0170 5988648
Vergleich
Ratgeber
Kontakt
Termin buchen
Datenschutz & DSGVO

AVV für KI-Chatbots: Vertragsmanagement Guide

Sohib Falmz··6 Min. Lesezeit
AVV für KI-Chatbots: Vertragsmanagement Guide

Warum Auftragsverarbeitungsverträge für KI-Chatbots unverzichtbar sind

Wenn Sie einen KI-Chatbot für Ihren Kundenservice einsetzen, verarbeiten Sie personenbezogene Daten Ihrer Kunden über einen externen Dienstleister. Nach Artikel 28 der DSGVO ist in diesem Fall ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich. Ohne diesen Vertrag riskieren Sie Bußgelder von bis zu 10 Millionen Euro oder 2% Ihres weltweiten Jahresumsatzes.

Viele Unternehmen unterschätzen die rechtliche Komplexität beim Einsatz von KI-Chatbot-Lösungen. Während die technische Integration oft schnell erledigt ist, wird das Vertragsmanagement häufig vernachlässigt. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, welche Verträge Sie benötigen und worauf Sie achten müssen.

Grundlagen der Auftragsverarbeitung bei Chatbot-Systemen

Was ist ein Auftragsverarbeitungsvertrag?

Ein AVV regelt das Verhältnis zwischen Ihnen als Verantwortlichem und dem Chatbot-Anbieter als Auftragsverarbeiter. Der Vertrag definiert:

  • Welche Daten verarbeitet werden dürfen
  • Zu welchem Zweck die Verarbeitung erfolgt
  • Welche technischen und organisatorischen Maßnahmen (TOMs) der Anbieter umsetzt
  • Wie mit Unterauftragnehmern umgegangen wird
  • Welche Rechte und Pflichten beide Parteien haben

Welche Daten verarbeitet ein KI-Chatbot typischerweise?

Bei der Nutzung eines Kundenservice-Chatbots werden verschiedene Datenkategorien erfasst:

  • Identifikationsdaten: Name, E-Mail-Adresse, Kundennummer
  • Kommunikationsdaten: Chat-Verläufe, Anfragen, Feedback
  • Technische Daten: IP-Adresse, Browser-Typ, Geräteinformationen
  • Nutzungsdaten: Zeitstempel, Seitenaufrufe, Interaktionsmuster
  • Transaktionsdaten: Bestellnummern, Produktanfragen, Support-Tickets

Je nach Einsatzszenario können auch sensiblere Daten wie Zahlungsinformationen oder gesundheitsbezogene Anfragen verarbeitet werden. Dies erfordert zusätzliche Schutzmaßnahmen im AVV.

Die 10 Pflichtinhalte eines AVV für KI-Chatbots

Artikel 28 Absatz 3 DSGVO definiert die Mindestinhalte eines Auftragsverarbeitungsvertrags. Für KI-Chatbot-Systeme sollten Sie besonders auf folgende Punkte achten:

1. Gegenstand und Dauer der Verarbeitung

Definieren Sie präzise, welche Chatbot-Funktionen der Anbieter bereitstellt. Beschreiben Sie die Verarbeitungstätigkeiten konkret:

  • Entgegennahme und Beantwortung von Kundenanfragen
  • Weiterleitung an menschliche Agenten
  • Erstellung von Support-Tickets
  • Analyse von Chat-Verläufen zur Qualitätsverbesserung

2. Art und Zweck der Verarbeitung

Der Zweck muss klar eingegrenzt sein. Beispiel: "Verarbeitung von Kundenkommunikation zur Beantwortung von Support-Anfragen und zur Verbesserung der Servicequalität." Allgemeine Formulierungen wie "Marketing" oder "Geschäftszwecke" sind nicht ausreichend.

3. Art der personenbezogenen Daten

Listen Sie alle Datenkategorien auf, die der Chatbot verarbeiten kann. Achten Sie darauf, auch potenzielle Daten einzubeziehen, die Kunden freiwillig im Chat mitteilen könnten.

4. Kategorien betroffener Personen

Typischerweise sind dies:

  • Websitebesucher
  • Bestandskunden
  • Interessenten
  • Beschwerdeführer

5. Pflichten und Rechte des Verantwortlichen

Als Auftraggeber behalten Sie die volle Kontrolle über die Datenverarbeitung. Der AVV muss klarstellen, dass Sie Weisungen erteilen können und der Anbieter diese befolgen muss.

6. Technische und organisatorische Maßnahmen

Der Anbieter muss detailliert darlegen, wie er die Datensicherheit gewährleistet. Für KI-Chatbots sind besonders relevant:

  • Verschlüsselung: TLS 1.3 für Datenübertragung, AES-256 für Speicherung
  • Zugriffskontrollen: Rollenbasierte Berechtigungen, Multi-Faktor-Authentifizierung
  • Protokollierung: Audit-Logs für alle Datenzugriffe
  • Backup und Recovery: Regelmäßige Sicherungen, Disaster-Recovery-Konzept
  • Anonymisierung: Automatische Anonymisierung nach definierten Fristen

7. Einsatz von Unterauftragnehmern

KI-Chatbot-Anbieter nutzen häufig weitere Dienstleister für Hosting, KI-Modelle oder Analytics. Der AVV muss regeln:

  • Welche Unterauftragnehmer bereits eingesetzt werden
  • Ob neue Unterauftragnehmer genehmigungspflichtig sind
  • Wie Sie über Änderungen informiert werden
  • Dass Unterauftragnehmer denselben Pflichten unterliegen

8. Unterstützung bei Betroffenenrechten

Der Anbieter muss Sie dabei unterstützen, Auskunfts-, Löschungs- und Berichtigungsanfragen zu erfüllen. Definieren Sie Reaktionszeiten und Prozesse.

9. Meldepflichten bei Datenpannen

Legen Sie fest, wie schnell der Anbieter Sie bei Sicherheitsvorfällen informieren muss. Die DSGVO verlangt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden – der Anbieter sollte Sie daher innerhalb von 24 Stunden benachrichtigen.

10. Löschung nach Vertragsende

Regeln Sie, was mit den Daten nach Beendigung der Zusammenarbeit geschieht. Optionen sind die vollständige Löschung oder die Rückgabe der Daten an Sie.

Checkliste: AVV-Prüfung für KI-Chatbot-Anbieter

Verwenden Sie diese Checkliste bei der Auswahl und Überprüfung Ihres Chatbot-Anbieters:

Rechtliche Grundlagen

  • ☐ AVV nach Art. 28 DSGVO vorhanden
  • ☐ Verarbeitung nur auf dokumentierte Weisung
  • ☐ Vertraulichkeitsverpflichtung der Mitarbeiter
  • ☐ Liste aller Unterauftragnehmer verfügbar
  • ☐ Regelung für Drittlandtransfers (falls zutreffend)

Technische Sicherheit

  • ☐ ISO 27001 Zertifizierung oder vergleichbar
  • ☐ Ende-zu-Ende-Verschlüsselung für Chat-Kommunikation
  • ☐ Serverstandort in der EU
  • ☐ Regelmäßige Penetrationstests
  • ☐ SOC 2 Type II Bericht verfügbar

KI-spezifische Anforderungen

  • ☐ Transparenz über verwendete KI-Modelle
  • ☐ Keine Verwendung von Kundendaten für Modell-Training ohne Einwilligung
  • ☐ Möglichkeit zur Deaktivierung von KI-Features
  • ☐ Erklärbarkeit von KI-Entscheidungen
  • ☐ Bias-Monitoring und Fairness-Kontrollen

Operative Prozesse

  • ☐ Definierte SLAs für Verfügbarkeit und Support
  • ☐ Incident-Response-Prozess dokumentiert
  • ☐ Regelmäßige Sicherheitsaudits
  • ☐ Datenportabilität gewährleistet
  • ☐ Klare Kündigungsregelungen

Besonderheiten bei Cloud-basierten KI-Chatbots

Drittlandtransfers und Standardvertragsklauseln

Viele KI-Chatbot-Anbieter nutzen Cloud-Infrastruktur von US-amerikanischen Unternehmen wie AWS, Google Cloud oder Microsoft Azure. Auch wenn die Server in der EU stehen, kann ein Drittlandtransfer vorliegen, wenn US-Unternehmen theoretisch Zugriff haben könnten.

Nach dem Schrems-II-Urteil des EuGH müssen Sie in solchen Fällen:

  • Das EU-US Data Privacy Framework prüfen (falls der Anbieter zertifiziert ist)
  • Standardvertragsklauseln (SCCs) der EU-Kommission verwenden
  • Eine Transfer Impact Assessment (TIA) durchführen
  • Zusätzliche technische Maßnahmen implementieren

Hosting in Deutschland: Ein Wettbewerbsvorteil

Chatbot-Lösungen mit Serverstandort in Deutschland bieten mehrere Vorteile:

  • Keine Drittlandtransfer-Problematik
  • Deutsches Datenschutzrecht als zusätzliche Absicherung
  • Kürzere Latenzzeiten für deutsche Nutzer
  • Vertrauen bei datenschutzbewussten Kunden

Bei der Auswahl Ihres Chatbot-Anbieters sollte der Serverstandort ein wichtiges Entscheidungskriterium sein.

Musterklauseln für Ihren AVV

Klausel zur Weisungsbindung

"Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen können schriftlich, in Textform oder über das Administrations-Dashboard des Chatbot-Systems erteilt werden. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt."

Klausel zum KI-Training

"Der Auftragsverarbeiter verpflichtet sich, Kundendaten des Verantwortlichen nicht zum Training von Machine-Learning-Modellen oder zur Verbesserung von KI-Algorithmen zu verwenden, es sei denn, der Verantwortliche hat hierzu ausdrücklich schriftlich eingewilligt. Diese Einwilligung kann jederzeit widerrufen werden."

Klausel zur Datenlöschung

"Chat-Verläufe werden nach Ablauf von [X] Monaten automatisch anonymisiert. Auf Weisung des Verantwortlichen erfolgt eine vorzeitige Löschung innerhalb von 30 Tagen. Nach Vertragsende löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen."

Praktische Umsetzung: Schritt-für-Schritt

Schritt 1: Ist-Analyse

Dokumentieren Sie zunächst alle Datenflüsse Ihres Chatbot-Systems:

  • Welche Daten werden erfasst?
  • Wohin werden sie übertragen?
  • Wer hat Zugriff?
  • Wie lange werden sie gespeichert?

Schritt 2: Anbieter-Due-Diligence

Fordern Sie vom Chatbot-Anbieter an:

  • Aktueller AVV-Entwurf
  • Technische und organisatorische Maßnahmen (TOM-Dokument)
  • Liste aller Unterauftragnehmer
  • Relevante Zertifizierungen
  • Letzte Audit-Berichte

Schritt 3: Vertragsverhandlung

Prüfen Sie den AVV-Entwurf des Anbieters kritisch. Achten Sie besonders auf:

  • Zu weitreichende Verarbeitungszwecke
  • Unklare Unterauftragnehmer-Regelungen
  • Fehlende Löschfristen
  • Einschränkungen bei Audit-Rechten

Schritt 4: Implementierung

Nach Vertragsabschluss:

  • Dokumentieren Sie den AVV in Ihrem Verzeichnis der Verarbeitungstätigkeiten
  • Schulen Sie relevante Mitarbeiter
  • Richten Sie Prozesse für Betroffenenanfragen ein
  • Planen Sie regelmäßige Überprüfungen

Schritt 5: Laufende Kontrolle

Überprüfen Sie mindestens jährlich:

  • Einhaltung der vereinbarten TOMs
  • Änderungen bei Unterauftragnehmern
  • Aktualität der Zertifizierungen
  • Sicherheitsvorfälle und deren Handhabung

Häufige Fehler und wie Sie sie vermeiden

Fehler 1: Standard-AVV ohne Anpassung übernehmen

Viele Anbieter stellen Muster-AVVs bereit, die nicht alle Besonderheiten von KI-Chatbots berücksichtigen. Prüfen Sie insbesondere Klauseln zum KI-Training und zur Datenanalyse.

Fehler 2: Unterauftragnehmer ignorieren

Chatbot-Anbieter nutzen oft zahlreiche Sub-Dienstleister. Stellen Sie sicher, dass Sie alle kennen und dass diese ebenfalls DSGVO-konform arbeiten.

Fehler 3: Keine regelmäßigen Audits

Ein AVV ist nur so gut wie seine Umsetzung. Nutzen Sie Ihre vertraglichen Audit-Rechte, um die Einhaltung zu überprüfen.

Fehler 4: Fehlende Dokumentation

Halten Sie alle Weisungen, Änderungen und Kommunikation mit dem Anbieter schriftlich fest. Im Streitfall oder bei Behördenanfragen ist diese Dokumentation essentiell.

Fazit: Rechtssicherheit durch professionelles Vertragsmanagement

Der Einsatz eines KI-Chatbots im Kundenservice bringt erhebliche Effizienzgewinne – aber nur, wenn das rechtliche Fundament stimmt. Ein sorgfältig ausgearbeiteter AVV schützt nicht nur vor Bußgeldern, sondern schafft auch Vertrauen bei Ihren Kunden.

Investieren Sie die Zeit in eine gründliche Prüfung Ihres Chatbot-Anbieters und seiner Verträge. Die hier vorgestellte Checkliste und die Musterklauseln geben Ihnen das Werkzeug an die Hand, um datenschutzkonform und rechtssicher zu arbeiten.

Bei ki-kundenservice-chatbot.de legen wir größten Wert auf DSGVO-Konformität. Unser System wurde von Anfang an mit Privacy by Design entwickelt – inklusive Serverstandort Deutschland, transparenter Datenverarbeitung und einem umfassenden AVV, der alle hier beschriebenen Anforderungen erfüllt.

Weitere Beiträge

Betroffenenrechte im KI-Chatbot: Auskunft & Löschung umsetzen
Datenschutz & DSGVO

Betroffenenrechte im KI-Chatbot: Auskunft & Löschung umsetzen

Erfahren Sie, wie Sie Auskunfts-, Lösch- und Berichtigungsanfragen für Ihren KI-Chatbot DSGVO-konform bearbeiten. Mit Checkliste und Praxis-Tipps.

Sohib Falmz·
DSGVO-konformer KI-Chatbot: Der Praxis-Leitfaden
Datenschutz & DSGVO

DSGVO-konformer KI-Chatbot: Der Praxis-Leitfaden

Erfahren Sie, wie Sie Ihren KI-Chatbot DSGVO-konform einsetzen. Checkliste, technische Anforderungen & Best Practices für rechtssicheren Support.

Sohib Falmz·
Kundendaten im KI-Chatbot DSGVO-konform schützen
Datenschutz & DSGVO

Kundendaten im KI-Chatbot DSGVO-konform schützen

Erfahren Sie, wie Sie Kundendaten in Ihrem KI-Chatbot rechtssicher verarbeiten. Mit praktischer DSGVO-Checkliste und Compliance-Tipps für Support-Teams.

Sohib Falmz·

Unsere Partner & Technologie

Meta

Meta

Official Partner

Twilio

Official Partner

WhatsApp

WhatsApp Business

API Integration

OpenAI

OpenAI

KI-Technologie

Vercel

Vercel

Hosting Platform

Next.js

Next.js

Web-Framework

AWS Frankfurt

eu-central-1

Hetzner

Hetzner

Cloud Infrastructure

DSGVO-konform

Made in Germany

Entwickelt & gehostet in DE

Claude

Claude

KI-Assistent

EU-Server

Hosting in der EU

Meta

Meta

Official Partner

Twilio

Official Partner

WhatsApp

WhatsApp Business

API Integration

OpenAI

OpenAI

KI-Technologie

Vercel

Vercel

Hosting Platform

Next.js

Next.js

Web-Framework

AWS Frankfurt

eu-central-1

Hetzner

Hetzner

Cloud Infrastructure

DSGVO-konform

Made in Germany

Entwickelt & gehostet in DE

Claude

Claude

KI-Assistent

EU-Server

Hosting in der EU

1

Chat mit uns

Unser Team antwortet in der Regel innerhalb weniger Minuten.

WhatsApp öffnen

Kostenlose KI-Tools

Jetzt testen
AVV für KI-Chatbots: Vertragsmanagement Guide | KI Kundenservice Chatbot