Zur besseren Kommunikation und Interaktion mit Kunden kommen auf Webseiten vermehrt Chatbots zum Einsatz. Doch auch Chatbots können Datenfresser sein. Um die datenschutzkonforme tägliche Verfügbarkeit zu gewährleisten, müssen einige Regeln eingehalten werden.

Chatbots sind intelligente Programme, die auf gewisse Anfragen vorprogrammierte Antworten gegenüber dem Künden bereitstellen sollen. Eine Art intelligentes und selbstständiges FAQ, welches auf gezielte Antworten geben kann und interaktiv mit den Nutzern kommuniziert. Oft werden die Konversationen aufgezeichnet und analysiert. In manchen Fällen werden personenbezogene Daten verarbeitet. Folglich ist es dann die Pflicht des Verantwortlichen alle notwendigen Vorgaben der DSGVO einzuhalten. Die Rechte und Freiheiten der Betroffnen stehen hier besonders im Fokus.

CHATBOTS UND COOKIES

Oft werden mit der Aktivierung der Chatbots Cookies gesetzt, welches dann vom Verantwortlichen ausgelesen werden kann. Technisch notwendige Cookies sind dabei völlig unproblematisch. Cookies die jedoch mehr über den Nutzer preisgeben, also auch einen Personenbezug liefern, bedarf es einer Einwilligung. Diese muss freiwillig, informiert, unmissverständlich und widerrufbar sein und kann über das Cookie-Banner abgefragt werden. Es besteht jedoch auch die Möglichkeit, dass das Cookie nur gespeichert wird, sobald der Betroffenen den Chatbot aktiv selbst betätigt oder aktiviert. Das Anklicken wäre dann als aktive Interaktion des Nutzers zu werten und auf dessen Wunsch auch notwendig. In diesem Fall wäre keine Einwilligung notwendig. Diese Ausnahme ist aber nur dann gültig, wenn das Trackingcookie nur für den Chatbot-Zweck erhoben wird. Für alle anderen Zwecke wäre wieder eine Einwilligung notwendig.

Die Speicherdauer der personenbezogenen Daten ist auch bei Chatbots klar geregelt. Die Daten sind nach Zweckverfall zu löschen. D.h. sobald der Sachverhalt im Chat geregelt wurde, sind die Daten zu löschen. Eine Ausnahme wären unteranderem z.B. Beschwerden oder Reklamationen.

AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG

Die neuesten Generationen von Chatbots ermöglichen sogar eine automatisierte Entscheidungsfindung. Eine komplett eingeständige Entscheidung durch KI oder Bots allein ist mit dem Datenschutz und den Rechten der Betroffenen vereinbar. Die Entscheidung muss immer noch durch den Verantwortlichen getroffen werden. Jedoch spricht nichts dagegen, dass die automatisierte Entscheidung ein Teilprozess der Entscheidungsfindung darstellt. Nach Art. 22 DSGVO ist eine automatisierte Entscheidungsfindung verboten, sollten diese rechtliche Folgen für den Betroffenen haben oder dessen Rechte beeinträchtigt werden:

 

1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

2. Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.