Neue Standardvertragsklauseln: Die Übermittlung von personenbezogenen Daten ins Ausland ist inzwischen keine Seltenheit. Sie gehört mittlerweile vielmehr zur Praxis. Dabei ist – insbesondere bei der Übermittlung der Daten ins nicht europäische Ausland – wichtig, dass in dem Land, in dem die personenbezogenen Daten verarbeitet werden, das Schutzniveau der DSGVO gewährleistet wird. Das sollen u.a. die Standardvertragsklauseln sicherstellen.
Seit dem 27. Dezember 2022 müssen die bestehenden Verträge zwischen Verantwortlichen und Auftragsverarbeitern etc. auf neue Standardvertragsklauseln umgestellt worden sein. In diesem Blogbeitrag gehen wir näher auf die Frage ein, welche Konsequenzen daraus für europäische Unternehmen mit Vertragspartnern in Drittstaaten wie den USA resultieren.
Die DSGVO gilt nicht in Drittstaaten. Eines dieser Drittstaaten sind die USA. Es ist gleichwohl erforderlich und zwingend, dass das Schutzniveau der DSGVO gewahrt wird, soweit personenbezogene Daten im Anwendungsbereich der DSGVO ganz oder teilweise in Drittstaaten verarbeitet werden. Das US-amerikanische Recht kennt und kannte jedoch kein Pendant zum europäischen Datenschutzrecht, sodass betroffenen Unternehmen das Übertragen, Speichern und sonstige Verarbeiten der personenbezogenen Daten ihrer Kunden in den USA grundsätzlich untersagt war (vgl. aber Art. 26 Abs. 2 u. 4 der Datenschutzrichtlinie 95/46/EG). Deshalb wurde das sog. „Safe-Harbor“-Verfahren ins Leben gerufen.
US-Unternehmen konnten dem Safe-Harbor beitreten und sich in entsprechende Listen beim FTC (Federal Trade Commission), des US-amerikanischen Handelsministeriums, eintragen lassen. Sie gaben Selbsterklärungen ab, wonach sie verbindlich erklärten, die Safe-Harbor-Principles (Grundsätze des sicheren Hafens) und verbindliche FAQ einzuhalten. In einem Durchführungsbeschluss der Europäischen Kommission vom 16. Juli 2000 bestätigte diese, dass die Unternehmen, die dem Safe-Harbor beigetreten seien, angemessenen Schutz für die Datenübermittlung gewährleiteten. Dieser Durchführungsbeschluss ist ein sog. Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO. Hiernach darf eine Übermittlung personenbezogener Daten an ein Drittland
„[…] vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet“.
Ein Durchführungsbeschluss wird von der Kommission erlassen und stellt eine (Datenschutz-)Garantie im Sinne des Art. 46 Abs. 1 lit. c DSGVO dar. Die personenbezogenen Daten können demnach aus dem Europäischen Wirtschaftsraum (EWR) (d.h. aus den 27 EU-Mitgliedstaaten sowie Norwegen, Liechtenstein und Island) in das betreffende Drittland fließen. Weitere Bedingungen oder Genehmigungen sind für den Transfer ins Drittland nicht erforderlich. Die sog. „2-Stufen-Prüfung“ wird dadurch allerdings nicht entbehrlich.
Auf der ersten Stufe ist für die Datenübermittlung erforderlich, dass die Datenverarbeitung den Anforderungen des Art. 6 DSGVO entspricht. Die Datenverarbeitung muss also zunächst an sich rechtmäßig sein.
Auf der zweiten Stufe ist festzustellen, ob im Ausland für die Datenverarbeitung ein angemessenes Datenschutzniveau besteht.
Die rechtmäßige Datenübermittlung setzt voraus, dass die Prüfung auf beiden Stufen zu einem positiven Ergebnis führt.
Angemessenheitsbeschlüsse dieser Art existieren gegenwärtig u.a. für die Länder Japan, Jersey, Uruguay, Kanada, Schweiz, Neuseeland, das Vereinigte Königreich (UK), Israel und die Republik Korea (Südkorea). Weitere Informationen diesbezüglich finden Sie auf dieser FAQ-Seite der EU-Kommission.
Mit dem Schrems-I Urteil des EuGH vom 6. Oktober 2015 (Rechtssache C-362/14) wurde das Safe-Harbor-Abkommen für ungültig erklärt. Hintergrund dieser Entscheidung war der Umstand, dass durch die Selbsterklärungen nur die US-Unternehmen selbst, nicht jedoch US-amerikanische Sicherheitsbehörden verpflichtet seien, das Schutzniveau des europäischen Datenschutzrechtes zu wahren. Der unberechtigte Zugriff auf die Daten sei nicht ausgeschlossen.
Die sodann zwischen der Europäischen Kommission und der US-amerikanischen Regierung im Jahr 2016 getroffene Absprache über das sog. „EU-US-Privacy-Shield“ (EU-US-Datenschutzschild) fand sein Ende im Schrems-II Urteil des EuGH vom 16. Juli 2020 (Rechtssache C‑311/18), mit welchem auch hier der zum EU-US-Privacy-Shield ergangene Angemessenheitsbeschluss der Europäischen Kommission aufgehoben worden war. Auch hier argumentierte der EuGH einmal mehr, dass der Datenschutz der USA kein im Wesentlichen gleichwertiges Schutzniveau biete.
Die Unternehmen, deren Datenübermittlung nunmehr stockte, mussten sich Alternativen ausdenken. Eine Übergangsfrist hat der EuGH nicht eingeräumt. Als Alternative bot sich die EU-Standardvertragsklausel an. Der EuGH hat die Voraussetzungen einer datenschutzkonformen Übermittlung der personenbezogenen Daten in Drittländer konkretisiert, die sich aus den Art. 44 ff. DSGVO ergeben.
Die Europäische Kommission hat mit dem Durchführungsbeschluss vom 4. Juni 2021 neue Standardvertragsklauseln (auch SCC, engl. Standard Contractual Clauses) zur Übermittlung personenbezogener Daten in Drittländer und zur Auftragsverarbeitung sowie zwischen den Verantwortlichen verabschiedet. Sie hat im Zuge der Kritik im Rahmen des Schrems-II Urteils hin die alten Standardvertragsklauseln (2010/87/EU) überarbeitet. Bei dem Abschluss neuer Verträge seit dem 27. September 2021 sind die neuen SCC (EU 2021/914) verpflichtend zu verwenden.
Gleichzeitig hat die Europäische Kommission eine Umstellungsfrist bis zum 27. Dezember 2022 für Altverträge gesetzt. Mit Ablauf dieser Frist sind die Altverträge unwirksam und die Datenverarbeitung auf dieser Grundlage wird – mangels einer Garantie für die Gewährleistung eines angemessenen Schutzniveaus – rechtswidrig. Die Datenübermittlung auf Grundlage der alten SCC könnte somit zur Verhängung von Bußgeldern durch die jeweiligen Aufsichtsbehörden führen. An dieser Stelle bietet es sich für betroffene Unternehmen an, die Altverträge durch neue Standardvertragsklauseln zu ersetzen, weil Anpassungen i.d.R. einen erhöhten Arbeitsaufwand verursachen und fehleranfällig sein können.
Neue Standardvertragsklauseln stellen eine Garantie nach Maßgabe des Art. 46 Abs. 2 lit. c, Abs. 1 DSGVO dafür dar, dass im Drittland ein angemessenes (Daten-)Schutzniveau gewahrt wird. Dies insbesondere dadurch, dass der Auftragsverarbeitende den Grundsätzen der DSGVO unterworfen wird. Nach den neuen SCC haben die Unternehmen Zusicherungen zu treffen, dass kein Grund zur Annahme besteht, dass sie ihre Pflichten nicht erfüllen werden können.
Die neuen SCC haben gemäß Abschnitt I, Klausel 5 Vorrang vor anderweitigen Vereinbarungen. Sie sehen überdies gemäß Klausel 3 SCC eine Drittbegünstigung für betroffene Personen vor. Die betroffenen Personen können den Datenexporteuer und/oder dem Datenimporteuer gegenüber (mit einigen Ausnahmen) eigene Rechte geltend machen.
Die neuen Standardvertragsklauseln sehen vier Module vor:
Den Vereinbarungen nach den vorbenannten Modulen können Dritte nachträglich als Datenexporteur oder Datenimporteur hinzutreten und den bestehenden Vertrag und die Klauseln nutzen. Es ist dafür die Aufnahme der fakultativen Koppelungsklausel 7 SCC erforderlich. Der Beitretende muss den Anhang I.A. unterzeichnen.
Bei Abschluss eines Vertrags mit den neuen SCC ist überdies ein Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 7 DSGVO nicht erforderlich, weil die neuen SCC nach Modul 2 und 3 auch den Anforderungen an einen Auftragsverarbeitungsvertrag genügen. Das Modul 4 erfasst diejenigen Fälle, in denen der Auftragsverarbeiter Daten von Unternehmen (Verantwortliche) aus Drittländern verarbeitet.
Die neuen SCC sehen modular die Möglichkeit der Rechtswahl nach Klausel 17 SCC sowie des Gerichtsstands nach Klausel 18 SCC vor. Zu der Frage, ob eine Haftungsbeschränkung möglich ist, treffen die Klauseln keine Regelung. In diesem Zusammenhang sollten sich Verantwortliche und Auftragsverarbeiter näher mit den Erwägungsgründen 3 und 14 des Durchführungsbeschlusses 2021/914 auseinandersetzen.
Bei der Übermittlung von Daten in Drittländer sind zudem zusätzliche Schutzmaßnahmen über das TIA (Transfer Impact Assessment) zu ergreifen.
Die TIA meint auch eine sog. Datentransfer-Folgenabschätzung im Sinne der Klauseln 14 und 15 der SCC. In die Gesamtschau der Folgenabschätzung können auch bisherige Erfahrungen mit einschlägigen Erfahrungen über Ersuchen von Behörden in einem Drittland einfließen. Diese Vorgehensweise sehen auch die Empfehlungen des EDSA (Europäischer Datenschutzausschuss) 01/2020, Rn. 47 vor.
In der Klausel 14 SCC sichern die Parteien u.a. zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.
Die Datenexporteure haben nach Klausel 14 lit. b SCC eine Bewertung des Datenschutzniveaus vorzunehmen und ggf. weitere Maßnahmen zwecks Datenschutzes vorzunehmen. Die Bewertung ist zu dokumentieren und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen. Klausel 14 lit. e SCC formuliert eine Benachrichtigungspflicht für den Fall, dass sich nach der Zustimmung des Datenexporteurs zu den Klauseln das Datenschutzniveau ändert.
Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird, Klausel 14 lit. f S. 2 SCC.
In der Klausel 15 SCC erklären sich die Parteien zudem einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen, wenn er ein rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten einer Behörde erhält, die gemäß den SCC übermittelt werden. Die Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten. Ist die Benachrichtigung nach den Rechtsvorschriften des Bestimmungslandes untersagt, erklärt sich der Datenexporteuer einverstanden, sich um eine Aufhebung des Verbots zu bemühen. Diese Anstrengungen sind zu dokumentieren.
Der Datenimporteur hat gemäß Klausel 15.2 SCC die Rechtmäßigkeit des Offenlegungsersuchens anzufechten und diese Bemühungen zu dokumentieren. Mögliche Rechtsmittel sind einzulegen.
Die USA und die EU-Kommission haben sich auf das TADPF „Trans-Atlantic Data Privacy Framework“ (Transatlantischer Datenschutzrahmen) geeinigt. Das TADPF stellt ein Nachfolgemodell zu den bereits unter I. ausgeführten Datenschutzabkommen dar. Der US-amerikanische Präsident hat am 7. Oktober 2022 eine Executive Order (Durchführungsverordnung) unterzeichnet. Es handele sich hierbei um eine Selbstverpflichtung der USA, die „den Schutz der Privatsphäre und der bürgerlichen Freiheiten“ stärkt.
Die Europäische Kommission hat am 13. Dezember 2022 das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA eingeleitet. Der Beschlussentwurf ist veröffentlicht (siehe hier) und dem EDSA zur Stellungnahme übermittelt worden. Laut Kommission biete der Transatlantische Datenschutzrahmen eine Garantie dafür, dass der US-Rechtsrahmen mit dem der EU vergleichbar sei.
Dem Transatlantischen Datenschutzrahmen können sich US-Unternehmen anschließen. Der Datenschutzrahmen sieht eine Datenminimierungs- und Datenlöschungspflicht - sowie die Möglichkeit verschiedene Rechtsbehelfe einzulegen - vor. Darüber hinaus soll der Zugang nationaler Behörden auf die personenbezogenen Daten beschränkt werden. So soll der Zugang zu europäischen Daten auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt werden. Es soll ein Gericht zur Datenschutzüberprüfung geschaffen und die Möglichkeit, auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren, zurückzugreifen, eingerichtet werden. Dies soll EU-Bürger vor der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste schützen.
Neben der Bewertung durch die EDSA ist auch die Zustimmung eines Ausschusses erforderlich, der sich aus Vertretern der EU-Mitgliedsstaaten zusammensetzt. Auch das Europäische Parlament hat ein Recht auf Kontrolle. Nach Abschluss des Verfahrens, kann die Annahme des Beschlussentwurfs erfolgen. Wird der Angemessenheitsbeschluss angenommen, kann der Datentransfer in die USA (vorerst) ohne zusätzliche Datenschutzgarantien erfolgen.
Wenn Sie erfahren möchten, welche Maßnahmen zu einer DSGVO-konformen Umstellung auf neue Standardvertragsklauseln beitragen, kontaktieren uns gerne über unser Kontaktformular.
Dieser Blogbeitrag kann Ihnen lediglich erste Hinweise in Bezug auf mögliche datenschutzrechtliche Besonderheiten im Zusammenhang mit dem Thema "neue Standardvertragsklauseln" bieten und ersetzt keine Rechtsberatung.
Rechtsanwältin für IT-Recht mit Schwerpunkt im Telekommunikationsrecht und Datenschutzrecht.
Chatbots kommen immer häufiger zum Einsatz. Sie werden eingesetzt, wenn es um die Kommunikation mit Menschen geht – egal, ob zur Verbesserung des Kundenservices, zu Marketingzwecken oder im Vertrieb.
Sie ermöglichen Unternehmen erhebliche Kosteneinsparungen durch die Entlastung des Kundensupports und einer ständigen Erreichbarkeit. Dadurch wiederum führen sie zu einer hohen Kundenzufriedenheit und wirken sich idealerweise positiv auf die Reputation von Unternehmen aus. Einer der bekanntesten und verheißungsvollsten Vertreter der intelligenten Chatbots dürfte ohne Zweifel ChatGPT von OpenAI darstellen.
Die Verwendung von Chatbots ist allerdings nicht immer unbedenklich. Vielmehr sind datenschutzrechtliche Aspekte bei der Entwicklung und während des Einsatzes von Chatbots zu berücksichtigen, um Abmahnungen und erhebliche Geldbußen nach der DSGVO zu vermeiden.
Der Begriff setzt sich zusammen aus den Wörtern „Chat“ und „Robot“. Der Name ist Programm: Ein Chatbot ist eine Software oder ein Dienst aus der Cloud und meint ein textbasiertes Dialogsystem, mit dem Nutzer chatten können. Der Chatbot beantwortet Fragen in Echtzeit, ohne direktes Zutun eines Menschen, via Sprach- oder Textnachricht. Bei den bekanntesten Chatbots dürfte es sich um die persönliche Assistentin Siri von Apple und um Alexa von Amazon handeln. Genutzt werden Chatbots vorrangig in Instant Messengern oder auf Websites, um dort dem Nutzer Produkte oder Dienstleistungen zu erklären oder Hilfestellungen zu bieten.
Chatbots funktionieren auf der Basis von künstlicher Intelligenz, sind regelbasiert, anwendungsspezifisch ausgestaltet oder sie stellen eine Hybridvariante dar.
Die regelbasierten Chatbots kommen regelmäßig bei einfachen Abläufen zur Anwendung. Sie greifen auf einen bekannten (Fragen-)Katalog zurück, um auf Anfragen zu reagieren. Vielfach werden den Nutzern vordefinierte Fragen präsentiert. Hiervon abweichende Fragen kann ein Chatbot nicht beantworten. Deshalb ist ihr Anteil an den eingesetzten Chatbots gering.
Bei komplexeren Abläufen kommen nämlich regelmäßig Chatbots, die auf künstlicher Intelligenz (KI) und Natural Language Processing (NLP) basieren, zur Anwendung. Die EU-Kommission beschreibt KI-basierte Systeme als solche mit einem „intelligenten Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“. Sie erkennen die Anfrage und Intention der Nutzer, lernen aus den fortlaufenden Dialogen und entwickeln so ihre Datenbank fortwährend weiter. Das Bundesministerium für Bildung und Forschung (BMBF) sieht in den lernenden Systemen und den Werkzeugen der KI „die nächste Entwicklungsstufe der Digitalisierung“. Sie beschreibt diese als technische Systeme, die Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können.
Der KI basierte Chatbot kann um das Natural Language Understanding (NLU) erweitert werden und so die Anfragen der Nutzer verstehen. Kommen das NLP und das NLU gemeinsam zum Einsatz, kann – anders als beim regelbasierten Chatbot – auch eine freie Texteingabe bearbeitet werden. Die Frage des Nutzers wird in Einzelteile zerlegt, Muster werden erkannt und eine Antwort gefunden.
Daneben gibt es auch den Hybrid-Chatbot. Das ist ein KI-basierter Chatbot, der, wenn er nicht weiterkommt, den Kunden an einen menschlichen Agenten weiterleitet.
Neben den vorbenannten drei technischen Arten der Chatbots gibt es auch die anwendungsspezifischen Chatbots. Diese stellen einen Mix aus den regelbasierten und den intelligenten Dialogen dar.
Wie eingangs erwähnt, hat ChatGPT von OpenAI einen neuen Hype um Chatbots ausgelöst, was im Wesentlichen auf zwei Gründe zurückzuführen sein dürfte:
Am 31. März 2023 ordnete die italienische Datenschutzaufsicht mit sofortiger Wirkung die vorläufige Sperrung von ChatGPT für italienische Nutzer an (Link zur englischsprachigen Pressemeldung). So heißt es in den Gründen der Anordnung unter anderem:
"IN DER ERWÄGUNG, dass die Verarbeitung personenbezogener Daten von Nutzern, einschließlich Minderjähriger, und von betroffenen Personen, deren Daten von dem Dienst verwendet werden, in der oben beschriebenen Situation gegen die Artikel 5, 6, 8, 13 und 25 der Verordnung verstößt;"
Auszug aus den Gründen, Link
Wie diepresse.com unter Berufung auf APA berichtet, reagierte OpenAI zeitnah und hat den Aufruf von ChatGPT für Nutzer in Italien gesperrt.
Der Anwendungsbereich der DSGVO spart die Datenverarbeitung durch den Einsatz von Chatbots nicht aus, denn der erfolgreiche Einsatz verlangt oftmals die Verarbeitung von personenbezogenen Nutzerdaten – wie die IP-Adresse, den Standort, das Kauf- und Suchverhalten – und nicht selten auch etwaige Kundendaten sowie Gesprächs- und Kommunikationsdaten. Das BMBF sieht insbesondere in den KI-Systemen Chancen als auch Risiken. Für sie müsse es möglicherweise neue rechtliche Regelungen geben oder es müsse bestehendes Recht angepasst werden. Das BMBF sieht beispielsweise neue Fragen im Haftungsrecht aufkommen, wenn lernende Systeme mehr und mehr menschliche Aufgaben wahrnehmen, weil die Systeme selbst keine Rechtspersönlichkeit besitzen und sich „Fehlfunktionen Lernender Systeme auch nicht immer zweifelsfrei auf menschliches Verhalten bei der Programmierung oder Bedienung zurückführen [ließen]“.
Umso wichtiger ist die Konformität mit der DSGVO. Diejenigen Unternehmen, die die Chatbots einsetzen, sind als „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO für die Gewährleistung des Datenschutzes zuständig.
Die Verarbeitung personenbezogener Daten muss den in Art. 5 DSGVO normierten Datenschutzgrundprinzipien genügen und rechtmäßig im Sinne des Art. 6 DSGVO sein.
Die Einwilligung ist dabei eine wichtige Grundlage bei der Datenverarbeitung. Sie ist vor der Datenverarbeitung selbst durch eine ausdrückliche und aktive Einwilligung des Nutzers einzuholen. Das Vorliegen einer Einwilligung muss der Verantwortliche nachweisen können, Art. 7 Abs. 1 DSGVO. Oftmals kommen an dieser Stelle sog. „Opt-in-Verfahren“ zur Anwendung. Die Einwilligung kann anschließend jederzeit widerrufen werden.
KI basierte Chatbots, die beispielsweise zur Herbeiführung eines Vertragsschlusses eingesetzt werden und im Anschluss diese Daten in ihre Datenbank zwecks Selbstlernens integrieren, müssen beim Erheben der personenbezogenen Daten an die Einwilligung in die Zweckänderung gemäß Art. 6 Abs. 4 DSGVO denken. Auf die Einwilligung kann es insbesondere dann ankommen, wenn die Datenverarbeitung Werbezwecken dient oder die erhobenen Daten sog. besondere Kategorien personenbezogener Daten (also sensible Daten) im Sinne des Art. 9 Abs. 1 DSGVO zum Gegenstand haben.
Hat der KI-basierte Chatbot die personenbezogenen Daten bereits verarbeitet, stellt sich die Frage, welche Bedeutung ein Widerruf noch hat. Der Verantwortliche darf ab diesem Zeitpunkt nicht mehr auf die personenbezogenen Daten zurückgreifen. In der Konsequenz darf der Chatbot anhand der vorliegenden Daten nicht mehr auf die betroffene Person schließen und ihre ursprünglich erhobenen Daten auch sonst nicht verwenden. Allerdings ist es den selbstlernenden KI-basierten Chatbots immanent, dass diese einmal generierte Daten in irgendeiner Art und Weise fortwirkend weiternutzen. Es stellt sich an dieser Stelle somit die Frage, ob und wie Daten anonymisiert werden können, ohne gleichzeitig die Funktionsfähigkeit des KI-Systems zu beeinträchtigen. Die Entwicklung in der Rechtsprechung und Technik sind abzuwarten.
Neben den Grundsätzen der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Rechenschaftspflicht, Integrität und Vertraulichkeit, sieht die DSGVO auch den Grundsatz der Transparenz im Rahmen der Datenverarbeitung vor, Art. 5 DSGVO.
Die Transparenz im Rahmen der Datenverarbeitung soll unter anderem das Recht der betroffenen Personen auf Auskunft nach Art. 15 DSGVO gewährleisten. Hiernach steht den betroffenen Personen jederzeit ein Anspruch auf Auskunft über die zu ihrer Person gespeicherten personenbezogenen Daten gegen die Verantwortlichen zu.
Die Nutzer sind als betroffene Personen im Sinne des Art. 4 Abs. 1 DSGVO über
zu informieren.
Aufgrund der doch sehr umfangreichen Informationspflichten nach Art. 12 ff. DSGVO ist es regelmäßig empfehlenswert, die Nutzer – neben einem Link zum Impressum – auch über einen Link oder auf vergleichbare Weise auf die Datenschutzerklärung zu verweisen. Aus dieser müssen unter anderem der Zweck, die Art und der Umfang der Datenverarbeitung hervorgehen - sowie die Möglichkeit bestehen zu erfahren, wo und wie das Widerrufsrecht ausgeübt werden kann. Sämtliche Anforderungen an die Datenschutzhinweise können dem Wortlaut des Art. 13 DSGVO entnommen werden.
Für KI-basierte Chatbots, die mit selbstlernenden Systemen ausgestattet sind und somit automatisierte Entscheidungen bei der Datenverarbeitung treffen, gilt hinsichtlich der Informationspflicht gem. Art. 15 DSGVO, dass zusätzlich „aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen“ mitzuteilen sind. Was unter „aussagekräftigen Informationen über die involvierte Logik“ zu verstehen ist, wird nicht einheitlich beantwortet. Insbesondere ob über die Algorithmen, die zum Einsatz kommen, zu informieren ist, wird streitig behandelt. Die Unternehmen dürften wenig Interesse daran haben, unternehmensinterne Geschäftsgeheimnisse über Algorithmen bekanntzugeben. Es sollte jedoch in Betracht gezogen werden, über die grundsätzliche Logik, Verarbeitungsweise und Entscheidungsfindung des Algorithmus zu informieren. Wichtig ist in diesem Zusammenhang auch, dass die zur Verfügung gestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form, d.h. in einer klaren und einfachen Sprache übermittelt werden, Art. 12 Abs. 1 DSGVO.
Die DSGVO sieht vor, dass nicht mehr Daten als überhaupt notwendig verarbeitet werden sollen. Sobald der Zweck der Datenverarbeitung wegfällt, sind die Daten grundsätzlich zu löschen. Dies folgt bereits aus der für die Grundsätze der Verarbeitung personenbezogener Daten zentralen Regelung in Art. 5 DSGVO.
Ein Recht auf Löschung der erhobenen Daten folgt außerdem aus Art. 17 Abs. 1 DSGVO. Hiernach sind gespeicherte Nutzerdaten (z. B. aus der Datenbank der Chatbots) zu löschen, sofern keine triftigen Gründe für den Fortbestand der Speicherung vorliegen. Ein solcher Grund könnte im Abwickeln etwaiger Gewährleistungsrechte/-pflichten oder im Bestehen gesetzlicher Aufbewahrungspflichten bestehen.
Besteht ein solches berechtigtes Löschverlangen eines Nutzers, hat der Verantwortliche unter Umständen zusätzlich andere Stellen darüber zu informieren, dass die betroffene Person die Löschung der personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO.
Den Nutzern steht ferner das Recht zu, die über sie gespeicherten Informationen zu berichtigen, einzuschränken oder herunterzuladen bzw. die Daten zu übertragen. Diese Rechte folgen aus Art. 16 bis 18 und Art. 25 DSGVO.
Für den Einsatz KI-basierter Chatbots wird in der Regel eine sehr große Menge an Daten zur Entscheidungsfindung benötigt, denn die selbstlernenden Systeme beruhen gerade darauf, große – auch personenbezogene – Datenmengen anzusammeln bzw. sich mithilfe neuer Informationen fortzuentwickeln. Hieraus kann ein Konflikt mit dem Datenminimierungsgrundsatz entstehen.
Aus dem Erwägungsgrund 15 der DSGVO folgt, dass der Schutz natürlicher Personen technologieneutral und nicht von den verwendeten Techniken abhängen soll. Der Schutz natürlicher Personen soll für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten. Bei der Entwicklung der KI-basierten Chatbots ist deshalb zu beachten, dass sie technisch so ausgestaltet sein müssen, dass (datenschutzrechtliche) Risiken von vornherein weitestgehend ausgeschlossen werden können, vgl. Art. 25 DSGVO („privacy by design“ und „privacy by default“). Diese Pflicht kann durchaus zur Beeinträchtigung der Entwicklung von KI-Systemen führen bzw. den technologischen Fortschritt hemmen. Der Gesetzgeber löst den Konflikt zwischen technischem Fortschritt und Datenschutz jedoch bewusst zu Gunsten des Datenschutzes.
Diejenigen Unternehmen, die Chatbots einsetzen, haben gem. Art. 32 DSGVO während der Datenverarbeitung die Datensicherheit zu gewährleisten, indem sie etwaige technische und organisatorische Vorkehrungen zum Datenschutz treffen:
Art. 32 DSGVO: Sicherheit der Verarbeitung
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Art. 32 DSGVO
Verantwortliche und Auftragsverarbeiter haben demnach im Einzelfall zu prüfen, welche Vorkehrungen den oben zitierten Anforderungen genügen. Dabei dürfte die Verschlüsselung der Datenübertragung sowie der gespeicherten Daten nur als das Mindestmaß an Maßnahmen zu betrachten sein.
Erfolgt der Einsatz der Chatbots durch Dienstleister, üblicherweise Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO, besteht die Pflicht der Unternehmen (als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO) darin, sicherzustellen, dass die Auftragsverarbeiter die datenschutzrechtlichen Pflichten im Rahmen der Datenverarbeitung einhalten. Es ist den Verantwortlichen also nicht möglich, sich ihren Pflichten durch die Datenverarbeitung durch Dritte gänzlich zu entziehen. Die Zu- und Aufteilung der Pflichten zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgt regelmäßig in einem Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO.
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO sind oftmals die Entwickler des Chatbots, denn sie erheben über den Chatbot die Kundendaten und stellen sie wiederum ihrem Kunden, dem Verantwortlichen, zur Verfügung. Außerdem betreiben Chatbot-Anbieter die Software häufig auf ihren eigenen Servern für den Verantwortlichen.
Ob das Verhältnis zwischen dem Verantwortlichen und dem Chatbot-Anbieter tatsächlich einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO entspricht, sollte das verantwortliche Unternehmen allerdings kritisch prüfen.
Je nach Konstellation kommt anstelle der Auftragsverarbeitung eine gemeinsame Verantwortlichkeit („joint controller“) gem. Art. 26 DSGVO in Betracht. Daher sollte der Verantwortliche die konkreten Datenflüsse und die Verwendung der Daten durch den Chatbot-Anbieter prüfen und im Zweifel hinterfragen.
Verarbeitet der Chatbot-Anbieter die betroffenen personenbezogenen Daten nicht „im Auftrag“ des verantwortlichen Unternehmens (Webseitenbetreiber), sind die Voraussetzungen des Art. 26 DSGVO zu prüfen. Demnach ist von „gemeinsam Verantwortlichen“ auszugehen, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. In diesem Zusammenhang sei auf das Urteil des EuGH vom 5. Juni 2018 (Az. C-210/16) verwiesen, in dem die gemeinsame Verantwortung von Facebook (also Meta) und Fanpage-Betreibern bestätigt wurde.
Erfolgt die Datenverarbeitung nicht innerhalb der europäischen Union bzw. erfolgt eine Datenübermittlung in einen Drittstaat, ist gemäß Art. 44 ff. DSGVO zu gewährleisten, dass das von der DSGVO vorgegebene Schutzniveau gewahrt wird. Dies haben die betroffenen Unternehmen als Verantwortliche sicherzustellen.
Den Verantwortlichen wird außerdem empfohlen, vor dem Einsatz eines Chatbots eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 DSGVO durchzuführen. Dabei ist die Frage zu klären, ob eine Form der Verarbeitung, vor allem bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Kommt die Prüfung zu einem positiven Ergebnis, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
In diesem Zusammenhang ist auch der Erwägungsgrund 91 der DSGVO sehr aufschlussreich:
Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.
Wird KI für die Verarbeitung personenbezogener Daten verwendet – was auf die meisten Chatbots zutreffen dürfte -, ist tatsächlich in aller Regel eine DSFA durchzuführen. Dafür spricht bereits das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO:
Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
Doch auch die sog. „Muss-Listen“ der Datenschutzaufsichtsbehörden der Länder weisen Verarbeitungsvorgänge unter Einsatz von KI als Indiz für die Erforderlichkeit der Durchführung einer DSFA aus:
Maßgebliche Beschreibung der Verarbeitungstätigkeit:
Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person.
Typische Einsatzfelder:
Kundensupport mittels künstlicher Intelligenz.
Beispiele:
Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus. Ein Unternehmen setzt ein System ein, welches mit Kunden durch Konversation interagiert und für deren Beratung personenbezogene Daten durch eine künstliche Intelligenz verarbeitet werden.
Nr. 11 der Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für die gemäß Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung von Verantwortlichen im nicht-öffentlichen Bereich durchzuführen ist (Link)
Wenn Sie erfahren möchten, welche Maßnahmen zu einer DSGVO-konformen Umsetzung von Chatbots beitragen und welche Fallstricke vermieden werden sollten, kontaktieren uns gerne über unser Kontaktformular.
Dieser Blogbeitrag kann Ihnen lediglich erste Hinweise in Bezug auf mögliche datenschutzrechtliche Fallstricke bieten und ersetzt keine Rechtsberatung.
Rechtsanwältin für IT-Recht mit Schwerpunkt im Telekommunikationsrecht und Datenschutzrecht.