Chatbots auf Unternehmenswebsites verarbeiten personenbezogene Daten, sobald ein Besucher die erste Zeile eingibt. Die datenschutzrechtliche Verantwortung liegt beim Website-Betreiber, auch wenn die Technik von einem externen Anbieter stammt. Viele Unternehmer unterschaetzen diesen Verantwortungsumfang, weil der Chatbot als selbstlaufendes Werkzeug wirkt. Die folgende Risikopruefliste ordnet die zentralen Pflichten und typischen Fehler aus Betreibersicht.
Was Unternehmer ueber Chatbots oft nicht bedenken
Der verbreitete Fehler ist die Annahme, dass ein Chatbot lediglich eine technisch moderne Variante eines Kontaktformulars sei. Tatsaechlich unterscheidet er sich in zwei kritischen Punkten: Die Verarbeitung erfolgt in der Regel in Echtzeit auf fremder Server-Infrastruktur, und die Datenfluesse sind fuer den Betreiber schwerer nachvollziehbar als bei einem klassischen Formular, das lediglich eine E-Mail ausloest. Die Illusion der Automatisierung verdeckt die rechtliche Verantwortung.
Chatbots sind nicht per se datenschutzrechtlich problematischer als Kontaktformulare, aber ihre technische Komplexitaet und haeufige Fremdinfrastruktur fuehren dazu, dass Betreiber die Verarbeitungsvorgaenge schlechter durchschauen. Wer einen Chatbot einbindet, muss dennoch erklaeren koennen, welche Daten wo verarbeitet werden, wie lange gespeichert werden und wer Zugriff hat. Das gilt unabhaengig davon, ob der Chatbot kuenstliche Intelligenz nutzt oder auf einfachen Regelwerken basiert.
Welche Daten bei der Nutzung tatsaechlich anfallen
Bereits vor der ersten bewussten Eingabe koennen technische Daten fliessen: IP-Adresse, Browsertyp, Betriebssystem, Zeitstempel, eventuell Cookies oder Session-IDs. Sobald der Besucher aktiv wird, kommen die eigentlichen Chat-Inhalte hinzu – Name, E-Mail-Adresse, Telefonnummer, Bestellnummern, Beschwerden, gegebenenfalls sensible Daten zu Gesundheit oder Finanzen, wenn der Nutzer diese freiwillig nennt.
Besonders brisant: Nutzer preisen in Chatfenstern oft mehr preis als in strukturierten Formularen. Ein Kontaktformular mit definierten Pflichtfeldern zwingt zur gezielten Angabe; ein Chatbot laedt durch seine Gespraeche natuerlich zur freien Erzaehlung ein. Der Betreiber muss damit rechnen, dass seine Datenverarbeitung umfangreicher ausfaellt als urspruenglich geplant. Die Speicherung dieser Chatverlaeufe ist kein technisches Detail, sondern eine geplante Verarbeitungstaetigkeit, die vorab geprueft werden muss.
Der Unterschied zwischen Eigenbetrieb und fremder Infrastruktur
Entscheidend fuer die datenschutzrechtliche Einordnung ist, wer die technische Kontrolle ueber die Datenverarbeitung ausuebt. Betreibt das Unternehmen den Chatbot auf eigenen Servern, liegt Eigenverantwortung vor – mit allen Folgen fuer Technik, Sicherheit und Dokumentation. Das ist bei kleineren und mittleren Unternehmen eher die Ausnahme.
Typischer wird ein Cloud-basierter Dienst eingesetzt, bei dem der Anbieter die Infrastruktur stellt. Hier muss geklaert werden, ob eine Auftragsverarbeitung vorliegt oder ob der Anbieter eigenstaendig ueber die Zwecke und Mittel der Verarbeitung entscheidet. Bei Auftragsverarbeitung ist ein Vertrag nach Art. 28 DSGVO zwingend erforderlich, der die Weisungsgebundenheit des Dienstleisters festlegt. Ohne diesen Vertrag bleibt der Website-Betreiber allein verantwortlich und kann sich nicht auf die Teilung der Haftung berufen.
Die Grenze ist in der Praxis oft verschwommen. Anbieter, die neben der Technik auch Analysefunktionen, Trainingsdaten-Optimierung oder Marketingauswertungen anbieten, verarbeiten moeglicherweise in eigener Verantwortung. Der Betreiber muss dies aktiv abklaeren und darf nicht darauf vertrauen, dass Standardvertraege automatisch die richtige Einordnung treffen.
Drittlandtransfer: Wo die Daten landen, ohne dass Besucher es merken
Viele Chatbot-Anbieter betreiben ihre Server ausserhalb der Europaeischen Union oder des Europaeischen Wirtschaftsraums – haeufig in den USA. Sobald personenbezogene Daten dorthin uebertragen werden, liegt ein Drittlandtransfer vor. Das ist nicht automatisch unzulaessig, erfordert aber zusaetzliche Sicherungsmassnahmen und eine gesonderte Betrachtung.
Der Betreiber muss wissen, in welchem Land die Server stehen und wo Zwischenverarbeitung stattfindet. Ein Anbieter mit Hauptsitz in Deutschland kann durchaus auf US-amerikanische Cloud-Infrastruktur zurueckgreifen. Die Standardvertragsklauseln der EU-Kommission sind zwar ein gaengiges Instrument zum Schutz solcher Transfers, ihre Wirksamkeit haengt aber von der konkreten Umsetzung ab – etwa von ergaenzenden technischen Schutzmassnahmen und der Pruefung der Rechtslage im Empfaengerstaat.
Fuer den Website-Besucher bleibt dieser Transfer unsichtbar. Der Betreiber traegt dennoch die Verantwortung, ihn vorab zu pruefen und in seiner Transparenzpflicht zu beruecksichtigen. Wer hier nur allgemein auf moegliche Uebertragungen in Drittlaender hinweist, ohne den Chatbot konkret zu benennen, unterschaetzt die Informationspflichten.
Warum die Datenschutzerklaerung angepasst werden muss
Die Datenschutzerklaerung muss jede Verarbeitungstaetigkeit benennen, die im konkreten Betrieb stattfindet. Ein Chatbot ist keine marginale Ergaenzung, die unter "Sonstiges" verschwinden darf. Notwendig sind mindestens: Angabe des Verantwortlichen und gegebenenfalls des Auftragsverarbeiters, Zwecke der Verarbeitung, Rechtsgrundlage, Speicherdauer, Hinweis auf Betroffenenrechte, gegebenenfalls Drittlandtransfer.
Die Pflicht zur proaktiven Information besteht bereits vor der ersten Dateneingabe. Wer den Chatbot-Button erst nach Akzeptieren eines Cookie-Banners oder nach dem Scrollen zur Datenschutzerklaerung aktiv schaltet, erfuellt diese Pflicht nicht. Der Besucher muss die relevanten Informationen zur Verfuegung haben, bevor er ueberhaupt in Versuchung geraten koennte, Daten einzugeben. Das bedeutet in der Regel: Die Chatbot-Schnittstelle selbst muss einen Verweis auf die Datenschutzinformation enthalten oder diese unmittelbar zugaenglich machen.
Wann eine Einwilligung erforderlich ist und wann nicht
Die Rechtsgrundlage fuer die Chatbot-Verarbeitung haengt davon ab, ob der Dienst fuer die Nutzung der Website zwingend notwendig ist oder optional angeboten wird. Ein Chatbot, der als einziger Kontaktweg dient oder ohne den keine Bestellung aufgegeben werden kann, wird schwerlich auf Einwilligung gestuetzt werden koennen. Hier bleibt die Vertragserfuellung oder das berechtigte Interesse als Anknuepfungspunkt – mit entsprechenden Anforderungen an die Verhaeltnismaessigkeit und die Transparenz.
Ein optionaler Beratungschatbot, der neben klassischen Kontaktwegen besteht, laesst sich eher auf Einwilligung gruenden. Diese muss dann freiwillig, spezifisch, informiert und unmissverstaendlich erfolgen. Vorgefertigte Haekchen, die der Nutzer erst abwaehlen muss, oder die Kopplung der Einwilligung an die Nutzung des gesamten Angebots sind unzulaessig. Die Einwilligung muss dokumentiert werden koennen, was bei Chatbots technisch nicht trivial ist, da die Interaktion selbst die "Einwilligungshandlung" darstellen soll.
Besonders problematisch: Chatbots, die erst nach Einwilligung in Marketing-Cookies geladen werden, aber selbst wiederum unabhaengig von diesen Cookies personenbezogene Daten verarbeiten. Hier verschwimmen die Ebenen, und Betreiber riskieren eine falsche Rechtsgrundlagenwahl.
Typische Fehler bei der Umsetzung
Der haeufigste Fehler ist der schrittweise Einsatz ohne vorherige Pruefung. Ein Marketing-Team entscheidet ueber den Chatbot-Anbieter, die IT implementiert, die Datenschutzabteilung erfaehrt es nachtraeglich. Dann fehlen Vertraege, die Drittlandsituation ist ungeklaert, die Datenschutzerklaerung ist nicht angepasst.
Ein weiterer Standardfehler ist die unbegrenzte Speicherung von Chatverlaeufen. Jede Minute laenger als notwendig erhoeht das Risiko bei Datenpannen und erschwert die Erfuellung von Loeschungsanfragen. Betreiber sollten festlegen, wann ein Chatverlauf anonymisiert oder geloescht wird – und diese Frist technisch umsetzen, statt sie nur zu dokumentieren.
Auch die unzureichende Schulung der Mitarbeiter, die auf Chat-Anfragen zugreifen, wird oft uebersehen. Wer Chatverlaeufe einsehen kann, muss ueber den datenschutzrechtlichen Umgang informiert sein. Das gilt gleichermassen bei vollautomatisierten Systemen, die bei Eskalation an Menschen uebergeben.
Was Betreiber vor dem Einsatz pruefen sollten
Vor der Aktivierung eines Chatbots sollte der Betreiber eine strukturierte Pruefung durchlaufen:
Infrastruktur und Vertraege: Wo stehen die Server? Liegt Auftragsverarbeitung vor? Ist ein Art.-28-Vertrag geschlossen? Wer hat bei Unterauftragnehmern die Verantwortung?
Datenfluesse: Welche Daten werden bei Start, waehrend und nach dem Chat verarbeitet? Gibt es eine Weitergabe an weitere Dritte? Werden Daten zu Trainingszwecken genutzt?
Rechtsgrundlage: Ist der Chatbot notwendig oder optional? Welche Rechtsgrundlage passt? Ist eine Einwilligung erforderlich und wie wird sie eingeholt?
Transparenz: Sind alle Verarbeitungen in der Datenschutzerklaerung erfasst? Ist die Information vor der ersten Eingabe zugaenglich?
Speicherung und Loeschen: Wie lange werden Chatverlaeufe gespeichert? Gibt ein automatisiertes Loeschen? Werden Daten anonymisiert?
Betroffenenrechte: Wie werden Auskunfts-, Berichtigungs- und Loeschungsanfragen bearbeitet? Ist der Chatbot-Anbieter in diese Prozesse eingebunden?
Wer diese Punkte vor dem ersten Klick eines Besuchers geklaert hat, vermeidet die typischen Fallstricke. Wer sie ignoriert, riskiert nicht nur Abmahnungen, sondern auch das Vertrauen der eigenen Kunden.
Fuer Unternehmen, die bei der Umsetzung Unterstuetzung suchen, bietet sich eine neutrale Beratung an, die die spezifische Konstellation aus Website, Branche und Chatbot-Anbieter bewertet – etwa ueber das Kontaktformular zur individuellen Anfrage.
