ServasBot Logo
    Alle ArtikelDSGVO & Datenschutz

    DSGVO und KI: Was KMU wissen müssen

    9. März 20267 Min. Lesezeit

    "Darf ich KI einsetzen, ohne gegen die DSGVO zu verstoßen?" Diese Frage kommt in fast jedem Gespräch. Die kurze Antwort: Ja. Aber es gibt klare Regeln. Hier erfahren Sie, was Sie als KMU-Inhaber wissen müssen.

    Warum DSGVO bei KI besonders wichtig ist

    Ein KI-Chatbot oder Telefonassistent verarbeitet personenbezogene Daten: Namen, E-Mail-Adressen, Telefonnummern, Gesprächsinhalte. Die DSGVO regelt, wie diese Daten gespeichert, verarbeitet und geschützt werden müssen.

    Als Unternehmer sind Sie dafür verantwortlich, dass Ihr KI-Tool diese Regeln einhält. Nicht der Anbieter allein.

    Die 5 wichtigsten Punkte für KMU

    1. Serverstandort: EU ist Pflicht

    Hosting in der EU/EWR vermeidet Probleme mit Drittland-Transfers (Standard-Vertragsklauseln, Angemessenheitsbeschlüsse). Eine passende Rechtsgrundlage für die Datenverarbeitung selbst (z.B. berechtigtes Interesse, Vertragserfüllung) brauchen Sie trotzdem.

    Unser Rat: Wählen Sie einen Anbieter mit EU-Hosting. Das vermeidet Unsicherheit und mögliche Strafen. Bei ServasBot laufen alle Server in deutschen Rechenzentren.

    2. AVV (Auftragsverarbeitungsvertrag)

    Wenn ein externer Anbieter Daten für Sie verarbeitet (und das tut ein Chatbot-Service), brauchen Sie einen AVV nach Art. 28 DSGVO. Das ist ein Vertrag, der regelt:

    • Welche Daten verarbeitet werden
    • Zu welchem Zweck
    • Welche Sicherheitsmaßnahmen gelten
    • Was bei einer Datenpanne passiert

    Ein seriöser Anbieter stellt Ihnen den AVV unaufgefordert zur Verfügung. Wenn Sie danach fragen müssen, ist das ein Warnsignal.

    3. Datenschutzerklärung aktualisieren

    Wenn Sie einen Chatbot oder Telefonassistenten einsetzen, muss das in Ihrer Datenschutzerklärung stehen. Konkret:

    • Welches Tool Sie einsetzen
    • Welche Daten erhoben werden
    • Rechtsgrundlage (meist berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO)
    • Wo die Daten gespeichert werden
    • Wie lange die Daten aufbewahrt werden

    4. Consent (Einwilligung)

    Ein Chatbot auf Ihrer Website kann häufig auf Basis des berechtigten Interesses betrieben werden (Art. 6 Abs. 1 lit. f DSGVO), solange er keine Cookies setzt oder Tracking-Daten erhebt. Voraussetzung: eine dokumentierte Interessenabwägung, die zeigt, dass Ihr Interesse an effizienter Kundenbetreuung die Schutzinteressen der Nutzer überwiegt.

    Beim Telefonassistenten ist die Lage komplexer. Die Rechtsgrundlage kann ebenfalls das berechtigte Interesse sein, allerdings erwarten Anrufer typischerweise einen menschlichen Gesprächspartner. Die Interessenabwägung muss daher besonders sorgfältig dokumentiert werden. Bei Aufzeichnung oder Transkription von Gesprächen ist eine ausdrückliche Einwilligung erforderlich. Im Einzelfall empfiehlt sich Rechtsberatung.

    Wichtig: EU AI Act (ab 2. August 2026). Die KI-Verordnung der EU (Art. 50) schreibt vor, dass Personen zu Beginn einer Interaktion darüber informiert werden müssen, dass sie mit einem KI-System sprechen. Das gilt für Chatbots und Telefonassistenten gleichermaßen und ist keine Empfehlung, sondern gesetzliche Pflicht.

    5. Datensparsamkeit und Löschfristen

    Speichern Sie nur, was Sie brauchen. Löschen Sie, was Sie nicht mehr brauchen. Konkret:

    • Gesprächsprotokolle nach Bearbeitung löschen (z.B. nach 30 Tagen)
    • Kontaktdaten nur so lange aufbewahren, wie ein berechtigtes Interesse besteht
    • Keine unnötigen Daten erheben (z.B. keine IP-Adressen speichern, wenn nicht nötig)

    Checkliste: Ist mein KI-Tool DSGVO-konform?

    Was passiert bei einem Verstoß?

    DSGVO-Verstöße können teuer werden: laut Gesetz bis zu 4% des Jahresumsatzes oder 20 Millionen Euro (Art. 83 DSGVO). Für KMU fallen die Strafen in der Praxis geringer aus, aber auch kleinere Beträge tun weh.

    Wichtiger als die Strafe: Das Vertrauen Ihrer Kunden. Wenn bekannt wird, dass Kundendaten unsicher verarbeitet werden, ist der Schaden für Ihre Reputation größer als jede Geldstrafe.

    Häufige Fehler vermeiden

    US-Cloud-Dienst ohne Prüfung einsetzen
    Anbieter mit EU-Hosting wählen
    Keinen AVV abschließen
    AVV vor dem Start unterschreiben
    Datenschutzerklärung nicht anpassen
    Chatbot/Telefonassistent in Datenschutzerklärung aufnehmen
    Gesprächsdaten unbegrenzt speichern
    Löschfristen festlegen (z.B. 30 Tage)

    Fazit

    DSGVO und KI schließen sich nicht aus. Mit dem richtigen Anbieter (EU-Hosting, AVV, Privacy-by-Design) setzen Sie KI ein, ohne sich um Datenschutz sorgen zu müssen.

    Bei ServasBot ist DSGVO-Konformität kein Zusatzfeature, sondern Grundlage. Alle Daten werden in deutschen Rechenzentren verarbeitet, wir stellen den AVV-Vertrag und helfen Ihnen bei der Aktualisierung Ihrer Datenschutzerklärung.

    Wenn Sie sich fragen, ob ein Chatbot grundsätzlich zu Ihrem Unternehmen passt, machen Sie unsere interaktive KI-Checkliste oder lesen Sie unseren Artikel: Braucht mein KMU einen Chatbot?

    Klingt interessant?

    In einem kostenlosen 15-Minuten-Gespräch klären wir, ob ServasBot zu Ihrem Unternehmen passt.

    Erstgespräch buchen

    Praxistipps, Checklisten und neue Artikel per Newsletter:

    Bereit? Rufen Sie uns an.

    Jetzt anrufen+43 677 61163934

    Wenn wir nicht abheben, nimmt unser KI-Assistent ab.

    oder
    Direkt Termin buchen

    15 Min, kostenlos & unverbindlich

    info@servasbot.at

    Lieber schriftlich?

    Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu.

    Cookies für Analyse & Werbung. Mehr erfahren