Digital Rezeption Redaktion

Chatbot DSGVO-konform einsetzen: Leitfaden für Praxen und Kanzleien

Chatbot DSGVO-konform einsetzen? Checkliste für Praxen und Kanzleien: AVV, Serverstandort, Einwilligung und AI Act ab 2026. Jetzt prüfen.

Wer einen Chatbot DSGVO-konform einsetzen möchte, stellt sich früh eine berechtigte Frage: Ist ein digitaler Empfang auf der Praxis- oder Kanzlei-Website datenschutzkonform? Die Sorge ist nachvollziehbar. Praxen verarbeiten Gesundheitsdaten, Kanzleien unterliegen der anwaltlichen Verschwiegenheitspflicht. Fehler beim Datenschutz können teuer werden – und das Vertrauen von Patienten oder Mandanten beschädigen.

Die gute Nachricht: Ein Chatbot lässt sich DSGVO-konform auf der Website betreiben. Allerdings nicht automatisch und nicht bei jedem Anbieter. Es gibt klare Anforderungen, die erfüllt sein müssen. Dieser Artikel erklärt, welche das sind, wo die typischen Stolperfallen liegen und worauf Sie bei der Auswahl eines Anbieters achten sollten.

Ab August 2026 kommen mit der europäischen KI-Verordnung (AI Act) zusätzliche Transparenzpflichten hinzu. Auch dazu erfahren Sie hier, was Sie wissen müssen.

Warum Datenschutz bei Chatbots besonders relevant ist

Ein Chatbot auf einer Website ist kein statisches Kontaktformular. Er führt ein Gespräch, stellt Fragen und verarbeitet die Eingaben der Nutzer in Echtzeit. Dabei fallen zwangsläufig personenbezogene Daten an: Namen, E-Mail-Adressen, Telefonnummern, aber auch die Inhalte der Nachrichten selbst.

Gesundheitsdaten als besondere Datenkategorie

Für Praxen wird es noch sensibler. Wenn ein Patient im Chat beschreibt, dass er Rückenschmerzen hat oder nach einer bestimmten Behandlung fragt, können diese Angaben bereits als Gesundheitsdaten gelten. Gesundheitsdaten gehören nach Art. 9 DSGVO zu den “besonderen Kategorien personenbezogener Daten” und unterliegen einem grundsätzlichen Verarbeitungsverbot. Die Verarbeitung ist nur unter engen Voraussetzungen zulässig – etwa bei ausdrücklicher Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO).

Das bedeutet: Ein Chatbot, der auf einer Praxis-Website eingesetzt wird, muss technisch und organisatorisch so gestaltet sein, dass Gesundheitsdaten geschützt sind. Eine konkludente Einwilligung – also die bloße Nutzung des Chats – reicht bei Gesundheitsdaten nicht aus.

Mandantengeheimnis und anwaltliche Verschwiegenheit

Für Kanzleien gilt eine zusätzliche Ebene. Die anwaltliche Verschwiegenheitspflicht nach Paragraph 43a Abs. 2 BRAO und Paragraph 2 BORA erfordert, dass Mandanteninformationen besonders geschützt werden. Ein Chatbot-Anbieter, der Zugriff auf Gesprächsinhalte hat oder Daten an Dritte weitergibt, kann dieses Geheimnis gefährden.

Beide Szenarien – Praxis und Kanzlei – zeigen: Datenschutz bei Chatbots ist kein abstraktes Thema, sondern ein konkretes Risiko, das professionell gehandhabt werden muss. Gleichzeitig ist es ein losbares Problem. Die Anforderungen sind klar definiert, und wer sie kennt, kann fundiert entscheiden.

Einen Chatbot DSGVO-konform einsetzen: Die fünf zentralen Anforderungen

Die DSGVO definiert klare Regeln für die Verarbeitung personenbezogener Daten. Für einen Chatbot auf der Website lassen sich fünf zentrale Anforderungen ableiten.

Rechtsgrundlage nach Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Für Website-Chatbots kommen zwei Optionen infrage:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Der Nutzer erklärt sich vor Nutzung des Chatbots ausdrücklich mit der Datenverarbeitung einverstanden. Das ist die rechtssicherste Variante, insbesondere wenn Gesundheitsdaten verarbeitet werden könnten.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Der Website-Betreiber kann argumentieren, dass die Beantwortung von Kundenanfragen ein berechtigtes Interesse darstellt. Allerdings muss eine Abwägung mit den Rechten der betroffenen Person stattfinden.

Für Praxen, in denen Gesundheitsdaten anfallen können, ist die Einwilligung der empfohlene Weg. Zusätzlich muss ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO vorliegen – in der Regel die ausdrückliche Einwilligung.

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Wird der Chatbot über einen externen Anbieter betrieben – und das ist bei cloudbasierten Lösungen fast immer der Fall --, liegt eine Auftragsverarbeitung vor. Das bedeutet: Sie als Praxis- oder Kanzleiinhaber bleiben verantwortlich für die Daten. Der Anbieter verarbeitet sie in Ihrem Auftrag.

Dafür ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Der Vertrag regelt unter anderem:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Weisungsgebundenheit des Anbieters
  • Technische und organisatorische Schutzmaßnahmen
  • Regelungen zu Unterauftragsverarbeitern

Ein seriöser Chatbot-Anbieter stellt diesen Vertrag standardmäßig zur Verfügung. Wenn nicht, ist das ein Warnsignal.

Datenspeicherung und Serverstandort

Wo die Daten gespeichert werden, ist entscheidend. Die DSGVO erlaubt die Verarbeitung personenbezogener Daten grundsätzlich im Europäischen Wirtschaftsraum (EWR). Eine Übermittlung in Drittländer – etwa die USA – ist nur unter bestimmten Voraussetzungen zulässig.

Für Praxen und Kanzleien bedeutet das konkret:

  • Server in der EU: Bevorzugen Sie Anbieter, deren Server in der EU stehen. Das vereinfacht die Rechtslage erheblich.
  • Kein Datentransfer in die USA: Einige Chatbot-Anbieter nutzen Sprachmodelle, die über US-Server laufen. In diesem Fall müssen Sie prüfen, ob ein angemessenes Schutzniveau besteht (z.B. über das EU-US Data Privacy Framework) und ob der Anbieter unter das Framework fällt.
  • Subunternehmer des Anbieters: Auch wenn der Chatbot-Anbieter in der EU sitzt, kann er Subdienstleister in Drittländern einsetzen. Das muss im AVV transparent geregelt sein.

Informationspflichten nach Art. 13 und 14 DSGVO

Nutzer müssen vor der Nutzung des Chatbots darüber informiert werden, welche Daten erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Das geschieht in der Regel über:

  • Einen Datenschutzhinweis direkt im Chat-Widget (z.B. als Link vor der ersten Nachricht)
  • Einen eigenen Abschnitt in der Datenschutzerklärung der Website

Folgende Informationen müssen enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • Empfänger oder Kategorien von Empfängern der Daten
  • Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch)
  • Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde

Datenminimierung und Löschfristen

Art. 5 Abs. 1 lit. c DSGVO schreibt den Grundsatz der Datenminimierung vor: Es dürfen nur Daten erhoben werden, die für den jeweiligen Zweck erforderlich sind. Für einen Chatbot bedeutet das:

  • Fragen Sie nur die Daten ab, die tatsächlich benötigt werden. Wenn der Chatbot eine Terminanfrage bearbeitet, braucht er Name und Kontaktdaten – aber nicht das Geburtsdatum.
  • Definieren Sie klare Löschfristen. Gesprächsinhalte, die nicht mehr benötigt werden, müssen gelöscht werden. Eine Speicherung “auf Vorrat” ist nicht zulässig.
  • Prüfen Sie, ob der Chatbot-Anbieter Gesprächsdaten für eigene Zwecke nutzt – etwa zum Training seiner KI-Modelle. Das wäre ohne Rechtsgrundlage unzulässig und bei Gesundheitsdaten besonders problematisch.

Checkliste: Ist Ihr Chatbot DSGVO-konform?

Die folgende Checkliste hilft Ihnen zu prüfen, ob Ihr aktueller oder geplanter Chatbot die wichtigsten Datenschutz-Anforderungen erfüllt.

Rechtsgrundlage und Einwilligung

  • Liegt eine gültige Rechtsgrundlage für die Datenverarbeitung vor?
  • Wird bei potenziellen Gesundheitsdaten eine ausdrückliche Einwilligung eingeholt?
  • Ist die Einwilligung freiwillig, informiert und dokumentiert?

Auftragsverarbeitung

  • Besteht ein AVV mit dem Chatbot-Anbieter?
  • Sind Unterauftragsverarbeiter benannt und vertraglich gebunden?
  • Ist vertraglich geregelt, dass der Anbieter Daten nicht für eigene Zwecke nutzt?

Datenspeicherung und Serverstandort

  • Werden die Daten auf Servern innerhalb der EU gespeichert?
  • Ist bei Drittlandtransfer ein angemessenes Schutzniveau sichergestellt?
  • Sind die Server des Anbieters durch angemessene technische Maßnahmen geschützt?

Informationspflichten

  • Wird im Chat-Widget auf die Datenschutzerklärung hingewiesen?
  • Enthält die Datenschutzerklärung einen Abschnitt zum Chatbot?
  • Werden alle Pflichtangaben nach Art. 13 DSGVO abgedeckt?

Datenminimierung und Löschung

  • Werden nur die tatsächlich benötigten Daten erhoben?
  • Sind Löschfristen definiert und technisch umgesetzt?
  • Werden Gesprächsinhalte nicht zum KI-Training verwendet?

Wenn Sie eine oder mehrere Fragen mit Nein beantworten, besteht Handlungsbedarf.

Häufige Fehler – und wie Sie sie vermeiden

In der Praxis scheitert die DSGVO-Konformität oft nicht am Willen, sondern an typischen Fehlern, die sich leicht vermeiden lassen.

Chatbot-Daten auf US-Servern

Viele Chatbot-Anbieter nutzen Sprachmodelle großer US-Technologiekonzerne. Die Gesprächsdaten werden dann – oft unbemerkt – an Server in den USA übermittelt. Für Praxen mit Gesundheitsdaten und Kanzleien mit Mandanteninformationen ist das besonders problematisch.

Lösung: Fragen Sie Ihren Anbieter ausdrücklich, wo die Datenverarbeitung stattfindet. Seriöse Anbieter können das konkret beantworten und dokumentieren es im AVV.

Fehlende oder ungenaue Datenschutzerklärung

Viele Websites nutzen bereits einen Chatbot, ohne die Datenschutzerklärung entsprechend angepasst zu haben. Das ist ein Verstoss gegen die Informationspflichten nach Art. 13 DSGVO.

Lösung: Ergänzen Sie Ihre Datenschutzerklärung um einen Abschnitt zum Chatbot. Benennen Sie den Anbieter, den Zweck der Datenverarbeitung, die Rechtsgrundlage und die Speicherdauer.

Gesundheitsdaten ohne ausdrückliche Einwilligung verarbeiten

Wenn ein Patient im Chat seine Beschwerden schildert, fallen Gesundheitsdaten an. Ohne ausdrückliche Einwilligung ist diese Verarbeitung rechtswidrig. Eine Checkbox wie “Ich akzeptiere die Datenschutzerklärung” genügt nicht – die Einwilligung muss sich spezifisch auf die Verarbeitung besonderer Datenkategorien beziehen.

Lösung: Implementieren Sie einen Einwilligungsmechanismus, der vor Beginn des Chats über die mögliche Verarbeitung sensibler Daten informiert und eine ausdrückliche Zustimmung einholt.

Keine Löschfristen definiert

Chatverläufe, die unbegrenzt gespeichert werden, verstossen gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Ohne definierte Löschfristen häuften sich personenbezogene Daten an, die längst hätten gelöscht werden müssen.

Lösung: Legen Sie fest, wie lange Gesprächsdaten gespeichert werden (z.B. 30 oder 90 Tage) und stellen Sie sicher, dass die Löschung automatisiert erfolgt. Dokumentieren Sie diese Fristen in Ihrem Verarbeitungsverzeichnis und prüfen Sie regelmäßig, ob die automatische Löschung wie vorgesehen funktioniert.

Ausblick: Was der AI Act ab August 2026 ändert

Neben der DSGVO tritt am 2. August 2026 eine weitere Regelung in Kraft, die für Chatbot-Betreiber relevant ist: die Transparenzpflichten nach Art. 50 der europäischen KI-Verordnung (AI Act).

Kennzeichnungspflicht für KI-Systeme

Art. 50 Abs. 1 der KI-Verordnung schreibt vor, dass Anbieter von KI-Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind, diese Systeme so gestalten müssen, dass Nutzer erkennen, dass sie mit einer KI interagieren. Das betrifft jeden Chatbot, der auf einer Website eingesetzt wird – unabhängig davon, ob er für eine Praxis, eine Kanzlei oder ein anderes Unternehmen betrieben wird.

Konkret bedeutet das:

  • Klare Kennzeichnung: Nutzer müssen vor oder zu Beginn der Interaktion darauf hingewiesen werden, dass sie mit einem KI-System kommunizieren. Ein versteckter Hinweis im Kleingedruckten genügt nicht.
  • Maschinenlesbare Markierung: Ausgaben von KI-Systemen müssen in einem maschinenlesbaren Format als künstlich erzeugt gekennzeichnet werden.
  • Keine Tauschung: Das System darf nicht den Eindruck erwecken, der Nutzer kommuniziere mit einem Menschen.

Bußgelder bei Verstößen

Verstöße gegen die Transparenzpflichten können mit Bußgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Für kleine und mittlere Unternehmen gelten reduzierte Obergrenzen, aber auch diese liegen deutlich über dem, was die meisten Praxen und Kanzleien riskieren möchten.

Was bedeutet das für Praxen und Kanzleien?

Wer bereits einen Chatbot auf der Website einsetzt oder plant, einen einzuführen, sollte sicherstellen, dass die Kennzeichnung als KI-System klar und deutlich erfolgt. Ein einfacher Hinweis wie “Sie sprechen mit einem digitalen Assistenten” zu Beginn des Chats erfüllt die Anforderung in der Regel.

Die meisten seriösen Chatbot-Anbieter werden diese Kennzeichnung standardmäßig integrieren. Prüfen Sie dennoch, ob Ihr Anbieter darauf vorbereitet ist – besonders wenn Sie einen Chatbot nutzen, der vor 2026 eingerichtet wurde.

Wichtig zu wissen: Die KI-Verordnung ersetzt die DSGVO nicht, sondern ergänzt sie. Beide Regelwerke gelten parallel. Wer die DSGVO-Anforderungen bereits erfüllt, hat den größten Teil der Arbeit bereits getan. Die zusätzliche Kennzeichnungspflicht ist vergleichsweise einfach umzusetzen.

<!-- Einen ausführlichen Artikel zu den Auswirkungen des AI Act auf Praxen und Kanzleien veröffentlichen wir in Kürze. -->

Fazit: DSGVO-konformer Chatbot-Einsatz ist machbar – wenn Sie wissen, worauf es ankommt

Die DSGVO stellt klare Anforderungen an den Einsatz von Chatbots auf Websites. Für Praxen und Kanzleien kommen besondere Anforderungen hinzu: Gesundheitsdaten, Mandantengeheimnis und ab August 2026 die Kennzeichnungspflicht nach dem AI Act.

Keiner dieser Punkte ist ein Grund, auf einen digitalen Empfang zu verzichten. Aber jeder dieser Punkte ist ein Grund, bei der Anbieterauswahl genau hinzuschauen. Entscheidend sind: EU-Serverstandort, ein vollständiger AVV, keine Nutzung der Daten für Drittanbieter-Training, klare Löschfristen und eine transparente Datenschutzerklärung.

Digital Rezeption wird auf EU-Servern betrieben, bietet einen vollständigen Auftragsverarbeitungsvertrag und verwendet Gesprächsdaten nicht zum Training von KI-Modellen. Wenn Sie sehen möchten, wie ein DSGVO-konformer digitaler Empfang für Ihre Praxis oder Kanzlei aussieht, können Sie Digital Rezeption kostenlos testen.

Weiterführende Artikel:

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die rechtsverbindliche Beurteilung Ihrer konkreten Situation empfehlen wir die Rücksprache mit einem spezialisierten Datenschutzberater oder Rechtsanwalt.

Digital Rezeption kostenlos testen

URL eingeben — Ihr digitaler Empfang liest Ihre Inhalte und ist in 2 Minuten einsatzbereit. Kein Code, keine Kreditkarte.

Jetzt kostenlos starten →