Back to blog
6 min readby Senni

DSGVO-konformer AI Customer Support für Shopify — wie geht das?

dsgvogdprdeutschlandshopify

Wenn du in Deutschland einen Shopify-Store betreibst und einen AI-Chatbot einsetzen willst, hast du ein Problem, das die meisten Tool-Vergleiche unterschlagen: Fast alle Anbieter im Shopify App Store sind US-Companies, hosten in AWS US-East-1 und schicken Kundendaten an OpenAI oder Anthropic in den USA. Das ist nicht per se illegal — aber es bedeutet, dass du als Verantwortlicher die DSGVO-Compliance herstellen musst, nicht das Tool.

Dieser Post ist eine ehrliche Bestandsaufnahme, was DSGVO-konformer AI-Support technisch und vertraglich braucht — und welche Punkte du beim Tool-Vergleich tatsächlich abhaken solltest.

Was die DSGVO eigentlich verlangt

Wenn ein Kunde dir eine Support-Frage stellt, verarbeitest du personenbezogene Daten: Name, E-Mail, Bestellhistorie, eventuell Adresse, oft auch sensible Informationen wie "ich habe das Produkt zurückgegeben weil mein Kind allergisch reagiert hat". Diese Daten gehen durch deinen Chatbot. Damit gilt:

  1. Rechtsgrundlage. Du brauchst eine — entweder Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für Bestellanfragen, berechtigtes Interesse (lit. f) für allgemeine Anfragen, oder Einwilligung (lit. a) für alles, was darüber hinausgeht.

  2. Auftragsverarbeitung. Jeder externe Dienstleister, der deine Kundendaten zu Gesicht bekommt, ist Auftragsverarbeiter. Du musst einen AV-Vertrag (DPA) abschließen. Das gilt für den Chatbot-Anbieter, aber auch für dessen Sub-Auftragsverarbeiter — typischerweise das LLM und der Hosting-Provider.

  3. Datenminimierung. Du darfst nur die Daten verarbeiten, die du wirklich brauchst. Ein Chatbot, der einer Customer-Frage mit voller Bestellhistorie ans LLM schickt obwohl die Frage sich nur auf eine einzelne Bestellung bezieht, fällt durch.

  4. Speicherbegrenzung. Du musst eine Löschfrist definieren und einhalten. "Wir speichern alles für immer" ist nicht zulässig.

  5. Drittland-Übermittlung. Sobald Daten in die USA fließen — und das tun sie bei fast jedem AI-Tool — brauchst du eine zusätzliche Schutzmaßnahme. Das EU-US Data Privacy Framework (Nachfolger von Privacy Shield) ist seit Juli 2023 wieder gültig, aber rechtlich angreifbar.

  6. Auskunfts- und Löschpflichten. Der Kunde hat das Recht zu erfahren, was du gespeichert hast, und kann Löschung verlangen. Du musst diese Anfragen innerhalb von 30 Tagen bedienen können — auch bei Daten, die durch deinen Chatbot gelaufen sind.

Was die meisten US-Tools nicht bieten

Ich habe mir die fünf größten AI-Support-Apps für Shopify angeschaut, die in den USA gegründet wurden, und nach folgenden Kriterien geprüft:

  • Liegt ein deutschsprachiges DPA vor?
  • Wird in der EU gehostet?
  • Ist die Sub-Processor-Liste öffentlich?
  • Gibt es eine Auto-Delete-Option mit konfigurierbarer Frist?
  • Wird das LLM mit oder ohne Daten-Retention betrieben?

Bei vier von fünf lag die Sub-Processor-Liste irgendwo zwischen "schwer auffindbar" und "musst du anfragen". Bei drei von fünf wurden Conversation-Daten standardmäßig in den USA gehostet. Bei keinem war eine konfigurierbare Auto-Delete-Frist in der UI sichtbar — du musstest manuell Support kontaktieren.

Das ist nicht zwingend ein Showstopper. Aber es bedeutet, dass deine DSGVO-Compliance auf einem Tool aufbaut, dessen Architektur nicht primär für den europäischen Markt gedacht ist.

Was es technisch braucht

Wenn du AI-Support DSGVO-konform betreiben willst, sind das die Bausteine, auf die du achten solltest:

EU-Hosting für die Conversation-Daten. Idealerweise Frankfurt oder Dublin. Postgres-Datenbank in einer EU-Region, kein Multi-Region-Replicate in die USA. Bei OrderWise nutzen wir Supabase mit Region eu-central-1 für genau diesen Punkt.

LLM-Provider mit Daten-Retention auf null. Anthropic, OpenAI und Google bieten alle eine "no data retention" Option für Enterprise-Verträge. Das bedeutet: die Kundenfrage wird zum LLM geschickt, eine Antwort kommt zurück, die Anfrage wird nicht gespeichert, nicht für Training verwendet, nicht in Logs persistiert. Das musst du im Vertrag schwarz auf weiß haben.

Auto-Delete für alte Conversations. Eine konfigurierbare Frist — bei OrderWise ist der Default 30 Tage. Nach Ablauf werden Nachrichten gelöscht, nicht nur "soft-deleted". Conversation-Metadaten ohne Personenbezug können länger bleiben, der Inhalt aber nicht.

Pseudonymisierung wo möglich. Wenn das LLM die Conversation sieht, muss es nicht den vollen Namen des Kunden wissen. Hi {firstName} reicht oft. Die E-Mail-Adresse muss nur in dem Moment ins Prompt, wenn sie wirklich für die Antwort relevant ist.

Lückenloser Audit-Trail für Auskunfts- und Löschanfragen. Wenn ein Kunde "lösche alle meine Daten" sagt, musst du das umsetzen können — inklusive aller Conversation-Logs, die deinem Chatbot vorliegen. Das setzt voraus, dass die Conversations mit einer eindeutigen Kunden-ID verknüpft sind, nicht nur mit einer anonymen Session-ID.

Was vertraglich abgedeckt sein muss

Die technische Architektur ist die eine Hälfte, die vertragliche Absicherung die andere. Bevor du einen AI-Chatbot in Production schaltest, brauchst du:

  1. Einen DPA mit dem Tool-Anbieter auf Deutsch oder mindestens mit deutscher Übersetzung. Standard-Klauseln nach Art. 28 DSGVO sind das Minimum, plus die Standardvertragsklauseln (SCC) der EU-Kommission, falls Daten in Drittländer fließen.

  2. Eine aktuelle Sub-Processor-Liste. Mindestens: der Hosting-Provider (AWS / GCP / Vercel), das LLM (Anthropic / OpenAI / etc.), der E-Mail-Versender für Notifications, das Error-Tracking (Sentry / Datadog), das Analytics-Tool. Jeder dieser Sub-Processors muss in deinem AV-Vertrag aufgelistet sein.

  3. Eine Vereinbarung darüber, wo gehostet wird. "EU" reicht nicht — die Region sollte konkret benannt sein (eu-central-1, eu-west-3, etc.), und ein Wechsel der Region muss dir angekündigt werden.

  4. Eine TOMs-Beschreibung. Technische und organisatorische Maßnahmen — Verschlüsselung at rest und in transit, Zugriffsrechte, Backup-Strategie, Incident-Response-Plan. Das ist oft ein PDF auf der Compliance-Seite des Anbieters.

  5. Die Liste der Zertifizierungen. SOC 2 Type II ist Standard. ISO 27001 ist nice-to-have. C5 ist deutsch-spezifisch und für Behörden relevant.

Was du in deine Datenschutzerklärung schreiben musst

Wenn du einen AI-Chatbot in deinen Store einbaust, muss das in der Datenschutzerklärung stehen. Konkret:

  • Name und Sitz des Tool-Anbieters ("OrderWise GmbH, Nürnberg, Deutschland" — oder eben "ChatTool Inc., San Francisco, USA").
  • Welche Daten verarbeitet werden (Name, E-Mail, Bestelldaten, Chatverlauf).
  • Auf welcher Rechtsgrundlage (Vertragserfüllung für Bestellanfragen, berechtigtes Interesse für allgemeinen Support).
  • Wie lange gespeichert wird (z.B. 30 Tage Conversation-Inhalt, 12 Monate aggregierte Metadaten).
  • Welche Sub-Processoren involviert sind (LLM-Provider, Hosting).
  • Welche Rechte der Kunde hat und wie er sie geltend macht.
  • Bei Drittland-Übermittlung: Hinweis auf SCCs und Data Privacy Framework.

Das ist kein zusätzlicher Compliance-Overhead — das ist die Mindestpflicht, sobald personenbezogene Daten durch ein externes Tool laufen.

Wo OrderWise heute steht

Ich beschreibe das, weil ich genau diese Punkte für OrderWise konkret beantworten kann, und weil ich finde, dass das jeder Anbieter sollte:

  • Hosting: Supabase, Region eu-central-1 (Frankfurt). Conversation-Daten verlassen die EU nicht.
  • LLM: Anthropic Claude Haiku 4.5, betrieben über die Anthropic API mit Zero-Data-Retention-Konfiguration. Anfragen werden nicht für Modelltraining verwendet und nicht persistiert.
  • Auto-Delete: Conversation-Inhalte werden nach 30 Tagen automatisch gelöscht. Metadaten (Anzahl Conversations, durchschnittliche Antwortzeit, ohne Personenbezug) bleiben für Analytics-Zwecke.
  • DPA: Auf Deutsch verfügbar, abrufbar nach Installation.
  • Sub-Processor-Liste: Öffentlich auf der Privacy-Seite.
  • Sitz: Nürnberg, Deutschland. Deutsche Steuer-ID, deutscher Gerichtsstand.

Das ist nicht "Marketing-DSGVO". Das sind die Standardanforderungen für jedes Tool, das mit deutschen Kundendaten arbeitet. Wenn ein Anbieter eine dieser Fragen nicht klar beantworten kann, ist das ein Signal.

Fazit

DSGVO-konformer AI-Support ist möglich, aber er ist nicht der Default in den US-dominierten Tool-Märkten. Wenn du als deutscher Store-Betreiber einen Chatbot einsetzen willst, ist die richtige Reihenfolge:

  1. Erst die Compliance-Fragen klären (Hosting, DPA, Sub-Processors).
  2. Dann die Funktions-Fragen (kennt es Bestellungen, wie viele Sprachen, etc.).
  3. Erst dann den Preis vergleichen.

Wenn der Anbieter bei Schritt 1 schon vage wird, spar dir Schritt 2 und 3.

OrderWise — DSGVO-konform aus Deutschland. Hosting in Frankfurt, 30-Tage-Auto-Delete, deutscher AV-Vertrag, Sub-Processor-Liste öffentlich. Kostenlos starten mit 25 Conversations/Monat. Im Shopify App Store installieren →.

Share:TwitterLinkedIn