DSGVO-konformer Chatbot — ohne US-Cloud, mit AI Act.
DSGVO-konform ist ein KI-Chatbot dann, wenn die Anfrage das Hosting des Kunden nicht verlässt, die Rechtsgrundlage sauber benannt ist und der Bot sich beim ersten Kontakt als KI ausweist. DigElite-Chatbots lösen das technisch: Web-Frontend, LLM-Endpunkt und Wissensbasis laufen entweder auf dem Kunden-Server oder in deutscher Cloud. Kein Datenpunkt fließt in ein Drittland. Kein Auftragsverarbeitungs-Vertrag mit DigElite — der Kunde bleibt allein Verantwortlicher.
Was einen Chatbot vom Sternchen-Datenschutz unterscheidet.
DSGVO-Konformität ist kein Marketing-Sticker, sondern eine Kette aus drei rechtlich konkreten Schritten. Wir benennen sie jeden einzeln.
Rechtsgrundlage präzise nach Art. 6 DSGVO
Wir benennen die Rechtsgrundlage konkret pro Use-Case: Vertragsanbahnung (Art. 6 Abs. 1 lit. b) für ein Beratungsgespräch, berechtigtes Interesse (Art. 6 Abs. 1 lit. f) für eine FAQ-Auskunft, gesetzliche Pflicht (Art. 6 Abs. 1 lit. c) bei Verwaltungsleistungen. Keine Pauschal-„Einwilligung" als Tarnkappe.
Auftragsverarbeitung optional vermeidbar
Hostet der Kunde selbst (eigener Server oder eigene deutsche Cloud), entfällt der AVV mit DigElite vollständig — wir verarbeiten keine personenbezogenen Daten. Plugin-Updates sind reine Software-Wartung. Schließen Sie nur einen AVV mit Ihrem Hoster — das ist ohnehin Standard.
AI Act Transparenzpflicht eingebaut
Die KI-Verordnung der EU stuft Chatbots als System mit „begrenztem Risiko" ein und verlangt Transparenz. Der Chatbot weist sich beim ersten Kontakt eindeutig als KI aus, nennt auf Nachfrage das verwendete Modell und liefert in regulierten Kontexten ausschließlich Auskünfte — Entscheidungen bleiben beim Menschen.
SaaS-Chat-Widget vs. DigElite-Chatbot.
| Kriterium | SaaS-Widget (typisch) | DigElite-Chatbot |
|---|---|---|
| Frontend | CDN des Anbieters | Kunden-WordPress |
| LLM-Hosting | Anbieter-Cloud, oft USA | Deutscher Server oder Kunden-Server |
| AVV nach Art. 28 | Pflicht | Optional vermeidbar |
| US-Drittland | Häufig (Schrems-II-Risiko) | Nein |
| AI-Act-Transparenz | Anbieter-abhängig | Eingebaut |
| Auto-Opt-out auf Stopwords | Selten | Standard |
| Wissensquelle | Anbieter-Wissen + Trainings-Daten | Ausschließlich Kunden-Dokumente |
Beispiel: Verband im mittleren Größenbereich.
Ein Verband setzt einen Chatbot für Beitragsfragen ein. Die Rechtsgrundlage ist klar: berechtigtes Interesse (Art. 6 Abs. 1 lit. f) für die effiziente Mitgliederbetreuung, plus Vertragserfüllung (lit. b) für die laufende Mitgliedschaft. Die Wissensbasis besteht aus Satzung, Beitragsordnung und Geschäftsstellen-FAQ. Der Chatbot beantwortet, weist sich als KI aus, verweist bei personenbezogenen Beitragsfragen an die Geschäftsstelle. Eine Auskunftsanfrage eines Mitglieds lässt sich in wenigen Minuten beantworten: SQL-Abfrage auf E-Mail-Adresse, Export der Konversationen, fertig.
„DSGVO-Konformität ist keine Marketing-Aussage — es ist eine Kette: Rechtsgrundlage, Hosting, Modellwahl, Transparenz, Auskunftsfähigkeit. Wir bauen Chatbots so, dass diese Kette an keiner Stelle reißt."
— Philipp Herrmann, Gründer DigElite
Was Interessenten vor dem Einsatz fragen.
Was bedeutet „kein US-Drittlandtransfer" technisch?
Anfrage, LLM-Verarbeitung und Antwort laufen vollständig innerhalb der EU. Bei Aleph Alpha Luminous: deutsche Server in Heidelberg. Bei Mistral: französische Server. Bei Llama on-premise: Server beim Kunden. Es gibt keinen Hop in eine US-Region, keine US-CDN-Anbindung und keinen US-basierten Auth-Service.
Wie wird der Chatbot als KI kenntlich gemacht (AI Act)?
Beim ersten Kontakt im Konversationsfenster steht ein klarer Hinweis: „Sie chatten mit einem KI-Assistenten. Auf Wunsch nennen wir Ihnen das verwendete Modell." Diese Erklärung ist nicht optional und nicht abschaltbar — sie ist Pflicht nach Art. 50 AI Act für Systeme mit „begrenztem Risiko".
Was passiert mit den Konversations-Protokollen?
Sie liegen in einer eigenen Tabelle in der WordPress-Datenbank des Kunden. Aufbewahrungsfrist ist konfigurierbar (Standard: 90 Tage), Auto-Löschung läuft per WP-Cron. Bei einer Auskunftsanfrage nach Art. 15 DSGVO ist eine SQL-Abfrage auf E-Mail-Adresse oder Session-ID ausreichend.
Brauche ich für den Chatbot ein Cookie-Banner-Update?
Nein, wenn der Chatbot nur funktionale Cookies setzt (Session-ID für die laufende Konversation). Es gibt kein externes Tracking, keine Re-Marketing-Pixel, keine Werbe-Analytics. Falls Sie den Chat-Verlauf länger als 90 Tage speichern wollen, ergänzen Sie Ihre Datenschutzerklärung um einen Absatz — Mustertext liefern wir.
Drei Cluster, die zusammen die DSGVO-Argumentation tragen.
Jede einzelne Säule beantwortet eine Teilfrage. Erst alle drei zusammen ergeben einen wirklich DSGVO-konformen KI-Chatbot.
Wo Sie weiterlesen.
Diese Funktion gehört zur DigElite-Chatbot-Familie — schauen Sie sich die Produkt-Übersicht oder die thematisch nahen Cluster an.
Hosting auf eigenem Server
Drei EU-interne Pfade: Kunde, deutsche Cloud, On-Premises.
Mehr erfahren →
Deutsche und europäische LLMs
Aleph Alpha, Mistral, Llama on-premise — Modell-Vergleich.
Mehr erfahren →
DigElite Chatbots — Übersicht
Pillar mit allen 10 Cluster-Themen und Live-Referenz.
Mehr erfahren →
15 Minuten reichen für den Eindruck.
Wir schreiben unseren eigenen Chatbot auf nordzypern.live live an und zeigen Ihnen, wie er aus echten Dokumenten antwortet, wo er ehrlich „weiß ich nicht" sagt und wie er an einen Menschen übergibt. Kein Sales-Pitch, kein Folie 47.
Chatbot live ansehen & Erstgespräch