Jetzt Mitglied werden!
eRecht24.de

Datenschutzerklärung für den Einsatz von künstlicher Intelligenz (KI) auf der Website

(2 Bewertungen, 4.00 von 5)

Wie funktioniert der Einsatz von künstlicher Intelligenz auf der Webseite?

Künstliche Intelligenz auf Websites hilft dabei, Nutzererlebnisse zu verbessern, Prozesse zu automatisieren und Conversions zu steigern. Dazu analysiert sie das Verhalten von Besuchern in Echtzeit – etwa Klicks, Verweildauer oder Standort – und nutzt diese Daten, um passende Inhalte auszuspielen. Typische Einsatzbereiche sind Chatbots für Support oder Leadgenerierung, personalisierte Produktempfehlungen, intelligente Suchfunktionen oder dynamisch generierte Inhalte wie Texte und FAQs. Auch UX-Optimierungen, etwa durch Heatmaps oder automatisierte Layout-Anpassungen, sind möglich.

Der große Vorteil: KI-Tools ermöglichen eine individuelle Ansprache jedes Besuchers, reagieren sofort auf Nutzerverhalten und lernen kontinuierlich dazu. So gestalten Unternehmen ihre Websites nicht nur effizienter, sondern auch deutlich relevanter für die Zielgruppe.

Der Punkt "Einsatz von Künstlicher Intelligenz (KI) auf der Website" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

 

Ist die Nutzung von KI auf der Webseite zulässig?

Die Zulässigkeit von künstlicher Intelligenz auf Webseiten ist vor allem von den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des EU AI Acts abhängig. Besonders kritisch wird es, wenn KI-Lösungen personenbezogene Daten verarbeiten – wie etwa bei Chatbots, automatisierten Kundenanfragen, personalisierten Empfehlungen oder Tracking-Tools.

Ein zentrales Datenschutzrisiko ergibt sich bei der Datenübermittlung in Drittstaaten. Viele KI-Anbieter wie OpenAI (ChatGPT), Microsoft (Copilot) oder Google (Gemini) haben ihren Sitz in den USA. Zwar gibt es einen Angemessenheitsbeschluss der EU-Kommission für die USA, doch greift dieser nur, wenn der jeweilige Anbieter zusätzlich nach dem EU-U.S. Data Privacy Framework zertifiziert ist.

Zusätzlich gilt ab 2025 der EU AI Act, in den Medien oftmals als KI-Verordnung oder KI-VO betitelt. Dabei handelt es sich um den weltweit ersten umfassenden Rechtsrahmen für künstliche Intelligenz. Er unterscheidet KI-Systeme je nach Risiko und enthält insbesondere für Webseitenbetreiber Transparenzpflichten: Nutzer müssen klar erkennen können, wenn sie mit einer KI interagieren oder Inhalte KI-generiert sind. Bei einer Hochrisiko-KI – wie etwa Anwendungen mit automatisierten Entscheidungen mit Auswirkungen auf Nutzerrechte – gelten besonders strenge Auflagen.

Für die Praxis bedeutet das: Der KI-Einsatz ist grundsätzlich erlaubt, jedoch datenschutzrechtlich anspruchsvoll – insbesondere bei der Verarbeitung personenbezogener Daten oder bei Datenübermittlungen in Drittstaaten.

WICHTIG

Selbst wenn die Datenübertragung an einen KI-Dienst – etwa in die USA – rechtlich zulässig ist, heißt das nicht automatisch, dass das gesamte System datenschutzkonform ist. KI-Modelle verarbeiten personenbezogene Daten oft auf undurchsichtige Weise oder nutzen sie zu Trainingszwecken. Unternehmen müssen daher genau prüfen, wie der jeweilige Dienst Daten verarbeitet, und sich über zusätzliche Transparenz-, Informations- und Dokumentationspflichten im Klaren sein – insbesondere im Hinblick auf die DSGVO und den AI Act.

Das ist beim Einsatz von KI auf Webseiten datenschutzrechtlich relevant

Beim Einsatz von KI auf Webseiten ist vor allem die Datenerhebung aus datenschutzrechtlicher Sicht relevant.

Denn: Viele KI-Anwendungen funktionieren nur, indem sie auf große Mengen von Nutzerdaten zugreifen. Schon beim Aufruf einer Seite mit KI-Elementen – etwa Chatbots, personalisierten Empfehlungen oder intelligenten Suchfunktionen – verarbeiten die KIs oft sensible Daten. Dazu zählen z. B. diese:

  • IP-Adressen und Standortdaten
  • Verweildauer und Klickverhalten
  • Eingaben in Formularen oder Chatfenstern
  • Interaktionen mit dynamischen Inhalten
  • ggf. auch Browser- und Gerätedaten oder Nutzungsprofile

Je nach Anwendungsfall analysiert die KI diese Daten, um Rückschlüsse auf Interessen, Verhalten oder sogar die Identität der Nutzer zu ziehen. Besonders heikel wird es, wenn diese Daten für automatisierte Entscheidungen oder Profiling genutzt werden – etwa zur Anpassung von Inhalten oder zur Lead-Qualifizierung im Hintergrund.

Die Herausforderung: Nutzer erkennen in der Regel nicht, wann und in welchem Umfang ihre Daten durch KI verarbeitet werden. Genau hier liegt ein wesentlicher datenschutzrechtlicher Knackpunkt – denn Transparenz und Kontrolle sind zentrale Prinzipien der DSGVO.

KI-Datenschutz: Worauf müssen Unternehmen achten?

Unternehmen, die KI zur Kundenkommunikation oder für andere personalisierte Interaktionen auf ihrer Website nutzen, müssen zahlreiche datenschutzrechtliche Pflichten erfüllen – sowohl nach der DSGVO als auch künftig im Rahmen der KI-Verordnung der EU:

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit prüfen

Ob Unternehmen mit dem KI-Anbieter einen Vertrag zur Auftragsverarbeitung (AVV) abschließen müssen, hängt davon ab, ob der Anbieter als Auftragsverarbeiter handelt oder gemeinsam mit dem Unternehmen über die Datenverarbeitung entscheidet. Der aktuelle Stand bei gängigen Tools:

ChatGPT (OpenAI)

Die Rechtslage ist weiterhin unklar. Wird ChatGPT zur Beantwortung von Kundenanfragen eingesetzt und nutzt OpenAI die eingegebenen Daten auch zu Trainingszwecken, spricht vieles für eine gemeinsame Verantwortlichkeit. Eine entsprechende Vereinbarung bietet OpenAI bislang jedoch nicht an. In der kostenpflichtigen Version stellt OpenAI ein Data Processing Agreement (DPA) zur Verfügung. Dies sollten Unternehmen abschließen.

Claude (Anthropic)

Anthropic agiert in der Regel als Auftragsverarbeiter. Die KI erlaubt das Abschalten von Trainingsdaten-Nutzung und bewirbt Privacy-by-Design. Unternehmen sollten dies jedoch technisch und vertraglich absichern.

Gemini (Google)

In Google Workspace tritt Google in der Regel als Auftragsverarbeiter auf. Außerhalb davon – etwa bei individueller API-Nutzung – kann Google Verantwortlicher oder gemeinsam Verantwortlicher sein. Die Rolle hängt vom konkreten Einsatzszenario ab. Entsprechend ist ein AV-Vertrag oder eine Vereinbarung zur gemeinsamen Verantwortlichkeit erforderlich.

Microsoft Copilot / Azure OpenAI Services

Nutzen Unternehmen "Copilot" innerhalb von Microsoft 365, agiert Microsoft in der Regel als Auftragsverarbeiter – sofern keine eigene Datenweiterverwendung erfolgt. Bei Nutzung über Azure OpenAI kann es je nach Konfiguration zu einer gemeinsamen Verantwortlichkeit kommen. Ein DPA ist über Microsofts Standardvertragsbedingungen verfügbar.

Dialogflow (Google)

Unternehmen setzen Dialogflow häufig für KI-basierte Chatbots ein. In der Standardnutzung über Google Cloud agiert Google als Auftragsverarbeiter. Ein AV-Vertrag ist über Google Cloud Platform (GCP) standardmäßig vorgesehen.

Drift / Intercom (Conversational AI)

Beide Tools bieten KI-gestützte Website-Chatfunktionen und Lead-Qualifizierung. In der Regel treten sie als Auftragsverarbeiter auf, sofern die Daten nicht für eigene Zwecke verwendet werden. Unternehmen sollten DPA-Vereinbarungen schließen, idealerweise nach Prüfung der konkreten Datenverarbeitung.

Dynamic Yield / Algolia / Adobe Sensei (Personalisierung & Suche)

Diese Anbieter nutzen KI zur dynamischen Ausspielung personalisierter Inhalte oder Suchergebnisse. Je nach Konfiguration und Einsatzszenario kann eine gemeinsame Verantwortlichkeit vorliegen. Unternehmen sollten die  Vertragspartnerrolle sorgfältig prüfen.

Inhalte eines AV-Vertrags

Müssen Unternehmen mit KI-Anwendungen einen AV-Vertrag abschließen, sollten sie darauf achten, dass der Vertrag festhält,

  • welche Nutzerdaten die KIs speichern,
  • wie lange die KIs die Nutzerdaten speichern,
  • zu welchem Zweck die KIs die Daten verarbeiten und
  • welche sonstigen Rechte und Pflichten beide Parteien haben.

Datenschutzerklärung anpassen

Unternehmen müssen über den Einsatz einer KI auf ihrer Webseite in ihrer Datenschutzerklärung informieren. Das gilt insbesondere, wenn die KI personenbezogene Daten verarbeitet. Unternehmen müssen Nutzer dabei über folgende Punkte aufklären:

Datenschutzerklärung
Checkliste
  • Zweck der Verarbeitung – z. B. „Intelligente Suchfunktionen für eine bessere Nutzererfahrung“
  • Rechtsgrundlage – z. B. „Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)“ oder „Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)“
  • Art der verarbeiteten Daten – z. B. Name, IP-Adresse, E-Mail-Adresse, Chatinhalt
  • Empfänger der Daten – z. B. „KI-Dienstleister OpenAI“
  • Datenübermittlung in Drittländer – Falls der KI-Anbieter außerhalb der EU sitzt, müssen Unternehmen die rechtlichen Grundlagen der Übermittlung nennen (z. B. Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework).
  • Speicherdauer – Wie lange die Daten von der KI gespeichert oder nach welchen Kriterien sie gelöscht werden.
  • Rechte der Betroffenen – Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung etc.

Standardvertragsklauseln (SCCs) oder Angemessenheitsbeschluss

Sitzt der KI-Anbieter außerhalb der EU, ist die Datenübertragung nur zulässig, wenn

  • ein Angemessenheitsbeschluss besteht (z. B. USA über das EU-U.S. Data Privacy Framework) und
  • der Anbieter nach diesem Framework zertifiziert ist.

Andernfalls müssen Unternehmen Standardvertragsklauseln (SCCs) abschließen und zusätzliche Schutzmaßnahmen ergreifen.

Datenminimierung und Speicherbegrenzung (Art. 5 DSGVO)

Unternehmen dürfen mit einer KI nur erforderliche Daten erheben und müssen diese nach Zweckentfall löschen. Viele KI-Anwendungen erlauben unter „Data Controls“ die Begrenzung der Datennutzung – etwa, indem sie das Training mit Nutzerinhalten deaktivieren.

Einwilligung in Datenerhebung einholen

Wenn Unternehmen über KI-Tools personenbezogene Daten verarbeiten, benötigen sie dafür eine ausdrückliche Einwilligung der Nutzer. Das gilt insbesondere, wenn sie sensible Daten zu Gesundheit, Herkunft oder politischen Meinungen speichern (Art. 9 DSGVO). Sie können die User-Erlaubnis zum Beispiel über ein Cookie Consent Tool einholen.

Betroffenenrechte gewährleisten

Nutzer haben gemäß Art. 15-21 DSGVO das Recht auf:

  • Auskunft über gespeicherte Daten
  • Berichtigung unrichtiger Daten
  • Löschung (Recht auf Vergessenwerden)
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen die Verarbeitung

Unternehmen müssen diese Rechte über geeignete Mechanismen auf ihrer Website zugänglich machen.

EU AI Act

Der EU AI Act ist seit August 2024 in Kraft und wird schrittweise bis 2027 wirksam. Bereits seit Februar 2025 gelten erste Vorschriften – z. B. Verbote inakzeptabler KI-Systeme. Ab August 2025 treten u. a. Transparenzpflichten für sogenannte GPAI-Modelle (generell einsetzbare KI wie ChatGPT oder Gemini) in Kraft. Für Anbieter heißt das:

  • Sie müssen offenlegen, wenn Nutzer mit einer KI interagieren.
  • Sie müssen KI-generierte Inhalte (Texte, Bilder) ggf. als solche kennzeichnen.
  • Bei Hochrisiko-KI-Systemen gelten zusätzliche Pflichten wie Risikobewertung, Protokollierung, menschliche Aufsicht und technische Robustheit.

Der AI Act ergänzt die DSGVO – ersetzt sie aber nicht. Unternehmen müssen künftig beide Rechtsrahmen gleichzeitig beachten.

Eine DSGVO-konforme Datenschutzerklärung erstellen Sie mit dem eRecht24 Datenschutz-Generator.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen
Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6919 Bewertungen, 4.34 von 5)