DSGVO-Grundlagen für KI-Kommunikation über Messenger
Die DSGVO, die Datenschutz-Grundverordnung der Europäischen Union, ist die zentrale und verbindliche Rechtsgrundlage für den Umgang mit personenbezogenen Daten in allen EU-Mitgliedstaaten. Sie gilt auch uneingeschränkt für KI-Assistenten in WhatsApp, sobald diese Daten verarbeiten, die einer natürlichen Person zugeordnet werden können. Dazu zählen insbesondere Telefonnummern, Gesprächsinhalte, aufgezeichnete Sprachnachrichten und Nutzerprofile mit persönlichen Präferenzen. Artikel 5 der DSGVO definiert die tragenden Grundsätze: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität der Verarbeitung. Für Unternehmen, die einen KI-Assistenten in der Kundenkommunikation über WhatsApp einsetzen, bedeutet das in der Praxis: Jede Datenverarbeitung braucht eine klare Rechtsgrundlage, typischerweise die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a oder das berechtigte Interesse nach Buchstabe f. Es darf nur so viel gesammelt werden wie für den Zweck tatsächlich nötig ist, und es muss lückenlos dokumentiert sein, welche Daten wohin fließen. Verstöße können Bußgelder von bis zu 20 Millionen Euro nach sich ziehen.
Auftragsverarbeitungsvertrag: Pflicht bei allen KI-Diensten
Wenn ein Unternehmen einen KI-Assistenten nutzt, der personenbezogene Daten im Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zwingend vorgeschrieben und nicht verhandelbar. Der AVV regelt verbindlich, welche Daten der Auftragsverarbeiter erhält und zu welchem konkreten Zweck er sie verarbeiten darf, welche technischen und organisatorischen Schutzmaßnahmen er ergreifen muss und was nach Ende der Verarbeitung mit den Daten geschehen soll. Für die gängigen KI-Anbieter auf dem Markt sieht die aktuelle Situation wie folgt aus: OpenAI bietet ein Data Processing Addendum über die Kontoeinstellungen an, Stripe inkludiert entsprechende Regelungen in seinen Nutzungsbedingungen, und Meta deckt dies über seine Business Terms ab. Günther stellt sicher, dass für alle eingesetzten Sub-Auftragsverarbeiter in der Verarbeitungskette gültige AVVs vorliegen und dokumentiert sind. Ein interessanter Sonderfall ist die Bild-Generierung über FAL AI: Da ausschließlich anonyme Textprompts gesendet werden und keine Nutzerkennungen oder Telefonnummern übertragen werden, fallen keine personenbezogenen Daten an, weshalb hier kein AVV rechtlich erforderlich ist.
Verschlüsselung und technische Schutzmaßnahmen nach Artikel 32
Artikel 32 der DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum wirksamen Schutz personenbezogener Daten vor unbefugtem Zugriff und Verlust. Für KI-Assistenten, die in WhatsApp betrieben werden, bedeutet das konkret: Verschlüsselung im Ruhezustand für alle gespeicherten Daten, Verschlüsselung bei der Übertragung über TLS und HTTPS, sowie wirksame Zugangskontrollen für alle Systeme in der Verarbeitungskette. Günther implementiert AES-128-CBC-Verschlüsselung mit HMAC-SHA256 über die bewährte Fernet-Bibliothek für alle dauerhaft gespeicherten Nutzerdaten: Gesprächsverläufe, Nutzerprofile, Nachrichtencaches und Erinnerungen werden ausnahmslos verschlüsselt abgelegt. Diese Verschlüsselung ist keine Ende-zu-Ende-Verschlüsselung im Sinne von Signal, sondern eine Encryption-at-Rest, die Daten bei einem Kompromittieren des Speichersystems schützt. Zusätzlich werden Telefonnummern konsequent pseudonymisiert, bevor sie an KI-Modelle gesendet werden: Das Modell erhält ausschließlich eine interne Kennung statt der echten Nummer. Die automatische Datenlöschung nach 30 Tagen stellt sicher, dass die Speicherbegrenzung gemäß Artikel 5 Absatz 1 Buchstabe e zuverlässig eingehalten wird.
Einwilligung und Informationspflichten nach Artikel 13 und 14
Vor der allerersten Datenverarbeitung muss der Nutzer vollständig informiert und seine ausdrückliche Einwilligung eingeholt werden, bevor irgendwelche Daten gespeichert oder an Dritte weitergeleitet werden. Günther löst diese Anforderung mit einem strukturierten Consent-Flow beim ersten Kontakt: Der Nutzer erhält eine Willkommensnachricht mit einem direkten Verweis auf die Datenschutzerklärung und muss aktiv auf einen interaktiven Button tippen, um seine Zustimmung zu erteilen. Ohne diese ausdrückliche Zustimmung werden keine Nachrichten verarbeitet und keine Daten gespeichert. Die Informationspflichten nach Artikel 13 und 14 DSGVO umfassen im Einzelnen: Identität und Kontaktdaten des Verantwortlichen, konkreter Zweck der Verarbeitung, die verwendete Rechtsgrundlage, alle Empfänger der Daten inklusive Sub-Auftragsverarbeiter, die geplante Speicherdauer, die Rechte des Betroffenen auf Auskunft, Löschung und Widerspruch sowie das Beschwerderecht bei der zuständigen Aufsichtsbehörde. Da der Platz in WhatsApp-Nachrichten begrenzt ist, verlinkt Günther auf die vollständige Datenschutzerklärung unter guenther.chat/datenschutz. Der erteilte Consent wird mit Zeitstempel im Nutzerprofil dauerhaft gespeichert.
Datenresidenz: EU-Server versus US-Server in der Praxis
Die Frage, wo personenbezogene Daten physisch gespeichert und verarbeitet werden, ist für die DSGVO-Konformität von zentraler Bedeutung und beeinflusst die gesamte rechtliche Bewertung. Datenübermittlungen in Drittländer außerhalb der EU und des EWR erfordern eine zusätzliche Rechtsgrundlage, typischerweise das EU-US Data Privacy Framework oder alternativ Standardvertragsklauseln. Günther verfolgt einen durchdachten hybriden Ansatz: Die Sprachverarbeitung erfolgt über den selbstgehosteten SuperSpeech-Dienst auf einem Server in Deutschland, wobei die Sprachdaten die EU zu keinem Zeitpunkt verlassen. Die Textverarbeitung nutzt OpenAI GPT-4.1-nano auf US-Servern, rechtlich abgesichert durch das Data Privacy Framework und die Pseudonymisierung der Telefonnummern. Die Bild-Generierung über FAL AI sendet ausschließlich anonyme Textprompts ohne jeglichen Personenbezug. Für die geplante Phase 2 bereitet Günther die vollständige Migration der Textverarbeitung auf Azure OpenAI in der Region Germany West Central vor, um eine lückenlose EU-Datenresidenz zu erreichen. Für Unternehmen mit besonders strengen Compliance-Anforderungen bietet die EU-Verarbeitung durch SuperSpeech bereits jetzt die datenschutzrechtlich sicherste Position.
Checkliste: DSGVO-Konformität für KI in WhatsApp sicherstellen
Eine strukturierte Checkliste hilft Unternehmen, die DSGVO-Konformität beim Einsatz von KI-Assistenten in WhatsApp systematisch und vollständig sicherzustellen. Erstens: Rechtsgrundlage dokumentieren, ob Einwilligung per Opt-in oder berechtigtes Interesse mit nachvollziehbarer Interessenabwägung. Zweitens: AVV mit allen Auftragsverarbeitern abschließen, einschließlich KI-Anbieter, Hosting-Provider und Zahlungsdienstleister in der gesamten Kette. Drittens: Datenschutzerklärung erstellen, die alle Informationspflichten nach Artikel 13 vollständig und in verständlicher Sprache erfüllt. Viertens: Technische Schutzmaßnahmen implementieren, darunter Verschlüsselung im Ruhezustand, TLS-Übertragung, Pseudonymisierung und automatische Löschfristen. Fünftens: Betroffenenrechte gewährleisten, insbesondere Auskunft, Löschung und Datenportabilität. Sechstens: Verzeichnis der Verarbeitungstätigkeiten führen gemäß Artikel 30. Siebtens: Bei Bedarf eine Datenschutz-Folgenabschätzung nach Artikel 35 durchführen, insbesondere bei großflächiger Verarbeitung sensibler Daten. Günther erfüllt die Punkte eins bis fünf standardmäßig und stellt Dokumentation für Punkt sechs bereit.