← Zurück zu Tutorials
AnleitungFortgeschritten~12 Min.

DSGVO-konformen Chatbot betreiben

Erfahren Sie, wie SimpleClaw DSGVO-Konformität gewährleistet und welche Maßnahmen Sie als Unternehmen ergreifen müssen. Mit Checkliste für Ihre Datenschutzerklärung und Hinweisen zur Auftragsverarbeitung.

DSGVO-konformen Chatbot betreiben

Der Betrieb eines KI-Chatbots unterliegt in Deutschland der Datenschutz-Grundverordnung (DSGVO). Als Betreiber sind Sie verantwortlich für den korrekten Umgang mit den Daten Ihrer Kunden. SimpleClaw nimmt Ihnen den Großteil der technischen Datenschutzmaßnahmen ab — doch einige Pflichten verbleiben bei Ihnen.

Warum DSGVO bei Chatbots wichtig ist

Wenn Kunden mit Ihrem Bot chatten, teilen sie personenbezogene Daten: Namen, Bestellnummern, manchmal sogar sensible Informationen. Sie als Unternehmen sind nach Art. 4 Nr. 7 DSGVO der Verantwortliche für diese Datenverarbeitung.

SimpleClaw: DSGVO by Design

SimpleClaw wurde für den deutschen Markt entwickelt. Ihre Daten verbleiben auf dedizierten Servern im Hetzner-Rechenzentrum Falkenstein (Bayern). Verschlüsselung, Datensparsamkeit und Betroffenenrechte sind von Anfang an eingebaut.

Auftragsverarbeitungsvertrag

Sie benötigen einen AVV mit SimpleClaw nach Art. 28 DSGVO. Dieser ist in Ihren Kontoeinstellungen vorgefertigt verfügbar und regelt Pflichten, Unterauftragsverarbeiter und technische Maßnahmen.

Datenschutzerklärung anpassen

Informieren Sie Ihre Kunden in Ihrer Datenschutzerklärung über den Einsatz des Chatbots, die verarbeiteten Daten, die Rechtsgrundlage und den Speicherort.

Laufende Compliance

Führen Sie den Chatbot in Ihrem Verarbeitungsverzeichnis, bearbeiten Sie Löschanfragen zeitnah und schulen Sie Ihr Team. Ergänzen Sie Ihren System-Prompt um Datenschutz-Regeln.

Weiterführende Tutorials

DSGVO-Grundlagen für Chatbots verstehen

Wenn Sie einen KI-Chatbot betreiben, der mit Kunden interagiert, verarbeiten Sie personenbezogene Daten im Sinne der DSGVO. Dazu gehören:

  • Nachrichteninhalte — Kunden teilen oft Namen, Bestellnummern, E-Mail-Adressen in ihren Nachrichten
  • Metadaten — Telegram-Benutzername, Zeitstempel, Chat-ID
  • Nutzungsdaten — Welche Fragen werden gestellt, wann und wie oft

Als Betreiber des Chatbots sind Sie verantwortlich für den Datenschutz (Art. 4 Nr. 7 DSGVO). SimpleClaw handelt als Auftragsverarbeiter in Ihrem Auftrag.

Die gute Nachricht: SimpleClaw wurde von Anfang an für den deutschen Markt entwickelt und nimmt Ihnen den Großteil der technischen Datenschutzmaßnahmen ab.

Tipp: Dieser Leitfaden bietet eine Orientierung, ersetzt aber keine individuelle Rechtsberatung. Klären Sie die Details mit Ihrem Datenschutzbeauftragten oder einer spezialisierten Kanzlei.

Was SimpleClaw für Ihre DSGVO-Konformität tut

SimpleClaw bietet folgende technische und organisatorische Maßnahmen (TOMs):

Datenstandort: Deutschland Ihr Bot läuft auf einem dedizierten Hetzner-Server im Rechenzentrum Falkenstein (Bayern). Chatverläufe, Konfigurationen und Logs bleiben in Deutschland — kein Transfer in Drittländer.

Verschlüsselung

  • Transport: TLS 1.3 für alle Verbindungen
  • Speicherung: Verschlüsselte Datenbank auf dem dedizierten Server
  • API-Tokens: Gehasht gespeichert (SHA-256)

Datensparsamkeit

  • Chatverläufe werden nur so lange gespeichert, wie für den Betrieb nötig
  • Keine Weitergabe von Kundendaten an Dritte (außer dem gewählten KI-Anbieter für die Verarbeitung)
  • Keine Nutzung der Chatdaten für eigenes Modelltraining

Technische Sicherheit

  • Dedizierter Server pro Bot (keine Shared-Infrastruktur)
  • Automatische Sicherheitsupdates
  • Regelmäßige Backups mit Verschlüsselung

Betroffenenrechte

  • API-Endpoint für Datenexport (Art. 15 DSGVO)
  • Löschung auf Anfrage möglich (Art. 17 DSGVO)
Tipp: Der Datenstandort Deutschland allein reicht nicht für DSGVO-Konformität. Entscheidend ist das Gesamtpaket aus technischen Maßnahmen, vertraglichen Regelungen und Ihren eigenen organisatorischen Maßnahmen.

Auftragsverarbeitungsvertrag (AVV) abschließen

Als Verantwortlicher benötigen Sie mit SimpleClaw als Auftragsverarbeiter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Dieser regelt:

  • Gegenstand und Dauer der Verarbeitung
  • Art der personenbezogenen Daten (Nachrichteninhalte, Metadaten)
  • Kategorie der betroffenen Personen (Ihre Kunden/Nutzer)
  • Pflichten des Auftragsverarbeiters (SimpleClaw)
  • Unterauftragsverarbeiter (Hetzner für Hosting, KI-Anbieter für Modell-Inferenz)

SimpleClaw stellt einen vorgefertigten AVV bereit, den Sie in Ihren Kontoeinstellungen einsehen und digital abschließen können.

Hinweis zu KI-Anbietern: Da die Nachrichten zur Verarbeitung an den KI-Anbieter (OpenAI, Anthropic oder Google) gesendet werden, sind diese als Unterauftragsverarbeiter aufgeführt. Alle drei Anbieter haben Standardvertragsklauseln für den EU-Datentransfer implementiert.

Tipp: Schließen Sie den AVV ab, bevor Sie den Bot produktiv einsetzen. Ohne AVV fehlt die rechtliche Grundlage für die Datenverarbeitung durch SimpleClaw.

Ihre Datenschutzerklärung anpassen

Sie müssen in Ihrer Datenschutzerklärung über den Einsatz des Chatbots informieren. Folgende Punkte sollten enthalten sein:

Checkliste für Ihre Datenschutzerklärung:

  • Beschreibung des Chatbot-Dienstes und seines Zwecks
  • Rechtsgrundlage (in der Regel Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an effizienter Kundenkommunikation)
  • Welche Daten verarbeitet werden (Nachrichteninhalte, Telegram-Metadaten)
  • Empfänger der Daten (SimpleClaw als Auftragsverarbeiter, KI-Anbieter als Unterauftragsverarbeiter)
  • Speicherort (Deutschland, Hetzner-Rechenzentrum Falkenstein)
  • Speicherdauer (gemäß Ihrer Aufbewahrungsrichtlinie)
  • Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch)
  • Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten

Wichtig: Diese Checkliste ist ein Ausgangspunkt. Die genaue Formulierung sollte auf Ihr Unternehmen und Ihre spezifische Nutzung zugeschnitten sein.

Tipp: Lassen Sie den Datenschutzerklärungs-Abschnitt von Ihrem Datenschutzbeauftragten prüfen. Die obige Vorlage ist ein Startpunkt, keine rechtsverbindliche Empfehlung.
## Einsatz eines KI-Chatbots

Wir setzen auf unserer Telegram-Präsenz einen KI-gestützten
Chatbot ein, der von SimpleClaw (simpleclaw.de) bereitgestellt
wird. Der Chatbot dient der effizienten Beantwortung häufiger
Kundenanfragen.

**Verarbeitete Daten:** Nachrichteninhalte, Telegram-Benutzername,
Zeitstempel der Nachrichten.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
Interesse an effizienter Kundenkommunikation).

**Speicherort:** Deutschland (Hetzner-Rechenzentrum Falkenstein).

**Auftragsverarbeiter:** SimpleClaw, mit AVV nach Art. 28 DSGVO.
Unterauftragsverarbeiter: [KI-Anbieter] für die Sprachverarbeitung.

Laufende Compliance sicherstellen

DSGVO-Konformität ist kein einmaliger Akt, sondern ein fortlaufender Prozess:

Regelmäßige Aufgaben:

  1. Chatverläufe prüfen — Stellen Kunden sensible Daten bereit (Gesundheitsdaten, Finanzdaten)? Passen Sie den System-Prompt an, um die Eingabe solcher Daten zu minimieren
  2. Löschanfragen bearbeiten — Wenn ein Kunde die Löschung seiner Daten verlangt, müssen Sie dem nachkommen. SimpleClaw bietet dafür einen API-Endpoint
  3. Verarbeitungsverzeichnis führen — Dokumentieren Sie den Chatbot in Ihrem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  4. AVV aktuell halten — Bei Änderungen (z. B. Wechsel des KI-Modells/Anbieters) den AVV prüfen und ggf. aktualisieren
  5. Mitarbeiter schulen — Stellen Sie sicher, dass Ihr Team weiß, wie der Bot funktioniert und wie Datenschutzanfragen zu bearbeiten sind

System-Prompt-Ergänzung für Datensparsamkeit:

Tipp: Fügen Sie die Datenschutz-Regeln als eigenen Abschnitt in Ihren System-Prompt ein. So stellen Sie sicher, dass der Bot datenschutzkonform kommuniziert, ohne die anderen Anweisungen zu beeinflussen.
## Datenschutz-Regeln
- Frage Kunden NICHT aktiv nach persönlichen Daten
  (Name, E-Mail, Telefonnummer)
- Wenn Kunden persönliche Daten teilen, verarbeite sie
  nur im Kontext der aktuellen Anfrage
- Weise bei sensiblen Anfragen darauf hin, dass der
  Kunde den direkten Kontakt (Telefon/E-Mail) nutzen
  sollte: "Für diese Angelegenheit empfehle ich Ihnen
  den direkten Kontakt mit unserem Team unter
  [Telefonnummer/E-Mail]."
Analyse-Cookies und Events

Wir verwenden Wolf Analytics im DSGVO-Modus, um Seitenaufrufe und wichtige Produktinteraktionen zu messen. Zusätzliche Browser-Events werden erst nach deiner Einwilligung erfasst.

Mehr zum Datenschutz