Was, wenn der Chatbot von einem externen SaaS-Anbieter kommt (Intercom, Drift, Zendesk)?

Du bleibst Verantwortlicher. Der Anbieter liefert das Tool, du konfigurierst es und betreibst es im Kundenkontakt. Verlange einen Auftragsverarbeitungsvertrag, dokumentiere die Sicherheitsmechanismen gegen Prompt Injection (oft im Trust-Center der Anbieter dokumentiert), und prüf bei jedem Produkt-Update, ob sich die Datenverarbeitung geändert hat. Wenn der Anbieter dir das nicht transparent macht — wechsel ihn. Im Streitfall wird die Behörde nicht den SaaS-Anbieter belangen, sondern dich als Verantwortlichen.