KI-Chatbot DSGVO-konform: Der Leitfaden für Makler
KI-Chatbot DSGVO-konform auf der Makler-Website: Rechtsgrundlage, AVV, Einwilligung, EU-Hosting, Löschkonzept. Mit Checkliste, Entscheidungsbaum und Fallstudie.
Niklas Schwerin
Co-Founder & KI-Stratege
Kurz gesagt:
- Die Rechtsgrundlage für einen Makler-Chatbot ist meistens Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) — ein Cookie-Banner allein deckt das nicht ab.
- Ohne Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit deinem Chatbot-Anbieter bewegst du dich im rechtlichen Graubereich.
- Entscheidend sind Serverstandort (EU statt USA), Datenminimierung und ein automatisches Löschkonzept.
- Ab dem 02.08.2026 musst du deinen Chatbot nach dem EU AI Act sichtbar als KI kennzeichnen.
- Die Verantwortung bleibt immer bei dir als Makler — nicht beim Software-Anbieter.
Ein KI-Chatbot auf deiner Website beantwortet Fragen rund um die Uhr, qualifiziert Interessenten vor und bringt dir Eigentümeranfragen, während du schläfst. So weit die gute Seite. Die andere: Jede einzelne Konversation erzeugt personenbezogene Daten — Name, Telefonnummer, die Adresse des Objekts, manchmal ein Hinweis auf eine Scheidung oder einen Erbfall. Und genau da wird das Thema Chatbot und DSGVO ernst. Der Digitalverband Bitkom hat 2025 erhoben, dass 48 Prozent der Unternehmen die hohen Anforderungen an den Datenschutz als Hemmnis beim KI-Einsatz beklagen. Bei Maklern kommt erschwerend hinzu: Ihr verarbeitet oft sensible Vermögens- und Lebensdaten.
Dieser Leitfaden zeigt dir, wie du einen KI-Chatbot rechtssicher betreibst — Rechtsgrundlage, AVV, Einwilligung, Hosting, Löschung. Eine Vorbemerkung, die ich ernst meine: Das hier ist keine Rechtsberatung. Es ist eine strukturierte Orientierung, die dir hilft, mit deinem Datenschutzbeauftragten oder Anwalt die richtigen Fragen zu klären.
Warum ein Makler-Chatbot immer ein Datenschutz-Thema ist
Sobald ein Website-Besucher deinem Chatbot seinen Namen oder seine Kontaktdaten gibt, verarbeitest du personenbezogene Daten im Sinne der DSGVO. Das ist keine Grauzone, das ist der Kern der Verordnung. Und bei einem Makler-Bot bleibt es selten bei Name und E-Mail.
Denk an eine typische Eigentümeranfrage: "Ich möchte mein Haus in der Gartenstraße verkaufen, mein Mann ist letztes Jahr verstorben und ich ziehe zu meiner Tochter." In zwei Sätzen hast du eine Adresse, eine Vermögensangabe, einen Hinweis auf einen Todesfall und eine familiäre Situation. Das sind Daten, mit denen du sorgsam umgehen musst — technisch und rechtlich.
Der Reflex vieler Makler ist, das Thema wegzuschieben: "Das macht doch der Software-Anbieter." Falsch. Datenschutzrechtlich bist du der Verantwortliche, der Anbieter ist nur dein Auftragsverarbeiter. Diese eine Unterscheidung entscheidet über die Haftung, und viele lernen sie erst kennen, wenn eine Auskunftsanfrage oder eine Beschwerde bei der Aufsichtsbehörde eintrifft. Dass die Sorge berechtigt ist, zeigt eine zweite Bitkom-Zahl aus dem Oktober 2025: In 8 Prozent der Unternehmen ist unkontrollierte "Schatten-KI" bereits weit verbreitet, 2024 waren es noch 4 Prozent. Wildwuchs entsteht schnell. Ein sauber aufgesetzter Chatbot ist die kontrollierte Alternative dazu.
Wo genau diese Verantwortung rechtlich verankert ist und warum ein Cookie-Banner sie nicht abdeckt, klären wir jetzt.
Die Rechtsgrundlage: Warum ein Cookie-Banner nicht reicht
Hier liegt der häufigste Denkfehler. Viele glauben, mit dem Klick auf "Alle Cookies akzeptieren" sei die Chatbot-Datenverarbeitung abgedeckt. Ist sie nicht. Das Cookie-Banner regelt das Setzen von Cookies, nicht die Verarbeitung der Inhalte, die jemand in den Chat tippt.
Jede Verarbeitung personenbezogener Daten braucht eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Drei kommen für einen Makler-Chatbot in Frage:
- Art. 6 Abs. 1 lit. b — vorvertragliche Maßnahme. Der Wortlaut: Die Verarbeitung ist zulässig, wenn sie "für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich" ist, "die auf Anfrage der betroffenen Person erfolgen". Das ist der Regelfall: Ein Eigentümer fragt aktiv nach einer Bewertung oder einem Verkaufsgespräch. Er will den Kontakt. Dann brauchst du für die reine Bearbeitung keine separate Einwilligung.
- Art. 6 Abs. 1 lit. a — Einwilligung. Nötig, sobald du über die Anfrage hinausgehst: Newsletter, Werbung, Speichern der Konversation zu Trainingszwecken. Der Nutzer muss "seine Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke" geben. Aktiv, informiert, widerrufbar.
- Art. 6 Abs. 1 lit. f — berechtigtes Interesse. Zulässig, "sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (...) überwiegen". Trägt zum Beispiel eine anonyme Reichweitenmessung, ist aber wackliger und verlangt eine dokumentierte Interessenabwägung.
Die praktische Konsequenz: Für die Beantwortung einer Eigentümeranfrage stützt du dich auf lit. b. Willst du die Kontaktdaten danach für Marketing nutzen, brauchst du zusätzlich lit. a. Wer beides in einen Topf wirft, macht es falsch.
Kurzfazit: Ein Cookie-Banner ersetzt keine Rechtsgrundlage. Der Normalfall beim Makler-Chatbot ist die vorvertragliche Maßnahme (lit. b), Werbung braucht zusätzlich eine echte Einwilligung (lit. a).
Der AVV mit deinem Chatbot-Anbieter (Art. 28 DSGVO)
Sobald ein externer Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet — und das tut jeder Chatbot-Anbieter — brauchst du einen Auftragsverarbeitungsvertrag. Kein optionales Extra, sondern Pflicht nach Art. 28 DSGVO. Fehlt er, haftest du für einen Zustand, den du gar nicht dokumentiert hast.
Art. 28 Abs. 1 verlangt, dass du nur mit Auftragsverarbeitern arbeitest, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen" umgesetzt werden. Abs. 3 listet dann acht Punkte auf, die im Vertrag stehen müssen. Die für dich als Makler wichtigsten:
Checkliste: Was dein AVV enthalten muss
- Weisungsbindung — der Anbieter verarbeitet Daten "nur auf dokumentierte Weisung des Verantwortlichen" (lit. a).
- Vertraulichkeit — die eingesetzten Personen sind zur Vertraulichkeit verpflichtet (lit. b).
- Sicherheit — technische und organisatorische Maßnahmen nach Art. 32 (lit. c).
- Subprozessoren — geregelt, wer im Hintergrund mitverarbeitet. Das ist beim KI-Chatbot der kritische Punkt: Läuft im Backend ein LLM eines US-Anbieters, ist das ein Unterauftragsverarbeiter (lit. d).
- Unterstützung bei Betroffenenrechten — der Anbieter hilft dir, Auskunfts- und Löschanfragen zu erfüllen (lit. e).
- Löschung oder Rückgabe nach Vertragsende (lit. g).
- Nachweise und Audits — der Anbieter stellt "alle erforderlichen Informationen zum Nachweis der Einhaltung" bereit (lit. h).
Der Punkt Subprozessoren führt direkt zur Serverstandort-Frage. Viele generische Website-Baukästen übertragen Daten in die USA — Jimdo etwa formuliert in seinen eigenen Datenschutz-Mustertexten offen: "We transfer your personal data to processors in the USA." Das ist ein Drittland-Transfer und braucht eine zusätzliche rechtliche Absicherung. Mit Standardvertragsklauseln allein ist es dabei seit dem Schrems-II-Urteil des EuGH nicht getan: Du müsstest zusätzlich in einer Einzelfallprüfung (Transfer Impact Assessment) bewerten, ob im Zielland ein gleichwertiges Schutzniveau besteht. Das ist Arbeit, die kaum ein Maklerbüro leisten will. Ein Chatbot mit EU-Hosting und einer sauberen Subprozessoren-Kette erspart dir diesen ganzen Komplex. Frag deinen Anbieter konkret: Wo stehen die Server, welches LLM läuft im Hintergrund, gibt es einen AVV mit EU-Standardvertragsklauseln?
Doch selbst der beste AVV nützt wenig, wenn du zu viele Daten sammelst und sie nie löschst. Genau darum geht es im nächsten Abschnitt.
Datenminimierung, Speicherbegrenzung und ein Löschkonzept
Zwei Grundsätze aus Art. 5 DSGVO sind beim Chatbot besonders relevant, und beide lassen sich technisch lösen, nicht nur juristisch.
Der erste ist die Datenminimierung (Art. 5 Abs. 1 lit. c): Daten müssen "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein". Für deinen Bot heißt das: Frag nur ab, was du wirklich brauchst. Ein Chatbot, der über strukturierte Buttons und klar umrissene Felder führt ("Kaufen / Verkaufen / Bewerten lassen"), sammelt weniger überflüssige Daten als ein offenes Freitextfeld, in das Menschen ihre halbe Lebensgeschichte schreiben. Weniger Daten, weniger Risiko. So einfach ist das manchmal, und es senkt deine Angriffsfläche spürbar.
Der zweite ist die Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Ohne automatisches Löschkonzept sammeln sich Konversationen jahrelang an — ein Datenberg, der im Ernstfall zur Haftungsfalle wird. Definier klare Fristen: Wird aus der Anfrage kein Mandat, werden die Chatdaten nach X Wochen gelöscht.
Ein Sonderfall, der in der Praxis öfter auftritt, als man denkt: Ein Nutzer tippt unaufgefordert besonders sensible Daten ein — Gesundheit, finanzielle Notlage, im Extremfall Angaben nach Art. 9 DSGVO. Dein Bot sollte darauf nicht mit einer Datensammlung reagieren, sondern das Gespräch an einen Menschen übergeben. Die Datenschutzkonferenz, das gemeinsame Gremium der deutschen Aufsichtsbehörden, hat in ihrer Orientierungshilfe "Künstliche Intelligenz und Datenschutz" (Stand V1.0, 06.05.2024) genau darauf hingewiesen, dass bei Sprachmodellen sowohl die Eingabe als auch die Ausgabe Personenbezug haben können und dass die Verantwortung für Fehler beim einsetzenden Unternehmen bleibt.
Kurzfazit: Datenminimierung und Löschfristen sind kein Papierkram, sondern Bauteile deines Bots. Strukturierte Felder statt offener Freitext, automatische Löschung statt ewiger Speicherung — das senkt dein Risiko messbar.
Transparenz: Informationspflicht und KI-Kennzeichnung
Datenschutz lebt von Transparenz. Nach Art. 13 DSGVO musst du die betroffene Person zum Zeitpunkt der Datenerhebung informieren: wer verantwortlich ist, zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeitet wird, wie lange gespeichert wird und welche Rechte sie hat. Praktisch heißt das zweierlei. Erstens: ein eigener Chatbot-Absatz in deiner Datenschutzerklärung. Zweitens: ein kurzer, klickbarer Hinweis auf diese Erklärung, bevor der Chat startet.
Dazu kommt ab dem 02.08.2026 eine zweite Pflicht aus einer anderen Ecke. Der EU AI Act verlangt in Art. 50, dass KI-Systeme, die direkt mit Menschen interagieren, so gestaltet sind, dass die Person erkennt, dass sie mit einer KI spricht — nicht mit einem Menschen. Für dich bedeutet das eine sichtbare Kennzeichnung deines Bots. Kein "Hallo, ich bin Lisa aus dem Team", wenn dahinter kein Mensch sitzt. Was die Kennzeichnungspflicht im Detail bedeutet, haben wir in einem eigenen Beitrag zum EU AI Act und Chatbots auseinandergenommen.
Datenschutz und Transparenz sind übrigens kein reiner Kostenfaktor. Sie sind ein Vertrauenssignal. Wer offen sagt, was mit den Daten passiert, senkt die Hemmschwelle. Und ein Interessent, der Vertrauen fasst, gibt eher seine echte Telefonnummer heraus als ein anonymer Schönwetter-Gucker, der nur mal schaut.
Praxis: Wie ein Sachverständigenbüro seinen Bot rechtssicher aufsetzte
Theorie ist das eine. Wie sich das im Alltag auszahlt, zeigt Beier & Partner Immobilienbewertung, ein IHK öffentlich bestellter und vereidigter Sachverständiger — also jemand, der von Berufs wegen mit hochsensiblen Daten arbeitet: Gutachtenwerte, Eigentumsverhältnisse, Restnutzungsdauer-Analysen.
Die Ausgangslage vor der Zusammenarbeit war ernüchternd. Über einfache Kontaktformulare kam eine Konversionsrate von rund 5 Prozent zustande, und jede Erstberatung band Teamzeit. Der Wendepunkt war nicht einfach "ein Chatbot", sondern ein Bot, der von Anfang an auf einem sauberen Datenschutz-Fundament stand: klar umrissene Abfragefelder statt offener Datensammlung, EU-Hosting, ein Löschkonzept für Anfragen, die zu keinem Auftrag führen, und ein Funnel, der sensible Fälle an einen Menschen übergibt.
Das Ergebnis nach zwei Jahren Partnerschaft: Die Konversionsrate stieg von 5 auf über 30 Prozent, eine Versechsfachung. Über 20 qualifizierte Leads in den ersten zwei Monaten, dazu 5 bis 10 neue Gutachten-Leads pro Monat allein über den Chatbot. Geschäftsführer Patrick Beier bringt es so auf den Punkt:
"Mittlerweile ersetzt die KI-Assistenz fast eine gesamte Vollzeitressource im Vertrieb."
— Patrick Beier, Geschäftsführer Beier & Partner Immobilienbewertung
Das ist der Kern: Datenschutzkonformität und Wachstum sind kein Widerspruch. Ein Bot, dem man vertraut, konvertiert besser. Ein zweiter Kunde, Streil Immobilien, kam mit demselben Fundament auf 19 qualifizierte Leads in vier Wochen bei einer Konversionsrate von 15,8 Prozent, darunter zwei Eigentümeranfragen. Wie du dieses Fundament Schritt für Schritt aufsetzt, fasse ich gleich in acht Punkten zusammen.
Rechne es einmal durch: 5 bis 10 zusätzliche qualifizierte Gutachten-Leads im Monat, davon führt selbst bei vorsichtig gerechneten 20 Prozent Abschlussquote einer zum Auftrag. Ein einziges Verkaufsmandat mit einer Provision von 15.000 Euro deckt den einmaligen Aufwand für AVV, EU-Hosting und Datenschutzerklärung um ein Vielfaches. Der Datenschutz-Teil ist hier kein Kostenblock, sondern die Voraussetzung dafür, dass das Ganze überhaupt laufen darf. Danach arbeitet das Fundament für dich.
Kurzfazit: Der teuerste Chatbot ist der, den du wegen Datenschutzsorgen gar nicht erst einsetzt. Ein sauber aufgesetzter Bot verdient sich seine Compliance-Arbeit über die Konversion um ein Vielfaches zurück. MEHR ZEIT. BESSERE ANFRAGEN.
DSGVO-Konformität in 8 Schritten
Wie mache ich meinen Chatbot DSGVO-konform? Kläre die Rechtsgrundlage (meist Art. 6 lit. b), schließe einen AVV nach Art. 28 mit dem Anbieter, wähle EU-Hosting, minimiere die abgefragten Daten, setze Löschfristen, ergänze die Datenschutzerklärung um einen Chatbot-Absatz, kennzeichne den Bot ab August 2026 als KI und richte einen Prozess für Betroffenenrechte ein.
Diese acht Schritte im Überblick:
- Rechtsgrundlage bestimmen — für die Anfragebearbeitung lit. b, für Werbung zusätzlich lit. a.
- AVV abschließen — mit geregelten Subprozessoren.
- Serverstandort prüfen — EU statt USA, sonst Drittland-Absicherung nötig.
- Daten minimieren — strukturierte Felder statt offenem Freitext.
- Löschkonzept — Fristen definieren und automatisieren.
- Datenschutzerklärung — eigener Chatbot-Passus nach Art. 13.
- KI-Kennzeichnung — sichtbar, spätestens ab 02.08.2026.
- Betroffenenrechte — Prozess für Auskunft (Art. 15), Löschung (Art. 17) und Widerspruch (Art. 21).
Entscheidungsbaum: Welche Rechtsgrundlage brauche ich?
Wofür nutzt du die Daten aus dem Chat?
│
├─ Nur die konkrete Anfrage bearbeiten (Bewertung, Termin, Rückruf)?
│ └─> Art. 6 Abs. 1 lit. b — vorvertragliche Maßnahme. Keine separate Einwilligung nötig.
│
├─ Newsletter, Werbung, Konversation weiterverwenden?
│ └─> Art. 6 Abs. 1 lit. a — aktive Einwilligung erforderlich (widerrufbar).
│
└─ Anonyme Reichweitenmessung / Funktionssicherheit?
└─> Art. 6 Abs. 1 lit. f — berechtigtes Interesse, mit dokumentierter Abwägung.
Kurzfazit: Die Reihenfolge ist entscheidend. Erst Rechtsgrundlage klären, dann Technik aufsetzen — nicht umgekehrt.
Selbst basteln oder Makler-Lösung? Ein ehrlicher Vergleich
Du kannst dir ein generisches Chat-Widget auf die Seite setzen oder ein ChatGPT-Plugin einbinden. Technisch ist das in einer Stunde erledigt. Datenschutzrechtlich fängt die Arbeit dann aber erst an. Der Vergleich zeigt, wo die Unterschiede liegen:
| Aspekt | Generisches Widget / ChatGPT-Plugin | Branchen-Chatbot für Makler |
|---|---|---|
| Serverstandort | oft USA (Drittland-Transfer) | EU-Hosting möglich |
| AVV nach Art. 28 | musst du selbst beschaffen und prüfen | vom Anbieter gestellt |
| Subprozessoren | intransparent | dokumentiert |
| Datenminimierung | offenes Freitextfeld | strukturierte Makler-Felder |
| Löschkonzept | selbst bauen | konfigurierbar |
| Makler-Kontext | keiner (generische Antworten) | Eigentümeranfrage, Bewertung, Objekt |
Warum generische KI-Tools bei sensiblen Daten schnell an ihre Grenzen stoßen, haben wir am Beispiel von ChatGPT im Makleralltag in diesem Artikel durchgespielt. Kurz: Der Zeitgewinn beim Aufsetzen holt dich beim Datenschutz wieder ein.
Wenn du erst noch beim Grundsätzlichen stehst — wie ein Chatbot überhaupt technisch auf die Seite kommt — findest du das Schritt für Schritt in unserer Anleitung, wie du einen KI-Chatbot auf der Website einrichtest. Den kompletten Überblick über Einsatz und Nutzen liefert der Guide zu KI-Chatbots für Makler.
Häufige Fragen (People Also Ask)
Ist ein Chatbot DSGVO-konform?
Ein Chatbot ist nicht automatisch konform oder nicht konform — es kommt darauf an, wie du ihn aufsetzt. Mit klarer Rechtsgrundlage, AVV, EU-Hosting, Datenminimierung und Löschkonzept lässt sich ein KI-Chatbot rechtssicher betreiben. Ohne diese Bausteine wird er zum Risiko.
Reicht ein Cookie-Banner für die Chatbot-Einwilligung aus?
Nein. Das Cookie-Banner regelt das Setzen von Cookies, nicht die Verarbeitung der Inhalte, die jemand in den Chat eingibt. Dafür brauchst du eine eigene Rechtsgrundlage nach Art. 6 DSGVO und einen Hinweis nach Art. 13 in deiner Datenschutzerklärung.
Brauche ich einen AVV für meinen Chatbot?
Ja. Sobald ein externer Anbieter in deinem Auftrag personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Achte besonders auf die Regelung der Subprozessoren, also darauf, welches LLM im Hintergrund läuft.
Müssen die Chatbot-Daten in der EU gespeichert werden?
Nicht zwingend, aber EU-Hosting ist der einfachste Weg. Wird in die USA oder ein anderes Drittland übertragen, brauchst du eine zusätzliche rechtliche Absicherung wie Standardvertragsklauseln. Ein Chatbot mit EU-Servern erspart dir diesen Aufwand.
Muss ich kennzeichnen, dass Besucher mit einer KI sprechen?
Ja, spätestens ab dem 02.08.2026. Der EU AI Act verpflichtet in Art. 50 dazu, dass Menschen erkennen, wenn sie mit einem KI-System interagieren. Eine sichtbare Kennzeichnung deines Chatbots ist dann Pflicht.
Wer haftet bei einem Datenschutzverstoß — ich oder der Anbieter?
Datenschutzrechtlich bist du als Makler der Verantwortliche. Der Anbieter ist dein Auftragsverarbeiter. Die Letztverantwortung für die rechtmäßige Verarbeitung liegt bei dir — auch deshalb ist ein sauberer AVV so wichtig.
Nächster Schritt
Datenschutz sollte dich nicht davon abhalten, einen Chatbot einzusetzen — er sollte dich davon abhalten, den falschen einzusetzen. Wenn du wissen willst, wie ein DSGVO-fester KI-Chatbot für deine Website aussieht, mit EU-Hosting, fertigem AVV und einem Funnel, der Eigentümeranfragen sauber qualifiziert: Buch dir ein kostenloses Erstgespräch über sunsideai.de. Wir arbeiten dabei als Partner, nicht als Auftragnehmer, der dir ein Widget verkauft und dich mit der Compliance allein lässt. Oder ruf Sophia, unseren KI-Sprachassistenten, direkt an und erlebe selbst, wie sich eine saubere Vorqualifizierung anfühlt. Kein verpasster Eigentümer, ohne rechtliches Bauchgrimmen.
Bereit für Ihre eigene KI-Lösung?
Lassen Sie uns gemeinsam besprechen, wie wir Ihr Immobiliengeschäft mit KI auf das nächste Level bringen können.
Kostenlose Beratung