Spoke · Compliance & Architektur ≈ 8 Min. Lesezeit

DSGVO-konformer KI-Chatbot: Architektur und Compliance-Stack 2026

TL;DR DSGVO-konforme KI-Chatbots auf OpenAI/Anthropic erfordern vier Bausteine: AVV mit dem LLM-Provider, EU-Inferenz-Region (oder Drittland-Hinweis nach Art. 44–49 DSGVO), Datenminimierung im Prompt-Builder und Logging mit Aufbewahrungsfristen. Für sensible Domains (Health, Legal, Finance): lokale Modelle via Ollama oder Mistral La Plateforme.

Diese Seite ist die Architektur-Spoke zum Thema. Die ausführliche juristische Einordnung steht im Blog-Artikel KI-Chatbot DSGVO 2026. Hier ist die Engineering-Sicht: wie wir bei 09Clicks rechtskonforme Chatbots bauen.

Hinweis: Engineering-Perspektive, keine Rechtsberatung. Konkrete Compliance-Fragen klären Sie mit Datenschutzbeauftragten oder IT-Recht-Anwalt.

Die vier Compliance-Bausteine

Auftragsverarbeitungs-Vertrag (AVV) mit Provider: OpenAI Business / Enterprise oder Anthropic Commercial-Account. Der „normale“ ChatGPT-Account reicht nicht – Daten werden dort fürs Training verwendet.
EU-Inferenz oder Drittland-Hinweis: OpenAI EU-Region (verfügbar 2025+), Anthropic EU-Endpoint, oder bei US-Region: Standardvertragsklauseln + sauberer Hinweis in Datenschutzerklärung nach Art. 44 ff. DSGVO.
Datenminimierung: Prompts dürfen nur enthalten, was die KI tatsächlich braucht. Kein Komplettdump des Webformulars in den System-Prompt – Pseudonymisierung, Hashing, Redaction.
Logging mit Aufbewahrungsfrist: Chat-Verläufe werden gespeichert, aber mit definierter Retention (typisch 30/90/180 Tage), Lösch-Funktion für Betroffene (Art. 17 DSGVO), und im Verarbeitungsverzeichnis dokumentiert.

Architektur-Pattern: Saubere Trennung von Public & LLM

Wichtigster Punkt: Der Browser des Nutzers spricht nie direkt mit OpenAI. Immer eine eigene API dazwischen. Das bringt drei Dinge: API-Key bleibt geheim, wir können filtern/redacten bevor Daten in die USA gehen, und Logging passiert auf unserer Seite (DSGVO-konformer als Provider-Log).

// Vereinfachte Architektur (Next.js / Vercel)
Client (Browser)
  ↓ POST /api/chat
Vercel Edge Function (EU-Region)
  ├─ Pseudonymisierung (E-Mail → Hash, Name → Initial)
  ├─ Rate-Limit (Upstash Redis)
  ├─ Audit-Log (Postgres, EU-Region)
  ↓
OpenAI API (EU-Region) oder Anthropic EU-Endpoint
  ↓ Response Stream
Vercel Edge Function
  ├─ Filter sensitive Output-Patterns
  ↓
Client (Browser)

Was in den Prompt darf — und was nicht

Darf rein: Frage des Nutzers, Branche/Use-Case-Kontext (anonym), Produkt-FAQ-Snippets aus Ihrer Knowledge-Base.
Darf nicht rein: Klarname, E-Mail, Telefonnummer, Postanschrift, IP, Session-IDs, Kundennummern. Diese Daten bleiben in Ihrer Datenbank, nicht im LLM.
Pseudonymisierung-Beispiel: „User a3f2… aus Branche Maschinenbau fragt: …“ statt „Hans Müller (hans@acme.de) fragt: …“.

Provider-Vergleich: Wer ist 2026 am DSGVO-freundlichsten?

Provider	EU-Inferenz	AVV einfach	Empfehlung
OpenAI Business / Enterprise	Ja (EU-Region)	Standard-AVV	Default für die meisten Builds
Anthropic Commercial	EU-Endpoint	Standard-AVV	Wenn Claude-Qualität gewünscht
Mistral La Plateforme	EU-nativ (FR)	Einfach	Wenn EU-Pflicht hoch
Aleph Alpha	DE-nativ	Direkt	Public Sector / Health
Lokal (Ollama, Llama, Mistral 7B)	On-Prem	Kein AVV nötig	Sensible Domains, Offline

Was die Datenschutzerklärung enthalten muss

Mindestens diese Bausteine (DSGVO Art. 13):

Welche KI eingesetzt wird (Provider, Modellname)
Welche Daten verarbeitet werden (Pseudonymisierungs-Hinweis)
Rechtsgrundlage (meist Art. 6 Abs. 1 lit. f – berechtigtes Interesse, oder lit. a – Einwilligung)
Drittland-Hinweis (USA) mit Standardvertragsklauseln, falls nicht EU-Region
Speicherdauer der Chat-Logs
Hinweis auf Betroffenenrechte (Auskunft, Löschung)
Kontaktdaten Datenschutzbeauftragter

Wir liefern bei jedem 09Clicks-Chatbot-Build einen fertigen Textbaustein für die Datenschutzerklärung mit, den Sie nur an Ihre eigene Datenschutz-Seite anhängen müssen. Spart 1–2 Stunden Anwaltszeit.