Ein Chatbot auf der Website verarbeitet fast immer personenbezogene Daten – schon die IP-Adresse der Besucher reicht dafür aus, oft kommen Name, E-Mail-Adresse oder der komplette Chatverlauf hinzu. Wer ihn einbindet, ohne vorher die rechtlichen Hausaufgaben zu machen, riskiert Abmahnungen und Bußgelder. Dieser Guide zeigt dir die sieben Schritte, mit denen du die Voraussetzungen für einen rechtssicheren Einsatz schaffst – kein Ersatz für Rechtsberatung, Stand: Juli 2026.
Was du brauchst
- Zugriff auf die Datenschutzerklärung deiner Website (CMS-Admin-Rechte)
- Ein Consent-Management-Tool (falls noch nicht vorhanden)
- Kontakt zum Chatbot-Anbieter für AVV- und TOM-Nachweise
- Grundkenntnisse zu DSGVO-Begriffen (AVV, TOM, Rechtsgrundlage)
- Ggf. Rücksprache mit Datenschutzbeauftragtem oder Rechtsberatung
Zeitaufwand: 1–2 Arbeitstage (inkl. Wartezeit auf Anbieter-Dokumente) · Schwierigkeitsgrad: Mittel · Benötigte Rechte: Website-Admin, Vertragsunterzeichnung
Schritt 1: Rechtsgrundlage klären
Bevor der Chatbot live geht, brauchst du eine Rechtsgrundlage nach Art. 6 DSGVO für die Verarbeitung personenbezogener Daten. Für reine Support-Chats reicht meist das berechtigte Interesse (Art. 6 Abs. 1 lit. f), sobald der Bot aber Marketing-Zwecke verfolgt oder Tracking einsetzt, brauchst du eine Einwilligung. Dokumentiere deine Entscheidung schriftlich – im Zweifel prüft das ein Datenschutzbeauftragter. Bei einem einfachen FAQ-Bot ohne Tracking reicht meist eine kurze schriftliche Abwägung; sobald der Bot Kontaktdaten sammelt oder Leads generiert, empfiehlt sich zusätzlich ein Blick in dein Verzeichnis von Verarbeitungstätigkeiten.
Häufiger Fehler: Firmen verlassen sich auf “berechtigtes Interesse”, obwohl der Bot heimlich Nutzerprofile für Retargeting anlegt – dafür ist immer eine Einwilligung nötig.
Danach hast du eine dokumentierte Rechtsgrundlage, auf die sich alle folgenden Schritte stützen.
Schritt 2: EU-Hosting prüfen
Prüfe, wo der Anbieter die Chat-Daten verarbeitet. Liegt der Serverstandort außerhalb der EU/des EWR, handelt es sich um eine Drittlandübermittlung, die zusätzliche Absicherung braucht (z. B. Standardvertragsklauseln). Viele Anbieter nennen den Standort in den Docs oder auf der Preise-/Sicherheitsseite – aktuelle Angaben beim Anbieter prüfen (Stand: Juli 2026). Beispiel: Ein Anbieter mit Hauptsitz in den USA, der seine Server aber ausschließlich in Frankfurt oder Dublin betreibt, gilt in der Regel als EU-gehostet – erst wenn Support- oder Analytics-Dienstleister in Drittländern eingebunden sind, wird die Übermittlung relevant.
[Screenshot: Hosting-/Sicherheits-Angabe in der Anbieter-Dokumentation]
Häufiger Fehler: Die Marketing-Seite verspricht “EU-Server”, die technische Doku nennt aber US-Subprozessoren für Analytics – immer beide Quellen abgleichen.
Danach weißt du, ob eine Drittlandübermittlung vorliegt und ob du zusätzliche Garantien brauchst.
Schritt 3: AVV mit dem Anbieter abschließen
Ohne Auftragsverarbeitungsvertrag (AVV) darfst du keine personenbezogenen Daten an den Chatbot-Anbieter weitergeben. Fordere den AVV direkt beim Anbieter an – seriöse Anbieter stellen ihn zum Download oder digitalen Unterschreiben bereit. Prüfe insbesondere die Liste der Subunternehmer (Subprozessoren). Wechselt der Anbieter später den Hosting-Partner oder bindet neue Subprozessoren ein, muss er dich laut AVV informieren – trage dir dafür einen Termin zur jährlichen Kontrolle ein.
Häufiger Fehler: Der AVV wird angefordert, aber nie tatsächlich unterschrieben – ohne Signatur zählt er rechtlich nicht.
Danach liegt dir ein unterschriebener AVV vor, der die Datenweitergabe rechtlich absichert.
Schritt 4: TOMs einfordern und dokumentieren
Der AVV allein reicht nicht – lass dir vom Anbieter die konkreten technischen und organisatorischen Maßnahmen (TOMs) als Anlage geben: Verschlüsselung, Zugriffskontrollen, Backup-Konzept. Frage außerdem nach dem Datum der letzten Sicherheitsüberprüfung oder einem aktuellen Zertifikat (z. B. ISO 27001) – das erleichtert dir die Dokumentation im eigenen Verzeichnis von Verarbeitungstätigkeiten. Lege das Dokument zusammen mit dem AVV ab.
Häufiger Fehler: TOMs werden nur mündlich zugesichert statt schriftlich dokumentiert – im Audit-Fall zählt nur das Dokument.
Danach hast du einen TOM-Nachweis, der bei einer Prüfung durch die Aufsichtsbehörde vorgelegt werden kann.
Schritt 5: Consent-Tool einrichten
Blockiere das Chatbot-Skript technisch, bis der Besucher zugestimmt hat – ein Consent-Management-Tool übernimmt das automatisch. Trage den Chatbot als eigene Kategorie ein und verlinke im Consent-Banner auf die Passage zum AVV in deiner Datenschutzerklärung. Dokumentiere zusätzlich, wann und mit welcher Tool-Version du das Consent-Setup zuletzt getestet hast – nach jedem größeren Website-Update lohnt sich ein erneuter Check.
[Screenshot: Chatbot-Kategorie im Consent-Banner]
Häufiger Fehler: Das Skript lädt bereits im Hintergrund, bevor der Besucher zustimmt – technisch prüfen (Netzwerk-Tab im Browser), nicht nur visuell.
Danach lädt der Chatbot nachweisbar erst nach erteilter Einwilligung.
Schritt 6: Datenschutzerklärung aktualisieren
Ergänze einen eigenen Abschnitt zum Chatbot: welche personenbezogenen Daten verarbeitet werden, die Rechtsgrundlage aus Schritt 1, den Anbieter samt Sitz und ob eine Drittlandübermittlung vorliegt. Ergänze außerdem, wie lange die Daten gespeichert werden und an wen sich Nutzer bei Auskunfts- oder Löschanfragen wenden können.
Häufiger Fehler: Die Datenschutzerklärung wird aktualisiert, aber nicht neu veröffentlicht bzw. das Änderungsdatum nicht angepasst.
Danach ist deine Datenschutzerklärung vollständig und deckt den Chatbot-Einsatz ab.
Schritt 7: KI-Kennzeichnung und Löschfristen festlegen
Kennzeichne im Chatfenster sichtbar, dass Nutzer mit einer KI kommunizieren – das schafft Transparenz und ist bei vielen Anbietern Voraussetzung für die Nutzung. Lege zusätzlich eine Löschfrist für Chatverläufe fest (z. B. 30 oder 90 Tage) und trage sie in dein Löschkonzept ein. Beispiel: Ein Malerbetrieb zeigt im Chatfenster den Hinweis “Automatisierte Antwort – ein KI-Assistent unterstützt hier” sichtbar an und lässt Anfragen ohne Terminvereinbarung nach 30 Tagen automatisch löschen, damit keine unnötigen Datenberge entstehen.
Häufiger Fehler: Chatverläufe werden unbegrenzt gespeichert, weil im Anbieter-Dashboard keine Frist voreingestellt ist – manuell konfigurieren.
Danach ist der Chatbot als KI gekennzeichnet und die Speicherdauer ist vertraglich wie technisch begrenzt.
Häufige Fehler
- Rechtsgrundlage wird nicht dokumentiert, sondern nur mündlich festgelegt
- AVV wird angefordert, aber nie unterschrieben
- TOMs werden nur mündlich zugesichert statt schriftlich abgelegt
- Subprozessoren-Liste wird nach AVV-Abschluss nie wieder aktualisiert oder geprüft
- Consent-Tool blockiert das Skript nicht wirklich (Hintergrundladen)
- Datenschutzerklärung wird nicht mit neuem Änderungsdatum aktualisiert
- Chatverläufe werden ohne festgelegte Löschfrist gespeichert
- KI-Kennzeichnung im Chatfenster fehlt komplett
Checkliste vor dem Go-Live
- Rechtsgrundlage nach Art. 6 DSGVO dokumentiert
- EU-Hosting bzw. Drittlandübermittlung geprüft
- AVV mit dem Anbieter unterschrieben
- TOMs schriftlich angefordert und abgelegt
- Consent-Tool blockiert das Chatbot-Skript nachweisbar
- Datenschutzerklärung um Chatbot-Abschnitt ergänzt und neu datiert
- KI-Kennzeichnung im Chatfenster sichtbar
- Löschfrist für Chatverläufe festgelegt und dokumentiert
Ergebnis
Nach diesen sieben Schritten hast du die rechtlichen Voraussetzungen für den Chatbot-Einsatz geschaffen: dokumentierte Rechtsgrundlage, unterschriebenen AVV samt TOMs, funktionierendes Consent-Tool, aktualisierte Datenschutzerklärung sowie KI-Kennzeichnung und Löschfrist.
Beispiel: Ein Handwerksbetrieb bindet einen Chatbot für Terminanfragen ein. Nach Abschluss der sieben Schritte liegt ein unterschriebener AVV samt TOM-Nachweis vor, das Consent-Banner blockiert das Skript zuverlässig bis zur Zustimmung, und Chatverläufe werden automatisch nach 60 Tagen gelöscht – inklusive einem kurzen Vermerk in der Datenschutzerklärung.
Häufige Fragen
Brauche ich für jeden Chatbot einen eigenen AVV? Ja, für jeden Anbieter, der personenbezogene Daten in deinem Auftrag verarbeitet – ein pauschaler AVV für mehrere Tools existiert nicht, auch nicht bei Anbietern aus demselben Konzern.
Was passiert, wenn ich den Chatbot ohne AVV live schalte? Die Datenübermittlung an den Anbieter erfolgt dann ohne Rechtsgrundlage – das kann bei einer Prüfung durch die Aufsichtsbehörde zu Bußgeldern führen, und im Streitfall haftest du als verantwortliche Stelle mit.
Wie lange darf ich Chatverläufe speichern? Es gibt keine feste gesetzliche Frist – üblich sind 30 bis 90 Tage, orientiert am tatsächlichen Zweck (z. B. Support-Nachbearbeitung). Länger nur mit dokumentierter Begründung, etwa bei laufenden Rechtsstreitigkeiten.
Reicht ein Cookie-Banner allein für die Einwilligung? Nein, ein Cookie-Banner deckt in der Regel nur Cookies ab. Für den Chatbot brauchst du eine eigene Consent-Kategorie mit technischer Skript-Blockierung.
Muss ich den Chatbot bei einer Drittlandübermittlung immer per Einwilligung absichern? Nicht zwingend – Standardvertragsklauseln oder ein Angemessenheitsbeschluss können ebenfalls ausreichen, wenn die Drittlandübermittlung damit vertraglich sauber abgesichert ist. Ohne eine dieser Garantien darfst du die Daten nicht übermitteln.