Wer im Unternehmen einen KI-Chatbot einsetzt, kommt an den Informationspflichten nach Art. 13 DSGVO beim Einsatz von KI-Chatbots nicht vorbei. Denn sobald Nutzer oder Beschäftigte personenbezogene Daten in ein KI-System eingeben, greift die DSGVO – und damit auch die Pflicht, die betroffenen Personen – Beschäftigte und/oder Nutzer – umfassend zu informieren. Die Erwägungsgründe 60 und 61 DSGVO betonen, dass diese Transparenz kein bürokratischer Selbstzweck ist, sondern Grundlage dafür, dass Betroffene ihre Rechte überhaupt wahrnehmen können.
I. Was Art. 13 DSGVO konkret verlangt
Gemäß Art. 13 Abs. 1 DSGVO muss der Verantwortliche die betroffene Person bereits zum Zeitpunkt der Datenerhebung informieren – also bevor der erste Chat beginnt. Zu den Pflichtangaben gehören unter anderem:
- Identität und Kontaktdaten des Verantwortlichen sowie ggf. des Datenschutzbeauftragten (Art. 13 Abs. 1 lit. a, b DSGVO),
- Verarbeitungszwecke und Rechtsgrundlage (Art. 13 Abs. 1 lit. c, d DSGVO),
- Kategorien von Empfängern sowie ggf. Drittlandtransfers (Art. 13 Abs. 1 lit. e, f DSGVO),
- Speicherdauer, Betroffenenrechte und das Bestehen automatisierter Entscheidungsfindung (Art. 13 Abs. 2 lit. a, b, f DSGVO).
Diese Informationen können auch „abgestuft“ erteilt werden. Darüber hinaus schreibt Art. 12 Abs. 1 Satz 1 DSGVO vor, dass alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln sind. Dabei gilt: Je höher das Risiko der Verarbeitung, desto detaillierter muss die Information ausfallen. Wer ein Hochrisiko-KI-System im Sinne des EU AI Act betreibt, unterliegt damit den strengsten Anforderungen.
II. Typische Compliance-Lücken beim Einsatz von KI-Chatbots
In der Praxis zeigen sich beim Thema Informationspflichten nach Art. 13 DSGVO beim Einsatz von KI-Chatbots beispielhaft folgende Problemfelder:
1. Ungenügende Zweckbeschreibung (Art. 13 Abs. 1 lit. c DSGVO)
GPAI-Modelle (General Purpose AI) sind universell einsetzbar. Weil die Zweckbeschreibung aber den konkreten Anwendungsfall benennen muss, genügen pauschale Formulierungen wie „Verbesserung des Nutzererlebnisses“ nicht. Nach Auffassung des Europäischen Datenschutzausschusses (EDSA, Stellungnahme 28/2024) und der deutschen Aufsichtsbehörden – etwa des BayLfD in seiner Orientierungshilfe KI vom März 2026, S. 88 – sollten Verantwortliche außerdem das konkret eingesetzte KI-System benennen. Zugleich ist die Zweckbeschreibung maßgeblich für den Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO.
2. Fehlende Angaben zum Drittlandtransfer (Art. 13 Abs. 1 lit. f DSGVO)
Wer ein GPAI-Modell eines US-amerikanischen Anbieters nutzt, übermittelt in der Regel personenbezogene Daten in ein Drittland im Sinne von Art. 44 DSGVO. Art. 13 Abs. 1 lit. f DSGVO verlangt daher ausdrücklich die Benennung dieser Übermittlung sowie des einschlägigen Schutzinstruments – häufig die Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Das Fehlen dieser Angabe stellt einen eigenständigen Verstoß dar, und zwar unabhängig davon, ob der Transfer materiell-rechtlich zulässig ist.
3. Automatisierte Entscheidungsfindung (Art. 13 Abs. 2 lit. f DSGVO)
Sobald ein Chatbot Empfehlungen generiert, die faktisch Entscheidungscharakter haben oder Entscheidungen maßgeblich vorbereiten, sind gemäß Art. 13 Abs. 2 lit. f DSGVO aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen bereitzustellen. Wegen der inhärenten Intransparenz großer Sprachmodelle (Black-Box-Problematik) ist diese Anforderung in der Praxis kaum vollständig erfüllbar – was das strukturelle Haftungsrisiko erhöht.
4. Speicherdauer und Nachtraining (Art. 13 Abs. 2 lit. a DSGVO)
Werden Chatverläufe gespeichert – etwa zur Qualitätssicherung oder zum Fine-Tuning des Modells -, muss die konkrete Speicherdauer oder das Kriterium für deren Festlegung angegeben werden. Das Nachtraining mit Nutzerdaten stellt außerdem einen eigenständigen Verarbeitungsvorgang dar, der einer gesonderten Rechtsgrundlage sowie einer eigenen Information nach Art. 13 DSGVO bedarf. Eine pauschale Einbeziehung in die allgemeine Datenschutzerklärung reicht dafür regelmäßig nicht aus.
5. Verständlichkeit (Art. 12 Abs. 1 Satz 1 DSGVO)
Datenschutzerklärungen, die technische Komplexität in juristischem Fachjargon abbilden, erfüllen das Gebot der klaren und einfachen Sprache nicht. Auch technisch nicht versierte Nutzerinnen und Nutzer müssen die Information tatsächlich verstehen können. Empfehlenswert ist deshalb ein Stufenkonzept: zuerst allgemeine, gut verständliche Angaben – danach weiterführende Details für interessierte Leser.
III. Rechtsfolgen: Was bei Verstößen droht
Verstöße gegen die Informationspflichten nach Art. 13 DSGVO beim Einsatz von KI-Chatbots sind kein Kavaliersdelikt. Gemäß Art. 83 Abs. 4 lit. a DSGVO drohen Bußgelder von bis zu 10 Mio. Euro oder – bei Unternehmen – bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs (jeweils der höhere Betrag). Besonders gravierend ist die Lage, wenn eine Einwilligung als Rechtsgrundlage dient: Die Erfüllung der Informationspflichten ist zwingende Voraussetzung für die Rechtmäßigkeit der gesamten Datenverarbeitung.
Fazit
Die Informationspflichten nach Art. 13 DSGVO beim Einsatz von KI-Chatbots sind komplex, weil GPAI-Modelle neuartige technische und rechtliche Fragen aufwerfen, die klassische Datenschutzerklärungen nicht abdecken. Wer diese Pflichten ernst nimmt, schützt nicht nur die Betroffenen – sondern auch das eigene Unternehmen vor Bußgeldern oder Beschwerden bei der Aufsichtsbehörde. Regelmäßige Überprüfung und Anpassung der Datenschutzdokumentation sind daher unerlässlich.
Dieser Beitrag wurde von RA Christof Kolyvas verfasst.
Bei Fragen zum Datenschutz für Unternehmen, Selbständige und Vereine berate ich Sie gern:
Tel: +49 234 29831858
E-Mail: anwalt@kolyvas.legal
Stand: Mai 2026