Chatbots: Datenschutz-Basics

Angebote werden komplexer, Informationen sind in Massen verfügbar, die Übersicht leidet, die Geduld fehlt. Für viele Unternehmen sind Chatbots eine gute Lösung, mit den NutzerInnen in Kontakt zu treten, ihnen schnell die gesuchten Inhalte zu liefern und dafür nicht Tag und Nacht MitarbeiterInnen bereithalten zu müssen. 

Nutzen von Chatbots

Chatbots sind, anders als Service-Chats, nämlich keine Menschen, sondern Programme. Auf einer Webseite eingebunden liefern diese interaktiv im Dialogverfahren Antworten auf beispielsweise die häufigsten Fragen. Und das selbstständig und zu jeder Tages- und Nachtzeit. Werden Chatbots eingesetzt, agieren KundInnen also nicht mit Mitarbeitenden eines Unternehmens, werden aber dennoch in einem gewissen Rahmen individuell betreut.
So kann ein individuell gestalteter Chatbot eine Ergänzung zu einer Hotline darstellen oder die BesucherInnen einer Webseite bei der Recherche unterstützen. Hier entlastet ein Chatbot besonders bei stets wiederkehrenden Anfragen oder Themen.

markus-spiske
Original Photo by markus-spiske from unsplash

Doch reicht es nicht, einen Chatbot zu “schulen” und auf der Webseite einzubinden, ehe man ihn auf die NutzerInnen loslässt. Man muss auch den Datenschutz von Grund auf mitdenken, damit die Lösung den rechtlichen Anforderungen entspricht und kein teurer Boomerang wird. Die Commission Nationale de l’Informatique et des Libertés hat hierzu einen hilfreichen Artikel veröffentlicht, welchen wir hier einfließen lassen wollen. 

Folgende Themen sollten schon vor der Implementierung eines Chatbots bedacht werden: 

  • Cookie-Management
  • Löschfristen
  • automatisierte Entscheidungsfindung
  • Umgang mit sensiblen Daten

Cookie-Management

In der Regel ist es unumgänglich, für die Nutzbarkeit des Chatbots einen Cookie auf dem System der NutzerInnen zu hinterlegen. Dieser Cookie ermöglicht es unter anderem die Unterhaltung fortzuführen, auch wenn die NutzerInnen verschiedene Seiten der Webseite aufrufen.

Hier gibt es zwei Möglichkeiten zur Umsetzung: 

  1. Direkt beim Aufruf der Seite, also noch vor der Aktivierung des Chatbots, holt man bei den BesucherInnen der Webseite eine freiwillige und informierte Einwilligung über sein Cookie Management-System ein.
  2. Erst wenn die BesucherInnen den Chatbot tatsächlich bewusst aktivieren, wird der Cookie hinterlegt. Hier ist er für die Bereitstellung des Chats unbedingt erforderlich, also essentiell, und bedarf somit keiner Zustimmung des Nutzers.
    Dies gilt allerdings nur, solange der Cookie auch wirklich ausschließlich zum Zweck der Bereitstellung des Chatbots dient. Sobald der Zweck beispielsweise um Marketing-Funktionen ausgeweitet wird, ist eine Zustimmung seitens der NutzerInnen erforderlich. Allerdings sollte auch bei einem essentiellen Cookie der Hinweis auf die Datenschutzerklärung nicht fehlen, in der sich dieser Cookie auch wiederfinden sollte. 

Es gibt, wie man sieht, keine dritte Lösung. Es ist nämlich sehr wahrscheinlich nicht zulässig, den Cookie des Chatbots direkt als essentiell einzustufen und ihn somit ohne aktive Zustimmung auf den Rechnern der NutzerInnen zu speichern, sobald diese die Webseite aufrufen. (Weitere Informationen hierzu gibt es in unserem Artikel “No consent, no cookie”.)

Löschfristen

Auch bei Chatbots gilt: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es zur Erfüllung des festgelegten Zwecks erforderlich ist.  Hier muss man also die Aufbewahrungsfristen nach den jeweiligen Zwecken unterscheiden:

  • Personenbezogene Daten, welche bei der Unterstützung von NutzerInnen bei der Recherche oder durch Kaufberatung erhoben wurden, werden in der Regel nicht mehr benötigt, wenn dieser Vorgang abgeschlossen ist. 
  • Leistet der Chatbot allerdings Support in Form von Aufnahmen von Reklamationen, ist es legitim, diese Daten länger zu speichern. 

Automatisierte Entscheidungsfindung

Wer plant, einen Chatbot einzusetzen, um aufgrund der Konversation zwischen dem Bot und den NutzerInnen eine automatische Entscheidung zu treffen, muss sich sehr viel mehr Gedanken um die Gestaltung machen. Beispielsweise, wenn man den Bot nutzen möchte, um über Kreditanträge oder Tarife zu entscheiden.

Eine automatisierte Entscheidungsfindung, welche rechtliche Folgen für die betroffene Person nach sich zieht oder diese in ähnlicher Weise erheblich beeinträchtigen könnte, ist laut DSGVO zunächst einmal verboten. Es sei denn, es wurden Maßnahmen ergriffen, um die Wahrung der Rechte, Freiheiten und Interessen der betroffenen Person zu schützen. Diese Maßnahmen könnten beispielsweise so gestaltet sein, dass die betroffenen Personen die Möglichkeit haben, in den Vorgang einen “echten” Mitarbeitenden zu involvieren oder die Entscheidung anders anzufechten. 

Eine automatisierte Entscheidungsfindung ist außerdem möglich, wenn:

  • die betroffene Person ihr ausdrückliches Einverständnis gegeben hat. Hierzu gehört, dass diese Entscheidung absolut freiwillig und nur nach ausführlicher Information erfolgt
  • die Entscheidung erforderlich ist, um einen bereits bestehenden Vertrag zwischen der betroffenen Person und dem Verantwortlichen zu erfüllen oder
  • die Entscheidung nach dem Recht der Europäischen Union oder dem Recht eines Mitgliedstaats zulässig ist.

Wie Sie sehen: Spätestens hier sollte man sich unbedingt fachliche Unterstützung durch Datenschutzbeauftragte suchen, da bei einer automatisierten Entscheidungsfindung in der Regel auch eine besonders umfassende Risikoanalyse, eine sogenannte Datenschutzfolgen-Abschätzung, notwendig ist.  Spätestens wenn man solche Verarbeitungen im Unternehmen hat, kommt man auch nicht länger um einen eigenen Datenschutzbeauftragten herum. 

Sensible Daten

Aus der Verwaltung von Kommentaren in Kommentarbereichen und dergleichen ist es bereits bekannt, dass man besonders achtsam hinsichtlich sensibler Daten sein muss. So ist die Verarbeitung von beispielsweise Informationen über Gesundheit, über politische Ansichten und die sexuelle Neigung durch die DSGVO grundsätzlich verboten, sofern keine ausdrückliche Einwilligung oder eine andere Ausnahme greift. 

Solche Daten können einem aber im Zuge des Einsatzes eines Chatbots durchaus begegnen:

  1. Wenn solche Daten für den Vorgang relevant und somit vorhersehbar sind
    Setzt man einen Chatbot beispielsweise ein, um gesundheitliche oder sexuelle Minderheiten zu unterstützen, ist es sowohl relevant als auch erwartbar, dass Informationen über Gesundheitsdaten oder sexuelle Neigungen erfasst werden.
    Hier muss sichergestellt werden, dass eine Ausnahme greift, welche die Verarbeitung von sensiblen Daten rechtlich auf ein sicheres Fundament stellt. Außerdem sollte hier bedacht werden, dass unter Umständen eine Datenschutzfolgen-Abschätzung erforderlich wird.
  2. Wenn solche Daten für den Vorgang nicht relevant oder vorhersehbar sind und trotzdem anfallen
    Da ein Chatbot nun mal davon lebt, dass NutzerInnen ein Freitextfeld haben, um Informationen zur Verfügung zu stellen, ist es nicht auszuschließen, dass hier Daten preisgegeben werden, die nicht benötigt werden und deshalb auch nicht vorgesehen sind. Hier ist es so, dass man keine Einwilligung zur Verarbeitung dieser Daten einholen muss, da eine Verarbeitung nicht angestrebt wird. Die Daten wurden dem Unternehmen “aufgezwungen”.
    Um die Betroffenen zu schützen, sollte man trotzdem Maßnahmen ergreifen, um das Risiko für die Rechte und Freiheiten dieser Person zu minimieren.
    Beispielsweise, indem man vor der Nutzung des Chatbots eine Meldung anzeigt, die nicht nur die Einsicht in die Datenschutzhinweise möglich macht, sondern auch darauf hinweist, dass sensible Daten wie Gesundheitsdaten und Ähnliches nicht eingegeben werden sollen. Der Vollständigkeit halber wäre es auch im Sinne der Datensicherheit sinnvoll, diesen Hinweis um einen Verzicht der Preisgabe von LogIn-Daten oder Finanzinformationen zu erweitern. 

Wer rechtzeitig gewarnt wurde, ist schon halb gerettet

Sollte man sich also mit dem Gedanken tragen, einen Chatbot auf der Webseite einsetzen zu wollen, ist es sinnvoll, sich bereits frühzeitig mit den datenschutzrechtlichen Themen zu befassen, da man die Erkenntnisse und Vorgaben dann direkt von Anfang an in das Projekt einflechten kann. So erspart man sich mühsame (und eventuell teure) Anpassungen im Nachgang.

Das Thema frühzeitig abzuklären ist besonders dann notwendig, wenn man einen Dienstleister mit der Implementierung beauftragt. Denn das beauftragende Unternehmen bleibt auch dann der Verantwortliche und muss die Rechtssicherheit des Projektes gewährleisten. 

Und wer aktuell einen Chatbot nutzt und den Datenschutz bisher großräumig ausgeklammert hat, der kann sich jetzt vielleicht anhand dieser Stichpunkte dem Thema wieder annähern. 

Denn: Datenschutz wir hier schnell zum Boomerang – what you give, you get.

Wir sind Partner von mercury.ai, einer Plattform für Conversational AI. Gemeinsam entwickeln wir gelungene digitale Experiences – mit großem Augenmerk auf Datenschutz. Wenn Du Dich dafür interessierst oder selber ein Chatbot-Projekt planst; melde Dich gerne bei uns über marketing@comspace.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dieses Formular speichert Deinen Namen, Deine E-Mail-Adresse sowie den Inhalt, damit wir die Kommentare auf unserer Seite auswerten und anzeigen können. Weitere Informationen findest Du in unserer Datenschutzerklärung.