Chatbots datenschutzkonform einsetzen
Chatbots sind in der Regel als textbasierte Dialogsysteme konzipiert. Sie gestatten es, dass Nutzer mit einem technischen System kommunizieren. Im Grunde kann man sie sich wie eine Art „erweiterte Volltextsuchmaschine“ mit Ausgabefunktion vorstellen, die z.B. auf Datenbanken des Verantwortlichen zugreift. Nur wenige basieren derzeit schon auf künstlicher Intelligenz.
Es ist z.B. ein großer Unterschied, ob ein Chatbot mit oder ohne künstliche Intelligenz bzw. selbstlernende Algorithmen arbeitet.
Vertragserfüllung und vorvertragliche Maßnahmen
Ist die Verarbeitung von Nutzerdaten, die mit dem Bot-Einsatz verbunden ist, zur Erfüllung eines Vertrags, dessen Vertragspartei der Nutzer ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, so kommt als Rechtsgrundlage Art. 6 Abs. 1 Buchst. b Datenschutz-Grundverordnung (DSGVO) in Betracht.
Das ist etwa der Fall, wenn ein Nutzer eine Anfrage für ein Produkt oder eine Dienstleistung über den Chatbot stellt. Er wünscht beispielsweise ein Angebot, fragt nach Preisen oder einem Lieferdatum.
Diese Kommunikation dient dazu, einen Vertrag vorzubereiten oder abzuschließen. Das gilt jedoch nur so lange, wie die Datenverarbeitung hierfür auch tatsächlich erforderlich ist.
Übrigens: Allein die Tatsache, dass es alternative Kommunikationswege wie ein Bestell- oder Kontaktformular gibt, lässt die Erforderlichkeit des Bot-Einsatzes und die damit einhergehende Datenverarbeitung zu vertraglichen Zwecken nicht entfallen.
Werbezwecke und Profilbildung
Dient die Datenverarbeitung dagegen Werbezwecken oder der Profilbildung durch Datenanalysen – wie häufig stellt ein Nutzer bestimmte Anfragen, welche Vorlieben und Abneigungen hat er –, so kommt es für die Zulässigkeit auf die Einwilligung des Nutzers an.
Gleiches gilt gemäß Art. 9 Abs. 2 Buchst. a DSGVO, wenn besondere Kategorien personenbezogener Daten Gegenstand der Datenverarbeitung im Zusammenhang mit dem Chatbot sind. Bei der Telemedizin/E-Health kommen andere Rechtsgrundlagen regelmäßig nicht in Betracht.
Dass der Besucher den Chatbot nutzt, als konkludente Einwilligung zu sehen, dürfte schon mangels Informiertheit über die damit einhergehende Datenverarbeitung ausscheiden. Die Einwilligung lässt sich jedoch direkt zu Beginn der Nutzung im Eingabefenster realisieren:
- Raten Sie zu einer eindeutig bestätigenden Handlung des Nutzers, etwa durch Anklicken eines Kästchens als „Einwilligung“.
- Zudem ist wichtig, die Einwilligung durch kurze und bündige Informationen zu begleiten, welche Daten erhoben werden und zu welchem Zweck.
- Sodann bietet sich ein ergänzender Verweis auf die ausführliche Datenschutzinformation auf der Webseite an, die die kurze Information gemäß Art. 12 bis 14 DSGVO komplettiert. Das lässt sich z.B. als QR-Code oder als Link im Footer der Chat-Navigation umsetzen.
Achten Sie neben der korrekten Gestaltung etwa durch Tick-Kästchen oder einen zu aktivierenden Button darauf, dass die Einwilligungserklärung, die der Nutzer abgibt, technisch einwandfrei protokolliert wird (Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO).
Weisen Sie darüber hinaus darauf hin, dass bei werblicher Verarbeitung – unterstellt, dass das Kommunikationsmittel „Chatbot“ der E-Mail-Kommunikation rechtlich gleichzustellen ist – auch noch die wettbewerbsrechtlichen Anforderungen zu beachten sind (z.B. § 7 UWG).
Da der Nutzer seine Einwilligung widerrufen können muss, muss der Widerrufsprozess so gestaltet sein, dass der Nutzer den Widerruf entweder direkt an den Chatbot per einfachem Text senden oder über einen speziellen Link widerrufen kann, ähnlich dem Abbestellen von Newslettern.
Vorsicht bei fremdgehosteten Chatbots von Drittanbietern
Für die Datenverarbeitung, die durch einen Drittanbieter erfolgt, ist zuerst an einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu denken.
Jedoch sollte der Verantwortliche die genauen Datenflüsse und Datennutzungen des Drittanbieters unter die Lupe nehmen. Denn es kann durchaus auch eine gemeinsame Verantwortung gemäß Art. 26 DSGVO in Betracht kommen.
Man denke an das Urteil des Europäischen Gerichtshofs zur gemeinsamen Verantwortung bei Facebook-Fanpages. Sie ist mit weiteren Herausforderungen behaftet.
Erfolgt die Datenverarbeitung über einen Drittanbieter außerhalb der EU bzw. des EWR, müssen Verantwortliche neben den allgemeinen noch die zusätzlichen Voraussetzungen von Art. 44 ff. DSGVO beachten. Prüfen Sie bei Chatbots von Drittanbietern darüber hinaus penibel den erforderlichen Umfang des Datenzugriffs (Datenbank) und die Datensicherheit.
Die E-Privacy-Verordnung, die sich weiter im Entwurfsstadium befindet, könnte die Spielregeln für den rechtskonformen Einsatz von Chatbots deutlich verändern. Haben Sie daher ein Auge auf die rechtliche Entwicklung.
Daten der Chatbot-Kommunikation löschen
Benötigt der Verantwortliche die eingegebenen Daten nach Abschluss des Kommunikationsvorgangs nicht mehr für weitere Zwecke, muss er sie grundsätzlich löschen. Weitere Zwecke sind z.B. die Abwicklung von Gewährleistungsansprüchen oder um gesetzliche Aufbewahrungspflichten zu erfüllen.
Durch die fortlaufende Speicherung der Chatdaten lässt sich nämlich quasi durch die Hintertür ein umfassendes Nutzerprofil – auch vom Betreiber ungewollt – erstellen.
Raten Sie daher, dem Nutzer durch einen Button auch eigenständig die Möglichkeit zu geben, seine gespeicherten Daten vollständig aus der Datenbank des Chatbots zu löschen.
Im Idealfall: Systeme selbst betreiben
Kenntnisse über die konkrete Funktionsweise des Bots sind der erste Schritt in Richtung Datenschutz-Compliance, besonders vor dem Hintergrund des technologischen Fortschritts.
Empfehlenswert ist es zudem, Systeme zu nutzen, die sich im eigenen Haus betreiben lassen. Das vermeidet bereits eine Reihe von Fallstricken.