Chatbots kommen immer häufiger zum Einsatz. Sie werden eingesetzt, wenn es um die Kommunikation mit Menschen geht – egal, ob zur Verbesserung des Kundenservices, zu Marketingzwecken oder im Vertrieb.
Sie ermöglichen Unternehmen erhebliche Kosteneinsparungen durch die Entlastung des Kundensupports und einer ständigen Erreichbarkeit. Dadurch wiederum führen sie zu einer hohen Kundenzufriedenheit und wirken sich idealerweise positiv auf die Reputation von Unternehmen aus. Einer der bekanntesten und verheißungsvollsten Vertreter der intelligenten Chatbots dürfte ohne Zweifel ChatGPT von OpenAI darstellen.
Die Verwendung von Chatbots ist allerdings nicht immer unbedenklich. Vielmehr sind datenschutzrechtliche Aspekte bei der Entwicklung und während des Einsatzes von Chatbots zu berücksichtigen, um Abmahnungen und erhebliche Geldbußen nach der DSGVO zu vermeiden.
Der Begriff setzt sich zusammen aus den Wörtern „Chat“ und „Robot“. Der Name ist Programm: Ein Chatbot ist eine Software oder ein Dienst aus der Cloud und meint ein textbasiertes Dialogsystem, mit dem Nutzer chatten können. Der Chatbot beantwortet Fragen in Echtzeit, ohne direktes Zutun eines Menschen, via Sprach- oder Textnachricht. Bei den bekanntesten Chatbots dürfte es sich um die persönliche Assistentin Siri von Apple und um Alexa von Amazon handeln. Genutzt werden Chatbots vorrangig in Instant Messengern oder auf Websites, um dort dem Nutzer Produkte oder Dienstleistungen zu erklären oder Hilfestellungen zu bieten.
Chatbots funktionieren auf der Basis von künstlicher Intelligenz, sind regelbasiert, anwendungsspezifisch ausgestaltet oder sie stellen eine Hybridvariante dar.
Die regelbasierten Chatbots kommen regelmäßig bei einfachen Abläufen zur Anwendung. Sie greifen auf einen bekannten (Fragen-)Katalog zurück, um auf Anfragen zu reagieren. Vielfach werden den Nutzern vordefinierte Fragen präsentiert. Hiervon abweichende Fragen kann ein Chatbot nicht beantworten. Deshalb ist ihr Anteil an den eingesetzten Chatbots gering.
Bei komplexeren Abläufen kommen nämlich regelmäßig Chatbots, die auf künstlicher Intelligenz (KI) und Natural Language Processing (NLP) basieren, zur Anwendung. Die EU-Kommission beschreibt KI-basierte Systeme als solche mit einem „intelligenten Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“. Sie erkennen die Anfrage und Intention der Nutzer, lernen aus den fortlaufenden Dialogen und entwickeln so ihre Datenbank fortwährend weiter. Das Bundesministerium für Bildung und Forschung (BMBF) sieht in den lernenden Systemen und den Werkzeugen der KI „die nächste Entwicklungsstufe der Digitalisierung“. Sie beschreibt diese als technische Systeme, die Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können.
Der KI basierte Chatbot kann um das Natural Language Understanding (NLU) erweitert werden und so die Anfragen der Nutzer verstehen. Kommen das NLP und das NLU gemeinsam zum Einsatz, kann – anders als beim regelbasierten Chatbot – auch eine freie Texteingabe bearbeitet werden. Die Frage des Nutzers wird in Einzelteile zerlegt, Muster werden erkannt und eine Antwort gefunden.
Daneben gibt es auch den Hybrid-Chatbot. Das ist ein KI-basierter Chatbot, der, wenn er nicht weiterkommt, den Kunden an einen menschlichen Agenten weiterleitet.
Neben den vorbenannten drei technischen Arten der Chatbots gibt es auch die anwendungsspezifischen Chatbots. Diese stellen einen Mix aus den regelbasierten und den intelligenten Dialogen dar.
Wie eingangs erwähnt, hat ChatGPT von OpenAI einen neuen Hype um Chatbots ausgelöst, was im Wesentlichen auf zwei Gründe zurückzuführen sein dürfte:
Am 31. März 2023 ordnete die italienische Datenschutzaufsicht mit sofortiger Wirkung die vorläufige Sperrung von ChatGPT für italienische Nutzer an (Link zur englischsprachigen Pressemeldung). So heißt es in den Gründen der Anordnung unter anderem:
"IN DER ERWÄGUNG, dass die Verarbeitung personenbezogener Daten von Nutzern, einschließlich Minderjähriger, und von betroffenen Personen, deren Daten von dem Dienst verwendet werden, in der oben beschriebenen Situation gegen die Artikel 5, 6, 8, 13 und 25 der Verordnung verstößt;"
Auszug aus den Gründen, Link
Wie diepresse.com unter Berufung auf APA berichtet, reagierte OpenAI zeitnah und hat den Aufruf von ChatGPT für Nutzer in Italien gesperrt.
Der Anwendungsbereich der DSGVO spart die Datenverarbeitung durch den Einsatz von Chatbots nicht aus, denn der erfolgreiche Einsatz verlangt oftmals die Verarbeitung von personenbezogenen Nutzerdaten – wie die IP-Adresse, den Standort, das Kauf- und Suchverhalten – und nicht selten auch etwaige Kundendaten sowie Gesprächs- und Kommunikationsdaten. Das BMBF sieht insbesondere in den KI-Systemen Chancen als auch Risiken. Für sie müsse es möglicherweise neue rechtliche Regelungen geben oder es müsse bestehendes Recht angepasst werden. Das BMBF sieht beispielsweise neue Fragen im Haftungsrecht aufkommen, wenn lernende Systeme mehr und mehr menschliche Aufgaben wahrnehmen, weil die Systeme selbst keine Rechtspersönlichkeit besitzen und sich „Fehlfunktionen Lernender Systeme auch nicht immer zweifelsfrei auf menschliches Verhalten bei der Programmierung oder Bedienung zurückführen [ließen]“.
Umso wichtiger ist die Konformität mit der DSGVO. Diejenigen Unternehmen, die die Chatbots einsetzen, sind als „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO für die Gewährleistung des Datenschutzes zuständig.
Die Verarbeitung personenbezogener Daten muss den in Art. 5 DSGVO normierten Datenschutzgrundprinzipien genügen und rechtmäßig im Sinne des Art. 6 DSGVO sein.
Die Einwilligung ist dabei eine wichtige Grundlage bei der Datenverarbeitung. Sie ist vor der Datenverarbeitung selbst durch eine ausdrückliche und aktive Einwilligung des Nutzers einzuholen. Das Vorliegen einer Einwilligung muss der Verantwortliche nachweisen können, Art. 7 Abs. 1 DSGVO. Oftmals kommen an dieser Stelle sog. „Opt-in-Verfahren“ zur Anwendung. Die Einwilligung kann anschließend jederzeit widerrufen werden.
KI basierte Chatbots, die beispielsweise zur Herbeiführung eines Vertragsschlusses eingesetzt werden und im Anschluss diese Daten in ihre Datenbank zwecks Selbstlernens integrieren, müssen beim Erheben der personenbezogenen Daten an die Einwilligung in die Zweckänderung gemäß Art. 6 Abs. 4 DSGVO denken. Auf die Einwilligung kann es insbesondere dann ankommen, wenn die Datenverarbeitung Werbezwecken dient oder die erhobenen Daten sog. besondere Kategorien personenbezogener Daten (also sensible Daten) im Sinne des Art. 9 Abs. 1 DSGVO zum Gegenstand haben.
Hat der KI-basierte Chatbot die personenbezogenen Daten bereits verarbeitet, stellt sich die Frage, welche Bedeutung ein Widerruf noch hat. Der Verantwortliche darf ab diesem Zeitpunkt nicht mehr auf die personenbezogenen Daten zurückgreifen. In der Konsequenz darf der Chatbot anhand der vorliegenden Daten nicht mehr auf die betroffene Person schließen und ihre ursprünglich erhobenen Daten auch sonst nicht verwenden. Allerdings ist es den selbstlernenden KI-basierten Chatbots immanent, dass diese einmal generierte Daten in irgendeiner Art und Weise fortwirkend weiternutzen. Es stellt sich an dieser Stelle somit die Frage, ob und wie Daten anonymisiert werden können, ohne gleichzeitig die Funktionsfähigkeit des KI-Systems zu beeinträchtigen. Die Entwicklung in der Rechtsprechung und Technik sind abzuwarten.
Neben den Grundsätzen der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Rechenschaftspflicht, Integrität und Vertraulichkeit, sieht die DSGVO auch den Grundsatz der Transparenz im Rahmen der Datenverarbeitung vor, Art. 5 DSGVO.
Die Transparenz im Rahmen der Datenverarbeitung soll unter anderem das Recht der betroffenen Personen auf Auskunft nach Art. 15 DSGVO gewährleisten. Hiernach steht den betroffenen Personen jederzeit ein Anspruch auf Auskunft über die zu ihrer Person gespeicherten personenbezogenen Daten gegen die Verantwortlichen zu.
Die Nutzer sind als betroffene Personen im Sinne des Art. 4 Abs. 1 DSGVO über
zu informieren.
Aufgrund der doch sehr umfangreichen Informationspflichten nach Art. 12 ff. DSGVO ist es regelmäßig empfehlenswert, die Nutzer – neben einem Link zum Impressum – auch über einen Link oder auf vergleichbare Weise auf die Datenschutzerklärung zu verweisen. Aus dieser müssen unter anderem der Zweck, die Art und der Umfang der Datenverarbeitung hervorgehen - sowie die Möglichkeit bestehen zu erfahren, wo und wie das Widerrufsrecht ausgeübt werden kann. Sämtliche Anforderungen an die Datenschutzhinweise können dem Wortlaut des Art. 13 DSGVO entnommen werden.
Für KI-basierte Chatbots, die mit selbstlernenden Systemen ausgestattet sind und somit automatisierte Entscheidungen bei der Datenverarbeitung treffen, gilt hinsichtlich der Informationspflicht gem. Art. 15 DSGVO, dass zusätzlich „aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen“ mitzuteilen sind. Was unter „aussagekräftigen Informationen über die involvierte Logik“ zu verstehen ist, wird nicht einheitlich beantwortet. Insbesondere ob über die Algorithmen, die zum Einsatz kommen, zu informieren ist, wird streitig behandelt. Die Unternehmen dürften wenig Interesse daran haben, unternehmensinterne Geschäftsgeheimnisse über Algorithmen bekanntzugeben. Es sollte jedoch in Betracht gezogen werden, über die grundsätzliche Logik, Verarbeitungsweise und Entscheidungsfindung des Algorithmus zu informieren. Wichtig ist in diesem Zusammenhang auch, dass die zur Verfügung gestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form, d.h. in einer klaren und einfachen Sprache übermittelt werden, Art. 12 Abs. 1 DSGVO.
Die DSGVO sieht vor, dass nicht mehr Daten als überhaupt notwendig verarbeitet werden sollen. Sobald der Zweck der Datenverarbeitung wegfällt, sind die Daten grundsätzlich zu löschen. Dies folgt bereits aus der für die Grundsätze der Verarbeitung personenbezogener Daten zentralen Regelung in Art. 5 DSGVO.
Ein Recht auf Löschung der erhobenen Daten folgt außerdem aus Art. 17 Abs. 1 DSGVO. Hiernach sind gespeicherte Nutzerdaten (z. B. aus der Datenbank der Chatbots) zu löschen, sofern keine triftigen Gründe für den Fortbestand der Speicherung vorliegen. Ein solcher Grund könnte im Abwickeln etwaiger Gewährleistungsrechte/-pflichten oder im Bestehen gesetzlicher Aufbewahrungspflichten bestehen.
Besteht ein solches berechtigtes Löschverlangen eines Nutzers, hat der Verantwortliche unter Umständen zusätzlich andere Stellen darüber zu informieren, dass die betroffene Person die Löschung der personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO.
Den Nutzern steht ferner das Recht zu, die über sie gespeicherten Informationen zu berichtigen, einzuschränken oder herunterzuladen bzw. die Daten zu übertragen. Diese Rechte folgen aus Art. 16 bis 18 und Art. 25 DSGVO.
Für den Einsatz KI-basierter Chatbots wird in der Regel eine sehr große Menge an Daten zur Entscheidungsfindung benötigt, denn die selbstlernenden Systeme beruhen gerade darauf, große – auch personenbezogene – Datenmengen anzusammeln bzw. sich mithilfe neuer Informationen fortzuentwickeln. Hieraus kann ein Konflikt mit dem Datenminimierungsgrundsatz entstehen.
Aus dem Erwägungsgrund 15 der DSGVO folgt, dass der Schutz natürlicher Personen technologieneutral und nicht von den verwendeten Techniken abhängen soll. Der Schutz natürlicher Personen soll für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten. Bei der Entwicklung der KI-basierten Chatbots ist deshalb zu beachten, dass sie technisch so ausgestaltet sein müssen, dass (datenschutzrechtliche) Risiken von vornherein weitestgehend ausgeschlossen werden können, vgl. Art. 25 DSGVO („privacy by design“ und „privacy by default“). Diese Pflicht kann durchaus zur Beeinträchtigung der Entwicklung von KI-Systemen führen bzw. den technologischen Fortschritt hemmen. Der Gesetzgeber löst den Konflikt zwischen technischem Fortschritt und Datenschutz jedoch bewusst zu Gunsten des Datenschutzes.
Diejenigen Unternehmen, die Chatbots einsetzen, haben gem. Art. 32 DSGVO während der Datenverarbeitung die Datensicherheit zu gewährleisten, indem sie etwaige technische und organisatorische Vorkehrungen zum Datenschutz treffen:
Art. 32 DSGVO: Sicherheit der Verarbeitung
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Art. 32 DSGVO
Verantwortliche und Auftragsverarbeiter haben demnach im Einzelfall zu prüfen, welche Vorkehrungen den oben zitierten Anforderungen genügen. Dabei dürfte die Verschlüsselung der Datenübertragung sowie der gespeicherten Daten nur als das Mindestmaß an Maßnahmen zu betrachten sein.
Erfolgt der Einsatz der Chatbots durch Dienstleister, üblicherweise Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO, besteht die Pflicht der Unternehmen (als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO) darin, sicherzustellen, dass die Auftragsverarbeiter die datenschutzrechtlichen Pflichten im Rahmen der Datenverarbeitung einhalten. Es ist den Verantwortlichen also nicht möglich, sich ihren Pflichten durch die Datenverarbeitung durch Dritte gänzlich zu entziehen. Die Zu- und Aufteilung der Pflichten zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgt regelmäßig in einem Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO.
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO sind oftmals die Entwickler des Chatbots, denn sie erheben über den Chatbot die Kundendaten und stellen sie wiederum ihrem Kunden, dem Verantwortlichen, zur Verfügung. Außerdem betreiben Chatbot-Anbieter die Software häufig auf ihren eigenen Servern für den Verantwortlichen.
Ob das Verhältnis zwischen dem Verantwortlichen und dem Chatbot-Anbieter tatsächlich einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO entspricht, sollte das verantwortliche Unternehmen allerdings kritisch prüfen.
Je nach Konstellation kommt anstelle der Auftragsverarbeitung eine gemeinsame Verantwortlichkeit („joint controller“) gem. Art. 26 DSGVO in Betracht. Daher sollte der Verantwortliche die konkreten Datenflüsse und die Verwendung der Daten durch den Chatbot-Anbieter prüfen und im Zweifel hinterfragen.
Verarbeitet der Chatbot-Anbieter die betroffenen personenbezogenen Daten nicht „im Auftrag“ des verantwortlichen Unternehmens (Webseitenbetreiber), sind die Voraussetzungen des Art. 26 DSGVO zu prüfen. Demnach ist von „gemeinsam Verantwortlichen“ auszugehen, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. In diesem Zusammenhang sei auf das Urteil des EuGH vom 5. Juni 2018 (Az. C-210/16) verwiesen, in dem die gemeinsame Verantwortung von Facebook (also Meta) und Fanpage-Betreibern bestätigt wurde.
Erfolgt die Datenverarbeitung nicht innerhalb der europäischen Union bzw. erfolgt eine Datenübermittlung in einen Drittstaat, ist gemäß Art. 44 ff. DSGVO zu gewährleisten, dass das von der DSGVO vorgegebene Schutzniveau gewahrt wird. Dies haben die betroffenen Unternehmen als Verantwortliche sicherzustellen.
Den Verantwortlichen wird außerdem empfohlen, vor dem Einsatz eines Chatbots eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 DSGVO durchzuführen. Dabei ist die Frage zu klären, ob eine Form der Verarbeitung, vor allem bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Kommt die Prüfung zu einem positiven Ergebnis, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
In diesem Zusammenhang ist auch der Erwägungsgrund 91 der DSGVO sehr aufschlussreich:
Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.
Wird KI für die Verarbeitung personenbezogener Daten verwendet – was auf die meisten Chatbots zutreffen dürfte -, ist tatsächlich in aller Regel eine DSFA durchzuführen. Dafür spricht bereits das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO:
Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
Doch auch die sog. „Muss-Listen“ der Datenschutzaufsichtsbehörden der Länder weisen Verarbeitungsvorgänge unter Einsatz von KI als Indiz für die Erforderlichkeit der Durchführung einer DSFA aus:
Maßgebliche Beschreibung der Verarbeitungstätigkeit:
Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person.
Typische Einsatzfelder:
Kundensupport mittels künstlicher Intelligenz.
Beispiele:
Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus. Ein Unternehmen setzt ein System ein, welches mit Kunden durch Konversation interagiert und für deren Beratung personenbezogene Daten durch eine künstliche Intelligenz verarbeitet werden.
Nr. 11 der Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für die gemäß Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung von Verantwortlichen im nicht-öffentlichen Bereich durchzuführen ist (Link)
Wenn Sie erfahren möchten, welche Maßnahmen zu einer DSGVO-konformen Umsetzung von Chatbots beitragen und welche Fallstricke vermieden werden sollten, kontaktieren uns gerne über unser Kontaktformular.
Dieser Blogbeitrag kann Ihnen lediglich erste Hinweise in Bezug auf mögliche datenschutzrechtliche Fallstricke bieten und ersetzt keine Rechtsberatung.
Rechtsanwältin für IT-Recht mit Schwerpunkt im Telekommunikationsrecht und Datenschutzrecht.