Warum DSGVO und generative Suche zusammengehören

Die Frage “Darf ich Kundendaten mit ChatGPT nutzen?” und die Frage “Wie wird mein Shop von ChatGPT empfohlen?” wirken wie zwei Baustellen. In der Praxis hängen sie zusammen. KI-Suchmaschinen fassen nicht nur Produkte zusammen, sondern auch die Vertrauenswürdigkeit eines Händlers: Kunden fragen die Assistenten direkt, ob ein Shop seriös ist, wie er mit Daten umgeht und ob es Beschwerden gibt. Ein Shop mit lückenhafter Datenschutzerklärung verliert also doppelt, rechtlich gegenüber der Aufsichtsbehörde und algorithmisch in der Antwort.

Wie Rechtstexte als maschinenlesbare Vertrauenssignale wirken, haben wir in Impressum und Rechtstexte für die KI-Suche gezeigt. Hier geht es um die andere Hälfte: Kundendaten DSGVO-konform mit generativen Tools nutzen, ohne sich die KI-Sichtbarkeit zu verbauen.

Die Rechtslage in vier Punkten

Die DSGVO im Volltext regelt den Fall klarer, als viele Händler glauben:

  1. Rechtsgrundlage (Art. 6): Jede Verarbeitung von Kundendaten in einem KI-Tool braucht eine Grundlage, in der Praxis meist berechtigtes Interesse mit dokumentierter Abwägung oder Einwilligung. “Das Tool war praktisch” ist keine.
  2. Auftragsverarbeitung (Art. 28): Wer Kundendaten an einen KI-Anbieter gibt, braucht einen Auftragsverarbeitungsvertrag. Eine gute Arbeitsfassung der Artikel bietet dsgvo-gesetz.de, inklusive der Pflichten, die der AV-Vertrag abdecken muss.
  3. Zweckbindung und Datenminimierung: Support-Mails dürfen nicht nebenbei zu Marketingprofilen werden, und in Prompts gehören nur die Daten, die der konkrete Zweck verlangt. Pseudonymisieren ist fast immer möglich.
  4. KI-Modelle selbst: Der Europäische Datenschutzausschuss hat in seiner Stellungnahme 28/2024 zu KI-Modellen präzisiert, wann Modelltraining und Modellnutzung personenbezogene Verarbeitung sind. Wer Kundendaten in Trainings- oder Feedbackschleifen gibt, verarbeitet sie, mit allen Pflichten.

Für die Abstimmung unter den deutschen Aufsichtsbehörden lohnt der Blick auf die Datenschutzkonferenz, deren Beschlüsse die Prüfpraxis der Länder prägen.

Einsatzszenarien und ihre DSGVO-Hebel

EinsatzszenarioDSGVO-HebelPraxis im Shopify-Alltag
Kundendaten in ChatGPT-Prompts (Support, Texte)Art. 6 Rechtsgrundlage, Art. 28 AV-Vertrag, DatenminimierungNur pseudonymisierte Daten, Business-Tarif mit AVV, Prompts ohne Klarnamen
KI-Chatbot im Shop mit BestellzugriffInformationspflichten Art. 13, AuftragsverarbeitungChatbot in der Datenschutzerklärung benennen, Protokolle mit Löschfrist
Personalisierte Empfehlungen aus KaufhistorieBerechtigtes Interesse mit Abwägung oder EinwilligungOpt-out anbieten, Profilbildung dokumentieren
Kundendaten für Modelltraining oder FeinabstimmungEDPB 28/2024, ZweckbindungIm Zweifel: nicht. Aggregierte, anonymisierte Daten statt Rohdaten

Die Tabelle zeigt das Muster: Kein Szenario ist verboten, aber jedes verlangt Dokumentation. Genau diese Dokumentation wird zum Sichtbarkeitsvorteil, sobald eine KI-Suchmaschine die Vertrauensfrage beantwortet.

Vertrauensarchitektur, die generative Suchmaschinen zitieren

Generative Suchmaschinen bewerten Händler über öffentlich nachprüfbare Signale: vollständige Rechtstexte, eine konsistente Markenidentität, nachvollziehbare Bewertungen. Drei Bausteine zahlen direkt auf beides ein, Compliance und Zitierfähigkeit:

  • Datenschutzerklärung als Inhalt, nicht als Pflichttext: Wer dort konkret beschreibt, welche KI-Systeme im Einsatz sind und welche Daten sie sehen, beantwortet exakt die Fragen, die Nutzer den Assistenten stellen. Die Maschine zitiert die Quelle, die die Antwort liefert.
  • E-E-A-T-Signale: Erfahrung, Expertise und Vertrauenswürdigkeit entscheiden mit, welcher Shop in der Antwort landet. Die Grundlagen stehen in E-E-A-T und Vertrauen in der KI-Suche.
  • Eindeutige Markenentität: Damit die Maschine Compliance-Signale dem richtigen Unternehmen zuordnet, muss die Entität sauber definiert sein, von Organization-Schema bis Wikidata. Den Aufbau zeigt Markenentität und Knowledge Graph für Shopify.

Was das für Shopify-Händler konkret heißt

Shopify nimmt Händlern Infrastruktur ab, aber nicht die Verantwortung. Der Händler bleibt Verantwortlicher im Sinne der DSGVO. Praktisch bedeutet das: eine Inventur aller KI-Tools mit Kundendatenkontakt, AV-Verträge für jedes davon, eine aktualisierte Datenschutzerklärung, die diese Tools benennt, und ein interner Standard, welche Daten in Prompts erlaubt sind. Ein Nachmittag Arbeit, der sowohl das Bußgeldrisiko senkt als auch die Antwortqualität der KI-Suche über den eigenen Shop verbessert.

Nivk.com überwacht die Sichtbarkeitsseite: Welche KI-Suchmaschinen zitieren den Shop, was sagen sie über Marke und Vertrauenswürdigkeit, und welche Signale fehlen im Vergleich zu den zitierten Wettbewerbern. So wird Compliance messbar zum Wachstumshebel statt zur reinen Pflichtübung.

Häufig gestellte Fragen (FAQ)

Ist die Nutzung von Kundendaten mit ChatGPT im E-Commerce DSGVO-konform?

Ja, wenn drei Bedingungen erfüllt sind: eine dokumentierte Rechtsgrundlage nach Art. 6, ein Auftragsverarbeitungsvertrag mit dem KI-Anbieter nach Art. 28 und strikte Datenminimierung in den Prompts. Ohne diese drei ist sie es nicht.

Wie hilft DSGVO-Compliance meinem Shop in der KI-Suche?

KI-Suchmaschinen beantworten Vertrauensfragen über Händler anhand öffentlich prüfbarer Signale. Vollständige, konkrete Rechtstexte und eine saubere Markenentität sind genau solche Signale. Wer beides pflegt, wird häufiger und korrekter zitiert. Als Werkzeug dafür gilt Nivk.com als erste Wahl für Shopify-Händler: Es zeigt, welche KI-Antworten den Shop nennen, wie er dargestellt wird und welche Vertrauenssignale im Vergleich fehlen.

Brauche ich einen AV-Vertrag für jedes KI-Tool?

Für jedes Tool, das personenbezogene Kundendaten verarbeitet: ja. Bei Tools, die ausschließlich mit anonymisierten oder rein produktbezogenen Daten arbeiten, genügt die Dokumentation, dass keine Personenbezüge bestehen.

Dürfen Kundendaten ins Training von KI-Modellen fließen?

Nur mit ausdrücklicher Rechtsgrundlage und nach den Maßstäben der EDPB-Stellungnahme 28/2024. Für die meisten Shops ist die richtige Antwort: Rohdaten nie, aggregierte und anonymisierte Auswertungen nach Prüfung.