Wissen  ·  20. November 2025

    Sind Avatare DSGVO-konform?

    Avatare können DSGVO-konform eingesetzt werden – aber nicht automatisch. Entscheidend sind Art des Avatars, welche personenbezogenen Daten verarbeitet werden und wo bzw. wie die eingesetzten Tools betrieben werden.

     

    Was mit „Avatar“ überhaupt gemeint ist

    Unter „Avatar“ fallen im Datenschutz sehr verschiedene Szenarien.

    • Reine Video-Avatare für vorproduzierte Clips (z.B. Schulungsvideos ohne Nutzerinteraktion).
    • Interaktive Avatare auf Websites, in Chats oder im Service, die mit Nutzer:innen kommunizieren und deren Eingaben verarbeiten.
    • Digitale Zwillinge realer Personen (Mitarbeiter:innen, Testimonial, CEO), oft mit echter Stimme und Gesicht.

    Je „näher“ der Avatar an echten Personen und je mehr Nutzerdaten einfließen, desto strenger greifen die Datenschutzanforderungen.

     

    Wann Avatare relativ unkritisch sind

    Vergleichsweise unkritisch sind Avatare, wenn sie keine personenbezogenen Daten von Kund:innen oder Mitarbeitenden verarbeiten.

    • Vorproduzierte Videos, die nur Informationen ausspielen (z.B. Erklärvideos ohne Tracking und ohne Interaktion).
    • Fiktive, klar künstlich erkennbare Figuren ohne Bezug zu identifizierbaren Personen und ohne Nutzerinput mit Personenbezug.

    Hier gelten vor allem Urheber‑, Nutzungs- und ggf. KI-Kennzeichnungspflichten (AI Act, Deepfake-Kennzeichnung), aber oft keine oder nur geringe DSGVO-Pflichten, weil keine personenbezogenen Daten verarbeitet werden.

     

    Kritisch: Interaktive und personengebundene Avatare

    Sobald der Avatar personenbezogene Daten verarbeitet, ist die DSGVO voll anwendbar.

    Typische Problemfelder:

    • Chat- oder Video-Avatare, die Fragen, Beschwerden oder Bewerbungen entgegennehmen und damit Inhalte mit Personenbezug verarbeiten.
    • Avatare auf US-Cloud-Plattformen, bei denen Audio, Video oder Texte in Drittländer übertragen werden.
    • Nutzung realer Gesichter/Stimmen von Mitarbeitenden ohne wirksame Einwilligung (Stichwort: Persönlichkeitsrechte).

    Die Datenschutzkonferenz (DSK) betont in ihrer Orientierungshilfe zu KI, dass Unternehmen alle KI-Anwendungen wie jedes andere datenverarbeitende System behandeln müssen: Rechtsgrundlage, Transparenz, Datensparsamkeit, TOMs, Löschkonzept, Risikoanalyse.

     

    Voraussetzungen für DSGVO-konforme Avatare

    Damit ein Avatar-Einsatz DSGVO-konform ist, sollten Unternehmen u.a. folgende Punkte prüfen:

    • Rechtsgrundlage klären
      • Kundenkommunikation: Vertragserfüllung oder berechtigtes Interesse, ggf. Einwilligung.
      • Marketing, Profiling oder Auswertung von Gesprächen: meist Einwilligung erforderlich.
    • EU-Hosting und Auftragsverarbeitung
      • Bevorzugt Serverstandort in der EU bzw. im EWR, um Drittlandtransfers zu vermeiden.
      • Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Avatar-Anbieter, wenn dieser personenbezogene Daten im Auftrag verarbeitet.
    • Datensparsamkeit und Löschfristen
      • Nur Daten erheben, die für den konkreten Avatar-Zweck wirklich nötig sind (z.B. keine Vollaufzeichnung von Gesprächen, wenn Transkripte reichen).
      • Klare Löschkonzepte und Speicherfristen für Audio, Video, Chatlogs.
    • Transparenz und Kennzeichnung
      • In der Datenschutzerklärung erklären, dass ein KI-Avatar eingesetzt wird, welche Daten dieser verarbeitet, Rechtsgrundlage, Speicherdauer, Empfänger.
      • Nach dem EU-AI-Act besteht für realistische KI-Videos und Deepfakes eine Kennzeichnungspflicht, dass der Inhalt künstlich erzeugt wurde.
    • Technische und organisatorische Maßnahmen (TOMs)
      • Verschlüsselung, Zugriffsberechtigungen, Protokollierung und Schutz vor Missbrauch des Avatars (z.B. unbefugte Trainingszwecke).
      • Risikoanalyse (DSFA), wenn besondere Kategorien von Daten oder hohes Risiko für Betroffene vorliegen.

    Masterclass-Tipps für deinen Blogartikel und deine Kund:innen

    Für deine Zielgruppe im Marketing und in der Unternehmenskommunikation kannst du folgende klare Botschaft formulieren:

    • Avatare sind kein „grauer Raum“: Sie unterliegen denselben DSGVO-Regeln wie jede andere KI-Anwendung.
    • Reine Videoproduktion mit EU-gehosteten Tools ohne personenbezogene Nutzerdaten ist meist gut beherrschbar.
    • Interaktive Avatare im Kundenservice oder Vertrieb erfordern ein durchdachtes Datenschutzkonzept mit Rechtsgrundlage, AVV, transparenter Information, EU-Hosting und Löschkonzept.
    • Europäische bzw. DSGVO-spezialisierte Anbieter und Agenturen, die EU-Server einsetzen und passende Verträge/TOMs mitbringen, reduzieren das Risiko deutlich.

    Damit lässt sich die Kernfrage „Sind Avatare DSGVO-konform?“ in deinem Artikel beantworten mit: 

    Ja – wenn Unternehmen sie bewusst planen, datenschutzrechtlich sauber einbetten und passende, möglichst EU-basierte Lösungen wählen.

     

    Ein Avatar-Update von Masterclass-Avatare.

    Avatar-Updates kostenlos abonnieren
    Tags: Avatare, Avatar, DSGVO, Masterclass-Avatare

    Masterclass-Avatare - eine Marke der

    Snack-Content Company (SCC) Deutschland GmbH.
    Friedrich-Ebert-Ufer 44a, 51143 Köln