DSGVO-Chatbot-Checkliste: 12 Punkte die dein Tool erfüllen muss
20 Mio. EUR Bußgeld pro DSGVO-Verstoß. Diese 12-Punkte-Checkliste zeigt dir, ob dein Chatbot-Tool die Anforderungen erfüllt — mit Vergleichstabelle aller Anbieter.
20 Millionen Euro Bußgeld. So viel kann ein einzelner DSGVO-Verstoß kosten. Und bevor du denkst "das trifft nur Großkonzerne": Die Datenschutzbehörden in Deutschland verhängen zunehmend Bußgelder gegen KMU. Besonders wenn personenbezogene Daten in die USA fließen — ohne dass der Verantwortliche es weiß.
Ein Chatbot sammelt Daten. Immer. Namen, E-Mail-Adressen, Telefonnummern, manchmal Gesundheitsdaten. Und genau deshalb ist die DSGVO-Konformität deines Chatbots keine Kür, sondern Pflicht.
Hier sind 12 Punkte, die dein Chatbot-Tool erfüllen muss. Bei jedem Punkt zeigen wir, wie BotCore das löst — und wo US-Anbieter scheitern.
Bild-Placeholder
[BESCHREIBUNG: Hero-Grafik mit Checklisten-Visualisierung — 12 Punkte als Icons mit Häkchen/Kreuzen, EU-Flagge und Datenschutz-Schild]
Punkt 1: Server-Standort in der EU
Die Regel: Personenbezogene Daten müssen innerhalb der EU/EWR verarbeitet werden, es sei denn, es gibt eine gültige Rechtsgrundlage für den Transfer (Art. 44–49 DSGVO).
Das Problem: Chatbase läuft auf AWS in Virginia, USA. Tidio ebenfalls auf AWS, vermutlich US-Server. Jede Nachricht, die ein Besucher deiner Website in den Chat tippt, landet auf US-Servern.
BotCore: Hetzner Rechenzentrum in Nürnberg, Deutschland. Keine Daten verlassen die EU. Punkt.
Punkt 2: Auftragsverarbeitungsvertrag (AV-Vertrag / AVV)
Die Regel: Wenn ein Dritter personenbezogene Daten in deinem Auftrag verarbeitet, brauchst du einen AV-Vertrag (Art. 28 DSGVO). Ohne AV-Vertrag = Verstoß.
Das Problem: Viele Chatbot-Anbieter bieten keinen AV-Vertrag an oder nur auf Anfrage. Bei US-Anbietern ist ein AV-Vertrag nach DSGVO-Standards rechtlich fragwürdig, weil die Datenverarbeitung in den USA stattfindet.
BotCore: AV-Vertrag ist Standard, wird automatisch beim Vertragsabschluss bereitgestellt.
Punkt 3: Schrems II und der EU-US Data Privacy Framework
Was ist Schrems II? 2020 hat der EuGH das Privacy Shield gekippt — die Rechtsgrundlage für Datentransfers in die USA. Seitdem ist der Transfer personenbezogener Daten in die USA nur unter strengen Bedingungen möglich.
2023 kam der EU-US Data Privacy Framework (DPF). Aber: Der DPF steht auf wackligen Beinen. Datenschutzexperten erwarten ein "Schrems III", das auch dieses Framework kippen könnte. Wer jetzt auf einen US-Anbieter setzt, riskiert, dass die Rechtsgrundlage jederzeit wegfällt.
BotCore: Kein Datentransfer in die USA. Schrems II, III oder X — irrelevant, wenn die Daten in Nürnberg bleiben.
Punkt 4: US Cloud Act
Das Problem, das niemand erwähnt: Der US Cloud Act von 2018 gibt US-Behörden das Recht, auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden — egal wo auf der Welt die Server stehen. Das bedeutet: Selbst wenn ein US-Anbieter EU-Server anbietet, können US-Behörden theoretisch Zugriff auf die Daten verlangen.
AWS, Google Cloud, Microsoft Azure — alle unterliegen dem Cloud Act. Ein Chatbot auf AWS ist ein Chatbot unter US-Jurisdiktion, egal ob der Server in Frankfurt oder Virginia steht.
BotCore: Hetzner ist ein deutsches Unternehmen. Der Cloud Act greift nicht. Deutsche Behörden brauchen einen deutschen Gerichtsbeschluss für einen Datenzugriff.
Punkt 5: Verschlüsselung (Transport und Speicherung)
Die Regel: Personenbezogene Daten müssen verschlüsselt übertragen und gespeichert werden (Art. 32 DSGVO — technische und organisatorische Maßnahmen).
Was du prüfen musst:
- TLS/SSL für alle Verbindungen (Transport)
- Verschlüsselung der Datenbank (at rest)
- Keine Klartextspeicherung von sensiblen Daten
BotCore: TLS 1.3 für alle Verbindungen, verschlüsselte PostgreSQL-Datenbank, keine Klartextspeicherung von Passwörtern oder Tokens.
Punkt 6: Einwilligungsmanagement (Consent)
Die Regel: Bevor ein Chatbot personenbezogene Daten erhebt, braucht er die informierte Einwilligung des Nutzers (Art. 6, 7 DSGVO). Das gilt besonders für Lead-Erfassung (Name, E-Mail, Telefon).
Was oft schiefgeht: Viele Chatbots fragen Daten ab, ohne vorher auf die Datenschutzerklärung hinzuweisen. Oder sie setzen Cookies ohne Cookie-Banner.
BotCore: Konfigurierbarer Consent-Flow. Du kannst einstellen, dass der Bot erst nach expliziter Einwilligung personenbezogene Daten abfragt. Datenschutzhinweis ist integrierbar.
Punkt 7: Löschkonzept und Aufbewahrungsfristen
Die Regel: Du musst personenbezogene Daten löschen können, wenn der Zweck erfüllt ist oder ein Betroffener es verlangt (Art. 17 DSGVO — Recht auf Löschung).
Was du brauchst:
- Automatische Löschung nach definierten Fristen
- Manuelle Löschmöglichkeit für einzelne Datensätze
- Dokumentierte Löschprozesse
BotCore: Automatische Löschfristen konfigurierbar. Einzelne Chat-Verläufe und Kontaktdaten können manuell gelöscht werden. Löschungen werden protokolliert.
Bild-Placeholder
[BESCHREIBUNG: Infografik — Datenfluß-Diagramm: EU-Server vs. US-Server, Cloud Act, Schrems II visualisiert mit Pfeilen und Schildern]
Punkt 8: Sub-Prozessoren transparent auflisten
Die Regel: Du musst wissen (und deine Nutzer informieren), welche Sub-Prozessoren dein Chatbot-Anbieter einsetzt (Art. 28 Abs. 2 DSGVO).
Das Problem: Chatbase nutzt AWS (USA), verschiedene KI-Provider (OpenAI, Anthropic — alle USA), Analytics-Tools. Die vollständige Liste der Sub-Prozessoren ist oft schwer zu finden.
BotCore: Transparente Sub-Prozessoren-Liste. KI-Provider sind wählbar (inklusive EU-kompatibler Optionen). Hosting ausschließlich Hetzner DE.
Wichtiger Hinweis: BotCore nutzt KI-Modelle von verschiedenen Providern (Gemini, OpenAI, Anthropic, Groq). Die Prompts werden an diese Provider gesendet. Die Chatverläufe und Kundendaten bleiben auf Hetzner, aber die KI-Verarbeitung einzelner Nachrichten erfolgt beim jeweiligen Provider. Das solltest du in deiner Datenschutzerklärung transparent kommunizieren.
Punkt 9: Recht auf Auskunft und Datenportabilität
Die Regel: Betroffene haben das Recht zu erfahren, welche Daten du über sie gespeichert hast (Art. 15 DSGVO) und diese in einem maschinenlesbaren Format zu erhalten (Art. 20 DSGVO).
Was dein Chatbot-Tool können muss:
- Export aller gespeicherten Daten eines bestimmten Nutzers
- Übersicht über alle Datenfelder
- Export in gängigem Format (CSV, JSON)
BotCore: Chat-Verläufe und Lead-Daten sind exportierbar. Nutzer können über die Admin-UI nach bestimmten Kontakten suchen und deren Daten exportieren.
Punkt 10: Datenschutz-Folgenabschätzung (DSFA)
Die Regel: Bei hohem Risiko für die Rechte der Betroffenen ist eine Datenschutz-Folgenabschätzung Pflicht (Art. 35 DSGVO). Bei Chatbots im Gesundheitsbereich (Arztpraxen!) ist das fast immer der Fall.
Was das bedeutet: Du musst dokumentieren, welche Daten der Chatbot verarbeitet, welche Risiken bestehen und welche Maßnahmen du ergreifst.
BotCore: Wir stellen eine DSFA-Vorlage speziell für den Einsatz von BotCore bereit.
Punkt 11: Protokollierung und Audit-Trail
Die Regel: Du musst nachweisen können, dass du die DSGVO einhältst (Art. 5 Abs. 2 — Rechenschaftspflicht).
Was das heißt:
- Protokollierung von Zugriffen auf personenbezogene Daten
- Nachvollziehbarkeit von Änderungen
- Nachweis von Löschungen
BotCore: Zugriffe werden protokolliert. Änderungen an Bot-Konfigurationen sind nachvollziehbar. Löschungen werden dokumentiert.
Punkt 12: Self-Hosting als Ultima Ratio
Für maximale Kontrolle: Manche Branchen (Gesundheit, Finanz, öffentlicher Sektor) verlangen, dass die gesamte Datenverarbeitung auf eigenen Servern stattfindet.
BotCore: Self-Hosting ist möglich. Du kannst BotCore auf deinem eigenen Server betreiben — volle Kontrolle über alle Daten, keine Abhängigkeit von unserem SaaS. Kein anderer Self-Service-Chatbot im DACH-Markt bietet das.
Die Checkliste auf einen Blick
| # | Prüfpunkt | BotCore | Chatbase | Tidio | moinAI | DialogBits |
|---|---|---|---|---|---|---|
| 1 | EU-Server | Hetzner DE | AWS USA | AWS (vmtl. US) | Hamburg DE | DE |
| 2 | AV-Vertrag | Standard | Auf Anfrage | Auf Anfrage | Standard | Standard |
| 3 | Schrems-II-sicher | Ja | Nein | Nein | Ja | Ja |
| 4 | Cloud-Act-frei | Ja | Nein | Nein | Ja | Ja |
| 5 | Verschlüsselung | TLS 1.3 + DB | Ja | Ja | Ja | Ja |
| 6 | Consent-Flow | Konfigurierbar | Begrenzt | Ja | Ja | Ja |
| 7 | Löschkonzept | Automatisch | Manuell | Manuell | Ja | Ja |
| 8 | Sub-Prozessoren | Transparent | Unvollständig | Unvollständig | Transparent | Transparent |
| 9 | Datenexport | Ja | Begrenzt | Ja | Ja | Ja |
| 10 | DSFA-Vorlage | Ja | Nein | Nein | Auf Anfrage | Auf Anfrage |
| 11 | Audit-Trail | Ja | Begrenzt | Begrenzt | Ja | Ja |
| 12 | Self-Hosting | Ja | Nein | Nein | Nein | On-Premise |
Bild-Placeholder
[BESCHREIBUNG: Screenshot der BotCore Admin-UI mit Datenschutz-Einstellungen — Löschfristen, Consent-Flow, AV-Vertrag Download]
Ehrliche Einordnung
Heißt das, dass US-Anbieter illegal sind? Nicht unbedingt. Mit Standardvertragsklauseln und dem EU-US Data Privacy Framework kann ein Transfer rechtlich vertretbar sein — solange der DPF hält. Aber: Du trägst das Risiko. Wenn der DPF gekippt wird, musst du sofort wechseln.
Und: Für bestimmte Branchen (Gesundheit, Finanzen, öffentlicher Sektor) sind US-Anbieter de facto nicht einsetzbar. Kein Datenschutzbeauftragter wird dir Chatbase für eine Arztpraxis freigeben.
Was du jetzt tun solltest
- Prüfe deinen aktuellen Chatbot-Anbieter anhand dieser 12 Punkte
- Frage deinen Datenschutzbeauftragten, ob der aktuelle Anbieter freigegeben ist
- Dokumentiere die Prüfung — das ist deine Rechenschaftspflicht
Bereit für deinen eigenen KI-Chatbot?
14 Tage kostenlos testen. Keine Kreditkarte nötig.
Kostenlos starten