Ein Kunde schreibt um 22 Uhr, weil seine Bestellung nicht angekommen ist. Ein KI-Agent antwortet sofort, löst das Problem — und speichert dabei Name, Adresse und Bestellnummer auf einem Server irgendwo in den USA. Genau hier beginnt für viele Mittelständler das Problem: nicht beim Einsatz von KI, sondern beim unreflektierten Einsatz ohne datenschutzrechtliche Grundlage.
Die Datenschutz-Grundverordnung gilt selbstverständlich auch für automatisierte Systeme, die personenbezogene Daten verarbeiten. KI-Chatbots im Kundensupport zählen fast immer dazu. Wer die Pflichten kennt, kann KI-gestützten Support rechtssicher betreiben — und dabei echten Mehrwert schaffen.
---
Ein klassisches Kontaktformular überträgt Daten einmalig und speichert sie in einem bekannten System. Ein KI-Agent hingegen verarbeitet Konversationen dynamisch, gibt diese Daten an externe Sprachmodell-Anbieter weiter und kann — wenn nicht technisch eingeschränkt — weit mehr Informationen erfassen, als für die Anfrage eigentlich nötig wären.
Drei Risikobereiche sind besonders relevant:
---
Sobald ein Drittanbieter personenbezogene Daten in Ihrem Auftrag verarbeitet — und das tut jeder Cloud-KI-Dienst —, brauchen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO. Das gilt für den KI-Plattformanbieter selbst, aber auch für dahinterliegende Modellbetreiber wie OpenAI oder Anthropic, sofern diese Daten aus Ihren Konversationen verarbeiten.
Prüfen Sie daher vor dem Vertragsabschluss:
Der Serverstandort ist kein Marketingversprechen, sondern eine rechtliche Weichenstellung. Wenn Konversationsdaten — auch nur temporär — auf Servern außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, brauchen Sie entweder einen Angemessenheitsbeschluss, Standarddatenschutzklauseln oder ein vergleichbares Instrument nach Art. 46 DSGVO.
Die sicherste Lösung für Mittelständler: KI-Plattformbetrieb auf deutschen oder zumindest EU-ansässigen Servern, idealerweise auf einer dedizierten Instanz statt in einer Shared-Cloud-Umgebung.
Personenbezogene Daten, die ein Nutzer im Chat nennt — IBAN, Geburtsdatum, vollständige Adresse — sollten nicht ungefiltert an das Sprachmodell weitergereicht werden, wenn sie für die eigentliche Antwort nicht benötigt werden. Technisch lässt sich das durch eine vorgelagerte PII-Erkennung (Personally Identifiable Information) lösen, die sensible Felder vor der Verarbeitung maskiert oder entfernt.
Achten Sie bei der Auswahl eines KI-Anbieters darauf, ob eine solche Redaktionsstufe standardmäßig verbaut ist oder ob sie nachgerüstet werden muss.
Nutzer müssen zu Beginn einer Konversation darüber informiert werden, dass sie mit einem automatisierten System kommunizieren. Das ist nicht nur eine datenschutzrechtliche Pflicht, sondern auch eine Frage des Vertrauens. Empfehlenswert ist ein kurzer Hinweistext im Chatfenster sowie ein Link zur Datenschutzerklärung, die die KI-gestützte Verarbeitung explizit beschreibt.
Gestalten Sie diese Information konkret:
Art. 17 DSGVO (Recht auf Löschung) und Art. 15 DSGVO (Auskunftsrecht) gelten auch für Chatverläufe. Sie müssen technisch in der Lage sein, auf Anfrage eines Nutzers dessen Konversationsdaten zu exportieren oder zu löschen. Das setzt voraus, dass Verläufe einem identifizierbaren Nutzer zugeordnet und selektiv abrufbar sind — eine Anforderung, die in der Systemarchitektur von Anfang an berücksichtigt werden muss.
Wenn ein KI-Agent nicht nur antwortet, sondern auch Entscheidungen trifft — etwa Erstattungsanträge ablehnt oder Vertragsänderungen verweigert — greift Art. 22 DSGVO. Vollautomatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung sind grundsätzlich unzulässig, sofern keine Einwilligung oder gesetzliche Grundlage vorliegt. Sorgen Sie deshalb für eine klar definierte Eskalationsroute zu menschlichen Mitarbeitenden.
---
DSGVO-Konformität ist kein Dokumentenprojekt, sondern ein technisches Designprinzip. Systeme, die von Grund auf datenschutzfreundlich gebaut sind, brauchen weniger Nacharbeit und liefern mehr Rechtssicherheit. Konkret bedeutet das:
---
Bevor Sie einen KI-Agenten im Kundenkontakt aktivieren, sollten folgende Punkte abgehakt sein:
---
DSGVO-konforme KI-Chatbots sind keine Utopie — aber sie entstehen nicht von selbst. Wer einen KI-Agenten im Support einsetzen will, muss die technischen und vertraglichen Grundlagen vor dem ersten Kundengespräch schaffen, nicht danach. Das bedeutet: Serverstandort prüfen, AV-Verträge abschließen, PII-Redaktion einbauen,