Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
04. März 2021

Chatbots datenschutzkonform einsetzen

Gratis
Typische kommerzielle Chatbot-Programme sind z.B. „ManyChat“ oder „CleverBot“. Sie sind mit Anwendungen wie dem Facebook Messenger oder Shopify kompatibel und lassen sich integrieren.
Bild: iStock.com / B4LLS
0,00 (0)
„Kann ich Ihnen helfen?“
Sie begegnen einem immer öfter beim Surfen auf Webseiten oder bei Bestellvorgängen im E-Commerce: sogenannte Chatbots. Was müssen Verantwortliche datenschutzrechtlich beachten, wenn sie solche Dialogsysteme mit „sprachlichen Fähigkeiten“ einsetzen?

Chatbots sind in der Regel als textbasierte Dialogsysteme konzipiert. Sie gestatten es, dass Nutzer mit einem technischen System kommunizieren. Im Grunde kann man sie sich wie eine Art „erweiterte Volltextsuchmaschine“ mit Ausgabefunktion vorstellen, die z.B. auf Datenbanken des Verantwortlichen zugreift. Nur wenige basieren derzeit schon auf künstlicher Intelligenz.

Praxis-Tipp
Prüfen Sie stets die Technik und Funktionsweise, die hinter dem jeweiligen Chatbot liegen. Denn das wirkt sich u.a. auf die datenschutzrechtliche Zulässigkeit aus. Eine Übersicht dazu findet sich unter https://ogy.de/arten-von-chatbots.

Es ist z.B. ein großer Unterschied, ob ein Chatbot mit oder ohne künstliche Intelligenz bzw. selbstlernende Algorithmen arbeitet.

Chatbots dienen aber nicht nur dazu, mit Nutzern zu kommunizieren, sondern etwa auch als Support in Messenger-Diensten oder als virtuelle persönliche Assistenten.

Vertragserfüllung und vorvertragliche Maßnahmen

Ist die Verarbeitung von Nutzerdaten, die mit dem Bot-Einsatz verbunden ist, zur Erfüllung eines Vertrags, dessen Vertragspartei der Nutzer ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, so kommt als Rechtsgrundlage Art. 6 Abs. 1 Buchst. b Datenschutz-Grundverordnung (DSGVO) in Betracht.

Das ist etwa der Fall, wenn ein Nutzer eine Anfrage für ein Produkt oder eine Dienstleistung über den Chatbot stellt. Er wünscht beispielsweise ein Angebot, fragt nach Preisen oder einem Lieferdatum.

Diese Kommunikation dient dazu, einen Vertrag vorzubereiten oder abzuschließen. Das gilt jedoch nur so lange, wie die Datenverarbeitung hierfür auch tatsächlich erforderlich ist.

Übrigens: Allein die Tatsache, dass es alternative Kommunikationswege wie ein Bestell- oder Kontaktformular gibt, lässt die Erforderlichkeit des Bot-Einsatzes und die damit einhergehende Datenverarbeitung zu vertraglichen Zwecken nicht entfallen.

Werbezwecke und Profilbildung

Dient die Datenverarbeitung dagegen Werbezwecken oder der Profilbildung durch Datenanalysen – wie häufig stellt ein Nutzer bestimmte Anfragen, welche Vorlieben und Abneigungen hat er –, so kommt es für die Zulässigkeit auf die Einwilligung des Nutzers an.

Gleiches gilt gemäß Art. 9 Abs. 2 Buchst. a DSGVO, wenn besondere Kategorien personenbezogener Daten Gegenstand der Datenverarbeitung im Zusammenhang mit dem Chatbot sind. Bei der Telemedizin/E-Health kommen andere Rechtsgrundlagen regelmäßig nicht in Betracht.

Dass der Besucher den Chatbot nutzt, als konkludente Einwilligung zu sehen, dürfte schon mangels Informiertheit über die damit einhergehende Datenverarbeitung ausscheiden. Die Einwilligung lässt sich jedoch direkt zu Beginn der Nutzung im Eingabefenster realisieren:

  • Raten Sie zu einer eindeutig bestätigenden Handlung des Nutzers, etwa durch Anklicken eines Kästchens als „Einwilligung“.
  • Zudem ist wichtig, die Einwilligung durch kurze und bündige Informationen zu begleiten, welche Daten erhoben werden und zu welchem Zweck.
  • Sodann bietet sich ein ergänzender Verweis auf die ausführliche Datenschutzinformation auf der Webseite an, die die kurze Information gemäß Art. 12 bis 14 DSGVO komplettiert. Das lässt sich z.B. als QR-Code oder als Link im Footer der Chat-Navigation umsetzen.

Achten Sie neben der korrekten Gestaltung etwa durch Tick-Kästchen oder einen zu aktivierenden Button darauf, dass die Einwilligungserklärung, die der Nutzer abgibt, technisch einwandfrei protokolliert wird (Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO).

Weisen Sie darüber hinaus darauf hin, dass bei werblicher Verarbeitung – unterstellt, dass das Kommunikationsmittel „Chatbot“ der E-Mail-Kommunikation rechtlich gleichzustellen ist – auch noch die wettbewerbsrechtlichen Anforderungen zu beachten sind (z.B. § 7 UWG).

Da der Nutzer seine Einwilligung widerrufen können muss, muss der Widerrufsprozess so gestaltet sein, dass der Nutzer den Widerruf entweder direkt an den Chatbot per einfachem Text senden oder über einen speziellen Link widerrufen kann, ähnlich dem Abbestellen von Newslettern.

Vorsicht bei fremdgehosteten Chatbots von Drittanbietern

Für die Datenverarbeitung, die durch einen Drittanbieter erfolgt, ist zuerst an einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu denken.

Jedoch sollte der Verantwortliche die genauen Datenflüsse und Datennutzungen des Drittanbieters unter die Lupe nehmen. Denn es kann durchaus auch eine gemeinsame Verantwortung gemäß Art. 26 DSGVO in Betracht kommen.

Man denke an das Urteil des Europäischen Gerichtshofs zur gemeinsamen Verantwortung bei Facebook-Fanpages. Sie ist mit weiteren Herausforderungen behaftet.

Erfolgt die Datenverarbeitung über einen Drittanbieter außerhalb der EU bzw. des EWR, müssen Verantwortliche neben den allgemeinen noch die zusätzlichen Voraussetzungen von Art. 44 ff. DSGVO beachten. Prüfen Sie bei Chatbots von Drittanbietern darüber hinaus penibel den erforderlichen Umfang des Datenzugriffs (Datenbank) und die Datensicherheit.

Achtung
E-Privacy-Verordnung

Die E-Privacy-Verordnung, die sich weiter im Entwurfsstadium befindet, könnte die Spielregeln für den rechtskonformen Einsatz von Chatbots deutlich verändern. Haben Sie daher ein Auge auf die rechtliche Entwicklung.

Daten der Chatbot-Kommunikation löschen

Benötigt der Verantwortliche die eingegebenen Daten nach Abschluss des Kommunikationsvorgangs nicht mehr für weitere Zwecke, muss er sie grundsätzlich löschen. Weitere Zwecke sind z.B. die Abwicklung von Gewährleistungsansprüchen oder um gesetzliche Aufbewahrungspflichten zu erfüllen.

Durch die fortlaufende Speicherung der Chatdaten lässt sich nämlich quasi durch die Hintertür ein umfassendes Nutzerprofil – auch vom Betreiber ungewollt – erstellen.

Raten Sie daher, dem Nutzer durch einen Button auch eigenständig die Möglichkeit zu geben, seine gespeicherten Daten vollständig aus der Datenbank des Chatbots zu löschen.

Im Idealfall: Systeme selbst betreiben

Kenntnisse über die konkrete Funktionsweise des Bots sind der erste Schritt in Richtung Datenschutz-Compliance, besonders vor dem Hintergrund des technologischen Fortschritts.

Empfehlenswert ist es zudem, Systeme zu nutzen, die sich im eigenen Haus betreiben lassen. Das vermeidet bereits eine Reihe von Fallstricken.

Dr. Kevin Marschall

Dr. Kevin Marschall
Verfasst von
Kevin Marschall
Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.