Chatbots auf Websites sind praktisch – aber für viele deutsche Unternehmen stellt sich sofort die Frage: Ist das eigentlich DSGVO-konform? Die kurze Antwort: Ja, wenn man es richtig macht. Dieser Artikel erklärt was konkret zu beachten ist.
Warum ist DSGVO beim Chatbot überhaupt ein Thema?
Ein Chatbot verarbeitet personenbezogene Daten – mindestens den Gesprächsinhalt, oft auch Namen, E-Mail-Adresse und Telefonnummer. Damit greift die Datenschutz-Grundverordnung (DSGVO) automatisch.
Das bedeutet: Sie als Websitebetreiber sind Verantwortlicher im Sinne der DSGVO. Sie müssen sicherstellen, dass die Datenverarbeitung rechtmäßig, transparent und sicher erfolgt.
Die 4 wichtigsten DSGVO-Anforderungen für Chatbots
1. EU-Server – kein Datentransfer in die USA
Viele günstige Chatbot-Anbieter (besonders aus den USA) speichern Daten auf amerikanischen Servern. Das ist seit dem Schrems-II-Urteil des EuGH problematisch – US-amerikanische Behörden können unter dem CLOUD Act auf diese Daten zugreifen.
Für einen DSGVO-konformen Einsatz sollten alle Daten auf Servern innerhalb der EU gespeichert und verarbeitet werden. Achten Sie bei der Anbieterwahl explizit auf EU-Hosting.
2. Auftragsverarbeitungsvertrag (AVV)
Wenn ein externer Anbieter Daten Ihrer Nutzer verarbeitet, ist ein AVV gemäß Art. 28 DSGVO Pflicht. Ohne AVV riskieren Sie Bußgelder – und können im Zweifel keine Rechenschaft ablegen.
Seriöse Chatbot-Anbieter stellen den AVV auf Anfrage oder direkt über ihr Dashboard bereit. Prüfen Sie das vor der Entscheidung.
3. Datenschutzhinweis im Chat
Nutzer müssen informiert werden, dass ihre Eingaben verarbeitet werden. Das kann ein kurzer Hinweis beim Start des Chats sein:
"Mit der Nutzung dieses Chats stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu."
Außerdem muss der Chatbot in Ihrer Datenschutzerklärung erwähnt sein – mit Angabe des Anbieters, Zweck der Verarbeitung und Speicherort der Daten.
4. Datensparsamkeit
Der Chatbot sollte nur Daten erheben, die wirklich nötig sind (Grundsatz der Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO). Kein Chatbot sollte ohne Grund nach Geburtsdatum, Ausweisnummer oder anderen sensiblen Daten fragen.
Welche Chatbot-Anbieter sind für Deutschland geeignet?
Bei der Anbieterwahl sollten Sie auf folgende Punkte achten:
- ✅ EU-Hosting (idealerweise Deutschland oder Irland)
- ✅ AVV verfügbar
- ✅ Datenschutzerklärung des Anbieters auf Deutsch
- ✅ Keine Datenweitergabe an Dritte zu Werbezwecken
- ⚠️ Vorsicht bei: Tidio (US-Server), Intercom (US-Server), Drift (US-Server)
Was ist mit Google Analytics und dem Chatbot?
Wenn Ihr Chatbot und Google Analytics gleichzeitig auf der Website laufen, empfiehlt sich der Einsatz von Google Consent Mode v2. Damit wird Analytics nur aktiviert wenn der Nutzer zugestimmt hat – Chatbot-Daten werden davon unabhängig verarbeitet.
Praxisbeispiel: So macht man es richtig
Ein Handwerksbetrieb in München will einen Chatbot einsetzen. So sieht DSGVO-konforme Umsetzung aus:
- Chatbot-Anbieter mit EU-Hosting wählen (z.B. Chaitbot – Server in Frankfurt)
- AVV mit dem Anbieter abschließen
- Datenschutzerklärung um den Chatbot ergänzen
- Cookie-Hinweis auf der Website einrichten (Chatbot-Nutzung erwähnen)
- Im Chat einen kurzen Datenschutzhinweis einblenden
Das klingt nach viel – ist aber in der Praxis in ein bis zwei Stunden erledigt.
Wichtig: Dieser Artikel ist keine Rechtsberatung. Bei konkreten Fragen zur DSGVO-Konformität empfehlen wir die Konsultation eines Datenschutzbeauftragten oder Anwalts.
Fazit
Ein Chatbot auf Ihrer deutschen Website ist DSGVO-konform machbar – wenn Sie den richtigen Anbieter wählen und die vier Kernpunkte beachten: EU-Server, AVV, Datenschutzhinweis und Datensparsamkeit. Der Aufwand ist überschaubar, der Nutzen erheblich.
DSGVO-konformer Chatbot – sofort einsatzbereit
Chaitbot: EU-Server (Frankfurt), AVV inklusive, in 10 Minuten live.
7 Tage kostenlos testenKeine Kreditkarte · EU-Hosting · DSGVO-konform