Für Chatbots ist die typische Grundlage berechtigtes Interesse (Art. 6 Abs. 1 lit. f) für Kundenservice-Anfragen — Sie brauchen aber einen dokumentierten Abwägungstest. Für marketingnahe Anwendungen (z. B. WhatsApp-Outbound-Templates) ist eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a) erforderlich. Die deutsche Auslegung: Dokumentieren Sie sowohl Rechtsgrundlage als auch Abwägungstest vor dem Launch; verlassen Sie sich nicht auf eine generische Vorlage des Anbieters.

Personenbezogene Daten in Chatbot-Konversationen

Fast jede Chatbot-Interaktion verarbeitet personenbezogene Daten — IP-Adressen, Browser-Fingerprints, Freitexte mit Namen/Kontakt/Gesundheits- oder Finanzangaben. Das BDSG und die Rechtsprechung (BGH, EuGH) sind eindeutig: Wenn die Daten einer natürlichen Person zugeordnet werden können, auch indirekt, gilt die DSGVO.

Die praktische Hürde: Jede Bereitstellung braucht dokumentierte Datenminimierung, eine Aufbewahrungsrichtlinie mit automatischer Löschung, einen Prozess für Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) und eine transparente Erwähnung des Chatbots in Ihrer Datenschutzerklärung.

Daten-Residency — EU vs. Deutschland-Region

Die DSGVO verlangt nicht, dass Daten in Deutschland bleiben — sie verlangt, dass Daten im EU/EWR-Raum bleiben oder in Länder mit Angemessenheitsbeschluss transferiert werden. In der Praxis bevorzugen deutsche Aufsichtsbehörden und DSBs stark EU-Region-Hosting (Frankfurt ist Standard für die meisten Enterprise-Bereitstellungen). Deutschland-spezifisches Hosting (Bundesgebiet only) ist in Enterprise-Plänen verfügbar für Organisationen mit strikten Bundeswehr-, BSI-Grundschutz- oder Public-Sector-Residency-Anforderungen.

Vermeiden Sie US-Region-Hosting, außer Sie haben einen spezifischen Grund. Nach Schrems II erfordern US-Transfers zusätzliche Schutzmaßnahmen (Standardvertragsklauseln, ergänzende Maßnahmen), und die meisten deutschen DSBs werden US-gehostete Chatbot-Daten als Compliance-Risiko kennzeichnen.

Auftragsverarbeitungsvertrag (AVV)

Art. 28 DSGVO verlangt einen schriftlichen Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen und Ihrem Chatbot-Anbieter. Der AVV muss spezifizieren:

  • Kategorien verarbeiteter personenbezogener Daten.
  • Zwecke der Verarbeitung.
  • Dauer der Verarbeitung.
  • Liste der Unterauftragsverarbeiter (Meta, OpenAI, Anthropic, AWS usw.) mit Prozess für neue Unterauftragsverarbeiter.
  • Technische und organisatorische Maßnahmen (TOMs).
  • Meldung von Datenpannen (Art. 33 verlangt 72 Stunden).
  • Bearbeitung von Betroffenenrechten.
  • Auditrechte.
  • Löschung/Rückgabe der Daten bei Vertragsende.

Ein Anbieter, der bei Vertragsschluss keinen AVV unterzeichnen kann, sollte als Compliance-Risiko betrachtet werden. intoCHAT unterzeichnet einen AVV für jede kostenpflichtige Bereitstellung in Deutschland.

Audit-Logs und Aufbewahrungsfristen

Für regulierte Branchen (Banken unter BaFin, Versicherungen, Gesundheit, öffentlicher Sektor) wird Audit-Logging jeder Konversation und jeder Systemaktion zunehmend erwartet. Für nicht regulierte Branchen wird Audit-Logging für Incident-Response und Betroffenenrechte-Bearbeitung empfohlen. Aufbewahrung sollte kategoriespezifisch sein:

  • Konversationstranskripte: typisch 30–90 Tage; bis zu 6 Monate für Betrugs-/Missbrauchsprüfung.
  • Audit-Logs: 6 Monate bis 7 Jahre je nach regulatorischen Anforderungen.
  • Qualifizierte Leads im CRM: Dauer der Kundenbeziehung.
  • Anonymisierte Analytik: unbegrenzt (keine DSGVO-Pflicht, wenn wirklich anonymisiert).

Grenzüberschreitende KI-Modell-Anbieter und Schrems II

KI-Chatbots nutzen typischerweise große Sprachmodelle von Anbietern (OpenAI, Anthropic, Google, Mistral, Azure OpenAI). Viele davon routen Inference standardmäßig über US-Infrastruktur. Nach Schrems II (EuGH C-311/18) wenden deutsche DSBs erhöhte Prüfung auf US-Transfers an.

Maßnahmen: (1) EU-gehostete Modell-Endpunkte verwenden, wo verfügbar (OpenAI bietet jetzt EU-Regionen, Azure hat Frankfurt und Paris, Mistral hostet in der EU), (2) Datenminimierung auf API-Ebene konfigurieren (keine dauerhafte Speicherung durch Modellanbieter, Opt-out vom Training), (3) Vertragskette im AVV dokumentieren. Für sensible Bereitstellungen (Banking, Versicherung, Gesundheit) auf EU-Only-Modell-Inference bestehen.

Die praktische 9-Punkte-Compliance-Checkliste

  1. Unterzeichneter AVV mit Unterauftragsverarbeiter-Liste, Verletzungsmeldungs-SLA, Auditrechten und TOMs.
  2. EU-Region-Hosting vertraglich dokumentiert (Frankfurt oder äquivalent). Deutschland-Region für strikte Residency-Anforderungen.
  3. Dokumentierte Rechtsgrundlage pro Verarbeitungstätigkeit (berechtigtes Interesse mit Abwägungstest für Service; ausdrückliche Einwilligung für Marketing).
  4. Datenschutzerklärung aktualisiert, um Chatbot-Verarbeitung, Datenkategorien, Aufbewahrung und Empfängerkategorien offenzulegen.
  5. Betroffenenrechte operationalisiert — nicht nur erwähnt. Auskunfts- und Löschprozess vor dem Launch end-to-end testen.
  6. Aufbewahrungsrichtlinie pro Datenkategorie definiert mit automatischer Löschung auf Plattformebene erzwungen.
  7. Grenzüberschreitende Modell-Nutzung dokumentiert. EU-gehostete Endpunkte für sensible Bereitstellungen. Opt-out von Trainingsdaten bestätigt.
  8. Audit-Log aktiviert, exportierbar, manipulationssicher. Aufbewahrung an regulatorische Anforderungen angepasst.
  9. Incident-Response-Plan mit 72-Stunden-Verletzungsmeldung (Art. 33) klar zwischen Ihnen und dem Anbieter definiert.

Branchenspezifische Anforderungen

  • Banking (BaFin): Outsourcing-Regeln (MaRisk AT 9), Modell-Risiko-Dokumentation, Anforderungen an menschliche Aufsicht. KI-Agent-Bereitstellungen brauchen Governance-Committee-Freigabe.
  • Gesundheit (Art. 9 DSGVO): erhöhte Kontrollen für Gesundheitsdaten — meist keine dauerhafte Speicherung klinischer Freitexte, Audit-Log obligatorisch, EU-gehostete Modell-Endpunkte.
  • Öffentlicher Sektor (BSI-Grundschutz): Bundesgebiet-only-Hosting oft erforderlich; spezifische TOM-Anforderungen; vergaberechtliche AVV-Ergänzungen.
  • Telekom (TKDSG): zusätzliche Regeln für Kommunikationsmetadaten; Einwilligungsbehandlung spezifisch definiert.

Für deutsche Unternehmen, die loslegen wollen

intoCHAT ist für das deutsche Compliance-Umfeld gebaut — EU-Region-Hosting (Frankfurt) als Standard mit Deutschland-Region in Enterprise, AVV bei Vertragsschluss, ISO 27001 attestiert, vollständiger Audit-Log in jedem Plan, konfigurierbare Aufbewahrung, EU-gehostete Modell-Endpunkte für sensible Bereitstellungen. Siehe die KI-Chatbot für Deutschland-Seite für den Überblick, oder die KI-Agent für Deutschland-Seite für Enterprise-Kontrollen.

Dieser Artikel ist informativ und keine Rechtsberatung. Für eine verbindliche Auslegung von DSGVO / BDSG konsultieren Sie einen deutschen Datenschutzanwalt oder Ihren Datenschutzbeauftragten.