DSGVO 2026: Warum deutsches Hosting jetzt Pflicht ist

2026 ist kein gewöhnliches Jahr für Datenschutz in Europa. Mit der vollständigen Durchsetzung des EU AI Act ab August und einer laufenden EDPB-Enforcement-Aktion zu Transparenzpflichten stehen Unternehmen, die KI-Chatbots einsetzen, vor konkreten gesetzlichen Anforderungen. Wer jetzt noch ohne klare Compliance-Strategie arbeitet, riskiert mehr als nur Abmahnungen.

Was sich 2026 konkret ändert

Seit dem 2. August 2026 greift die 24-monatige Übergangsfrist des EU AI Act: Die Anforderungen für Hochrisiko-KI-Systeme werden zur harten gesetzlichen Pflicht. Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes sind keine theoretischen Szenarien mehr. Für Anbieter von General-Purpose-KI-Modellen drohen bis zu 15 Millionen Euro oder drei Prozent des Umsatzes.

Für Chatbots gilt die Kategorie "begrenztes Risiko" mit klaren Transparenzpflichten nach Art. 50 EU AI Act: Nutzer müssen vor Beginn der Interaktion darauf hingewiesen werden, dass sie mit einem KI-System kommunizieren. Ein einfacher Hinweis wie "Ich bin ein virtueller Assistent" reicht aus, aber er muss da sein.

Parallel dazu läuft seit dem 19. März 2026 die EDPB-Coordinated-Enforcement-Aktion: 25 Datenschutzbehörden aus ganz Europa prüfen aktiv die Einhaltung von Transparenz- und Informationspflichten nach Art. 12 bis 14 DSGVO. Die deutschen Landesdatenschutzbehörden, darunter Brandenburg und Niedersachsen, sind direkt beteiligt.

Das Problem mit US-amerikanischen Chatbot-Anbietern

Wenn ein Chatbot die OpenAI-API aufruft, gelangen Nutzer-Prompts auf Server in den USA. Nach dem Schrems-II-Urteil erfordert das zusätzliche Schutzmaßnahmen über Standardvertragsklauseln hinaus: ein Transfer Impact Assessment (TIA), vertragliche Absicherungen und den Nachweis eines angemessenen Schutzniveaus. In der Praxis fehlen diese Maßnahmen bei den meisten Implementierungen.

Tipp: US-amerikanische KI-Modelle sind nicht grundsätzlich verboten, aber sie erfordern einen erhöhten Dokumentationsaufwand. Wer diesen Aufwand vermeiden will, wählt ein Modell, das auf EU-Servern läuft, und umgeht die Drittland-Problematik damit komplett.

Ein weiterer kritischer Punkt: Bei vielen kostenlosen KI-Tools werden Gesprächsdaten zum Training des KI-Modells verwendet. Das ist aus DSGVO-Sicht problematisch, wenn dabei personenbezogene Kundendaten verarbeitet werden.

Die fünf Pflichten für einen DSGVO-konformen Chatbot

Ein DSGVO-konformer Chatbot braucht konkret folgendes:

• Rechtsgrundlage: Einwilligung oder berechtigtes Interesse klar definieren
• Informationspflicht: Datenschutzerklärung entsprechend anpassen
• Auftragsverarbeitungsvertrag (AVV): nach Art. 28 DSGVO mit dem Anbieter abschließen, ohne AVV ist der Chatbot-Einsatz ein Verstoß
• EU-Server-Hosting: Datenverarbeitung innerhalb der EU sicherstellen oder Drittlandtransfer dokumentieren
• Löschkonzept: Klare Regeln für die Aufbewahrung und Löschung von Chatdaten festlegen

Wie ChatBot4You diese Anforderungen erfüllt

ChatBot4You wurde von der ConRat WebSolutions GmbH mit genau diesen Anforderungen im Blick entwickelt. Das Hosting der Plattform selbst erfolgt ausschließlich in Deutschland. Ein AVV kann mit dem Anbieter abgeschlossen werden, und die Plattform gibt keine Gesprächsdaten zum Modelltraining weiter.

Praktisch relevant für die Modellwahl: ChatBot4You bietet Multi-LLM-Support mit einer breiten Auswahl an Modellen. Wer die Drittland-Problematik komplett vermeiden möchte, wählt eines der Modelle, die über IONOS in Deutschland betrieben werden, darunter Mistral- und Llama-Modelle. Wer hingegen auf Modelle von OpenAI setzt, muss die entsprechenden Schutzmaßnahmen wie TIA und Standardvertragsklauseln sicherstellen. Beides ist möglich, die Wahl liegt beim Betreiber.

Praktisch relevant für die neuen Transparenzpflichten: ChatBot4You ermöglicht es, den Chatbot von Beginn an als KI-System zu kennzeichnen. Der No-Code-Editor erlaubt die Konfiguration entsprechender Hinweise ohne Programmieraufwand.

Datenschutz ist kein bürokratisches Pflichtprogramm mehr. Wer seinen Kunden glaubhaft zeigt, dass ihre Daten sicher verarbeitet werden, gewinnt aktiv Vertrauen. Das ist ein konkreter Wettbewerbsvorteil gegenüber Mitbewerbern, die diese Frage noch offen lassen.

Quellen

• EDPB: Coordinated Enforcement Framework 2026 - Transparency
• EU AI Act (Verordnung 2024/1689) - EUR-Lex
• EDPB: Ankündigung des CEF-Schwerpunkts 2026 (Oktober 2025)
• Europäisches Parlament Think Tank: Durchsetzung des EU AI Act (März 2026)