Kostenlos beraten
KI im Kundenservice Datenschutz DSGVO-Leitfaden für deutsche Unternehmen
compliance

KI im Kundenservice: Datenschutz-Leitfaden für deutsche Unternehmen

Für den DSGVO-konformen Einsatz von KI im Kundenservice brauchen deutsche Unternehmen eine gültige Rechtsgrundlage nach Art. 6 DSGVO, einen Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter und müssen Kunden über den Einsatz von KI informieren. Ohne diese Grundlagen ist der Betrieb eines KI-Chatbots oder KI-gestützten Support-Systems rechtlich riskant — unabhängig davon, welches Tool eingesetzt wird.

Dieser Leitfaden richtet sich an Compliance-Verantwortliche, Datenschutzbeauftragte und Betriebsleiter in Deutschland, die KI-Tools für den Kundensupport einführen oder deren Rechtskonformität prüfen möchten. Weiterführende Informationen zu spezifischen Tools finden Sie auf unseren Seiten zu Intercom, Salesforce Einstein und Zendesk.

Welche DSGVO-Pflichten gelten beim Einsatz von KI im Kundenservice?

Der Einsatz von KI im Kundensupport löst mehrere DSGVO-Pflichten gleichzeitig aus. Die wesentlichen sind:

Art. 6 DSGVO — Rechtsgrundlage: Jede Verarbeitung personenbezogener Kundendaten durch eine KI muss auf eine Rechtsgrundlage gestützt werden. In der Praxis kommen drei Grundlagen in Betracht:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Wenn die KI zur Abwicklung eines bestehenden Vertragsverhältnisses eingesetzt wird (z. B. Bestellstatus, Retouren), ist die Vertragserfüllung tragfähig
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Möglich bei allgemeiner Support-Optimierung, aber nur nach Interessenabwägung und mit Widerspruchsrecht für Betroffene
  • Einwilligung (Art. 6 Abs. 1 lit. a): Nur sinnvoll, wenn andere Grundlagen fehlen — Einwilligungen im Support-Kontext sind praktisch schwierig umzusetzen

Art. 13/14 DSGVO — Informationspflichten: Kunden müssen über den Einsatz von KI im Support informiert werden. Das bedeutet: Ihre Datenschutzerklärung muss KI-gestützte Datenverarbeitungen beschreiben, inklusive Anbieter, Zweck und Speicherdauer der Chat-Protokolle. Art. 50 EU AI Act (ab August 2026 gültig) ergänzt dies: Personen, die mit einem KI-System interagieren, müssen darüber informiert werden, dass sie es mit einer KI zu tun haben — es sei denn, dies ist offensichtlich.

Art. 22 DSGVO — Automatisierte Entscheidungsfindung: Sofern die KI Entscheidungen trifft, die Kunden erheblich betreffen — z. B. automatisierte Ablehnungen von Erstattungsanträgen, Sperren von Konten — greift Art. 22 DSGVO. In solchen Fällen muss ein Mensch in den Prozess eingebunden werden können, und Betroffene müssen das Recht auf menschliche Überprüfung haben.

Art. 30 DSGVO — Verzeichnis der Verarbeitungstätigkeiten (VVT): KI-gestützter Kundenservice ist als eigene Verarbeitungstätigkeit im VVT zu dokumentieren — mit Anbieter, Verarbeitungszweck, Datenkategorien, Empfängern, Drittlandübermittlungen und Speicherfristen.

AVV / DPA für KI-Kundenservice-Tools

Wann ist ein AVV erforderlich? Immer, wenn ein externer KI-Anbieter personenbezogene Daten Ihrer Kunden im Auftrag Ihres Unternehmens verarbeitet. Das ist bei jedem Cloud-basierten KI-Chatbot oder KI-Agenten der Fall — egal ob Intercom, Zendesk, Salesforce Einstein, Freshdesk oder ein anderes Tool.

Ohne gültigen AVV verstoßen Sie gegen Art. 28 DSGVO. Die Pflicht gilt für jedes Unternehmen — unabhängig von Größe und Branche.

Was muss ein AVV für KI-Tools enthalten?

Ein AVV nach Art. 28 DSGVO muss für KI-Kundenservice-Tools folgende Punkte regeln:

  • Beschreibung der Verarbeitungstätigkeit und der verarbeiteten Datenkategorien
  • Zweckbindung: der Anbieter darf Daten nur für den vereinbarten Zweck verarbeiten
  • Regelung zu Unterauftragsverarbeitern (z. B. Infrastrukturanbieter wie AWS, GCP)
  • Technische und organisatorische Maßnahmen (TOMs) des Anbieters
  • Unterstützungspflichten bei Betroffenenanfragen und Behördenanfragen
  • Regelung zur Nutzung von Kundendaten für das Training von KI-Modellen — dieser Punkt ist besonders kritisch
  • Löschpflichten nach Vertragsende
  • Drittlandübermittlungen und eingesetzte Übermittlungsmechanismen (EU-SCCs, DPF)

Wichtiger Hinweis zum Modelltraining: Viele KI-Anbieter behalten sich vertraglich das Recht vor, Nutzerinteraktionen für das Training ihrer Modelle zu verwenden. Prüfen Sie die aktuellen Nutzungsbedingungen Ihres Anbieters und schließen Sie Modelltraining mit Ihren Kundendaten explizit aus, sofern dies nicht im AVV bereits geregelt ist.

Die größten Datenschutzrisiken beim KI-Kundenservice

1. Training Data Risk — Datenweitergabe an KI-Modelle: Das größte unterschätzte Risiko: Wenn Kundengespräche zur Verbesserung des KI-Modells des Anbieters genutzt werden, verlassen personenbezogene Daten den vereinbarten Verarbeitungsrahmen. Prüfen Sie die Vendor Terms genau und konfigurieren Sie Ihre Instanz so, dass kein Opt-in für Modelltraining aktiv ist.

2. Speicherung sensibler Daten in Chatprotokollen: KI-Chatbots speichern Konversationen oft automatisch. Kunden nennen dabei unbewusst sensible Daten — Kontonummern, Gesundheitsinformationen, persönliche Beschwerden. Definieren Sie Speicherfristen und setzen Sie technische Maßnahmen (z. B. automatische Schwärzung, kurze Löschfristen) um.

3. Drittlandübermittlungen an US-basierte Anbieter: Die meisten führenden KI-Kundenservice-Tools stammen aus den USA. Prüfen Sie, ob Ihr Anbieter EU-Hosting anbietet und welche Übermittlungsmechanismen (EU-SCCs, EU-US Data Privacy Framework) im AVV vereinbart sind. Für höhere Schutzanforderungen ist EU-exklusives Hosting vorzuziehen.

4. Profilbildung ohne ausreichende Rechtsgrundlage: KI-Systeme bauen aus Kundengesprächen implizit Profile auf — über Beschwerdemuster, Produktpräferenzen, Stimmungen. Sofern diese Profile für andere Zwecke genutzt werden (z. B. Marketing-Targeting), liegt ein separater Verarbeitungszweck vor, der einer eigenen Rechtsgrundlage bedarf.

DSGVO-konformer KI-Kundenservice: So geht es richtig

Transparenzpflicht — Kunden müssen wissen, dass sie mit einer KI sprechen: Informieren Sie zu Beginn jedes KI-gestützten Gesprächs deutlich, dass ein automatisiertes System antwortet. Verweisen Sie auf die Möglichkeit, einen menschlichen Mitarbeitenden zu erreichen. Ab August 2026 ist dies durch Art. 50 EU AI Act verbindlich vorgeschrieben.

Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO: Konfigurieren Sie Ihren KI-Chatbot so, dass er nur die Daten erfasst, die für den jeweiligen Support-Vorgang tatsächlich erforderlich sind. Deaktivieren Sie breit angelegte Datensammlung (z. B. automatisches Speichern von Sitzungs-Metadaten, Browserdaten) soweit nicht notwendig.

Löschkonzept für Chatprotokolle: Legen Sie Aufbewahrungsfristen für Chat-Protokolle fest und setzen Sie diese technisch durch. Faustregel: Transaktionale Supportgespräche sollten nach der gesetzlichen oder betrieblichen Notwendigkeit gelöscht werden — in der Regel nach 30 bis 90 Tagen, sofern keine längere Aufbewahrung erforderlich ist.

Datenschutz-Folgenabschätzung (DSFA) — wann ist sie Pflicht? Eine DSFA nach Art. 35 DSGVO ist bei KI im Kundenservice in folgenden Szenarien regelmäßig erforderlich:

  • Systematische und umfangreiche Verarbeitung personenbezogener Daten mit erheblichen Auswirkungen auf Betroffene (z. B. vollautomatisierte Ablehnungsentscheidungen)
  • Großflächiges Profiling von Kunden auf Basis von KI-Analysen
  • Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten im medizinischen Kundensupport)

Dokumentieren Sie Ihre Einschätzung auch dann, wenn Sie zu dem Ergebnis kommen, dass keine DSFA erforderlich ist.

Welche KI-Tools für den Kundenservice sind DSGVO-konform?

Die Mehrzahl etablierter KI-Kundenservice-Tools bietet heute einen AVV und EU-Datenspeicherungsoptionen an. Entscheidend sind jedoch die Details:

ToolEU-HostingAVV verfügbarModelltraining abschaltbar
IntercomJa (optional)JaJa (konfigurierbar)
ZendeskJa (optional)JaJa (konfigurierbar)
Salesforce EinsteinJa (optional)JaPrüfen — anbieterabhängig
FreshdeskJa (EU-Region)JaPrüfen — anbieterabhängig

Detaillierte Compliance-Informationen zu den einzelnen Tools:

Für die Auswahl eines DSGVO-konformen KI-Tools empfehlen wir folgende Mindestanforderungen: EU-Datenspeicherung verfügbar, AVV nach Art. 28 DSGVO abschließbar, Modelltraining mit Kundendaten deaktivierbar, Sub-Processor-Liste transparent und aktuell.

Häufig gestellte Fragen

Muss ein KI-Chatbot sich als Roboter zu erkennen geben?

Ja — sowohl nach DSGVO (Art. 13 Informationspflichten) als auch nach Art. 50 EU AI Act (ab August 2026 verbindlich) müssen Nutzer informiert werden, wenn sie mit einem KI-System interagieren. Eine versteckte KI, die vorgibt, ein Mensch zu sein, ist nach geltendem Recht nicht zulässig.

Welche Rechtsgrundlage gilt für KI im Kundensupport?

In den meisten Fällen ist Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) die tragfähigste Grundlage — wenn die KI zur Abwicklung einer bestehenden Kundenbeziehung eingesetzt wird. Für darüber hinausgehende Analysen (z. B. Stimmungsanalyse, Profilbildung) bedarf es eines berechtigten Interesses oder einer Einwilligung mit entsprechender Interessenabwägung.

Brauche ich eine DSFA für KI-gestützten Kundenservice?

Das hängt vom konkreten Einsatz ab. Wenn die KI systematisch große Mengen personenbezogener Daten verarbeitet, Entscheidungen mit erheblichen Auswirkungen auf Betroffene trifft oder besondere Datenkategorien verarbeitet, ist eine DSFA nach Art. 35 DSGVO erforderlich. Für einfache FAQ-Automatisierung ohne weitreichende Entscheidungsbefugnis ist eine DSFA häufig nicht zwingend — dokumentieren Sie Ihre Bewertung dennoch.

Darf ich Kundengespräche zur Verbesserung der KI nutzen?

Nur mit geeigneter Rechtsgrundlage. Die Nutzung von Kundengesprächen zum Training eigener Modelle oder die Weitergabe an den Anbieter für Modelltraining ist ein eigenständiger Verarbeitungszweck. Dieser bedarf einer Einwilligung oder eines tragfähigen berechtigten Interesses und muss in der Datenschutzerklärung ausgewiesen sein. Prüfen Sie in jedem Fall die Vendor Terms und schließen Sie unerwünschtes Modelltraining vertraglich aus.

Die Informationen auf dieser Seite sind allgemeine Orientierungshilfen zum Datenschutz beim KI-Einsatz im Kundenservice. Sie ersetzen keine individuelle Rechtsberatung für Ihre konkrete Situation. Kontaktieren Sie Compound Law für eine datenschutzrechtliche Bewertung Ihres KI-Kundenservice-Projekts.

Weitere Compliance-Guides

KI-Bildgenerierung Compliance in Deutschland
compliance

KI-Bildgenerierung DSGVO 2026: Compliance-Leitfaden fuer Deutschland

KI-Bildgenerierung DSGVO-konform nutzen: Midjourney, DALL-E, Adobe Firefly und Stable Diffusion im Compliance-Check fuer deutsche Unternehmen 2026.
Enterprise Search DSGVO KI-Unternehmenssuche Compliance Deutschland
compliance

Enterprise Search DSGVO: KI-Unternehmenssuche rechtssicher einsetzen

KI-Unternehmenssuche DSGVO: Was Unternehmen bei Microsoft Copilot und Google Workspace AI bezüglich AVV, BetrVG und SCCs beachten müssen.
Gesichtserkennung Deutschland Markt Datenschutz Leitfaden
compliance

Gesichtserkennung in Deutschland: Markt, Datenschutz und Recht

Gesichtserkennung in Deutschland: Marktteilnehmer, DSGVO-Datenschutzpflichten, AI Act-Verbote und was Unternehmen vor dem Einsatz prüfen müssen.

Häufige Fragen

Muss ein KI-Chatbot sich als Roboter zu erkennen geben?

Ja — sowohl nach DSGVO (Art. 13 Informationspflichten) als auch nach Art. 50 EU AI Act (ab August 2026 verbindlich) müssen Nutzer informiert werden, wenn sie mit einem KI-System interagieren. Eine versteckte KI, die vorgibt, ein Mensch zu sein, ist nach geltendem Recht nicht zulässig.

Welche Rechtsgrundlage gilt für KI im Kundensupport?

In den meisten Fällen ist Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) die tragfähigste Grundlage — wenn die KI zur Abwicklung einer bestehenden Kundenbeziehung eingesetzt wird. Für darüber hinausgehende Analysen (z. B. Stimmungsanalyse, Profilbildung) bedarf es eines berechtigten Interesses oder einer Einwilligung mit entsprechender Interessenabwägung.

Brauche ich eine DSFA für KI-gestützten Kundenservice?

Das hängt vom konkreten Einsatz ab. Wenn die KI systematisch große Mengen personenbezogener Daten verarbeitet, Entscheidungen mit erheblichen Auswirkungen auf Betroffene trifft oder besondere Datenkategorien verarbeitet, ist eine DSFA nach Art. 35 DSGVO erforderlich. Für einfache FAQ-Automatisierung ohne weitreichende Entscheidungsbefugnis ist eine DSFA häufig nicht zwingend — dokumentieren Sie Ihre Bewertung dennoch.

Darf ich Kundengespräche zur Verbesserung der KI nutzen?

Nur mit geeigneter Rechtsgrundlage. Die Nutzung von Kundengesprächen zum Training eigener Modelle oder die Weitergabe an den Anbieter für Modelltraining ist ein eigenständiger Verarbeitungszweck. Dieser bedarf einer Einwilligung oder eines tragfähigen berechtigten Interesses und muss in der Datenschutzerklärung ausgewiesen sein. Prüfen Sie in jedem Fall die Vendor Terms und schließen Sie unerwünschtes Modelltraining vertraglich aus. --- *Die Informationen auf dieser Seite sind allgemeine Orientierungshilfen zum Datenschutz beim KI-Einsatz im Kundenservice. Sie ersetzen keine individuelle Rechtsberatung für Ihre konkrete Situation. [Kontaktieren Sie Compound Law](/de-DE/contact/) für eine datenschutzrechtliche Bewertung Ihres KI-Kundenservice-Projekts.*

Kostenlos beraten