DialogBits Logo in der Navigationsleiste mit Verlinkung zur Startseite.
Demotermin buchen

Chatbot-Datenschutz: Wie du KI-Chatbots in
5 Schritten DSGVO-konform einsetzt

Die Klärung aller Datenschutzaspekte genießt die größte Priorität.
IFZ Conversational and Generative AI in Finance Studie 2023

Chatbot-Datenschutz wirkt auf den ersten Blick kompliziert. Dabei ist es gar nicht so schwer, Chatbots DSGVO-konform einzusetzen. Wir zeigen dir, wie du in 5 einfachen Schritten mit dem Datenschutz Freundschaft schließt.

Inhaltsverzeichnis
Illustration eines Chatfensters mit Sicherheitssymbolen wie Schlössern und Schilden als Zeichen für Datenschutz und sichere Kommunikation.

Datenschutz beim Chatbot?
Darum lohnt sich ein genauer Blick

Illustration eines Chatbots, der sich einem stierähnlichen Wesen in Form eines Paragraphen mit Hörnern stellt – Symbol für den Umgang mit Regeln und Vorschriften.

KI-Chatbots sind wie eine Obstwiese, auf der Äpfel, Birnen und andere Leckereien in der Sonne um die Wette glänzen. Du kannst dir einfach das pflücken, was du gerade für dein Unternehmen brauchst. Klingt paradiesisch – wäre da nicht dieser große Stier mit den spitzen Hörnern, der auf der Koppel vor der Obstwiese auf- und ab patrouilliert.

In der Chatbot-Praxis hört dieser Stier auf den Namen „Datenschutz“ und hält zahlreiche Unternehmen davon ab, sich die Vorteile von den Bäumen zu pflücken. So geben 85 % der befragten Banken und Versicherungsunternehmen einer Schweizer Studie an, mittlere bis sehr große Angst vor dem Datenschutz-Thema zu haben.

Grund genug, lieber am Koppelzaun stehen zu bleiben, anstatt die Vorteile von Chatbots für den eigenen Erfolg zu nutzen.
Dabei lohnt es sich. Denn KI-Chatbots bieten jede Menge Potenzial, das eigene Unternehmen voranzubringen. Sie helfen bei der Leadgenerierung, verbessern den Kundenservice im Support und bringen die Digitalisierung des eigenen Unternehmens voran. Um nur ein paar der Vorteile zu nennen.

Darauf verzichten, nur weil der Datenschutz davor Patrouille geht? Das ist verschenktes Potenzial. Stattdessen heimlich lospirschen, in der Hoffnung, dass es gut geht? In der Praxis kann das saftige Bußgelder bedeuten. Wir zeigen dir, mit welchen 5 Schritten du mit dem Datenschutz Freundschaft schließt und KI-Chatbots sicher nutzt.

Disclaimer

Die Informationen in diesem Blogbeitrag dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. Wenn du rechtliche Beratung benötigst, wende dich bitte an einen Rechtsanwalt.

Schritt 1: Die Datenschutz-Gefahren verstehen – worum geht es eigentlich?

Eine Gefahr verliert schnell ihren Schrecken, wenn man sie kennt. Das gilt auch für Stiere und Datenschutz. Deswegen haben wir für dich zusammengefasst, was Datenschutz eigentlich ist und welche Anforderungen Chatbots betreffen.

Chatbot-Datenschutz: die Basics

Datenschutz dient dazu, die Persönlichkeit jedes einzelnen Menschen zu schützen – darauf hat jeder Bürger der EU ein Recht. So besagt es sowohl das deutsche Grundgesetz als auch die EU-Grundrechtcharta. Um dieses Recht durchzusetzen, gibt es seit 2016 die Datenschutzgrundverordnung (DSGVO), die genaue Vorschriften für den Schutz der personenbezogenen Daten definiert. Und das europaweit.

Die wichtigsten Vorgaben aus der DSGVO:

  • Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn eine rechtliche Grundlage dafür besteht. Die rechtlichen Grundlagen sind Einwilligung, Vertragserfüllung und gesetzliche Verpflichtung.
  • Personenbezogene Daten dürfen nur für die Zwecke verarbeitet werden, für die sie erhoben wurden.
  • Personenbezogene Daten müssen sicher gespeichert und verarbeitet werden.
  • Betroffene Personen haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
Jedes Unternehmen, das mit personenbezogenen Daten zu tun hat, sie erhebt, sammelt oder verarbeitet, muss sich an diese Vorgaben halten. Wer dagegen verstößt, riskiert üppige Bußgelder.

Chatbots und Datenschutz: Das hat die DSGVO mit Chatbots zu tun

Setzt du einen Chatbot in deinem Unternehmen ein, kann es vorkommen, dass er mit personenbezogenen Daten in Berührung kommt. Das gilt unabhängig davon, ob du ihn im Kundensupport, für die interne Datenverarbeitung oder in beiden Bereichen nutzt. Dementsprechend muss auch der Chatbot alle Anforderungen der DSGVO erfüllen.

Diese Anforderungen lassen sich in verschiedene Kriterien unterteilen:

Datenspeicherung
Im täglichen Einsatz sammelt und speichert der Chatbot Daten. Betreiber müssen wissen, welche Daten das sind und wie sie gespeichert werden. Es dürfen nur die Daten gespeichert werden, die dem Geschäftszweck dienen und für die eine Einwilligung des Daten-Eigentümers vorliegt.
Datensicherheit
Alle Daten müssen sicher vor unberechtigten Zugriffen geschützt werden. Dazu gehört sowohl der Schutz vor Daten-Diebstahl bzw. Daten-Missbrauch als auch der Schutz vor unberechtigter Nutzung innerhalb des eigenen Unternehmens und dem Unternehmen des Chatbot-Anbieters. Auch der Speicherort selbst muss sicher sein – dazu gehört auch, dass die Daten die EU nicht verlassen dürfen.
Datennutzung
Die gespeicherten Daten dürfen ausschließlich für den Geschäftszweck verwendet werden, dem der Daten-Eigentümer zugestimmt hat. Jede noch so kleine Nutzung für andere Zwecke ist ein Verstoß gegen die DSGVO.

Schritt 2: Angriffsflächen verstehen – wo bergen Chatbots datenschutzrechtliche Risiken?

Die Gefahren zu kennen, ist das Eine. Anders sieht es mit den Angriffsflächen aus, die du selbst bietest, wenn du über die Koppel pirscht – oder einen Chatbot nutzt.

Um zu verstehen, an welchen Stellen der Datenschutz bei der Chatbot-Nutzung relevant wird, sollten wir zuerst den Aufbau eines Chatbots unter die Lupe nehmen:

Zum Verständnis: Wie ist ein Chatbot aufgebaut?

Grundsätzlich gilt: Ein Chatbot ist eine Software zur Datenverarbeitung. Der Nutzer gibt eine Frage oder einen Befehl ein, der Chatbot gibt eine passende Antwort aus, indem er die eingegeben und hinterlegten Daten auswertet.

Dabei arbeitet jedoch nicht jeder Chatbot gleich. Ein besonders großer Unterschied besteht zwischen regelbasierten Chatbots und generativen Chatbots:

Während regelbasierte und absichtsbasierte Chatbots nur die Antworten liefern, die vorab hinterlegt wurden, generieren generative Chatbots auf jede Frage eine individuelle Antwort. Dadurch wirken generative Chatbots fast schon menschlich und helfen auch dann zielgerichtet weiter, wenn die Nutzeranfragen unvorhersehbar sind.

Das ist möglich, weil sie eine spezielle Form der generativen Künstlichen Intelligenz nutzen: sogenannte Large Language Models (LLMs). Das LLM ist dabei wie ein Übersetzer zwischen menschlicher Sprache und Computer-Code. Was in gesprochener oder geschriebener Sprache eingeben wird, übersetzt das LLM in Code und andersherum. Dadurch ist der Chatbot in der Lage, Kontext zu verstehen und eigene Antworten in menschlicher Sprache zu erzeugen.

Dabei ist das LLM nicht automatisch fester Teil des Chatbots. Es kann durchaus von einem anderen Anbieter stammen als die Chatbot-Plattform. Das heißt auch: ein Chatbot kann theoretisch mit unterschiedlichen LLMs arbeiten.

Doch das war noch nicht alles: Hinzu kommt das Hosting von LLM und Chatbot. Dabei geht es nicht mehr darum, wie die Daten verarbeitet werden, sondern wo – also auf welchem Server.

Infografik zum Aufbau eines generativen Chatbots mit den Komponenten: Chatbot-Plattform, Large Language Model (LLM) und Hosting.
""

Hinweis:

Wenn du genauer wissen möchtest, was generative Künstliche Intelligenz ist und wie Large Language Models funktionieren, findest du Informationen darüber in unserem Chatbot-Ratgeber. Das Gleiche gilt, wenn du noch einmal deine Grundlagen zum Thema „Was ist ein Chatbot?“ auffrischen möchtest. Um den Chatbot-Datenschutz zu verstehen, genügt es jedoch zu wissen, dass all das unterschiedliche Dinge sind.

Wo birgt der Chatbot datenschutzrechtliche Risiken?

Alle Bestandteile fügen sich zum fertigen Chatbot zusammen – und jeder davon bietet eine Angriffsfläche. Schließlich birgt jeder Bestandteil Risiken in Bezug auf Datenspeicherung, Datensicherheit und Datennutzung. Dabei gilt: Ein Chatbot ist immer nur so datenschutzkonform, wie jeder einzelne Bestandteil von ihm. 

Ist das gewählte LLM ein Datenschutz-Desaster, hilft auch die sicherste Chatbot-Plattform nichts. Dafür ist es wichtig, bereits bei der Auswahl und Konfiguration des Chatbots nicht nur funktionale, sondern auch datenschutzrechtliche Aspekte zu berücksichtigen.

Schritt 3: Freundschaft mit dem Datenschutz schließen – so setzt du deinen Chatbot datenschutzkonform ein

Mit diesem Wissen über Gefahren und Angriffsflächen wird es nun Zeit, die praktische Umsetzung zu planen. Auf dem Markt gibt es verschiedene Anbieter für alle drei Komponenten des Chatbots: Für die Chatbot-Plattform, für das LLM und für das Hosting.

Dabei kann der Anbieter des LLMs gleichzeitig dessen Hosting übernehmen und die Chatbot-Plattform bereitstellen. Das kennt man aus der Praxis von ChatGPT, wenn der Chatbot über dessen Website genutzt wird. In diesem Fall ist ChatGPT LLM, Chatbot-Plattform und Hosting zugleich – denn alles stammt von OpenAI und befindet sich auf dessen Server.

Alternativ kann das LLM des einen Anbieters auch von einem anderen Anbieter gehostet werden. So macht es zum Beispiel Microsoft Azure: Es nutzt das LLM von ChatGPT, hostet es aber auf einem Microsoft-Server.

Mit einer kompatiblen Chatbot-Plattform wird dann über eine API-Schnittstelle darauf zugegriffen – in diesem Fall stammen alle drei Komponenten von getrennten Anbietern.

Daraus ergeben sich verschiedene Möglichkeiten für den Chatbot-Einsatz in Unternehmen. Um dir bei der Auswahl geeigneter Komponenten zu helfen, haben wir die wichtigsten Kombinationen von LLM und Hosting auf ihre Datenschutzkonformität untersucht.

ChatGPT als LLM nutzen

ChatGPT gehört zu den bekanntesten Chatbots. Darin verbirgt sich ein mächtiges LLM, welches über eine API-Schnittstelle auch mit Chatbot-Plattformen anderer Anbieter genutzt werden kann. Hinter ChatGPT steckt das US-amerikanische Unternehmen OpenAI.

Vorteile:

Das LLM von ChatGPT ist besonders leistungsstark. Es wurde mit unzähligen Texten trainiert und liefert sehr gute Ergebnisse. Wird das LLM über eine Schnittstelle genutzt, werden die eingegebenen Daten laut OpenAI nicht verwendet, um das LLM weiter zu trainieren. Und das ist gut so – schließlich würde das LLM beim Training mit personenbezogenen Daten gegen die DSGVO verstoßen.

 

OpenAI kümmert sich außerdem um die Missbrauchsüberwachung und bietet technischen Support. Dafür greift das Unternehmen auf die Schnittstelle zu oder beauftragt externe Dienstleister.

Nachteile:

ChatGPT wird von OpenAI als Cloud-Modell gehostet. Das heißt, dass die eingegeben Daten vollständig auf einem Server von OpenAI gesammelt und gespeichert werden. Und der befindet sich in den USA – die Daten verlassen also die EU. Entsprechend müssen die Standardvertragsklauseln mit OpenAI abgeschlossen und ein Transfer Impact Assessment durchgeführt werden. Abhängig vom Use-Case und den verwendeten Daten kann das Transfer Impact Assessment dazu führen, dass eine Übertragung der Daten in die USA nicht zulässig ist.

 

Zudem ist es nicht möglich, eigene Datenschutzrichtlinien für die Nutzung von ChatGPT als LLM und Hosting zu hinterlegen. Es gelten die Datenschutzrichtlinien von OpenAI – und unterliegen nicht der DSGVO. Hinzu kommt, dass OpenAI sämtliche eingegebene Daten nach 30 Tagen löscht. Dadurch reduzieren Sie zwar das Risiko einer unerlaubt langen Datenspeicherung – jedoch werden dabei auch die Kundeneinwilligungen zur Datenverarbeitung gelöscht.

 

Durch die Missbrauchsüberwachung und den technischen Support greift OpenAI außerdem auf die Schnittstelle zu. Zwar versichert das Unternehmen, dass alle zugriffsberechtigten Personen an strenge Vertraulichkeits- und Sicherheitsverpflichtungen gebunden sind, jedoch unterliegen auch diese Vereinbarungen nicht der DSGVO.

Das LLM und Hosting von OpenAI ist zwar besonders leistungsstark, entspricht aber nur bedingt den europäischen Anforderungen an den Datenschutz. Nur in Abhängigkeit vom Use-Case und über viel Dokumentationsaufwand kann eine DSGVO-konforme Datenübertragung gewährleistet werden.

Fazit:

Infografik mit einem wütenden Stier als Symbol für Herausforderungen bei DSGVO, Hosting-Standort und Datennutzung in Verbindung mit ChatGPT als LLM.

ChatGPT als LLM nutzen und ein europäisches Hosting wählen

Das LLM von ChatGPT kann auch über andere Anbieter gehostet werden. Einer der bekanntesten Anbieter ist Microsoft mit seiner Cloud-Computing-Plattform Azure. Microsoft selbst ist zwar ein US-amerikanisches Unternehmen, bietet für den europäischen Markt jedoch auch europäisches Hosting an.

Vorteile:

Durch die Nutzung eines europäischen Hostings erfüllen Sie bereits deutlich mehr Anforderungen der DSGVO. Sie nutzen ChatGPT zwar weiterhin als Cloud-Modell, jedoch vollkommen unabhängig von OpenAI. So bietet Microsoft Azure zum Beispiel auch einen europäischen Server als Speicherort.

 

Zur Einhaltung der DSGVO hat sich Microsoft nach dem EU-US Data Privacy Framework zertifizieren lassen. Somit ist eine Übertragung der Daten in die Vereinigten Staaten ausgeschlossen, sodass die Standardvertragsklauseln nicht mehr unterzeichnet werden müssen. Entsprechend muss auch kein Transfer Impact Assessment durchgeführt werden.

 

Die Missbrauchsüberwachung übernimmt Microsoft mithilfe eines sogenannten Abuse-Monitorings. Dabei werden die eingegeben Inhalte und Verhaltensweisen automatisch kontrolliert. Erst, wenn es zu Auffälligkeiten kommt, greift ein autorisierter Mitarbeiter ein. Für den europäischen Markt beschäftigt Microsoft dafür Mitarbeiter in der EU, die entsprechend der DSGVO agieren.

 

Auch Microsoft gibt an, die eingegebenen Daten nicht zum Training des LLMs zu nutzen.

Nachteile:

Auch auf einem europäischen Server werden die Daten beim US-amerikanischen Unternehmen Microsoft gespeichert.

Dadurch können Betreiber keine eigenen Datenschutzrichtlinien festlegen, sondern sind auf die Richtlinien von Microsoft angewiesen.

 

Bei der Speicherung der eingegebenen Daten bietet Microsoft Azure bereits mehr Möglichkeiten als OpenAI: Wissenselemente werden gespeichert, bis sie gelöscht werden. Chateingaben und generierte Antworten werden jedoch nach 30 Tagen automatisch gelöscht, sodass nicht länger auf Einwilligungen und Informationen zugegriffen werden kann.

Wenn du ChatGPT als LLM nutzen möchtest, ermöglicht ein Hosting über einen Drittanbieter eine bessere Einhaltung der DSGVO. Jedoch ist man noch immer von den Richtlinien und Vorgaben des Hosters abhängig – zum Beispiel von Microsoft Azure. Und die entsprechen nicht immer der DSGVO. Durch das Hosting über MS-Azure liegen die Daten auf den Servern von Microsoft. Dieser Punkt ist insbesondere dann relevant, wenn kein Interesse daran besteht, dass Geschäftsgeheimnisse in die Hände Dritter gelangen. So hat Microsoft beispielsweise die Möglichkeit, auf die Daten zuzugreifen und diese zur Missbrauchskontrolle auszuwerten. Trotzdem gibt es zahlreiche Konfigurationsmöglichkeiten, die es erlauben, weitere datenschutzrelevante Einstellungen individuell vorzunehmen.

Fazit:

Infografik mit einem entschlossenen Stier als Symbol für die Datenschutzvorteile von ChatGPT-Hosting in der EU über MS Azure, inklusive Bewertung der DSGVO-Konformität.

On-Premises-Lösungen nutzen

Mit einer On-Premises-Lösung wird das LLM sowie sämtliche gespeicherten Daten auf dem eigenen Server betrieben. Dadurch besteht vollständige Unabhängigkeit von externen Hosting-Anbietern, und alle Rahmenbedingungen können individuell festgelegt werden. Zwar steht ChatGPT in diesem Szenario nicht zur Verfügung, jedoch können alternative LLMs genutzt werden.

Als deutscher Entwickler stellt DialogBits eine Chatbot-Plattform mit eigenem LLM als On-Premises-Lösung bereit. Der Chatbot wird mit einem von DialogBits bereitgestellten LLM direkt auf dem eigenen Server betrieben. So lassen sich die Vorteile eines generativen Chatbots nutzen – bei gleichzeitiger Unabhängigkeit von US-amerikanischen Anbietern.

Vorteile:

Mit einer On-Premises-Lösung von DialogBits behältst du die volle Kontrolle über deine Daten: Du legst eigene Datenschutzrichtlinien fest, speicherst und löschst Daten nach deinen Vorgaben und überwachst die API entsprechend deiner internen Richtlinien durch ausgewählte Mitarbeitende. Auch die Entscheidung, ob eingegebene Daten für das Training des LLMs verwendet werden dürfen, liegt ganz bei dir.

 

Durch die Speicherung der Daten auf eigenen Servern entspricht auch der Serverstandort den Anforderungen der DSGVO.

Nachteile:

Keine, denn mit DialogBits als Chatbot-Plattform samt LLM und On-Premises-Hosting behältst du die vollständige Kontrolle über deine Daten und deren Verarbeitung.

Infografik mit einem selbstbewussten Stier als Symbol für die Vorteile eines eigenen LLMs und Hosting in der EU, inklusive DSGVO-Konformität und Datenschutzvorteilen.

Fazit:

DialogBits ermöglicht eine vollständig DSGVO-konforme Chatbot-Lösung. Durch On-Premises-Hosting auf eigenen Servern legst du sämtliche Datenschutzregeln selbst fest – und kannst damit sogar über die Anforderungen der DSGVO hinausgehen.

Schritt 4: Verbündete suchen – arbeite mit Partnern für den Chatbot-Datenschutz zusammen

Nachdem du die Schritte 1 bis 3 durchgeführt hast, frisst dir der Stier bereits aus der Hand – beste Voraussetzungen, um sich entspannt zu den Obstbäumen auf der anderen Seite der Koppel aufzumachen. Noch besser ist es, wenn du dich auch mit dem Bauern verbündest, der sich sowohl auf der Koppel als auch auf der Obstwiese bestens auskennt. Mit anderen Worten: Such dir Partner, mit denen du das Thema Datenschutz gemeinsam angehen kannst.

Idealerweise beziehst du dafür frühzeitig den Datenschutzbeauftragten deines Unternehmens mit ein. Er kennt die internen Anforderungen und Gegebenheiten und kann wichtige Aspekte von Anfang an in den Prozess einbringen.

Als Chatbot-Profis unterstützen auch wir von DialogBits dich gerne bei der Entscheidungsfindung und der Implementierung deines Chatbots. Mit unserem Entwicklungsstandort in Münster kennt unser Team die Anforderungen der DSGVO und hilft dir dabei, diese zuverlässig einzuhalten.

Als Experten für Künstliche Intelligenz sorgen wir außerdem dafür, dass du dir keine faulen Früchte von den Bäumen pflückst – so investierst du deine Zeit und Energie nur in die Chatbot-Vorteile, die dein Unternehmen wirklich voranbringen.

Wir unterstützen dich bei der DSGVO-konformen Umsetzung deines Chatbots und stimmen ihn gemeinsam mit dir passgenau auf dein Unternehmen ab.

Jetzt kostenlos beraten lassen und DialogBits live erleben!

Nach einem persönlichen Demotermin erhältst du einen
2-wöchigen kostenlosen Testzugang – überzeug dich selbst.

Demotermin buchen
Illustration eines Onboarding-Prozesses in die Chatbot-Plattform DialogBits. Ein Kunde mit Headset arbeitet an einem Laptop, während eine virtuelle Support-Mitarbeiterin über einen Video-Call unterstützt. Im Hintergrund ist die Benutzeroberfläche der Plattform mit einem Dialogbaum zu sehen.

Schritt 5: Die Freundschaft pflegen – immer up-to-date bleiben

Künstliche Intelligenz und Chatbots entwickeln sich rasant – und auch die gesetzlichen Vorschriften ziehen nach. Achte deshalb darauf, dass du auf deinem Weg über die Koppel hin zu den Obstbäumen stets auf dem neuesten Stand bleibst. Dabei unterstützen dich deine Verbündeten: Dein Datenschutzbeauftragter ist immer up to date, und auch wir bei DialogBits behalten relevante Veränderungen kontinuierlich im Blick.

Fazit: Chatbot-Datenschutz ist
eigentlich ganz zahm

Chatbot-Maskottchen Bitson reitet auf einem stierähnlichen Wesen in Form eines Paragraphen – Symbol für den souveränen Umgang mit Vorschriften und Regularien.

Sobald du mit Stier und Datenschutz Freundschaft geschlossen hast, kannst du dir auf der Obstwiese nach Herzenslust die Taschen vollmachen. Und du wirst schnell merken: Eigentlich sind Stiere genauso zahm wie der Datenschutz – man muss nur einmal verstanden haben, wie man richtig mit ihnen umgeht.

Unser Entwickler- und Beratungsteam von DialogBits unterstützt dich gern dabei, den Datenschutz zu deinem Verbündeten zu machen. Mit unserem Entwicklungsstandort in Münster kennen wir die Anforderungen der DSGVO genau – und setzen sie selbstverständlich auch bei DialogBits konsequent um. Ganz gleich, ob wir unser eigenes LLM implementieren oder auf Modelle wie ChatGPT zurückgreifen.

Demotermin vereinbaren

Web Computing GmbH
Ein Unternehmen der Sparkassen-Finanzgruppe
Wilhelm-Schickard-Straße 10
48149 Münster
info@dialogbits.com

DialogBits

Ressourcen

Abzeichen Great Place To Work - Auszeichnung.
Ein Produkt der

Web Computing GmbH

Wir sind Mitglied im
Logo des KI Bundesverbands mit Link zur Website.