Chatbot DSGVO-Checkliste 2026: Rechtssicher einsetzen

Ein KI-Chatbot verarbeitet pro Gespräch Dutzende personenbezogene Datenpunkte: Name, E-Mail, Anliegen, manchmal sogar Gesundheits- oder Finanzinformationen. Wer 2026 einen Chatbot ohne wasserdichtes Datenschutzkonzept einsetzt, riskiert Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Doch keine Panik: Mit der richtigen Checkliste wird DSGVO-Compliance vom Stolperstein zum Wettbewerbsvorteil.

Dieser Praxisleitfaden zeigt Geschäftsführern, Marketing-Verantwortlichen und Datenschutzbeauftragten Schritt für Schritt, worauf es bei der rechtssicheren Einführung eines Chatbots ankommt – egal ob auf der Website, in WhatsApp Business oder als Voice Bot im Callcenter.

Warum Chatbot-Datenschutz 2026 wichtiger ist denn je

Die Aufsichtsbehörden haben aufgerüstet. Allein 2025 verhängten deutsche Landesdatenschutzbehörden mehr als 180 Bußgelder gegen Unternehmen, die KI-Systeme ohne ausreichende Rechtsgrundlage betrieben. Hinzu kommt der EU AI Act, der seit August 2025 vollumfänglich gilt und für Chatbots zusätzliche Transparenzpflichten vorschreibt.

Drei Entwicklungen verschärfen die Situation:

• Generative KI: LLMs wie GPT-4o oder Claude verarbeiten Eingaben anders als regelbasierte Bots. Die Datenflüsse sind komplexer, Drittlandtransfers häufiger.
• Multichannel-Einsatz: Ein Bot, der gleichzeitig auf Website, WhatsApp und Instagram läuft, bündelt Daten aus mehreren Quellen – das erhöht das Risiko-Profil.
• Schrems-III-Diskussion: Das EU-US Data Privacy Framework steht erneut auf dem Prüfstand. Wer auf US-Anbieter setzt, braucht einen Plan B.

Die 6 Säulen DSGVO-konformer Chatbots

Bevor wir in die Checkliste einsteigen, hier das fundamentale Gerüst, an dem jeder rechtssichere Chatbot ausgerichtet sein muss:

1. Rechtsgrundlage nach Art. 6 DSGVO

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Für Chatbots kommen typischerweise infrage:

• Einwilligung (Art. 6 Abs. 1 lit. a): Pflicht bei Marketing-Bots, Lead-Generierung, Profiling.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Bei Support-Bots im Kundenservice oft anwendbar.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Für FAQ-Bots ohne Personenbezug möglich – mit dokumentierter Interessenabwägung.

2. Transparenz und Informationspflichten

Nutzer müssen vor dem ersten Klick wissen, dass sie mit einer Maschine sprechen. Der EU AI Act verschärft diese Pflicht: Chatbots müssen sich klar als KI zu erkennen geben. Ein Hinweis im Chat-Fenster reicht nicht – die Information gehört prominent in die Datenschutzerklärung.

3. Datenminimierung

Erheben Sie nur, was Sie wirklich brauchen. Ein Lead-Bot benötigt Name und E-Mail – nicht das Geburtsdatum. Konfigurieren Sie Ihren Bot so, dass sensible Daten gar nicht erst erfasst oder sofort anonymisiert werden.

4. Speicherdauer und Löschkonzept

Chat-Verläufe sollten nach maximal 90 Tagen automatisch gelöscht werden – es sei denn, längere Aufbewahrung ist gesetzlich vorgeschrieben (z. B. handelsrechtliche Aufbewahrungspflichten bei Vertragsabschlüssen).

5. Auftragsverarbeitung

Wer einen externen Chatbot-Anbieter nutzt, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Ohne AVV: Bußgeldrisiko.

6. Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung, Zugriffskontrollen, Pseudonymisierung – die Technik muss stimmen. Dokumentieren Sie alles im Verzeichnis von Verarbeitungstätigkeiten (VVT).

Die DSGVO-Checkliste: 47 Prüfpunkte für Ihren Chatbot

A) Vor dem Launch

• Verzeichnis von Verarbeitungstätigkeiten (VVT) ergänzt
• Datenschutz-Folgenabschätzung (DSFA) durchgeführt – Pflicht bei umfangreicher KI-Nutzung
• Rechtsgrundlage je Verarbeitungszweck dokumentiert
• Auftragsverarbeitungsvertrag mit Bot-Anbieter unterschrieben
• Standardvertragsklauseln (SCC) bei Drittlandtransfer ergänzt
• Datenschutzbeauftragter (intern oder extern) eingebunden
• Betriebsrat informiert (bei Mitarbeiter-Bots)

B) Im Chatbot selbst

• Sichtbarer Hinweis: "Sie chatten mit einem KI-Assistenten"
• Link zur Datenschutzerklärung im Chat-Fenster
• Cookie-Banner mit Opt-in für Tracking-Funktionen
• Einwilligungs-Layer vor Erfassung personenbezogener Daten
• Möglichkeit, jederzeit zum Menschen zu wechseln
• Keine versteckten Profiling-Funktionen ohne Einwilligung
• Sensible Daten (Gesundheit, Religion, Politik) blockiert

C) Datenschutzerklärung erweitern

• Zweck der Chatbot-Verarbeitung beschrieben
• Verwendete KI-Modelle und Anbieter benannt
• Speicherdauer pro Datenkategorie aufgeführt
• Empfängerkategorien (z. B. "OpenAI in den USA") genannt
• Drittlandtransfer mit Garantien begründet
• Betroffenenrechte (Auskunft, Löschung, Widerspruch) aufgelistet
• Beschwerderecht bei der Aufsichtsbehörde erwähnt

D) Technische Sicherheit

• TLS 1.3 für alle Datenübertragungen
• Verschlüsselung der Chat-Logs at rest (AES-256)
• Rollenbasierte Zugriffskontrollen (RBAC)
• Logging und Monitoring der Bot-Aktivitäten
• Penetrationstest vor Go-Live
• Notfallplan für Datenpannen (72-Stunden-Meldepflicht)
• Backup-Strategie inklusive Löschroutinen

E) Laufender Betrieb

• Quartalsweise Überprüfung der Bot-Antworten auf Datenschutzvorfälle
• Jährliches Audit der TOMs
• Schulung der Mitarbeiter, die mit Chat-Logs arbeiten
• Aktualisierung der Datenschutzerklärung bei Funktionsänderungen
• Re-Audit nach Modell-Updates (z. B. GPT-4o → GPT-5)
• Monitoring der Aufsichtsbehörden-Verlautbarungen

Häufige Datenschutz-Fallstricke – und wie Sie sie vermeiden

Fallstrick 1: "Wir nutzen ChatGPT, das ist doch sicher"

OpenAI verarbeitet Daten in den USA. Ohne SCC, AVV und prominenten Hinweis ist das ein Verstoß. Lösung: Nutzen Sie OpenAI über Microsoft Azure (EU-Region) oder europäische Anbieter wie Aleph Alpha oder Mistral. Alternativ ein on-premise LLM für maximale Kontrolle.

Fallstrick 2: WhatsApp Bots ohne Datenschutzhinweis

Meta verarbeitet WhatsApp-Daten in Irland und teilweise in den USA. Vor jedem ersten Bot-Kontakt braucht es eine dokumentierte Einwilligung – idealerweise per Double-Opt-in. Klassisches Risiko bei WhatsApp Business Chatbots: Newsletter-Versand ohne explizites Opt-in.

Fallstrick 3: Voice Bots im Callcenter

Sprachaufzeichnungen sind besonders sensible biometrische Daten. Hier gilt: Vorab-Ansage "Ihr Gespräch wird zu Qualitätszwecken aufgezeichnet" plus Opt-out-Möglichkeit. Speicherdauer maximal 30 Tage.

Fallstrick 4: HR-Chatbots im Bewerbungsprozess

Bewerberdaten unterliegen verschärften Anforderungen. Automatisierte Vorauswahl ist nach Art. 22 DSGVO nur mit Einwilligung oder Vertragsanbahnung zulässig. Der EU AI Act stuft HR-Bots als Hochrisiko-Systeme ein – mit zusätzlichen Pflichten zu Bias-Prüfungen und menschlicher Aufsicht.

Fallstrick 5: Chat-Logs im Marketing-Tool

Wenn Sie Chat-Verläufe in Salesforce, HubSpot oder Pipedrive übertragen, brauchen Sie auch dort eine Rechtsgrundlage und müssen die Datenflüsse dokumentieren.

Branchen-Spotlights: Was gilt wo?

E-Commerce und Retail

Sales- und Beratungs-Bots sind in der Regel über Vertragsanbahnung gerechtfertigt. Achten Sie auf transparente Produktempfehlungen und vermeiden Sie versteckte Preisdiskriminierung – das verbietet das Verbraucherrecht.

Finanzdienstleister und Banken

Die BaFin verlangt zusätzlich zur DSGVO ein nachvollziehbares Modell-Audit. Erklärbarkeit (Explainable AI) ist Pflicht. Cloud-Anbieter müssen MaRisk-konform sein.

Gesundheitswesen

Praxis- und Klinik-Chatbots verarbeiten Gesundheitsdaten – die strengste Datenkategorie. Hier braucht es ausdrückliche Einwilligung nach Art. 9 Abs. 2 DSGVO und idealerweise eine Datenverarbeitung in Deutschland.

Öffentlicher Sektor

Behörden-Bots unterliegen zusätzlich dem jeweiligen Landesdatenschutzgesetz. Cloud-Hosting nur bei zertifizierten Anbietern (C5-Testat des BSI).

EU AI Act: Diese neuen Pflichten gelten 2026

Seit August 2025 ist der EU AI Act vollumfänglich anwendbar. Für Chatbots ergeben sich folgende Pflichten:

• Transparenzpflicht: Nutzer müssen erkennen, dass sie mit KI sprechen.
• Kennzeichnung KI-generierter Inhalte: Texte oder Bilder, die der Bot erzeugt, müssen als KI-Output markiert sein.
• Risiko-Klassifizierung: HR-, Finanz- und medizinische Bots gelten als Hochrisiko – mit umfangreichen Dokumentationspflichten.
• Konformitätsbewertung: Vor Markteinführung von Hochrisiko-Bots ist eine Bewertung durch eine benannte Stelle erforderlich.

Die Bußgelder reichen bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes – noch höher als bei der DSGVO.

So integrieren Sie Datenschutz von Anfang an: Privacy by Design

Statt Datenschutz nachträglich aufzusetzen, sollten Sie ihn von Beginn an mitdenken. Drei Prinzipien:

1. Default-Einstellungen: Maximaler Datenschutz als Standard. Nutzer müssen zustimmen, wenn mehr Daten verarbeitet werden sollen.
2. End-to-End-Sicherheit: Verschlüsselung von der Eingabe bis zur Speicherung.
3. Lebenszyklus-Denken: Datenschutz ist kein Projekt, sondern ein Prozess – von der Konzeption bis zur Außerbetriebnahme.

Fazit: DSGVO ist kein Hindernis, sondern Wettbewerbsvorteil

Unternehmen, die ihren Chatbot rechtssicher aufstellen, profitieren doppelt: Sie vermeiden Bußgelder und gewinnen das Vertrauen ihrer Kunden. Studien zeigen, dass 73 Prozent der deutschen Verbraucher datenschutzkonforme Anbieter bevorzugen – auch wenn diese teurer sind.

Die 47 Prüfpunkte aus dieser Checkliste mögen umfangreich wirken, doch sie schützen Sie vor existenzbedrohenden Risiken. Nutzen Sie unsere Vorlagen für AVV, Datenschutzerklärung und DSFA, um den Aufwand zu minimieren.

Sie sind unsicher, ob Ihr Chatbot wirklich DSGVO-konform ist? Lassen Sie sich von unseren Experten in einem kostenlosen 30-minütigen Beratungsgespräch zeigen, wo bei Ihnen Handlungsbedarf besteht. Inno-Chatbot kombiniert europäische Datenhoheit mit modernster KI-Technologie – damit Sie ohne Bauchschmerzen automatisieren können.