Chatbots

Ein Chatbot ist ein softwarebasiertes Dialogsystem, das text- oder sprachbasierte Kommunikation in natürlicher Sprache ermöglicht. Diese Technologie wird häufig im Kundendienst und in der Kundenbetreuung eingesetzt, zum Beispiel auf Websites als Chatfenster, um häufig gestellte Fragen zu beantworten oder den Nutzern gezielt relevante Informationen interaktiv zur Verfügung zu stellen. Aus technischer Sicht ist zu beachten, dass es verschiedene Arten von Chatbots gibt, die von einfachen regelbasierten Systemen bis hin zu Systemen mit künstlicher Intelligenz (KI) reichen. Regelbasierte Chatbots haben meist begrenzte Dialogfähigkeiten und können normalerweise nur eine bestimmte Anzahl von Wörtern interpretieren und Anfragen beantworten. KI-basierte Chatbots hingegen können durch verschiedene Verfahren der künstlichen Intelligenz meist intelligentere Dialoge mit den Nutzern führen.

Prominente Beispiele für (generative) KI-basierte Chatbots wie ChatGPT von OpenAI und LaMDA (Google Bard) haben in letzter Zeit grosse Aufmerksamkeit und Popularität erlangt. Mit der weiteren Verbreitung dieser Technologien rücken auch datenschutzrechtliche Fragen im Zusammenhang mit dem Einsatz von Chatbots zunehmend in den Fokus.

Chatbot-Systeme werden in vielen Fällen als Cloud Services angeboten. Wir verweisen daher an dieser Stelle auf die allgemeinen datenschutzrechtlichen Anforderungen an die Nutzung von Cloud Services, die Sie hier auf unserer Internetseite finden. Darüber hinaus sind bei Chatbots aufgrund der besonderen Herausforderungen, die sich aus ihrem Einsatz für die Rechte der Betroffenen ergeben können, zusätzliche Anforderungen zu beachten, über die wir Sie im Folgenden informieren.

Chatbots und Datenschutz:

Aus datenschutzrechtlicher Sicht muss der Verantwortliche zum Einen sicherstellen, dass die konkrete Datenverarbeitung durch den Chatbot auf die richtige Rechtsgrundlage gemäss Art. 6 Abs. 1 und ev. Art. 9 Abs. 2 DSGVO gestützt ist, und zum Anderen, dass die betroffenen Nutzer transparent über alle damit verbundenen Verarbeitungsvorgänge informiert werden.

Darüber hinaus können sich je nach konkretem Einsatz des Chatbot-Systems weitere Anforderungen ergeben, etwa im Hinblick auf den Umgang mit Cookies, die Dauer der Speicherung von Chatbot-Daten sowie die Verarbeitung sensibler Daten (z.B. Gesundheitsdaten) oder die Zulässigkeit der Weiterverwendung von Chatbot-Daten durch Auftragsverarbeiter bzw. Unterauftragsverarbeiter für eigene Zwecke. Zu diesen Spezialthemen verweisen wir im letzten Abschnitt auf empfohlene weiterführende Informationsquellen.

Rechtsgrundlagen

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage nach Art. 6 Abs. 1 und ev. Art. 9 Abs. 2 DSGVO. Je nach Zweck eines Chatbots kann eine andere Rechtsgrundlage für die Datenverarbeitung in Frage kommen.

Eine Möglichkeit besteht darin, die Verarbeitung auf die Rechtsgrundlage der Einwilligung (Art. 6 Abs. 1 Bst. a DSGVO) zu stützen. Dies bedeutet in der Regel, dass die betroffene Person vor der Verarbeitung ihrer Daten aktiv einwilligen muss oder dass die Einwilligung konkludent durch den aktiven und freiwilligen Aufruf des Chatbots und die Übermittlung ihrer Daten erfolgt. Eine weitere Rechtsgrundlage für die Datenverarbeitung können vorvertragliche Massnahmen oder die Vertragserfüllung sein (Art. 6 Abs. 1 Bst. b DSGVO), etwa wenn Waren oder Dienstleistungen über den Chatbot bestellt werden oder es um Fragen der Gewährleistung oder des gesetzlichen Widerrufsrechts geht. Auch das berechtigte Interesse des Verantwortlichen kann als Rechtsgrundlage dienen (Art. 6 Abs. 1 Bst. f DSGVO). Dies könnte beispielsweise der Fall sein, wenn Kundenanfragen durch einen Chatbot bearbeitet werden und nur die für die Beantwortung der Anfrage notwendigen Informationen zur Verfügung gestellt werden. Werden darüber hinaus zum Beispiel statistische Erhebungen über die Nutzung des Chatbots durchgeführt, so wäre auch dies auf das berechtigte Interesse (Art. 6 Abs. 1 Bst. f DSGVO) zu stützen. Es gilt jedoch – wie bei allen Rechtsgrundlagen – auch hier der Grundsatz der Zweckbindung, das heisst, das berechtigte Interesse darf sich nur auf den Zweck beziehen, den die Nutzer bei der Verwendung des Chatbots vernünftigerweise erwarten können. Geht die Datenverarbeitung jedoch über die Beantwortung der Anfrage hinaus, zum Beispiel durch die Erstellung von Profilen zu Werbezwecken, ist hierfür eine gesonderte Einwilligung nach Art. 6 Abs. 1 Bst. a DSGVO erforderlich.

Weitere Informationen zum berechtigten Interesse finden Sie hier.

Informationspflicht

Jeder Betreiber einer Internetseite ist gemäss Art. 13 (und Art. 14) DSGVO verpflichtet, die Nutzer über alle Vorgänge zu informieren, bei denen ihre personenbezogenen Daten verarbeitet werden. Nebst den allgemeinen Informationen zum Verantwortlichen und zu den Betroffenenrechten muss deshalb in einer entsprechenden Datenschutzerklärung auch für jedes eingesetzte Tool auf der Internetseite (einschliesslich Chatbot-Systeme), mit dem personenbezogene Daten verarbeitet werden, gesondert Folgendes angegeben werden:

Kategorien der verarbeiteten Daten;
Zweck der Verarbeitung;
Rechtsgrundlage(n);
wenn die Verarbeitung auf Art. 6 Abs. 1 Bst. f DSGVO beruht, die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden;
Speicherdauer der personenbezogenen Daten;
allfällige Empfänger der personenbezogenen Daten;
allfällige Quellen der personenbezogenen Daten, wenn sie nicht selbst erhoben werden;
gegebenenfalls Informationen über eine automatisierte Entscheidfindung.

Weitere Informationen zur Informationspflicht gemäss Art. 13 (und Art. 14) DSGVO finden Sie hier.

Hinweis: Damit die Nutzer bei der Kommunikation mit dem Chatbot über die Verarbeitungszwecke, die Rechtsgrundlage, die Identität des Verantwortlichen, die Betroffenenrechte usw. informiert werden, sollte der Chatbot auf die entsprechenden Datenschutzinformationen verlinken.

(Aktuelle) Rechtsunsicherheiten bei (generativen) KI-basierten Chatbot-Systemen

Derzeit beschäftigen sich mehrere europäische Datenschutzbehörden mit datenschutzrechtlichen Fragen im Zusammenhang mit dem Einsatz von KI-basierten (generativen) Chatbot-Systemen – insbesondere mit der Frage, ob solche Lösungen den Anforderungen des europäischen Datenschutzrechts genügen. So ist etwa bei dem von der OpenAI, L.L.C. angebotenen Dienst ChatGPT und den damit verbundenen GPT-Sprachmodellen insbesondere fraglich, ob die Datenverarbeitung den datenschutzrechtlichen Grundprinzipien der Art. 5 und 25 DSGVO entspricht, ob sie auf einer wirksamen Rechtsgrundlage nach Art. 6 DSGVO beruht und ob die besonderen Anforderungen des Art. 8 DSGVO an die Verarbeitung von Daten Minderjähriger sowie der Art. 13 und 14 DSGVO an die transparente Information der Betroffenen eingehalten werden. Dies betrifft insbesondere die Erhebung der personenbezogenen Daten aus öffentlich zugänglichen Quellen, die Verwendung dieser personenbezogenen Daten als Trainingsdaten im Rahmen des maschinellen Lernens, die Speicherung der personenbezogenen Daten infolge des maschinellen Lernens und die Verarbeitung der personenbezogenen Daten der Nutzerinnen und Nutzer von ChatGPT. Erschwerend kommt in diesem Zusammenhang hinzu, dass Nutzerinnen und Nutzer in der Regel technisch nicht daran gehindert werden können, personenbezogene und sensible Informationen an Chatbot-Systeme zu übermitteln, was aufgrund der oben genannten Rechtsunsicherheiten zu erheblichen Risiken für die Rechte und Freiheiten natürlicher Personen führen kann.
Weiterführende Informationsquellen
Die französische Datenschutz-Aufsichtsbehörde (CNIL) hat zwei informative Empfehlungen bzw. Leitfäden zum Thema Chatbots und Cloud Services veröffentlicht:
- Chatbots: les conseils de la CNIL pour respecter les droits des personnes (Text nur auf Französisch):
  Die Empfehlungen enthalten u.a. Hinweise zum Umgang mit Cookies im Zusammenhang mit Chatbots, zur Speicherdauer von Chatbot-Daten sowie zur Verarbeitung sensibler Daten (z.B. Gesundheitsdaten) und zur Umsetzung entsprechender Massnahmen zur Risikominimierung in diesem Zusammenhang.
- Sous-traitants: la réutilisation de données confiées par un responsable de traitement (Text nur auf Französisch):
  Der Leitfaden enthält wichtige Hinweise, was der Verantwortliche aus datenschutzrechtlicher Sicht zu beachten hat, wenn der eingesetzte Auftragsverarbeiter (z.B. Anbieter eines Chatbot-Systems) beabsichtigt, die personenbezogenen Daten der Chatbot-Nutzer für eigene Zwecke (z.B. zur Verbesserung der eigenen Produkte und Dienstleistungen) weiterzuverwenden.