Chatbots

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage nach Art. 6 Abs. 1 und ev. Art. 9 Abs. 2 DSGVO. Je nach Zweck eines Chatbots kann eine andere Rechtsgrundlage für die Datenverarbeitung in Frage kommen.

Eine Möglichkeit besteht darin, die Verarbeitung auf die Rechtsgrundlage der Einwilligung (Art. 6 Abs. 1 Bst. a DSGVO) zu stützen. Dies bedeutet in der Regel, dass die betroffene Person vor der Verarbeitung ihrer Daten aktiv einwilligen muss oder dass die Einwilligung konkludent durch den aktiven und freiwilligen Aufruf des Chatbots und die Übermittlung ihrer Daten erfolgt. Eine weitere Rechtsgrundlage für die Datenverarbeitung können vorvertragliche Massnahmen oder die Vertragserfüllung sein (Art. 6 Abs. 1 Bst. b DSGVO), etwa wenn Waren oder Dienstleistungen über den Chatbot bestellt werden oder es um Fragen der Gewährleistung oder des gesetzlichen Widerrufsrechts geht. Auch das berechtigte Interesse des Verantwortlichen kann als Rechtsgrundlage dienen (Art. 6 Abs. 1 Bst. f DSGVO). Dies könnte beispielsweise der Fall sein, wenn Kundenanfragen durch einen Chatbot bearbeitet werden und nur die für die Beantwortung der Anfrage notwendigen Informationen zur Verfügung gestellt werden. Werden darüber hinaus zum Beispiel statistische Erhebungen über die Nutzung des Chatbots durchgeführt, so wäre auch dies auf das berechtigte Interesse (Art. 6 Abs. 1 Bst. f DSGVO) zu stützen. Es gilt jedoch – wie bei allen Rechtsgrundlagen – auch hier der Grundsatz der Zweckbindung, das heisst, das berechtigte Interesse darf sich nur auf den Zweck beziehen, den die Nutzer bei der Verwendung des Chatbots vernünftigerweise erwarten können. Geht die Datenverarbeitung jedoch über die Beantwortung der Anfrage hinaus, zum Beispiel durch die Erstellung von Profilen zu Werbezwecken, ist hierfür eine gesonderte Einwilligung nach Art. 6 Abs. 1 Bst. a DSGVO erforderlich.

Weitere Informationen zum berechtigten Interesse finden Sie hier.

Jeder Betreiber einer Internetseite ist gemäss Art. 13 (und Art. 14) DSGVO verpflichtet, die Nutzer über alle Vorgänge zu informieren, bei denen ihre personenbezogenen Daten verarbeitet werden. Nebst den allgemeinen Informationen zum Verantwortlichen und zu den Betroffenenrechten muss deshalb in einer entsprechenden Datenschutzerklärung auch für jedes eingesetzte Tool auf der Internetseite (einschliesslich Chatbot-Systeme), mit dem personenbezogene Daten verarbeitet werden, gesondert Folgendes angegeben werden:

• Kategorien der verarbeiteten Daten;
• Zweck der Verarbeitung;
• Rechtsgrundlage(n);
• wenn die Verarbeitung auf Art. 6 Abs. 1 Bst. f DSGVO beruht, die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden;
• Speicherdauer der personenbezogenen Daten;
• allfällige Empfänger der personenbezogenen Daten;
• allfällige Quellen der personenbezogenen Daten, wenn sie nicht selbst erhoben werden;
• gegebenenfalls Informationen über eine automatisierte Entscheidfindung.

Weitere Informationen zur Informationspflicht gemäss Art. 13 (und Art. 14) DSGVO finden Sie hier.

Hinweis: Damit die Nutzer bei der Kommunikation mit dem Chatbot über die Verarbeitungszwecke, die Rechtsgrundlage, die Identität des Verantwortlichen, die Betroffenenrechte usw. informiert werden, sollte der Chatbot auf die entsprechenden Datenschutzinformationen verlinken.

Derzeit beschäftigen sich mehrere europäische Datenschutzbehörden mit datenschutzrechtlichen Fragen im Zusammenhang mit dem Einsatz von KI-basierten (generativen) Chatbot-Systemen – insbesondere mit der Frage, ob solche Lösungen den Anforderungen des europäischen Datenschutzrechts genügen. So ist etwa bei dem von der OpenAI, L.L.C. angebotenen Dienst ChatGPT und den damit verbundenen GPT-Sprachmodellen insbesondere fraglich, ob die Datenverarbeitung den datenschutzrechtlichen Grundprinzipien der Art. 5 und 25 DSGVO entspricht, ob sie auf einer wirksamen Rechtsgrundlage nach Art. 6 DSGVO beruht und ob die besonderen Anforderungen des Art. 8 DSGVO an die Verarbeitung von Daten Minderjähriger sowie der Art. 13 und 14 DSGVO an die transparente Information der Betroffenen eingehalten werden. Dies betrifft insbesondere die Erhebung der personenbezogenen Daten aus öffentlich zugänglichen Quellen, die Verwendung dieser personenbezogenen Daten als Trainingsdaten im Rahmen des maschinellen Lernens, die Speicherung der personenbezogenen Daten infolge des maschinellen Lernens und die Verarbeitung der personenbezogenen Daten der Nutzerinnen und Nutzer von ChatGPT. Erschwerend kommt in diesem Zusammenhang hinzu, dass Nutzerinnen und Nutzer in der Regel technisch nicht daran gehindert werden können, personenbezogene und sensible Informationen an Chatbot-Systeme zu übermitteln, was aufgrund der oben genannten Rechtsunsicherheiten zu erheblichen Risiken für die Rechte und Freiheiten natürlicher Personen führen kann.

Die französische Datenschutz-Aufsichtsbehörde (CNIL) hat zwei informative Empfehlungen bzw. Leitfäden zum Thema Chatbots und Cloud Services veröffentlicht:

• Chatbots: les conseils de la CNIL pour respecter les droits des personnes (Text nur auf Französisch):
  Die Empfehlungen enthalten u.a. Hinweise zum Umgang mit Cookies im Zusammenhang mit Chatbots, zur Speicherdauer von Chatbot-Daten sowie zur Verarbeitung sensibler Daten (z.B. Gesundheitsdaten) und zur Umsetzung entsprechender Massnahmen zur Risikominimierung in diesem Zusammenhang.
   
• Sous-traitants: la réutilisation de données confiées par un responsable de traitement (Text nur auf Französisch):
  Der Leitfaden enthält wichtige Hinweise, was der Verantwortliche aus datenschutzrechtlicher Sicht zu beachten hat, wenn der eingesetzte Auftragsverarbeiter (z.B. Anbieter eines Chatbot-Systems) beabsichtigt, die personenbezogenen Daten der Chatbot-Nutzer für eigene Zwecke (z.B. zur Verbesserung der eigenen Produkte und Dienstleistungen) weiterzuverwenden. ​​​