Chatbot-Datenschutz: Wie Sie KI-Chatbots
in 5 Schritten DSGVO-konform einsetzen

Die Klärung aller Datenschutzaspekte genießt die größte Priorität.
Chatbot-Datenschutz wirkt kompliziert. Dabei ist es gar nicht so schwer, Chatbots DSGVO-konform einzusetzen. Wir verraten Ihnen, wie Sie in 5 Schritten mit dem Datenschutz Freundschaft schließen.
Inhaltsverzeichnis
Chatfenster mit Schild-und Schloss-Symbolen

Darum sollten Sie sich mit Chatbot-Datenschutz auseinandersetzen

Ein Chatbot stellt sich einem Stier in Form eines Paragraphen mit Höhnern.

KI-Chatbots sind wie eine Obstwiese auf der Äpfel, Birnen und andere Leckereien in der Sonne um die Wette glänzen: Sie können sich einfach das abpflücken, was Sie gerade für Ihr Unternehmen brauchen. Klingt paradiesisch – wäre da nicht dieser große Stier mit den spitzen Hörnern, der auf der Koppel vor der Obstwiese auf- und ab patrouilliert.

In der Chatbot-Praxis hört dieser Stier auf den Namen „Datenschutz“ und hält zahlreiche Unternehmen davon ab, sich die Vorteile von den Bäumen zu pflücken. So geben 85 % der befragten Banken und Versicherungsunternehmen einer Schweizer Studie an, mittlere bis sehr große Angst vor dem Datenschutz-Thema zu haben.

Grund genug, lieber am Koppelzaun stehen zu bleiben, anstatt die Vorteile von Chatbots für den eigenen Erfolg zu nutzen.
Dabei lohnt es sich. Denn KI-Chatbots bieten jede Menge Potenzial, das eigene Unternehmen voranzubringen. Sie helfen bei der Leadgenerierung, verbessern den Kundenservice im Support und bringen die Digitalisierung des eigenen Unternehmens voran. Um nur ein paar der Vorteile zu nennen.

Darauf verzichten, nur weil der Datenschutz davor Patrouille geht? Das ist verschenktes Potenzial. Stattdessen heimlich lospirschen, in der Hoffnung, dass es gut geht? In der Praxis kann das saftige Bußgelder bedeuten. Wir zeigen Ihnen, mit welchen 5 Schritten Sie mit dem Datenschutz Freundschaft schließen und KI-Chatbots sicher nutzen.

Disclaimer
Die Informationen in diesem Blogbeitrag dienen nur zu allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. Wenn Sie juristische Beratung benötigen, sollten Sie sich an einen Rechtsanwalt wenden.

Schritt 1: Die Datenschutz-Gefahren verstehen – worum geht es eigentlich?

Eine Gefahr verliert schnell ihren Schrecken, wenn man sie kennt. Das gilt auch für Stiere und Datenschutz. Deswegen haben wir für Sie zusammengefasst, was Datenschutz eigentlich ist und welche Anforderungen Chatbots betreffen.

Chatbot-Datenschutz: die Basics

Datenschutz dient dazu, die Persönlichkeit jedes einzelnen Menschen zu schützen – darauf hat jeder Bürger der EU ein Recht. So besagt es sowohl das deutsche Grundgesetz als auch die EU-Grundrechtcharta. Um dieses Recht durchzusetzen, gibt es seit 2016 die Datenschutzgrundverordnung (DSGVO), die genaue Vorschriften für den Schutz der personenbezogenen Daten definiert. Und das europaweit.

Die wichtigsten Vorgaben aus der DSGVO:

Jedes Unternehmen, das mit personenbezogenen Daten zu tun hat, sie erhebt, sammelt oder verarbeitet, muss sich an diese Vorgaben halten. Wer dagegen verstößt, riskiert üppige Bußgelder.

Chatbots und Datenschutz: Das hat die DSGVO mit Chatbots zu tun

Wenn Sie einen Chatbot in Ihrem Unternehmen einsetzen, kommt dieser mit personenbezogenen Daten in Kontakt. Ganz egal, ob Sie ihn für den Kundensupport oder für die interne Datenverarbeitung einsetzen – oder für beides. Dementsprechend muss auch der Chatbot alle Anforderungen der DSGVO erfüllen.

Diese Anforderungen lassen sich in verschiedene Kriterien unterteilen:

Datenspeicherung
Im täglichen Einsatz sammelt und speichert der Chatbot Daten. Als Betreiber müssen Sie wissen, welche Daten das sind und wie sie gespeichert werden. Es dürfen immer nur die Daten gespeichert werden, die Ihrem Geschäftszweck dienen und für die Sie eine Einwilligung des Daten-Eigentümers haben.
Datensicherheit
Alle Daten müssen sicher vor unberechtigten Zugriffen geschützt werden. Dazu gehört sowohl der Schutz vor Daten-Diebstahl bzw. Daten-Missbrauch als auch der Schutz vor unberechtigter Nutzung innerhalb Ihres eigenen Unternehmens und dem Unternehmen des Chatbot-Anbieters. Auch der Speicherort selbst muss sicher sein – dazu gehört auch, dass die Daten die EU nicht verlassen dürfen.
Datennutzung
Die gespeicherten Daten dürfen ausschließlich für den Geschäftszweck verwendet werden, dem der Daten-Eigentümer zugestimmt hat. Jede noch so kleine Nutzung für andere Zwecke ist ein Verstoß gegen die DSGVO.

Schritt 2: Angriffsflächen verstehen – wo bergen Chatbots datenschutzrechtliche Risiken?

Die Gefahren zu kennen, ist das Eine. Anders siehts mit den Angriffsflächen aus, die Sie selbst bieten, wenn Sie sich über die Koppel pirschen – oder einen Chatbot nutzen.

Um zu verstehen, an welchen Stellen der Datenschutz bei der Chatbot-Nutzung relevant wird, sollten wir zuerst den Aufbau eines Chatbots unter die Lupe nehmen:

Zum Verständnis: Wie ist ein Chatbot aufgebaut?

Grundsätzlich gilt: Ein Chatbot ist eine Software zur Datenverarbeitung. Der Nutzer gibt eine Frage oder einen Befehl ein, der Chatbot gibt eine passende Antwort aus, indem er die eingegeben und hinterlegten Daten auswertet.

Dabei arbeitet jedoch nicht jeder Chatbot gleich. Ein besonders großer Unterschied besteht zwischen regelbasierten Chatbots und generativen Chatbots:

Während regelbasierte und absichtsbasierte Chatbots nur die Antworten liefern, die Sie vorab hinterlegt haben, generieren generative Chatbots auf jede Frage eine individuelle Antwort. Dadurch wirken generative Chatbots fast schon menschlich und helfen auch dann zielgerichtet weiter, wenn die Nutzeranfragen unvorhersehbar sind.

Das ist möglich, weil sie eine spezielle Form der generativen Künstlichen Intelligenz nutzen: sogenannte Large Language Models (LLMs). Das LLM ist dabei wie ein Übersetzer zwischen menschlicher Sprache und Computer-Code. Was Sie in gesprochener oder geschriebener Sprache eingeben, übersetzt das LLM in Code und andersherum. Dadurch ist der Chatbot in der Lage, Sie zu verstehen und eigene Antworten in menschlicher Sprache zu erzeugen.

Dabei ist das LLM nicht automatisch fester Teil des Chatbots. Es kann durchaus von einem anderen Anbieter stammen als die Chatbot-Plattform. Das heißt auch: ein Chatbot kann theoretisch mit unterschiedlichen LLMs arbeiten.

Doch das war noch nicht alles: Hinzu kommt das Hosting von LLM und Chatbot. Dabei geht es nicht mehr darum, wie die Daten verarbeitet werden, sondern wo – also auf welchem Server.

Hinweis:

Wenn Sie genauer wissen möchten, was generative Künstliche Intelligenz ist und wie Large Language Models funktionieren, finden Sie Informationen darüber in unserem Chatbot-Ratgeber. Das Gleiche gilt, wenn Sie noch einmal Ihre Grundlagen zum Thema „Was ist ein Chatbot?“ auffrischen möchten. Um den Chatbot-Datenschutz zu verstehen, genügt es jedoch zu wissen, dass all das unterschiedliche Dinge sind.

Wo birgt der Chatbot datenschutzrechtliche Risiken?

Alle Bestandteile fügen sich zum fertigen Chatbot zusammen – und jeder davon bietet eine Angriffsfläche. Schließlich birgt jeder Bestandteil Risiken in Bezug auf Datenspeicherung, Datensicherheit und Datennutzung. Dabei gilt: Ein Chatbot ist immer nur so datenschutzkonform, wie jeder einzelne Bestandteil von ihm. 

Ist das gewählte LLM ein Datenschutz-Desaster, hilft auch die sicherste Chatbot-Plattform nichts.
Dafür ist es wichtig, bereits bei der Auswahl und Konfiguration Ihres Chatbots nicht nur funktionale, sondern auch datenschutzrechtliche Aspekte zu berücksichtigen.

Schritt 3: Freundschaft mit dem Datenschutz schließen – so setzen Sie Ihren Chatbot datenschutzkonform ein

Mit diesem Wissen über Gefahren und Angriffsflächen wird es nun Zeit, die praktische Umsetzung zu planen. Auf dem Markt gibt es verschiedene Anbieter für alle drei Komponenten Ihres Chatbots: Für die Chatbot-Plattform, für das LLM und für das Hosting.

Dabei kann der Anbieter des LLMs gleichzeitig dessen Hosting übernehmen und die Chatbot-Plattform bereitstellen. Das kennen Sie aus der Praxis von ChatGPT, wenn Sie den Chatbot über dessen Website nutzen. In diesem Fall ist ChatGPT LLM, Chatbot-Plattform und Hosting zugleich – denn alles stammt von OpenAI und befindet sich auf dessen Server.

Alternativ kann das LLM des einen Anbieters auch von einem anderen Anbieter gehostet werden. So macht es zum Beispiel Microsoft Azure: Es nutzt das LLM von ChatGPT, hostet es aber auf einem Microsoft-Server. Mit einer kompatiblen Chatbot-Plattform greifen Sie dann über eine API-Schnittstelle darauf zu – in diesem Fall stammen alle drei Komponenten von getrennten Anbietern.

Daraus ergeben sich verschiedene Möglichkeiten für den Chatbot-Einsatz in Ihrem Unternehmen. Um Ihnen bei der Auswahl geeigneter Komponenten zu helfen, haben wir die wichtigsten Kombinationen von LLM und Hosting für Sie auf ihre Datenschutzkonformität untersucht.

ChatGPT als LLM nutzen

ChatGPT gehört zu den bekanntesten Chatbots. Darin verbirgt sich ein mächtiges LLM, welches über eine API-Schnittstelle auch mit Chatbot-Plattformen anderer Anbieter genutzt werden kann. Hinter ChatGPT steckt das US-amerikanische Unternehmen OpenAI.

Vorteile:

Das LLM von ChatGPT ist besonders leistungsstark. Es wurde mit unzähligen Texten trainiert und liefert sehr gute Ergebnisse. Wird das LLM über eine Schnittstelle genutzt, werden die eingegebenen Daten laut OpenAI nicht verwendet, um das LLM weiter zu trainieren. Und das ist gut so – schließlich würde das LLM beim Training mit personenbezogenen Daten gegen die DSGVO verstoßen.

 

OpenAI kümmert sich außerdem um die Missbrauchsüberwachung und bietet technischen Support. Dafür greift das Unternehmen auf die Schnittstelle zu oder beauftragt externe Dienstleister.

Nachteile:

ChatGPT wird von OpenAI als Cloud-Modell gehostet. Das heißt, dass die eingegeben Daten vollständig auf einem Server von OpenAI gesammelt und gespeichert werden. Und der befindet sich in den USA – die Daten verlassen also die EU. Entsprechend müssen die Standardvertragsklauseln mit OpenAI abgeschlossen und ein Transfer Impact Assessment durchgeführt werden. Abhängig vom Use-Case und den verwendeten Daten kann das Transfer Impact Assessment dazu führen, dass eine Übertragung der Daten in die USA nicht zulässig ist.

 

Zudem ist es nicht möglich, eigene Datenschutzrichtlinien für die Nutzung von ChatGPT als LLM und Hosting zu hinterlegen. Es gelten die Datenschutzrichtlinien von OpenAI – und unterliegen nicht der DSGVO. Hinzu kommt, dass OpenAI sämtliche eingegebene Daten nach 30 Tagen löscht. Dadurch reduzieren Sie zwar das Risiko einer unerlaubt langen Datenspeicherung – jedoch werden dabei auch die Kundeneinwilligungen zur Datenverarbeitung gelöscht.

 

Durch die Missbrauchsüberwachung und den technischen Support greift OpenAI außerdem auf die Schnittstelle zu. Zwar versichert das Unternehmen, dass alle zugriffsberechtigten Personen an strenge Vertraulichkeits- und Sicherheitsverpflichtungen gebunden sind, jedoch unterliegen auch diese Vereinbarungen nicht der DSGVO.

Das LLM und Hosting von OpenAI ist zwar besonders leistungsstark, entspricht aber nur bedingt den europäischen Anforderungen an den Datenschutz. Nur in Abhängigkeit vom Use-Case und über viel Dokumentationsaufwand kann eine DSGVO-konforme Datenübertragung gewährleistet werden.

Fazit:

ChatGPT als LLM nutzen und ein europäisches Hosting wählen

Das LLM von ChatGPT kann auch über andere Anbieter gehostet werden. Einer der bekanntesten Anbieter ist Microsoft mit seiner Cloud-Computing-Plattform Azure. Microsoft selbst ist zwar ein US-amerikanisches Unternehmen, bietet für den europäischen Markt jedoch auch europäisches Hosting an.

Vorteile:

Durch die Nutzung eines europäischen Hostings erfüllen Sie bereits deutlich mehr Anforderungen der DSGVO. Sie nutzen ChatGPT zwar weiterhin als Cloud-Modell, jedoch vollkommen unabhängig von OpenAI. So bietet Microsoft Azure zum Beispiel auch einen europäischen Server als Speicherort.

 

Zur Einhaltung der DSGVO hat sich Microsoft nach dem EU-US Data Privacy Framework zertifizieren lassen. Somit ist eine Übertragung der Daten in die Vereinigten Staaten ausgeschlossen, sodass die Standardvertragsklauseln nicht mehr unterzeichnet werden müssen. Entsprechend muss auch kein Transfer Impact Assessment durchgeführt werden.

 

Die Missbrauchsüberwachung übernimmt Microsoft mithilfe eines sogenannten Abuse-Monitorings. Dabei werden die eingegeben Inhalte und Verhaltensweisen automatisch kontrolliert. Erst, wenn es zu Auffälligkeiten kommt, greift ein autorisierter Mitarbeiter ein. Für den europäischen Markt beschäftigt Microsoft dafür Mitarbeiter in der EU, die entsprechend der DSGVO agieren.

 

Auch Microsoft gibt an, die eingegebenen Daten nicht zum Training des LLMs zu nutzen.

Nachteile:

Auch auf einem europäischen Server werden die Daten beim US-amerikanischen Unternehmen Microsoft gespeichert. Dadurch können Sie als Betreiber keine eigenen Datenschutzrichtlinien festlegen, sondern sind auf die Richtlinien von Microsoft angewiesen.

 

Bei der Speicherung der eingegebenen Daten bietet Microsoft Azure bereits mehr Möglichkeiten als OpenAI: Wissenselemente werden gespeichert, bis Sie sie löschen. Chateingaben und generierte Antworten werden jedoch nach 30 Tagen automatisch gelöscht, sodass Sie nicht länger auf Einwilligungen und Informationen zugreifen können.

Wenn Sie ChatGPT als LLM nutzen möchten, ermöglicht ein Hosting über einen Drittanbieter eine bessere Einhaltung der DSGVO. Jedoch sind Sie noch immer von den Richtlinien und Vorgaben des Hosters abhängig – zum Beispiel von Microsoft Azure. Und die entsprechen nicht immer der DSGVO. Durch das Hosting über MS-Azure liegen die Daten auf den Servern von Microsoft. Dieser Punkt ist insbesondere dann relevant, wenn kein Interesse daran besteht, dass Geschäftsgeheimnisse in die Hände Dritter gelangen. So hat Microsoft beispielsweise die Möglichkeit, auf die Daten zuzugreifen und diese zur Missbrauchskontrolle auszuwerten. Trotzdem gibt es zahlreiche Konfigurationsmöglichkeiten, die es erlauben, weitere datenschutzrelevante Einstellungen individuell vorzunehmen.

Fazit:

On-Premises-Lösungen nutzen

Mit einer On-Premises-Lösung betreiben Sie das LLM sowie alle gespeicherten Daten auf Ihrem eigenen Server. Dadurch sind Sie vollständig unabhängig von anderen Hosting-Anbietern und definieren sämtliche Regeln selbst. Dabei können Sie zwar nicht auf ChatGPT zurückgreifen, nutzen dafür aber andere LLMs.

Als deutscher Entwickler bieten wir Ihnen mit DialogBits eine Chatbot-Plattform mit eigenem LLM als On-Premises-Lösung. Sie betreiben den Chatbot mit einem von DialogBits bereitgestellten LLM auf Ihrem eigenen Server. Dadurch nutzen Sie alle Vorteile eines generativen Chatbots, sind aber gleichzeitig unabhängig von US-amerikanischen Unternehmen.

Vorteile:

Mit einer On-Premises-Lösung von DialogBits sind Sie selbst Herr Ihrer Daten: Sie legen eigene Datenschutzrichtlinien fest, löschen und speichern die Daten nach Ihren Regeln und überwachen auch die API nach Ihren eigenen Vorgaben durch ausgewählte Mitarbeiter. Sie entscheiden selbst, ob Sie die eingegebenen Daten für ein Training des LLMs freigeben.

 

Durch die Speicherung der Daten auf Ihrem eigenen Server entspricht auch der Serverstandort den Anforderungen der DSGVO.

Nachteile:

Keine, denn mit DialogBits als Chatbot-Plattform und LLM sowie einem On-Premises-Hosting haben Sie die komplette Kontrolle über die Daten und deren Verarbeitung.

Fazit:

DialogBits ermöglicht eine vollständig DSGVO-konforme Chatbot-Lösung. Mit einem On-Premises-Hosting auf Ihrem eigenen Server definieren Sie sämtliche Datenschutz-Regeln selbst – und können dadurch sogar noch über die Anforderungen der DSGVO hinausgehen.

Schritt 4: Verbündete suchen – arbeiten Sie mit Partnern für den Chatbot-Datenschutz

Nachdem Sie die Schritte 1 bis 3 durchgeführt haben, frisst Ihnen der Stier bereits aus der Hand. Die besten Voraussetzungen, um sich entspannt zu den Obstbäumen auf der anderen Seite der Koppel aufzumachen. Noch besser ist es, wenn Sie sich auch mit dem Bauern verbünden, der sich auf der Koppel und der Obstwiese auskennt. Mit anderen Worten: Suchen Sie sich Partner, mit denen Sie das Thema Datenschutz gemeinsam angehen.

Idealerweise ziehen Sie dafür frühzeitig den Datenschutzbeauftragten Ihres Unternehmens hinzu. Er kennt die internen Anforderungen und Gegebenheiten und kann weitere Aspekte von Beginn an einbringen.

Als Chatbot-Profis unterstützen auch wir von DialogBits Sie gerne bei der Entscheidungsfindung und der Implementierung Ihres Chatbots. Mit unserem Entwicklungsstandort in Münster kennt unser Team die Anforderungen der DSGVO und unterstützt Sie dabei, sie einzuhalten.

Als Experten für Künstliche Intelligenz bewahren wir Sie außerdem davor, sich faule Früchte von den Bäumen zu pflücken – damit Sie Ihre Zeit und Ihre Energie nur in die Chatbot-Vorteile investieren, die Ihr Unternehmen wirklich voran bringen.

Wir unterstützen Sie bei der DSGVO-konformen Umsetzung Ihres Chatbots und stimmen ihn gemeinsam mit Ihnen perfekt auf Ihr Unternehmen ab.

Ihre Räuberleiter
zum Vorteile pflücken

Schritt 5: Die Freundschaft pflegen – immer up-to-date bleiben

Künstliche Intelligenz und Chatbots entwickeln sich rasend schnell – und auch die gesetzlichen Vorschriften reagieren darauf. Achten Sie deswegen darauf, dass Sie auf Ihrem Weg über die Koppel hin zu den Obstbäumen immer auf dem neuesten Stand sind. Hierbei helfen Ihnen Ihre Verbündeten: Ihr Datenschutzbeauftragter ist immer up-to-date und auch wir bei DialogBits sind immer auf dem Laufenden über relevante Veränderungen.

Fazit: Chatbot-Datenschutz ist
eigentlich ganz zahm

Sobald Sie mit Stier und Datenschutz Freundschaft geschlossen haben, können Sie sich auf der Obstwiese nach Herzenslust die Taschen vollmachen. Und Sie merken schnell: Eigentlich sind Stiere genau so zahm, wie der Datenschutz. Wenn man nur mal verstanden hat, wie man damit umgehen muss.

Unser Entwickler- und Beratungs-Team von DialogBits unterstützt Sie gern dabei, sich den Datenschutz zum Freund zu machen. Mit unserem Entwicklungsstandort in Münster kennen wir die Anforderungen der DSGVO und setzen Sie natürlich auch bei DialogBits um. Egal, ob wir unser eigenes LLM implementieren oder auf andere Modelle wie ChatGPT zurückgreifen.