DSGVO-konformen Chatbot betreiben
Erfahren Sie, wie SimpleClaw DSGVO-Konformität gewährleistet und welche Maßnahmen Sie als Unternehmen ergreifen müssen. Mit Checkliste für Ihre Datenschutzerklärung und Hinweisen zur Auftragsverarbeitung.
DSGVO-konformen Chatbot betreiben
Der Betrieb eines KI-Chatbots unterliegt in Deutschland der Datenschutz-Grundverordnung (DSGVO). Als Betreiber sind Sie verantwortlich für den korrekten Umgang mit den Daten Ihrer Kunden. SimpleClaw nimmt Ihnen den Großteil der technischen Datenschutzmaßnahmen ab — doch einige Pflichten verbleiben bei Ihnen.
Warum DSGVO bei Chatbots wichtig ist
Wenn Kunden mit Ihrem Bot chatten, teilen sie personenbezogene Daten: Namen, Bestellnummern, manchmal sogar sensible Informationen. Sie als Unternehmen sind nach Art. 4 Nr. 7 DSGVO der Verantwortliche für diese Datenverarbeitung.
SimpleClaw: DSGVO by Design
SimpleClaw wurde für den deutschen Markt entwickelt. Ihre Daten verbleiben auf dedizierten Servern im Hetzner-Rechenzentrum Falkenstein (Bayern). Verschlüsselung, Datensparsamkeit und Betroffenenrechte sind von Anfang an eingebaut.
Auftragsverarbeitungsvertrag
Sie benötigen einen AVV mit SimpleClaw nach Art. 28 DSGVO. Dieser ist in Ihren Kontoeinstellungen vorgefertigt verfügbar und regelt Pflichten, Unterauftragsverarbeiter und technische Maßnahmen.
Datenschutzerklärung anpassen
Informieren Sie Ihre Kunden in Ihrer Datenschutzerklärung über den Einsatz des Chatbots, die verarbeiteten Daten, die Rechtsgrundlage und den Speicherort.
Laufende Compliance
Führen Sie den Chatbot in Ihrem Verarbeitungsverzeichnis, bearbeiten Sie Löschanfragen zeitnah und schulen Sie Ihr Team. Ergänzen Sie Ihren System-Prompt um Datenschutz-Regeln.
Weiterführende Tutorials
- Kundensupport-Bot aufbauen — Professionellen Support-Bot erstellen
- System-Prompt optimieren — Prompt-Engineering-Grundlagen
- Datenschutz ansehen — Rechtliche Grundlagen und Pflichtangaben
- Kontakt aufnehmen — DSGVO-, AVV- oder Rollout-Fragen direkt klären
- SimpleClaw vs. OpenClaw-Self-Hosting — Managed statt Eigenbetrieb
DSGVO-Grundlagen für Chatbots verstehen
Wenn Sie einen KI-Chatbot betreiben, der mit Kunden interagiert, verarbeiten Sie personenbezogene Daten im Sinne der DSGVO. Dazu gehören:
- Nachrichteninhalte — Kunden teilen oft Namen, Bestellnummern, E-Mail-Adressen in ihren Nachrichten
- Metadaten — Telegram-Benutzername, Zeitstempel, Chat-ID
- Nutzungsdaten — Welche Fragen werden gestellt, wann und wie oft
Als Betreiber des Chatbots sind Sie verantwortlich für den Datenschutz (Art. 4 Nr. 7 DSGVO). SimpleClaw handelt als Auftragsverarbeiter in Ihrem Auftrag.
Die gute Nachricht: SimpleClaw wurde von Anfang an für den deutschen Markt entwickelt und nimmt Ihnen den Großteil der technischen Datenschutzmaßnahmen ab.
Was SimpleClaw für Ihre DSGVO-Konformität tut
SimpleClaw bietet folgende technische und organisatorische Maßnahmen (TOMs):
Datenstandort: Deutschland Ihr Bot läuft auf einem dedizierten Hetzner-Server im Rechenzentrum Falkenstein (Bayern). Chatverläufe, Konfigurationen und Logs bleiben in Deutschland — kein Transfer in Drittländer.
Verschlüsselung
- Transport: TLS 1.3 für alle Verbindungen
- Speicherung: Verschlüsselte Datenbank auf dem dedizierten Server
- API-Tokens: Gehasht gespeichert (SHA-256)
Datensparsamkeit
- Chatverläufe werden nur so lange gespeichert, wie für den Betrieb nötig
- Keine Weitergabe von Kundendaten an Dritte (außer dem gewählten KI-Anbieter für die Verarbeitung)
- Keine Nutzung der Chatdaten für eigenes Modelltraining
Technische Sicherheit
- Dedizierter Server pro Bot (keine Shared-Infrastruktur)
- Automatische Sicherheitsupdates
- Regelmäßige Backups mit Verschlüsselung
Betroffenenrechte
- API-Endpoint für Datenexport (Art. 15 DSGVO)
- Löschung auf Anfrage möglich (Art. 17 DSGVO)
Auftragsverarbeitungsvertrag (AVV) abschließen
Als Verantwortlicher benötigen Sie mit SimpleClaw als Auftragsverarbeiter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Dieser regelt:
- Gegenstand und Dauer der Verarbeitung
- Art der personenbezogenen Daten (Nachrichteninhalte, Metadaten)
- Kategorie der betroffenen Personen (Ihre Kunden/Nutzer)
- Pflichten des Auftragsverarbeiters (SimpleClaw)
- Unterauftragsverarbeiter (Hetzner für Hosting, KI-Anbieter für Modell-Inferenz)
SimpleClaw stellt einen vorgefertigten AVV bereit, den Sie in Ihren Kontoeinstellungen einsehen und digital abschließen können.
Hinweis zu KI-Anbietern: Da die Nachrichten zur Verarbeitung an den KI-Anbieter (OpenAI, Anthropic oder Google) gesendet werden, sind diese als Unterauftragsverarbeiter aufgeführt. Alle drei Anbieter haben Standardvertragsklauseln für den EU-Datentransfer implementiert.
Ihre Datenschutzerklärung anpassen
Sie müssen in Ihrer Datenschutzerklärung über den Einsatz des Chatbots informieren. Folgende Punkte sollten enthalten sein:
Checkliste für Ihre Datenschutzerklärung:
- Beschreibung des Chatbot-Dienstes und seines Zwecks
- Rechtsgrundlage (in der Regel Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an effizienter Kundenkommunikation)
- Welche Daten verarbeitet werden (Nachrichteninhalte, Telegram-Metadaten)
- Empfänger der Daten (SimpleClaw als Auftragsverarbeiter, KI-Anbieter als Unterauftragsverarbeiter)
- Speicherort (Deutschland, Hetzner-Rechenzentrum Falkenstein)
- Speicherdauer (gemäß Ihrer Aufbewahrungsrichtlinie)
- Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch)
- Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
Wichtig: Diese Checkliste ist ein Ausgangspunkt. Die genaue Formulierung sollte auf Ihr Unternehmen und Ihre spezifische Nutzung zugeschnitten sein.
## Einsatz eines KI-Chatbots
Wir setzen auf unserer Telegram-Präsenz einen KI-gestützten
Chatbot ein, der von SimpleClaw (simpleclaw.de) bereitgestellt
wird. Der Chatbot dient der effizienten Beantwortung häufiger
Kundenanfragen.
**Verarbeitete Daten:** Nachrichteninhalte, Telegram-Benutzername,
Zeitstempel der Nachrichten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
Interesse an effizienter Kundenkommunikation).
**Speicherort:** Deutschland (Hetzner-Rechenzentrum Falkenstein).
**Auftragsverarbeiter:** SimpleClaw, mit AVV nach Art. 28 DSGVO.
Unterauftragsverarbeiter: [KI-Anbieter] für die Sprachverarbeitung.Laufende Compliance sicherstellen
DSGVO-Konformität ist kein einmaliger Akt, sondern ein fortlaufender Prozess:
Regelmäßige Aufgaben:
- Chatverläufe prüfen — Stellen Kunden sensible Daten bereit (Gesundheitsdaten, Finanzdaten)? Passen Sie den System-Prompt an, um die Eingabe solcher Daten zu minimieren
- Löschanfragen bearbeiten — Wenn ein Kunde die Löschung seiner Daten verlangt, müssen Sie dem nachkommen. SimpleClaw bietet dafür einen API-Endpoint
- Verarbeitungsverzeichnis führen — Dokumentieren Sie den Chatbot in Ihrem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
- AVV aktuell halten — Bei Änderungen (z. B. Wechsel des KI-Modells/Anbieters) den AVV prüfen und ggf. aktualisieren
- Mitarbeiter schulen — Stellen Sie sicher, dass Ihr Team weiß, wie der Bot funktioniert und wie Datenschutzanfragen zu bearbeiten sind
System-Prompt-Ergänzung für Datensparsamkeit:
## Datenschutz-Regeln
- Frage Kunden NICHT aktiv nach persönlichen Daten
(Name, E-Mail, Telefonnummer)
- Wenn Kunden persönliche Daten teilen, verarbeite sie
nur im Kontext der aktuellen Anfrage
- Weise bei sensiblen Anfragen darauf hin, dass der
Kunde den direkten Kontakt (Telefon/E-Mail) nutzen
sollte: "Für diese Angelegenheit empfehle ich Ihnen
den direkten Kontakt mit unserem Team unter
[Telefonnummer/E-Mail]."