Wie Sie Ihren Chatbot GDPR-konform machen
Illustration einer blauen und rosa Aktentasche.
Einblicke

Wie Sie Ihren Chatbot GDPR-konform machen

Wenn Sie personenbezogene Daten aus der EU verarbeiten, sollten Sie sicherstellen, dass Ihr Chatbot mit der DSGVO konform ist.
29. Mai 2024
-
Aktualisiert am
Geschrieben von
Botpress
Botpress
Inhaltsübersicht
GDPR-Crashkurs
1. Transparent sein
2. Wahrhaftig sein
3. Klug sein
4. Kundenorientiert sein
5. Menschlich sein
6. Log Averse sein
7. Sicher sein
Erstellen Sie konforme Chatbots
FAQs
Zusammenfassung
  • Die DSGVO gilt für jeden Chatbot, der personenbezogene Daten von EU-Nutzern sammelt oder verarbeitet, und verlangt Transparenz, Nutzerrechte und strenge Datensicherheitsmaßnahmen.
  • Sie müssen die Nutzer im Voraus klar darüber informieren, welche Daten Ihr Chatbot sammelt, warum, wie sie gespeichert oder weitergegeben werden und welche Rechte die Nutzer haben, auf ihre Daten zuzugreifen oder sie zu löschen.
  • Daten dürfen nur für bestimmte, angegebene Zwecke und auf einer Rechtsgrundlage wie Einwilligung, Vertragserfüllung oder berechtigte Interessen verarbeitet werden.
  • Die Nutzer müssen in der Lage sein, ihre GDPR-Rechte auszuüben - wie z. B. den Zugriff auf ihre Daten, deren Berichtigung oder Löschung - idealerweise direkt über Chatbot-Flows.

Wenn Sie darüber nachdenken, einen Chatbot für ein Unternehmen einzusetzen, ist dieser Artikel genau das Richtige für Sie.

Da die GDPR(General Data Protection Regulation) ihre Schatten auf Unternehmen wirft, die mit Kundendaten umgehen, wird es immer dringlicher, sich mit den technologischen Aspekten von Unternehmen zu befassen.

Eine Frage, die häufig von unseren Kunden gestellt wird, ist: Wie mache ich meinen Botpress Chatbot GDPR-konform? Die Einhaltung der GDPR kann schwierig sein, aber wir sind hier, um zu helfen. 

Wenn die DSGVO auf Ihr Unternehmen zutrifft, finden Sie hier einige Tipps und Tricks, wie Sie sicherstellen können, dass Ihr Chatbot auch weiterhin den Vorschriften entspricht.

AI aufbauen Chatbots
Erstellen Sie benutzerdefinierte agenturische Chatbots
Jetzt anfangen

GDPR-Crashkurs

Was ist die Datenschutz-Grundverordnung?

Die GDPR ist eine EU-Verordnung zum Datenschutz und zum Schutz der Privatsphäre. Sie wirkt sich auf Einzelpersonen und Unternehmen in der EU und im Europäischen Wirtschaftsraum (EWR) aus, auch auf die Übertragung von Daten außerhalb der EU und des EWR.

Ihr Ziel ist es, dem Einzelnen die Kontrolle über seine personenbezogenen Daten zu geben und eine einheitliche Regelung in der EU zu schaffen. Wenn Ihr Unternehmen in diesen Bereichen tätig ist, müssen Sie mit der DSGVO konform sein.

Bild von encryptmylaptop.com

Die Nichteinhaltung der Datenschutzgrundverordnung hat ihren Preis. Sie kann zu erheblichen Strafen führen, die bis zu 20 Millionen Euro oder 4 % Ihres weltweiten Umsatzes im vorangegangenen Geschäftsjahr betragen können - je nachdem, welcher Betrag höher ist. 

Das Ziel ist es, Ihren Nutzern zu zeigen, dass Sie ihre Daten genau wie versprochen verarbeiten. Dies wird mit Sicherheit das Vertrauen der Kunden in Ihre chatbots stärken, was letztlich die Rentabilität und den Erfolg Ihres Unternehmens steigern könnte.

Was gilt als personenbezogene Daten?

Nach der DSGVO sind personenbezogene Daten definiert als "alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen". Dies schließt ein:

  • Telefonnummern
  • Kreditkartennummern
  • Anzahl der Mitarbeiter
  • Kontodaten
  • Nummernschilder
  • Erscheinungsbild
  • Kundennummern
  • Adressen

Die Definition in der DSGVO ist jedoch weit gefasst - wenn Sie sich nicht sicher sind, ob Informationen als personenbezogene Daten gelten, sollten Sie besser davon ausgehen, dass sie als solche behandelt werden sollten. 

1. Transparent sein

Wenn Sie über Ihren Chatbot Kundendaten sammeln - und diese Daten gelten nach der DSGVO als personenbezogene Daten - müssen Sie den Chatbot-Nutzern gegenüber transparent sein. Sie müssen das "Wer, Was, Wo, Wann und Warum" der Datenerfassung erklären.

Das bedeutet, dass Sie Ihre Nutzer darüber informieren müssen, welche Kundendaten Sie sammeln, wie Sie sie verwenden und an wen Sie sie weitergeben. Diese Elemente sollten den Nutzern immer präsentiert werden , bevor Sie Kundendaten sammeln.

Informieren Sie den Nutzer vor der Sammlung

Sie sollten einen klaren und leicht verständlichen Hinweis geben, bevor Sie Kundendaten über Ihren Chatbot verwalten.

Dies sieht oft wie Pop-ups aus, die den Nutzern erklären, welche Daten Sie von ihnen sammeln, warum Sie sie sammeln und welche Rechte sie in Bezug auf die Sammlung persönlicher Daten haben. 

Beispiel für ein GDPR-Pop-up von RetailNext.

Eine öffentliche Datenschutzerklärung veröffentlichen

Sie sollten Ihre Datenverarbeitungspraktiken auch in einer Online-Datenschutzrichtlinie oder -erklärung darlegen und bei Bedarf aktualisieren. Als Beispiel können Sie die Datenschutzerklärung von Botpressheranziehen. 

Ihre Datenschutzerklärung sollte Folgendes enthalten:

  • Welche Informationen werden von den Nutzern gesammelt?
  • Warum Sie ihre personenbezogenen Daten verarbeiten (d. h. der Zweck der Datenerhebung)
  • Wie Sie personenbezogene Daten speichern und weitergeben
  • Wie Sie ihre persönlichen Daten schützen und behandeln
  • Die Rechte der Nutzer auf Privatsphäre

Transparenz in Bezug auf die Verwendung und den Umgang mit Kundendaten schafft Vertrauen und Wohlwollen - und das führt zu stärkeren, dauerhafteren Kundenbeziehungen und letztlich zu einem nachhaltigeren und seriöseren Unternehmen. 

Ein Beispiel aus der Botpress Erklärung zum Datenschutz.

2. Wahrhaftig sein

Sie sollten Daten nur zu den von Ihnen angegebenen Zwecken verarbeiten. Dazu gehört, dass Sie darauf achten, dass Ihr Unternehmen und seine Mitarbeiter Kundendaten nur zu den angegebenen Zwecken verarbeiten.

Wenn Sie beispielsweise angeben, dass Sie Kundendaten für das Versenden von kommerziellen Mitteilungen, für das Trainieren von Algorithmen, für Datenanalysen zur Produktverbesserung, für den technischen Support, für den Kundendienst oder für die Personalisierung von Dienstleistungen verwenden werden, dürfen Sie die Daten nur für diese Zwecke verwenden und für nichts anderes. 

3. Klug sein

Sie sollten Daten nur verarbeiten, wenn dies rechtlich zulässig ist.

Gehen Sie einen Schritt zurück und bewerten Sie intern Ihre Rechtsgrundlage für die Verarbeitung von Kundendaten. Diese Analyse ist in der Datenschutz-Grundverordnung vorgeschrieben. 

Sie dürfen Kundendaten nur verwalten, wenn eine oder mehrere der folgenden Bedingungen erfüllt sind: 

  • Es basiert auf der ausdrücklichen Zustimmung des Chatbot-Nutzers
  • Sie ist Teil eines Vertrags mit dem Nutzer und die Verarbeitung ist unerlässlich.
  • Es ist die Erfüllung einer gesetzlichen Verpflichtung
  • Es geht um die Wahrung der vitalen Interessen des Nutzers (sprich: um Leben und Tod!)
  • Sie erfüllt eine Aufgabe im öffentlichen Interesse
  • Es ist Teil Ihrer offiziellen Autorität
  • Es geht um die Verfolgung legitimer Interessen (es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der Nutzer überwogen) 

Die häufigsten Gründe für die Verarbeitung von Kundendaten sind die Einwilligung, die Erfüllung eines Vertrags oder berechtigte Interessen.

4. Kundenorientiert sein

Sie müssen die Nutzer in die Lage versetzen, ihre Datenschutzrechte auszuüben.

Ein Punkt auf der GDPR-Checkliste für chatbots betrifft die Sicherstellung, dass Chatbot-Nutzer in der Lage sind, eines oder mehrere der verschiedenen Datenschutzrechte auszuüben, die ihnen nach der GDPR zustehen. 

Chatbot-Nutzer müssen die Möglichkeit haben, auf die vom Chatbot über sie erfassten Kundendaten zuzugreifen, sie zu korrigieren, die Verarbeitung einzuschränken und ihr zu widersprechen, die Löschung ihrer Daten zu beantragen oder sie in einem portablen Format zu erhalten. 

Im Idealfall können die Nutzer diese Rechte direkt über den Konversationsfluss von chatbots in einem interaktiven Frage-und-Antwort-Prozess ausüben. Zum Glück bietet Botpress diese Möglichkeit. 

Einsatz von KI-Agenten?
Lesen Sie unseren Leitfaden für die Implementierung von AI-Agenten
Jetzt lesen

5. Menschlich sein

Versuchen Sie zu zeigen, dass automatisierte Entscheidungen von Menschen getroffen werden.

Die von Botpress betriebenen Chatbots verwenden KI-Technologie. Genauer gesagt sind es KI-Agenten, die von LLMs angetrieben werden.

Sofern nicht bestimmte Bedingungen erfüllt sind, können Sie Ihren Chatbot nicht so strukturieren, dass die KI allein kritische Entscheidungen über einen Nutzer trifft: Entscheidungen, die über Nutzer getroffen werden, können keine rechtlichen Auswirkungen haben oder den Nutzer wesentlich beeinflussen. 

Das bedeutet, dass in jeder Phase des Einsatzes eines Chatbots, der agentenbasierte KI verwendet, eine menschliche Aufsicht vorhanden sein sollte, um die Einhaltung der DSGVO zu gewährleisten. Es ist wichtig, dass Sie in der Lage sind, den Nutzern zu zeigen, dass die menschliche Beteiligung bei der Gestaltung dieser Entscheidungen eine Rolle gespielt hat.

6. Log Averse sein

Bewerten Sie, welche Art von Protokollen Sie über Ihren Chatbot führen. Haben Sie Fehlerprotokolle? Zugriffsprotokolle? Sicherheitsprüfungsprotokolle? 

Referenzbild für Log-Datei-Highlighter.

Wenn ja, stellen Sie fest, ob diese Protokolle Kundendaten wie IP-Adressen, identifizierende Informationen oder vollständige Namen enthalten. Wenn die Antwort "ja" lautet, müssen Sie möglicherweise ein Verfahren zur Löschung dieser Kundendaten einrichten. Die DSGVO verbietet es Ihnen, diese Daten ohne angemessene Begründung aufzubewahren und zu speichern.

Wenn die Aufbewahrung nicht gerechtfertigt ist, löschen Sie alle personenbezogenen Daten, die durch Protokolle erhalten wurden.

Auf Botpress löschen wir personenbezogene Daten, die über Protokolle gewonnen wurden, automatisch nach einem ausdrücklich festgelegten Zeitraum.

7. Sicher sein

Zusätzlich zu allen anderen Elementen müssen Sie auch sicherstellen, dass Sie technische, organisatorische, physische und administrative Maßnahmen zum Schutz der über Ihren Chatbot verarbeiteten Informationen ergreifen. 

Dies könnte bedeuten, dass Sie sicherstellen, dass Sie:

  • Verschlüsselung der Kundendaten im Ruhezustand und bei der Übertragung
  • Anonymisierung oder Pseudonymisierung von Kundendaten
  • Verwalten Sie den Zugang Ihrer Mitarbeiter zu Kundendaten auf der Grundlage der Notwendigkeit, sie zu kennen.
  • Geeignete Backups, neben anderen Überlegungen

Dies sind alles geeignete Maßnahmen, um die Ihnen anvertrauten Daten zu schützen - sie variieren je nach Zweck Ihres Chatbots und den von ihm erfassten Daten.

Weitere Beispiele finden Sie in Anhang 2 der Datenverarbeitungsvereinbarung von Botpress. Dort finden Sie eine Liste der Sicherheitsmaßnahmen, die wir ergreifen, wenn Sie mit unserer Hilfe einen Chatbot erstellen.

Beispiel für eine Datenverarbeitungsvertrags von Botpress.

Erstellen Sie konforme Chatbots

Die Einhaltung der Datenschutzgrundverordnung durch Ihren Chatbot ist nicht nur aus rechtlichen oder finanziellen Gründen wichtig. Der Aufbau von Vertrauen und Transparenz bei Ihren Nutzern ist ein wesentlicher Bestandteil des öffentlichen Images Ihres Unternehmens und Ihrer individuellen Kundenbeziehungen. Im Zweifelsfall sollten Sie sicherstellen, dass Ihre Produkte und Dienstleistungen einer GDPR-Checkliste folgen, um die Einhaltung der Vorschriften zu gewährleisten.

Wir helfen Ihnen gerne dabei, sicherzustellen, dass Ihr KI-Chatbot die erforderlichen Vorschriften erfüllt. Viele Funktionen zur Einhaltung der GDPR sind direkt in Botpress integriert, sodass Sie sich auf die Bot-Erstellung konzentrieren können.

Bei Fragen können Sie sich an legal@botpress.com wenden.

AI aufbauen Chatbots
Erstellen Sie benutzerdefinierte agenturische Chatbots
Jetzt anfangen

FAQs

1. Ist die Einhaltung der DSGVO für Nicht-EU-Unternehmen, die Chatbots einsetzen, verpflichtend?

Ja, die Einhaltung der DSGVO ist obligatorisch, wenn Ihr Chatbot mit Nutzern in der EU interagiert oder Daten von in der EU ansässigen Personen verarbeitet, unabhängig davon, wo Ihr Unternehmen ansässig ist.

2. Wie führe ich eine Datenschutz-Folgenabschätzung (DPIA) für meinen Chatbot durch?

Um eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für Ihren Chatbot durchzuführen, müssen Sie zunächst ermitteln, welche personenbezogenen Daten Ihr Chatbot verarbeitet, welche Risiken damit verbunden sind und welche Maßnahmen Sie ergreifen werden, um diese zu mindern. Dies ist ein strukturierter Weg, um zu zeigen, dass Sie die Auswirkungen auf den Datenschutz durchdacht haben und wie Sie damit umgehen wollen.

3. Wie stelle ich sicher, dass mein Chatbot während der Fehlersuche oder Analyse keine sensiblen Daten aufzeichnet?

Um sicherzustellen, dass Ihr Chatbot bei der Fehlersuche oder Analyse keine sensiblen Daten protokolliert, deaktivieren Sie die Protokollierung von Gesprächsinhalten, anonymisieren Sie alle Protokolle, die Sie aufbewahren, und stellen Sie sicher, dass Debugging-Tools persönliche Daten ausschließen oder unkenntlich machen. Überprüfen Sie stets, was Ihre Protokolle erfassen, und wenden Sie strenge Zugangskontrollen an.

4. Muss ich meinen Chatbot für verschiedene Regionen mit unterschiedlichen Datengesetzen lokalisieren?

Ja, Sie müssen Ihren Chatbot für verschiedene Regionen lokalisieren. Während die DSGVO streng ist, haben andere Regionen wie Kalifornien oder Brasilien ihre eigenen Regeln. Wenn Sie also die Datenpraktiken Ihres Chatbots auf die jeweilige Region zuschneiden, können Sie weltweit konform bleiben.

5. Ist die Erstellung von Nutzerprofilen in Echtzeit über LLMs GDPR-konform?

Es kommt darauf an, ob die Erstellung von Nutzerprofilen in Echtzeit über LLMs als GDPR-konform angesehen wird oder nicht. Profiling ist erlaubt, aber wenn es sich erheblich auf Nutzer auswirkt oder automatisierte Entscheidungen ohne menschliche Eingaben trifft, brauchen Sie eine starke Begründung und eine ausdrückliche Zustimmung. Transparenz und menschliche Aufsicht sind entscheidend.

Verwandte Seiten

25 Mio. $ für den Aufbau der Infrastruktur für KI-Agenten

Unter
Sylvain Perron

11 häufige Chatbot-Fehler für Unternehmen

Unter
Sarah Chudleigh

No-Code-Automatisierungstools für alltägliche Arbeitsabläufe

Unter
Aryan Kargwal
Bauen Sie
besser
mit Botpress
Start von
Eine Illustration von Büchern, einer Pflanze und einem Laptop auf einem Tisch.
Alle Systeme einsatzbereit
SOC 2
Zertifiziert
GDPR
Konform
© 2025
Hub
Integrationen
Kanäle
LLMs
Ressourcen
Mit Sales sprechen
Dokumentation
Einen Experten beauftragen
Videos
Kundengeschichten
API-Referenz
Blog
Status
v12 Ressourcen
Gemeinschaft
Unterstützung der Gemeinschaft
Partner werden
Werden Sie Botschafter
Werden Sie ein Partner
Unternehmen
Über
Karriere
Nachrichten & Presse
Rechtliches
Datenschutz