Flyweight AI Chatbot für Shopify - DSGVO & AI-Act konform einsetzen

Vollständige Anleitung zur DSGVO- und AI-Act-konformen Nutzung des Flyweight AI Chatbots für Shopify. Mit Datenschutzerklärungs-Vorlage und Checkliste.
shopifyai-chatbotdsgvoai-actcompliancedatenschutzrechtlich

🇩🇪 Deutsch | 🇺🇸 Switch to English version

Auftragsverarbeitungsvertrag, Kennzeichnungspflicht, Datenschutzerklärung, DSGVO, AI-Act - WHAT? 🤯🤯

Die genannte Checkliste und die Vorlage für die Datenschutzerklärung wurde unter der Annahme aufgestellt: wir sind Betreiber eines Shopify Stores und möchten den KI-Chatbot von Flyweight DSGVO-konform einsetzen. Der gesamte Artikel ist ohne Anerkennung einer Rechtspflicht und vor allem Rechtsberatung.

Begrifflichkeiten

1. Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist die wichtigste Datenschutzverordnung in Europa und schützt die persönlichen Daten von Nutzern. Sie legt fest, wie Unternehmen mit Daten umgehen müssen – zum Beispiel, dass sie nur so viele Daten sammeln dürfen, wie wirklich notwendig ist, und die Daten sicher speichern. Die DSGVO garantiert außerdem Rechte für Nutzer, wie das Recht auf Auskunft, Löschung und Korrektur ihrer Daten. Für Chatbots bedeutet das: Sie dürfen nicht ungefragt alle möglichen Infos über die Nutzer sammeln und müssen transparent sein, was mit den Daten passiert.

2. Artificial Intelligence Act (AI-Act)

Der AI-Act ist ein neues, geplantes Gesetz in der EU, das Regeln für Künstliche Intelligenz festlegt. Ziel ist es, den Einsatz von KI wie Chatbots sicher und fair zu machen. Der AI-Act kategorisiert KI-Systeme nach ihrem Risikopotenzial: von niedrigem bis hohem Risiko. Je nach Risikostufe gibt es bestimmte Vorgaben, z. B. dass Nutzer klar erkennen müssen, wenn sie mit einer KI sprechen, oder dass die KI keine diskriminierenden Entscheidungen treffen darf. Chatbots, die sensible Aufgaben übernehmen, fallen unter die höheren Risikostufen und müssen entsprechend strengere Vorgaben einhalten.

3. Auftragsverarbeitungsvertrag (AV-Vertrag)

Ein Auftragsverarbeitungsvertrag ist ein Vertrag zwischen einem Unternehmen (das den Chatbot nutzen möchte) und einem Anbieter (der den Chatbot stellt oder betreibt). Dieser Vertrag stellt sicher, dass der Anbieter die Nutzerdaten nach den Anweisungen des Unternehmens verarbeitet und alle Datenschutzvorgaben einhält. So wird sichergestellt, dass Daten sicher und verantwortungsbewusst genutzt werden. Wenn also ein Unternehmen einen externen Chatbot-Dienst nutzt, braucht es diesen Vertrag als Nachweis, dass auch der Anbieter die DSGVO respektiert.

4. Datenschutzerklärung

Eine Datenschutzerklärung ist eine Info-Seite für die Nutzer des Chatbots. Darin steht, welche Daten gesammelt werden, warum sie benötigt werden und wie lange sie gespeichert bleiben. Die Datenschutzerklärung erklärt außerdem die Rechte der Nutzer – wie das Recht, ihre Daten löschen zu lassen oder herauszufinden, welche Daten über sie gespeichert sind. Wichtig ist, dass diese Infos klar und verständlich formuliert sind, damit Nutzer direkt wissen, worauf sie sich einlassen, wenn sie den Chatbot nutzen.

5. Kennzeichnungspflicht

Laut DSGVO und besonders dem geplanten AI-Act müssen Nutzer jederzeit wissen, dass sie mit einer Künstlichen Intelligenz – also einem Chatbot – und nicht mit einer echten Person sprechen. Das nennt sich Kennzeichnungspflicht. Unternehmen sollten also deutlich machen, dass der Chatbot kein Mensch ist. Diese Kennzeichnung schafft Transparenz und verhindert Missverständnisse.

Die Rollen

Die Unterscheidung der Rollen ist sehr wichtig, da sich daraus die Pflichten ableiten.

Auftragsverarbeiter

Der Chatbot-Anbieter fungiert in der Regel als Auftragsverarbeiter. In dieser Rolle verarbeitet der Anbieter die erhobenen Daten im Auftrag und nach den Vorgaben des Shopbetreibers. Der Anbieter übernimmt die technische Umsetzung und den Betrieb des Chatbots, ohne selbst die Entscheidungshoheit über die Zwecke der Datenverarbeitung zu haben. Seine Aufgabe ist es, die vom Verantwortlichen vorgegebenen Datenschutzstandards umzusetzen und technische sowie organisatorische Maßnahmen zum Schutz der personenbezogenen Daten einzurichten. Der Chatbot-Anbieter ist somit vertraglich verpflichtet, die Daten nur im Rahmen der vereinbarten Zwecke und Weisungen zu verarbeiten und keine eigenen Verarbeitungszwecke zu verfolgen.

Verantwortlicher

Es mag im ersten Moment verwirrend klingen, aber der Shopbetreiber übernimmt die Rolle des Verantwortlichen. Als Verantwortlicher entscheidet er über die Zwecke und Mittel der Datenverarbeitung, also darüber, welche Daten durch den Chatbot erfasst werden und zu welchen Zwecken (z. B. für Kundensupport oder Marketingmaßnahmen) diese genutzt werden. Er ist dafür verantwortlich, sicherzustellen, dass die Erhebung und Verarbeitung dieser Daten den datenschutzrechtlichen Vorgaben entspricht und dass die Rechte der betroffenen Personen gewahrt bleiben. Der Shopbetreiber ist also die Instanz, die die Nutzung des Chatbots bestimmt und steuert und entsprechend auch für die Einhaltung der Datenschutzrichtlinien in diesem Kontext verantwortlich ist. Klingt nach viel, verlangt aber eigentlich nur eine klare Definition in der Datenschutzerklärung.

Praxisbeispiel

Der Shopify Store Knoblauchpresse24 möchte einen AI Chatbot einsetzen um Leads zu gewinnen: wenn ein Kunde nach detaillierten Spezifikationen einer Knoblauchpresse fragt dann soll die AI eine Beratung durch einen Knoblauchpressen-Experten anbieten und dafür die Kontaktdaten (Name und Email) des Kunden erfassen und den Experten übermitteln.

Der Shopify Store hat die Wahl - sammeln wir den Lead per AI oder zeigen wir Kunden nur einen Hinweis: “melde dich bei unseren Experten unter Email x”. Der Shopify Store ist Verantwortlicher (bestimmt was wie passieren soll und muss Kunden damit in seiner Datenschutzerklärung darüber informieren). Der AI Chatbot Betreiber liefert die Umsetzung und sorgt dafür dass die gesammelten Daten datenschutzkonform verarbeitet werden - eben der Auftragsverarbeiter.

Wie setzt man einen AI Chatbot datenschutzkonform ein? Eine Checkliste

Aus den Rollen ergeben sich die Verantwortlichkeiten um einen Chatbot konform mit DSGVO und AI-Act zu betreiben.

  1. Sammle nur notwendige Daten - Verantwortung liegt beim Chatbot-Betreiber

    Der Chatbot sollte nur die Infos erfassen, die er wirklich braucht, und nichts darüber hinaus. Diese Verantwortung liegt beim Anbieter des Chatbots. Bei Flyweight versuchen wir an jeder Stelle nur das nötigste an personenbezogenen Daten auszulesen und zu verarbeiten. Fragt der Kunde z.B. nach dem Status einer Bestellung, lesen wir gezielt mit PLZ und Bestellnummer die benötigten Tracking-Informationen und verarbeiten darüber hinaus keine weiteren persönlichen Adress- oder Bestelldaten. Außerdem werden personenbezogen Daten grundsätzlich von der AI getrennt behandelt.

  2. Sei transparent - Verantwortung liegt beim Shop-Betreiber!

    Nutzer sollten genau wissen, welche Daten der Chatbot sammelt und was damit passiert. Die Datenschutzerklärung hilft dabei. Dieser Punkt ist für Shopify Store Betreiber besonders wichtig - als Verantwortlicher muss die Datenschutzerklärung entsprechend angepasst werden um die Kunden zu informieren. Aber keine Sorge, eine Vorlage wie die Datenschutzerklärung für den konformen Einsatz ergänzt werden kann, findet Ihr weiter unten in diesem Artikel.

  3. Schließe einen AV-Vertrag ab: Wenn der Chatbot von einem externen Anbieter kommt, sollte ein Vertrag regeln, dass dieser die Daten im Sinne der DSGVO behandelt. Stellt sicher das der Anbieter es Chatbots einen Auftragsverarbeitungsvertrag vorlegen kann (oft Teil des Vertrages).

  4. Prüfe regelmäßig die Sicherheit und den Datenschutz: Durch den AI-Act ist auch ein regelmäßiges Checken der KI-Risiken wichtig – so wird sichergestellt, dass der Chatbot immer konform bleibt. Wird in der Regel vom Chatbot Anbieter übernommen. Wir aktualisieren diesen Beitrag regelmäßig und Informieren bei relevanten Änderungen.

  5. Kennzeichnungspflicht: Auch wenn es noch keine ausdrückliche gesetzliche Pflicht zur Kennzeichnung gibt, wird für eine transparente Kommunikation immer ein Hinweis empfohlen, dass es sich um eine AI handelt. Wir liefern unseren AI Chatbot standardmäßig mit dem Footer aus: “AI powered by Flyweight” und empfehlen diesen nicht zu entfernen. Wer auf Nummer sicher gehen will kann auch auf die AI in der Start-Message und/oder im Namen hinweisen.

⭐️ Vorlage Datenschutzerklärung

Wie wir gelernt haben ergibt sich für Shopify-Stores in der Rolle des Verantwortlichen hauptsächlich die Pflicht klar zu kommunizieren: welche Daten wie verarbeitet werden.

Wo geht das am besten? Na klar, in der Datenschutzerklärung.

💡 Würden wir als Shop Betreiber unseren Flyweight AI Chatbot einsetzen, würden wir die Datenschutzerklärung ganz einfach um folgenden Abschnitt ergänzen (ohne Anerkennung einer Rechtspflicht und vor allem Rechtsberatung):

👇👇👇👇👇👇👇👇👇👇

Nutzung des Chatbots nebst Formulare

Wir bieten Ihnen auf unserer Website zur Beantwortung Ihrer Fragen einen KI-basierten Chatbot der Flyweight GmbH, Jungbuschstraße 28, 68159 Mannheim, Deutschland (https://www.flyweight.io/legal-notice / https://www.flyweight.io/privacy-statement). Bei der Nutzung des Chatbots werden Ihre Anfragen mittels der aus den unserer eigenen Website ausgelesenen Webseiteninformationen erstellten Datenbank und einem Large Language Model kombiniert, um Ihnen Antworten auf Ihre Anfrage zu geben. Der Chatbot ist angewiesen, nicht nach perosnenbezogenen Daten zu fragen. Gut zu wissen: Erscheinen aufgrund Ihrer Anfragen separate Formulare, in welchen sodann gegebenenfalls personenbezogen Daten von Ihnen aufgrund Ihrer Anfrage anzugeben sind, so werden die dort Ihrerseits angegebenen Informationen getrennt verarbeitet und entsprechend nicht an KI gesendet.

Verarbeitete Datenkategorien: Die Datenkategorien ergeben sich aus Ihren Anfragen, wenn Sie innerhalb Ihrer Frage personenbezogene Daten angeben.

  • Wenn Sie zum Beispiel fragen: „Wo ist meine Bestellung?“, erscheint ein Formular, in das Sie Ihre Bestellnummer und Ihre Postleitzahl eingeben können.

  • Wenn Sie beispielsweise mehr über ein Produkt erfahren und entsprechend beraten werden möchten, erscheint ein Formular, in das Sie die entsprechenden Informationen eingeben können (z. B. Name, Telefon, E-Mail usw.).

Zweck der Verarbeitung: Verarbeitung Ihrer angegebenen Informationen zur Erstellung von Antworten auf die Anfragen von Ihnen unter Verwendung des Chatbots.

  • Wenn Sie zum Beispiel fragen: „Wo ist meine Bestellung?“ und Ihre Bestellnummer und Postleitzahl im Formular eingeben, werden diese Informationen verwendet, um eine direkte Anfrage an das Shopsystem (Shopify) zu stellen, damit die Lieferinformationen gesendet werden können und Sie über den Status der Bestellung informiert werden können.

  • Wenn Sie eine Beratung zu einem Produkt wünschen, wird Ihre Anfrage (mit den von Ihnen angegebenen Daten im Formular und dem gesamten Chatverlauf) an den Shopbetreiber weitergeleitet, damit dieser mit Ihnen Kontakt aufnehmen kann.

Quelle der Daten: Wir erheben diese Daten direkt von Ihnen.

Rechtsgrundlage: Wir verarbeiten die Daten zur Vertragserfüllung oder für vorvertragliche Maßnahmen gemäß Artikel 1 Absatz 1 Unterabsatz 1 Buchstabe b DSGVO.

Speicherdauer: Wir speichern diese Daten bis Ihre Anfrage beantwortet ist oder für die Dauer des Vertrages und darüber hinaus bis zum Ablauf der gesetzlichen Aufbewahrungsfristen, die 6 bis 10 Jahre betragen können.

Ort der Empfänger: EU und Nicht-EU

Garantien für Übermittlungen in Drittländer: EU-Standardvertragsklauseln (SCC), Angemessenheitsbeschluss

👆👆👆👆👆👆👆👆👆👆

Jetzt den DSGVO-konformen Chatbot für Shopify installieren ✌️

Get started today

Try your own AI chatbot for free and see how it can help you grow your business. A 7-day free trial is included without limits in traffic, AI chats and AI-generated revenues.

Click the install button above to install the "FLY AI Chatbot" app in your Shopify® store. No credit card required. No sign-up needed. No strings attached.

Built for Shopify