Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Chatbase ist eine US Plattform zum schnellen Bau eigener KI Chatbots auf Basis von Large Language Models (typischerweise OpenAI). Sie verarbeitet alle Konversationsdaten in den USA, setzt First Party Cookies und localStorage. Eine vorherige Einwilligung ist Pflicht, US Transfer stützt sich auf SCCs. EU Datenresidenz ist derzeit nicht verfügbar.
Chatbase ist eine SaaS Plattform aus den USA, mit der Unternehmen schnell eigene KI Chatbots auf Basis von Large Language Models (zumeist OpenAI GPT 4 / GPT 4o) trainieren und auf ihrer Website einbetten können. Inhalte werden aus Wissensquellen (Dokumente, URLs, Notion, Google Drive) hochgeladen, vektorisiert und für die Antwort Generierung verwendet. Chatbase wird vor allem für Self Service Support, FAQ Automatisierung und Lead Qualifizierung eingesetzt.
Chatbase setzt First Party Cookies (Sitzungs ID, Authentifizierung, Widget Status), nutzt localStorage zur Speicherung von Konversationsfäden und protokolliert serverseitig den Konversationsverlauf, IP, User Agent und Zeitstempel. Inhalte der Konversation werden zur Antwort Generierung an OpenAI APIs gesendet und können je nach Konfiguration für Modellverbesserung verwendet werden (Opt out empfohlen).
Tracking Cookies und KI Konversationsverarbeitung sind nicht erforderlich. Rechtsgrundlage ist Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und § 25 TDDDG. Vertragserfüllung (lit. b) ist nur tragfähig, wenn der Chatbot zur Erfüllung einer ausdrücklich angefragten Leistung dient (z. B. Bestellung, Rückgabe). Die Eingaben des Nutzers können personenbezogene Daten enthalten und müssen entsprechend verarbeitet werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Chatbase Inc. verarbeitet Daten auf US Cloud Infrastruktur (Vercel/AWS) und nutzt OpenAI als Subprozessor in den USA. Sie benötigen einen Auftragsverarbeitungsvertrag mit Chatbase, der OpenAI als Sub Sub explizit ausweist, plus SCCs nach Art. 46 DSGVO und ein Transfer Impact Assessment. EU Datenresidenz wird derzeit nicht angeboten.
Chatbot hinter CMP, granulare Einwilligung pro Zweck, deaktivierte Trainingsnutzung, Datenminimierung in der Wissensbasis (keine sensiblen Daten), Opt out bei OpenAI prüfen, AVV mit Chatbase und Subprozessor Verzeichnis dokumentieren, Aufbewahrungsfristen festlegen, DSFA durchführen, sobald sensible Themen oder Beschäftigtendaten berührt werden.
Websites using Chatbase must obtain user consent under GDPR regulations.
DPIA considerations
A DPIA is strongly recommended for Chatbase deployments because conversation data is transmitted to a third-party AI provider (OpenAI) in the US, creating a chain of sub-processing that is difficult to fully control. Key risks include the unpredictable nature of conversation content (visitors may share sensitive personal data), the absence of EU data residency, AI model training implications, and the dual transfer to both Chatbase and OpenAI infrastructure.
Sample consent text
Diese Website nutzt Chatbase, einen US Anbieter für KI Chatbots auf OpenAI Basis. Chatbase setzt First Party Cookies und localStorage und überträgt Konversationen an Chatbase und OpenAI in den USA. Wir laden den Chatbot nur nach Ihrer ausdrücklichen Einwilligung.
Third-party domains contacted
www.chatbase.coapi.chatbase.coapi.openai.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| chatbase-session | session | Session | Session identifier used to maintain the active chat conversation state |
| chatbase-widget | persistent | 30 days | Widget state token used to persist chat preferences and conversation context across page visits |
Chatbase verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Chatbase setzt First Party Cookies (Sitzungs ID, Authentifizierung, Widget Status) und nutzt localStorage zur Speicherung von Konversationsfäden. Diese sind nicht erforderlich und benötigen vorherige Einwilligung.
Ja. Konversationsverarbeitung durch Drittanbieter mit OpenAI Subprozessor und US Datentransfer setzt eine ausdrückliche, granulare Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 TDDDG voraus.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) als Standard. Vertragserfüllung (lit. b) gilt nur, wenn der Chatbot eine konkrete vom Nutzer angefragte Leistung erbringt. Berechtigtes Interesse ist nicht ausreichend.
Ja, in die USA an Chatbase Inc. (Vercel/AWS) und an OpenAI als Subprozessor. SCCs, TIA, AVV und Subprozessor Liste sind Pflicht.
Ja in den meisten B2C Szenarien. Sobald sensible Themen, Beschäftigtendaten oder umfangreiche Konversationsvolumen verarbeitet werden, ist eine DSFA nach Art. 35 DSGVO erforderlich.
Widget hinter CMP laden, granulare Einwilligung pro Zweck, AVV mit Chatbase, OpenAI als Subprozessor benennen, Trainingsnutzung deaktivieren, Datenminimierung in der Wissensbasis, Aufbewahrungsfristen und Widerrufsmöglichkeiten dokumentieren.
Ja: Mistral AI Le Chat (Frankreich), Aleph Alpha (Deutschland) für eigenes Hosting, Botpress mit Self Hosting Option, Rasa (Open Source). Cohere und Anthropic bieten teils EU Regionen für Modell APIs.
Listen Sie Cookies und localStorage Einträge mit Zweck und Speicherdauer, nennen Sie Chatbase Inc. und OpenAI als Verarbeiter, beschreiben Sie den US Transfer und SCCs, Einwilligungspflicht und Widerrufsrecht.