Aus meiner Praxis als Webentwickler stand ich immer wieder vor der Aufgabe, nach passenden „Standardlösungen“ für Kunden zu suchen, die aus Kundensicht nicht nur einfach und unkompliziert zu managen sind, sondern auch meinen fachlichen Ansprüchen an GRC-Faktoren wie sauberen Datenschutz im Sinne der DSGVO genügen, nachvollziehbare Compliance sicherstellen und gleichzeitig eine klare und strukturierte Governance ermöglichen, die im Sinne des Unternehmens ist.

Was auf den ersten Blick wie ein Effizienzgewinn für kleine und mittlere Unternehmen aussieht, ist aus Compliance-Perspektive oft ein erhebliches Risiko. Und da wir als Agentur auch für die Auswahl externer Tools oftmals die Hand ins Feuer halten müssen, uns angesichts der hohen Intransparenz und des mangelnden Datenschutzes in vielen Tools aber nur ungern verbrennen, haben wir kurzerhand den Entschluss gefasst, einen GRC-optimierten und DSGVO-konformen KI-Chatbot zu entwickeln, der genau diese kritischen Punkte sicherstellt.

Das Kernproblem: Keine Datenhoheit bei den meisten KI-Chatbots

Die zentrale Frage, die sich jedes Unternehmen stellen muss, bevor es einen KI-Chatbot auf seiner Website einsetzt, lautet: Was passiert mit den Daten, die meine Kunden im Chat eingeben? Die Antwort ist bei den meisten Anbietern ernüchternd und bildet damit auch das Kernproblem. Fehlende Datenhoheit und Nachvollziehbarkeit über Speicherung und fortlaufende Verarbeitung von sensiblen und/oder personenbezogenen Daten sind bei fast jedem KI-Chatbot eine echte „Blackbox“.

Beispiel:

Ein Kunde besucht die Website eines Handwerksbetriebs und schreibt in den Chat: „Hallo, ich bin Max Müller aus der Kirchenstraße 12 in Hamburg. Können Sie bei uns im Bad die Fliesen erneuern? Meine Nummer ist 0170 1234567.“

In einer einzigen Nachricht mit etwa 140 Zeichen stecken Name, Adresse, Telefonnummer – alles personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Der Kunde hat sie freiwillig eingegeben, ohne gefragt zu werden. In der datenschutzrechtlichen Terminologie spricht man von „aufgedrängten Daten“. Je nach Anwendungsfall können noch medizinische oder ethnische Daten als besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) dazukommen und zusätzlich an der Brisanz der Daten zündeln.

Und genau hier beginnt das Problem. Denn die meisten KI-Chatbot-Anbieter leiten diese Eingabe ungefiltert an ein Sprachmodell weiter — in der Regel an OpenAI, Anthropic oder Google. Die Daten verlassen den europäischen Rechtsraum, werden auf US-Servern verarbeitet, und der Betreiber der Website hat keine Kontrolle darüber, was mit diesen Daten geschieht.

Datenfluss-Blackbox bei KI-Chatbots: Ein echtes Problem für den Datenschutz

Das ist also nicht nur ein theoretisches Risiko. Die DSGVO ist hier eindeutig: Wer ein KI-System bereitstellt, das personenbezogene Daten verarbeitet, ist als Verantwortlicher nach Art. 4 Nr. 7 DSGVO einzustufen – und muss sämtliche Pflichten erfüllen, die damit einhergehen. Dazu gehören Rechtsgrundlage, Informationspflicht, Zweckbindung, Datenminimierung und das Recht auf Löschung. Der EU AI Act wird zudem noch weitere Stufen zur Risikoprüfung draufsatteln, die ab August 2027 ebenfalls zu berücksichtigen sind.

Ein simples „Bitte geben Sie keine persönlichen Daten ein“ als Hinweis im Chat reicht aus Compliance-Sicht also nicht aus, um die Verantwortung abzuwälzen. Kunden halten sich nicht an solche Hinweise – und das Unternehmen (oder der Website-Betreiber) bleibt in der Pflicht.

Was wir bei der Marktrecherche festgestellt haben

Im Rahmen unserer GRC-Beratungstätigkeit haben wir Dutzende KI-Chatbot-Lösungen geprüft – für unsere Kunden und für eigene Projekte. Das Ergebnis lässt sich in drei Kategorien zusammenfassen:

• Kategorie 1: US-basierte Self-Service-Plattformen wie Tidio, Botsonic, Chatling, CustomGPT. Einfach einzurichten, günstiger Preis, funktional überzeugend. Aber: Datenverarbeitung auf US-Servern, keine echte PII-Kontrolle, DSGVO-Konformität bestenfalls eine Behauptung im Marketing – kein Privacy by Design.
• Kategorie 2: Enterprise-Lösungen aus dem DACH-Raum wie ADVISORI, Pexon Consulting, assono und weitere. DSGVO wird ernst genommen, oft mit Privacy by Design. Aber: Hohe Projektkosten ab fünfstelligen Summen, Setup-Zeiten von Wochen bis Monaten, für KMU schlicht unbezahlbar und unverhältnismäßig teuer.
• Kategorie 3: DACH-Nischen-Anbieter wie Userlike, moinAI, KI-DACH. Hier gibt es bereits „deutsches Hosting“, DSGVO-Awareness. Aber: Entweder zu teuer für Kleinunternehmen, zu generisch in der Konfiguration oder ohne echte Anonymisierung – die Daten landen trotzdem beim KI-Modell.

Was fehlte: Eine Lösung, die technische Datenschutz-Architektur (nicht nur Marketing-Claims) mit der Einfachheit verbindet, die ein Handwerker, ein kleiner Online-Shop oder ein Beratungsbüro braucht. Eine Lösung, bei der ein Fliesenleger in Hamburg in fünf Minuten einen KI-Fachberater auf seiner Website hat und trotzdem jede Datenschutzprüfung besteht. Ein KI-Chatbot, der sich in maximal 5 Minuten in die eigene Website integrieren lässt und idealerweise eine native Unterstützung für WordPress liefert – z. B. via WordPress-Plugin.

Die Idee: Eigenentwicklung – Privacy by Design und in unter 5 Minuten live

Wir brauchen also etwas, das es (noch) nicht gibt. Nicht zu dem Preis, nicht in der Einfachheit und vor allem nicht mit der Datenschutz-Architektur, die wir aus GRC-Perspektive für notwendig und aus KMU-Sicht für bezahlbar halten.

Die Konsequenz war die Entwicklung unserer eigenen Chatbot-Lösung: Fachagent.com – eine SaaS-Plattform für KI-Fachberater auf Websites, die DSGVO-Konformität architektonisch verankert, statt sie als Feature-Label zu verwenden.

DSGVO-konforme KI-Chatbot-Lösung von Fachagent.com

Der Kern: Ein eigener Privacy-Layer, der Datenschutz sicherstellt

Das Herzstück ist unsere Anonymisierungsschicht ainony.me, die wir kurzerhand als separaten API-Service ausgelagert haben. Sie sitzt als eigenständige Anwendung zwischen dem Chat-Widget und dem KI-Modell. Jede Nachricht durchläuft diese Schicht, bevor sie die KI erreicht:

• PII-Erkennung in Echtzeit,
• Maskierung durch anonymisierte Platzhalter,
• Fail-Closed bei Fehlern,
• vollständiger Audit-Trail.

Die KI sieht damit keine personenbezogenen Daten – die Datenminimierung passiert vor der Verarbeitung, nicht danach.

Andere Anbieter setzen auf „EU-Server“ als DSGVO-Argument. Das ist notwendig, aber nicht hinreichend. Solange personenbezogene Daten das KI-Modell erreichen, findet eine Verarbeitung statt, unabhängig vom Serverstandort. Ainony.me und Fachagent eliminieren dieses Problem an der Wurzel.

Privacy Layer im KI-Chatbot von Fachagent

Was Fachagent darüber hinaus löst

Für den Nutzer läuft die gesamte Compliance-Architektur im Hintergrund. Das Setup ist einfach:

1. URL eingeben,
2. Branchenvorlage auswählen,
3. Chat-Widget einbinden – fertig.

Die Anonymisierung, das Audit-Logging und die Transparenzhinweise nach EU AI Act passieren vollautomatisch und revisionssicher. Der Handwerker, der seinen Chatbot einrichtet, muss sich nicht mit Art. 32 DSGVO beschäftigen. Das System stellt es sicher.

Fachagent ist nicht entstanden, weil der Markt noch einen Chatbot brauchte, sondern weil wir eine Lösung anbieten wollten, die Datenschutz durch transparente und nachvollziehbare Architektur garantiert und gleichzeitig ein präzises Beratungsangebot mit Lead-Generierung für Endkunden anbietet. Und genau das sind Features von Fachagent.

Der ideale KI-Chatbot für WordPress-Websites

WordPress ist das meistgenutzte CMS der Welt – und die Grundlage für Hunderttausende KMU-Websites im DACH-Raum. Gleichzeitig ist das WordPress-Ökosystem ein besonderer Risikobereich: Plugins laden externe Scripts, übertragen Daten an Drittanbieter und schaffen Angriffsvektoren, die vielen Betreibern nicht bewusst sind.

Für Fachagent haben wir deshalb ein eigenes WordPress-Plugin entwickelt, das die Integration des KI-Chatbots in WordPress so einfach wie möglich macht. Das Plugin verbindet die WordPress-Website mit dem Fachagent-Backend über einen API-Key. Das Chat-Widget wird asynchron geladen und hat keinen Einfluss auf die Seitenperformance. Es ist kompatibel mit allen gängigen Themes, Page-Buildern und Cookie-Consent-Plugins.

Der entscheidende Punkt: Das Plugin selbst überträgt keine personenbezogenen Daten. Es lädt lediglich das Widget, das die Chat-Oberfläche bereitstellt. Die gesamte Datenverarbeitung – inklusive Anonymisierung – läuft über das Fachagent-Backend auf deutschen Servern. Der WordPress-Betreiber hat keine zusätzliche Datenschutz-Verantwortung durch das Plugin, die über die normale Chatbot-Nutzung hinausgeht.

Du kannst Fachagent ab sofort 14 Tage kostenlos testen. Eine Registrierung reicht völlig aus und erfordert keine Zahlungsmethode.

Der Beitrag Fachagent als DSGVO-konformer KI-Chatbot für KMU erschien zuerst auf ELSEN GRC.

Warum ein eigenes GRC Journal?

Die Anforderungen an Datenschutz, IT-Sicherheit und den Compliance-konformen Einsatz von KI wachsen rasant. Steigender Wettbewerbsdruck machen den Einsatz von KI-Tools in vielen Unternehmen unerlässlich, während andere Unternehmen erst durch KI komplett neue Geschäftsmodelle erschließen. Die Smarte Integration von KI-Anbindungen in eigene Produkte, Schnittstellen oder Prozesse kann die Produktivität nicht nur erheblich steigern, sondern ganze Wertschöpfungsketten umstrukturieren.  Mit dem EU AI Act entsteht erstmals ein umfassender Rechtsrahmen für den Einsatz künstlicher Intelligenz, während NIS2 und ISO 27001 den Standard für Informationssicherheit in Europa neu (oder erneut) definieren. Ziel des Journals ist es, diese Entwicklungen verständlich, aktuell und praxisnah einzuordnen – für Datenschutzbeauftragte, IT-Leitungen, Geschäftsführungen und alle, die für Compliance und Governance im Unternehmen Verantwortung tragen. Elsen GRC zeigt, dass Governance und Innovation kein Widerspruch sind – sondern die Grundlage für vertrauenswürdige Technologien.

Strategie, Fokus und Motivation von Elsen GRC

Elsen GRC berät Unternehmen im DACH- und CH-Raum beim sicheren, datenschutz- und gesetzeskonformen Einsatz von KI- und Cloud-Technologien. Der Ansatz verbindet technische Expertise, rechtliches Verständnis und praktische Umsetzungskompetenz. Ziel ist es, GRC-Strukturen nicht nur zu planen, sondern im Unternehmen operativ und praxistauglich zu verankern – von der Datenschutz-Organisation bis zur KI-Governance.

Aber wie kam es dazu? Nachdem ich unter dem Dach der Elsen Media GmbH über 14 Jahre Erfahrung in der Entwicklung von Websites, Webanwendungen und Kampagnen gesammelt habe, hunderte Cookie-Consent-Tools konfiguriert und Datenschutzerklärungen auf die Füße der DSGVO gestellt hatte, stellte ich zunehmend fest, dass sich die Arbeitsweise meiner Kunden verändert: Immer häufiger wurden eigene – teils KI-generierte – Konzepte oder Inhalte geliefert, bei denen die Verarbeitung der Daten nicht nur fraglich, sondern teilweise unter Vernachlässigung geltender Datenschutzrichtlinien erfolgte.

Inzwischen findet sich KI in nahezu allen Prozessen mittelständischer Unternehmen. Doch eine zentrale Frage wird fast immer vernachlässigt: Wie gehen wir beim Einsatz von KI eigentlich mit sensiblen Unternehmens- und personenbezogenen Daten um?

Diese Frage führte mich 2025 zu einem neuen Schwerpunkt meiner IT-Tätigkeit – in die Welt von Governance, Risk und Compliance (GRC). Die gezielte Weiterbildung zum TÜV-zertifizierten Datenschutzbeauftragten, ergänzt durch die Vorbereitung auf die Tätigkeit als ISO 27001 Lead Auditor sowie die IAPP AIGP-Zertifizierung, bilden das Fundament der heutigen Arbeit von Elsen GRC.

Themen, die Sie im GRC Journal erwarten

Das Journal wird regelmäßig mit neuen Beiträgen gefüllt – fundiert, praxisnah und stets mit Blick auf aktuelle regulatorische Entwicklungen:

• Was sind Hoch-Risiko-KI-Systeme nach dem EU AI Act?
• Datenpanne – was tun, wenn’s passiert ist?
• TOMs im Auftragsverarbeitungsvertrag: Muster und Umsetzung
• Automatisierte Einzelentscheidung und Profiling im KI-Zeitalter
• Cloud Act vs. DSGVO – Datenhoheit und US-Anbieter im europäischen Kontext
• und viele weitere Themen!

Jeder Beitrag bietet einen klaren Mehrwert: rechtliche Einordnung, technische Perspektive und konkrete Handlungsempfehlungen – um Unternehmen bei der AI Act Readiness, NIS2-Umsetzung und Datenschutz-Governance zu unterstützen.

Bleiben Sie auf dem Laufenden und erhalten Sie praxisnahe Insights rund um AI Act, DSGVO, NIS2 und ISO 27001.
Abonnieren Sie unseren Newsletter oder folgen Sie Elsen GRC auf LinkedIn, um regelmäßig über neue Beiträge, Webinare und Fachanalysen informiert zu werden.

Sie möchten Ihr Unternehmen auf AI Act Readiness, NIS2-Compliance oder ISO 27001-Zertifizierung vorbereiten? Kontaktieren Sie uns gern für ein unverbindliches Orientierungsgespräch.

Der Beitrag GRC Journal: Praxisnahe Insights über Governance, Risk, Compliance und AI Act erschien zuerst auf ELSEN GRC.