Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Centribal ist eine spanische KI-Chatbot-, und Conversational-Plattform mit Sitz in Madrid, die von Unternehmen in Banken, Einzelhandel und Versorgern eingesetzt wird, um Kundengespräche über Web, WhatsApp, Facebook Messenger und Sprache zu automatisieren. Das Centribal-Cloud-Widget wird per JavaScript-Snippet geladen, setzt First-Party-Cookies und routet Gespräche über Centribal-Infrastruktur in AWS Europa, mit optionalen Anbindungen an LLM-Anbieter in den USA.
Centribal ist ein spanischer Anbieter für Conversational AI mit einer Plattform für Chatbot, Voicebot und Live-Agent. Das Produkt wird von iberischen Banken, Telkos, Versorgern und Einzelhändlern eingesetzt, um FAQ-Deflection, Lead-Qualifizierung und Self-Service über Web, WhatsApp, Facebook Messenger und Sprache zu automatisieren. Centribal arbeitet aus Madrid und betreibt seine Dienste überwiegend auf AWS-Regionen in Europa, mit optionalen Konnektoren zu externen großen Sprachmodellen.
Beim Laden setzt das Centribal-Widget First-Party-Cookies (typischerweise centribal_session, centribal_visitor) zur Wahrung der Konversationskontinuität. Erfasst werden IP, User-Agent, Locale, Seiten-URL, vollständige Transkripte, Intent-Scores, Entity-Extraktion und alle vom Nutzer eingegebenen Daten (Name, E-Mail, Telefon, Kontonummer, sofern geteilt). Bei CRM-Anbindung werden Kundenkennungen hinzugefügt.
Da nicht zwingend erforderliche Cookies gesetzt werden, verlangt Art. 5(3) ePrivacy-Richtlinie eine vorherige Einwilligung, sofern der Chat nicht erst nach Nutzeraktion geladen wird. Für Conversational AI ergänzt der EU AI Act: klare Hinweise, dass mit einer KI gesprochen wird, höhere Anforderungen bei sensiblen Entscheidungen (Kredit-Scoring, Eignung) und Verbot bestimmter Praktiken (Dark Patterns, subliminale Techniken). Spaniens LOPDGDD bringt nationale Spezifika zur DSGVO-Basis.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Koppeln Sie Centribal an Ihre Consent Management Platform (Funktional oder Marketing je nach Konfiguration), zeigen Sie eine AI-Act-konforme Offenlegung im ersten Bot-Turn (z. B. Sie chatten mit einem automatisierten Assistenten) und bieten Sie eine klare Eskalation zum menschlichen Agenten. Für Marketing (proaktive Nudges, Lead Capture) ist die Einwilligung Rechtsgrundlage; bei reaktivem Support kann das berechtigte Interesse mit dokumentiertem Abwägungstest tragen.
Centribal hostet die Kernplattform in AWS-Europa-Regionen. Drittlandrisiken entstehen vor allem bei optionalen LLM-Anbindungen (OpenAI, Anthropic, Google AI), die Prompts und Antworten an US-Anbieter routen. Diese Transfers stützen sich auf Standardvertragsklauseln und ggf. das EU, US Data Privacy Framework. Pseudonymisieren oder redigieren Sie personenbezogene Daten vor dem Versand an das LLM, protokollieren Sie alle Transfers und führen Sie die KI-Subunternehmer in Ihrer Datenschutzerklärung auf.
Schließen Sie den Centribal-AVV ab, koppeln Sie das Widget an die Einwilligung, zeigen Sie die KI-Offenlegung, listen Sie alle Subunternehmer inklusive LLM-Anbieter, setzen Sie eine kurze Transkript-Aufbewahrung, verbieten Sie Modelltraining auf Kundendaten ohne zusätzliche Einwilligung, sehen Sie eine Mensch-Eskalation für sensible Intents vor, überwachen Sie Modell-Ausgaben (Halluzinationen, gefährliche Empfehlungen) und führen Sie eine DSFA für Deployments, die Eignung oder Preise automatisieren.
Websites using Centribal must obtain user consent under GDPR regulations.
DPIA considerations
Centribal verarbeitet Besucher-IP, User-Agent, Konversationstranskripte, Intent-Klassifikationsdaten, Entity-Extraktionsergebnisse und (bei CRM-Anbindung) Kundenkennungen. Wesentliche DSFA-Aspekte: (1) Conversational AI kann spontan geteilte besondere Datenkategorien erfassen und fällt bei Hochrisikoeinsatz (Eignungsentscheidungen, Beschäftigung, Versicherung) unter den EU AI Act; (2) bestimmte Intents lösen Aufrufe an US-LLM-Anbieter aus, mit Transfer-, und Subunternehmer-Risiken; (3) Transkripte können für eigenes Modelltraining genutzt werden, was eine zusätzliche Einwilligungsebene erfordert; (4) automatisierte Entscheidungen über Kundenfälle können unter Art. 22 DSGVO fallen; (5) persistente Besucher-IDs erlauben langfristiges Profiling. Eine DSFA wird empfohlen, sobald Eignung oder folgenreiche Entscheidungen automatisiert werden.
Sample consent text
Wir nutzen Centribal für unseren Chatbot. Beim Öffnen des Chats setzt Centribal Cookies, verarbeitet Ihre Nachrichten auf europäischen Servern und kann anonymisierte Intent-Fragmente an KI-Anbieter in den USA senden. Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen.
Third-party domains contacted
centribal.comcdn.centribal.comapi.centribal.comwebchat.centribal.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| centribal_session | Functional | Session | Session identifier used to maintain the chat conversation continuity within a single browsing session. |
| centribal_visitor | Functional | 1 year | Persistent visitor identifier used to recognise returning users and resume previous conversations across sessions. |
| centribal_locale | Preference | 6 months | Stores the visitor's language preference for the chat interface and bot responses. |
Centribal verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Centribal setzt First-Party-Cookies auf der Betreiberdomain (typischerweise centribal_session, centribal_visitor und ein Sprach-/Locale-Cookie). Sie dienen der Konversationskontinuität über mehrere Seiten und der Wiedererkennung von Besuchern.
Ja. Das Widget setzt nicht zwingend erforderliche Cookies, daher verlangt Art. 5(3) ePrivacy eine vorherige Einwilligung. Zusätzlich verlangt der EU AI Act eine klare Offenlegung, dass der Nutzer mit einer KI spricht; dieser Hinweis sollte im ersten Bot-Turn erscheinen, unabhängig von der Cookie-Einwilligung.
Für Tracking-Cookies und Marketing-Flows die Einwilligung (Art. 6(1)(a) DSGVO). Für reaktiven Support kann das berechtigte Interesse (Art. 6(1)(f)) mit Abwägungstest greifen. Für automatisierte Entscheidungen gegenüber Nutzern gelten die zusätzlichen Garantien aus Art. 22 DSGVO.
Standardmäßig nicht: Centribal hostet auf AWS-Europa. US-Transfers entstehen nur, wenn LLM-Anbindungen (OpenAI, Anthropic, Google AI) aktiviert werden; Prompts können dann an US-Anbieter geroutet werden, gestützt auf SCC und das EU, US Data Privacy Framework. Diese Anbindung ist optional und sollte vor Aktivierung geprüft werden.
Ja bei jeder Hochrisikoverwendung im Sinne des EU AI Act (Eignungsentscheidungen, HR-Screening, Kredit-Scoring) und empfohlen, sobald der Chatbot sensible Kundendaten verarbeitet, externe LLM einbindet oder Entscheidungen automatisiert. Für reine FAQ-Deflection genügt meist eine dokumentierte Bewertung.
Schließen Sie den Centribal-AVV ab, koppeln Sie das Widget an die Einwilligung, zeigen Sie die KI-Offenlegung im ersten Bot-Turn, listen Sie alle Subunternehmer inkl. LLM-Anbieter, setzen Sie eine kurze Aufbewahrung der Transkripte, beschränken Sie Modelltraining auf Kundendaten, ermöglichen Sie eine Mensch-Eskalation für sensible Intents und dokumentieren Sie eine DSFA für Hochrisiko-Fälle.
EU-basierte Alternativen sind u. a. Inbenta (Spanien), iAdvize (Frankreich), Voiceflow (mit EU-Datenresidenz), Ada (Kanada mit EU-Optionen) und Rasa (Open Source, Self-Hosted). Self-Hosted Open Source ist die stärkste Option für sensible Deployments, in denen keine Drittverarbeitung akzeptabel ist.
Nennen Sie Centribal namentlich, die gesetzten Cookies, die erfassten Daten (IP, User-Agent, Transkript, Intents), das Verantwortlichkeits-, und Auftragsverarbeitungsverhältnis zu Centribal, die genutzte AWS-Europa-Region, die Aufbewahrungsdauer, etwaige LLM-Subunternehmer und deren Standorte sowie einen Link zur Datenschutzerklärung und KI-Transparenzerklärung von Centribal.