Aus meiner Praxis als Webentwickler stand ich immer wieder vor der Aufgabe, nach passenden „Standardlösungen“ für Kunden zu suchen, die aus Kundensicht nicht nur einfach und unkompliziert zu managen sind, sondern auch meinen fachlichen Ansprüchen an GRC-Faktoren wie sauberen Datenschutz im Sinne der DSGVO genügen, nachvollziehbare Compliance sicherstellen und gleichzeitig eine klare und strukturierte Governance ermöglichen, die im Sinne des Unternehmens ist.

Was auf den ersten Blick wie ein Effizienzgewinn für kleine und mittlere Unternehmen aussieht, ist aus Compliance-Perspektive oft ein erhebliches Risiko. Und da wir als Agentur auch für die Auswahl externer Tools oftmals die Hand ins Feuer halten müssen, uns angesichts der hohen Intransparenz und des mangelnden Datenschutzes in vielen Tools aber nur ungern verbrennen, haben wir kurzerhand den Entschluss gefasst, einen GRC-optimierten und DSGVO-konformen KI-Chatbot zu entwickeln, der genau diese kritischen Punkte sicherstellt.

Das Kernproblem: Keine Datenhoheit bei den meisten KI-Chatbots

Die zentrale Frage, die sich jedes Unternehmen stellen muss, bevor es einen KI-Chatbot auf seiner Website einsetzt, lautet: Was passiert mit den Daten, die meine Kunden im Chat eingeben? Die Antwort ist bei den meisten Anbietern ernüchternd und bildet damit auch das Kernproblem. Fehlende Datenhoheit und Nachvollziehbarkeit über Speicherung und fortlaufende Verarbeitung von sensiblen und/oder personenbezogenen Daten sind bei fast jedem KI-Chatbot eine echte „Blackbox“.

Beispiel:

Ein Kunde besucht die Website eines Handwerksbetriebs und schreibt in den Chat: „Hallo, ich bin Max Müller aus der Kirchenstraße 12 in Hamburg. Können Sie bei uns im Bad die Fliesen erneuern? Meine Nummer ist 0170 1234567.“

In einer einzigen Nachricht mit etwa 140 Zeichen stecken Name, Adresse, Telefonnummer – alles personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Der Kunde hat sie freiwillig eingegeben, ohne gefragt zu werden. In der datenschutzrechtlichen Terminologie spricht man von „aufgedrängten Daten“. Je nach Anwendungsfall können noch medizinische oder ethnische Daten als besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) dazukommen und zusätzlich an der Brisanz der Daten zündeln.

Und genau hier beginnt das Problem. Denn die meisten KI-Chatbot-Anbieter leiten diese Eingabe ungefiltert an ein Sprachmodell weiter — in der Regel an OpenAI, Anthropic oder Google. Die Daten verlassen den europäischen Rechtsraum, werden auf US-Servern verarbeitet, und der Betreiber der Website hat keine Kontrolle darüber, was mit diesen Daten geschieht.

Datenfluss-Blackbox bei KI-Chatbots: Ein echtes Problem für den Datenschutz

Das ist also nicht nur ein theoretisches Risiko. Die DSGVO ist hier eindeutig: Wer ein KI-System bereitstellt, das personenbezogene Daten verarbeitet, ist als Verantwortlicher nach Art. 4 Nr. 7 DSGVO einzustufen – und muss sämtliche Pflichten erfüllen, die damit einhergehen. Dazu gehören Rechtsgrundlage, Informationspflicht, Zweckbindung, Datenminimierung und das Recht auf Löschung. Der EU AI Act wird zudem noch weitere Stufen zur Risikoprüfung draufsatteln, die ab August 2027 ebenfalls zu berücksichtigen sind.

Ein simples „Bitte geben Sie keine persönlichen Daten ein“ als Hinweis im Chat reicht aus Compliance-Sicht also nicht aus, um die Verantwortung abzuwälzen. Kunden halten sich nicht an solche Hinweise – und das Unternehmen (oder der Website-Betreiber) bleibt in der Pflicht.

Was wir bei der Marktrecherche festgestellt haben

Im Rahmen unserer GRC-Beratungstätigkeit haben wir Dutzende KI-Chatbot-Lösungen geprüft – für unsere Kunden und für eigene Projekte. Das Ergebnis lässt sich in drei Kategorien zusammenfassen:

• Kategorie 1: US-basierte Self-Service-Plattformen wie Tidio, Botsonic, Chatling, CustomGPT. Einfach einzurichten, günstiger Preis, funktional überzeugend. Aber: Datenverarbeitung auf US-Servern, keine echte PII-Kontrolle, DSGVO-Konformität bestenfalls eine Behauptung im Marketing – kein Privacy by Design.
• Kategorie 2: Enterprise-Lösungen aus dem DACH-Raum wie ADVISORI, Pexon Consulting, assono und weitere. DSGVO wird ernst genommen, oft mit Privacy by Design. Aber: Hohe Projektkosten ab fünfstelligen Summen, Setup-Zeiten von Wochen bis Monaten, für KMU schlicht unbezahlbar und unverhältnismäßig teuer.
• Kategorie 3: DACH-Nischen-Anbieter wie Userlike, moinAI, KI-DACH. Hier gibt es bereits „deutsches Hosting“, DSGVO-Awareness. Aber: Entweder zu teuer für Kleinunternehmen, zu generisch in der Konfiguration oder ohne echte Anonymisierung – die Daten landen trotzdem beim KI-Modell.

Was fehlte: Eine Lösung, die technische Datenschutz-Architektur (nicht nur Marketing-Claims) mit der Einfachheit verbindet, die ein Handwerker, ein kleiner Online-Shop oder ein Beratungsbüro braucht. Eine Lösung, bei der ein Fliesenleger in Hamburg in fünf Minuten einen KI-Fachberater auf seiner Website hat und trotzdem jede Datenschutzprüfung besteht. Ein KI-Chatbot, der sich in maximal 5 Minuten in die eigene Website integrieren lässt und idealerweise eine native Unterstützung für WordPress liefert – z. B. via WordPress-Plugin.

Die Idee: Eigenentwicklung – Privacy by Design und in unter 5 Minuten live

Wir brauchen also etwas, das es (noch) nicht gibt. Nicht zu dem Preis, nicht in der Einfachheit und vor allem nicht mit der Datenschutz-Architektur, die wir aus GRC-Perspektive für notwendig und aus KMU-Sicht für bezahlbar halten.

Die Konsequenz war die Entwicklung unserer eigenen Chatbot-Lösung: Fachagent.com – eine SaaS-Plattform für KI-Fachberater auf Websites, die DSGVO-Konformität architektonisch verankert, statt sie als Feature-Label zu verwenden.

DSGVO-konforme KI-Chatbot-Lösung von Fachagent.com

Der Kern: Ein eigener Privacy-Layer, der Datenschutz sicherstellt

Das Herzstück ist unsere Anonymisierungsschicht ainony.me, die wir kurzerhand als separaten API-Service ausgelagert haben. Sie sitzt als eigenständige Anwendung zwischen dem Chat-Widget und dem KI-Modell. Jede Nachricht durchläuft diese Schicht, bevor sie die KI erreicht:

• PII-Erkennung in Echtzeit,
• Maskierung durch anonymisierte Platzhalter,
• Fail-Closed bei Fehlern,
• vollständiger Audit-Trail.

Die KI sieht damit keine personenbezogenen Daten – die Datenminimierung passiert vor der Verarbeitung, nicht danach.

Andere Anbieter setzen auf „EU-Server“ als DSGVO-Argument. Das ist notwendig, aber nicht hinreichend. Solange personenbezogene Daten das KI-Modell erreichen, findet eine Verarbeitung statt, unabhängig vom Serverstandort. Ainony.me und Fachagent eliminieren dieses Problem an der Wurzel.

Privacy Layer im KI-Chatbot von Fachagent

Was Fachagent darüber hinaus löst

Für den Nutzer läuft die gesamte Compliance-Architektur im Hintergrund. Das Setup ist einfach:

1. URL eingeben,
2. Branchenvorlage auswählen,
3. Chat-Widget einbinden – fertig.

Die Anonymisierung, das Audit-Logging und die Transparenzhinweise nach EU AI Act passieren vollautomatisch und revisionssicher. Der Handwerker, der seinen Chatbot einrichtet, muss sich nicht mit Art. 32 DSGVO beschäftigen. Das System stellt es sicher.

Fachagent ist nicht entstanden, weil der Markt noch einen Chatbot brauchte, sondern weil wir eine Lösung anbieten wollten, die Datenschutz durch transparente und nachvollziehbare Architektur garantiert und gleichzeitig ein präzises Beratungsangebot mit Lead-Generierung für Endkunden anbietet. Und genau das sind Features von Fachagent.

Der ideale KI-Chatbot für WordPress-Websites

WordPress ist das meistgenutzte CMS der Welt – und die Grundlage für Hunderttausende KMU-Websites im DACH-Raum. Gleichzeitig ist das WordPress-Ökosystem ein besonderer Risikobereich: Plugins laden externe Scripts, übertragen Daten an Drittanbieter und schaffen Angriffsvektoren, die vielen Betreibern nicht bewusst sind.

Für Fachagent haben wir deshalb ein eigenes WordPress-Plugin entwickelt, das die Integration des KI-Chatbots in WordPress so einfach wie möglich macht. Das Plugin verbindet die WordPress-Website mit dem Fachagent-Backend über einen API-Key. Das Chat-Widget wird asynchron geladen und hat keinen Einfluss auf die Seitenperformance. Es ist kompatibel mit allen gängigen Themes, Page-Buildern und Cookie-Consent-Plugins.

Der entscheidende Punkt: Das Plugin selbst überträgt keine personenbezogenen Daten. Es lädt lediglich das Widget, das die Chat-Oberfläche bereitstellt. Die gesamte Datenverarbeitung – inklusive Anonymisierung – läuft über das Fachagent-Backend auf deutschen Servern. Der WordPress-Betreiber hat keine zusätzliche Datenschutz-Verantwortung durch das Plugin, die über die normale Chatbot-Nutzung hinausgeht.

Du kannst Fachagent ab sofort 14 Tage kostenlos testen. Eine Registrierung reicht völlig aus und erfordert keine Zahlungsmethode.

Der Beitrag Fachagent als DSGVO-konformer KI-Chatbot für KMU erschien zuerst auf ELSEN GRC.