Chatbot mit Schloss in der Hand
Chatbots
author
March 22, 2024

Alina Günder

Chatbot & Datenschutz: Das sagt die DSGVO 2024

KI-Chatbots entlasten Support-Teams bei der täglichen Arbeit und geben auch außerhalb der Servicezeiten wertvolle Tipps. Unternehmen sparen viel Manpower beim Einsatz von Chatbots auf Ihrer Website oder über Messenger wie WhatsApp – aber was ist in Sachen Datenschutz zu beachten?

Chatbot und Datenschutz: Das Wichtigste auf einen Blick

  • Unternehmen müssen Nutzer vor dem Chat aufklären, sollten während der Verwendung des Chatbots personenbezogene Daten verarbeitet und gespeichert werden.
  • Der Nutzer muss der Verarbeitung seiner Daten aktiv zustimmen. Die Einwilligung muss freiwillig, informiert und eindeutig sein.
  • Ein Datenschutzhinweis mit Zustimmungsoption lässt sich vor den Chat schalten oder durch den Chatbot selbst kommunizieren. Ein einfacher Cookie-Banner reicht nicht aus, um die Einwilligung einzuholen.
  • Unternehmen müssen zusätzlich eine Datenschutzerklärung verlinken, die alle relevanten Informationen enthält.
  • Verwendet das Unternehmen einen Chatbot-Anbieter, um die Conversational AI zu betreiben, muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
Screenshot von TUIs Chatfenster mit Chatbot-Funktion
TUI schaltet einen Datenschutzhinweis vor den Chat. Quelle: tui.at

Wie gestalte ich einen Chatbot DSGVO-konform?

Das Thema Datenschutz spielt eine Rolle beim Angebot eines Chatbots, weil der Bot personenbezogene Daten verarbeitet, wie Nutzerdaten, Chatverlauf und Gerätedaten. Daher sind folgende Punkte zu beachten:

Einwilligung

Grundsätzlich gilt nach Art. 6 DSGVO das Verbotsprinzip, demzufolge die Erhebung personenbezogener Daten verboten ist, solange sie nicht durch eine gesetzliche Bestimmung erlaubt ist. Die Erlaubnis kann sich das Unternehmen vom Nutzer selbst einholen, in dem dieser in die Verarbeitung seiner personenbezogenen Daten einwilligt. Gewöhnlich wird die Einwilligung vor dem Chat (in Form eines Datenschutzhinweises) oder innerhalb des Chats (in Form einer Unterhaltung mit dem Chatbot) abgefragt.

Nachweispflicht

Die DSGVO schreibt laut Art.7 Abs.1 DSGVO eine Nachweispflicht vor. Wichtig ist daher die Einwilligung zu protokolieren, um sie später nachweisen zu können, beispielsweise durch das Speichern des Chatverlaufs.

Recht auf Löschung

Umgekehrt hat der Nutzer das Recht zu verlangen, dass seine personenbezogenen gelöscht werden. Das regelt das Recht auf Löschung laut Art. 17 Abs. 1 DSGVO. Generell gilt: Braucht das Unternehmen die Daten nicht mehr aufgrund des angegebenen Zwecks, muss er sie sowieso löschen.

Ausnahme: Vertragserfüllung und vorvertragliche Maßnahmen

Unternehmen müssen keine Einwilligung des Nutzers einholen, wenn die Verarbeitung von Nutzerdaten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1 Buchst. b DSGVO).

Heißt: Informiert sich der Kunde über ein Angebot des Unternehmens, fragt zum Beispiel nach Lieferkosten oder Verfügbarkeiten, zählt das als vorvertragliche Maßnahme und bedarf entsprechend keiner Zustimmung. Das gilt jedoch nur, wenn die Datenverarbeitung hierfür auch tatsächlich erforderlich ist.

In der Praxis ist es sehr unwahrscheinlich, dass eine Einwilligungspflicht für die Nutzung des Chatbots entfällt, weil in der Regel immer weitere Zwecke, Dienste und Drittanbieter im Spiel sind.

Weitere Details und Beispiele zu den Grundsätzen der Verarbeitung personenbezogener Daten hat die dpc in diesem Beitrag zusammengefasst.

Vorlage für Einwilligung: Beispiel für Chatbot-Datenschutz-Text

Bei der Nutzung von KI-Support im Kundenservice, ist es wichtig Kunden noch vor der ersten Interaktion mit einem Chatbot über die Verarbeitung ihrer Daten zu informieren. Haben Sie nicht die Möglichkeit, einen Datenschutzhinweis vor dem Chat einzublenden, können Sie die Einwilligung alternativ direkt durch den Chatbot einholen. So könnte der Begrüßungstext aussehen:

“Guten Tag! Ich bin dein KI-Berater und beantworte alle Fragen zu Verträgen und Konditionen!

Um dir die bestmögliche Erfahrung zu bieten, merke ich mir deinen Namen und deine Facebook-ID.

In unseren Datenschutzbestimmungen (Link) erfährst du mehr darüber, wie wir deine Daten verwenden und schützen.

Du hast jederzeit die Kontrolle über deine Daten: Du kannst sie einsehen, löschen oder ändern.

Bist du damit einverstanden?”

How-to-Guide: So geht Automatisierung im Kundenservice

Lernen Sie, wie Sie dank Wissensdatenbank und GPT-4-Chatbot bis zu 70% automatisieren und Servicekosten sparen können.

Kostenlos herunterladen

Checkliste zur Informationspflicht: Erforderliche Angaben bei der Aufklärung von Chatbot-Nutzern

Als Unternehmen müssen Sie Nutzern ermöglichen, die Datenschutzerklärung jederzeit einsehen zu können. Stellen Sie diese daher sichtbar auf Ihrer Website zur Verfügung und verlinken Sie sie z.B. im Footer Ihrer Website. Wählen Sie dabei einfache Formulierungen und verzichten Sie auf verklausulierte Juristensprache, die das ohnehin “trockene” Thema verkompliziert. Geben Sie dem Nutzer zudem die Möglichkeit, die Zustimmung zur Datenschutzerklärung jederzeit zu widerrufen.

Checkliste: Diese Aspekte sollte Ihre Chatbot-Datenschutzerklärung beinhalten:

  1. Datenkategorien

    2. Welche Arten von personenbezogenen Daten werden verarbeitet (z.B. Name, Adresse, E-Mail-Adresse, Telefonnummer)?

  2. Zweck der Verarbeitung

    3. Warum werden die Daten verarbeitet (z.B. zur Vertragserfüllung, Kundenbetreuung, Marketing)?

  3. Rechtsgrundlage

    4. Auf welcher Grundlage erfolgt die Verarbeitung (z.B. Einwilligung, Vertrag, berechtigtes Interesse)?

  4. Speicherdauer

    5. Wie lange werden die Daten gespeichert (z.B. so lange wie für den Zweck der Verarbeitung erforderlich, gesetzliche Aufbewahrungsfristen)?

  5. Empfänger der Daten

    6. An wen werden die Daten weitergegeben (z.B. Dienstleister, Behörden)?

  6. Herkunft der Daten

    7. Woher stammen die Daten (z.B. vom Kunden selbst, von Dritten)?

  7. Automatisierte Entscheidungsfindung:

    8. Findet eine automatisierte Entscheidungsfindung statt, die sich auf Sie auswirkt (z.B. Bonitätsprüfung für einen Online-Kredit)?

  8. Betroffenenrechte

    9. Welche Rechte haben Sie in Bezug auf Ihre Daten (z.B. Auskunft, Berichtigung, Löschung, Widerspruch)?

    Zusätzliche Informationen

    • Kontaktdaten des Verantwortlichen
    • Datenschutzbeauftragter (falls vorhanden)
    • Informationen zur Übermittlung von Daten in Drittländer (falls relevant)

Hinweis: Je nach Art der Verarbeitung und den spezifischen Umständen des Einzelfalls können weitere Informationen erforderlich sein.

Reicht ein Cookie-Banner, um der Informationspflicht nachzukommen?

Ein Cookie-Banner allein genügt normalerweise nicht, um die Zustimmung der Nutzer eines Chatbots zur Verarbeitung ihrer personenbezogenen Daten einzuholen. Die Datenschutz-Grundverordnung (DSGVO) und andere Datenschutzgesetze verlangen eine klare und informierte Zustimmung für alle Verarbeitungsvorgänge, die personenbezogene Daten betreffen.

Gründe, warum ein Cookie-Banner nicht ausreicht:

Ein Cookie-Banner bezieht sich in der Regel nur auf Cookies und andere Tracking-Technologien. Es deckt nicht alle Verarbeitungsvorgänge ab, die ein Chatbot durchführen kann, z. B. die Speicherung von Gesprächsverläufen oder die Nutzung von KI zur Analyse von Nutzerdaten.

Cookie-Banner bieten oft keine ausreichenden Informationen über die Datenverarbeitung. Die Nutzer sollten genau wissen, welche Daten erhoben werden, wie sie verwendet werden und wer Zugriff auf die Daten hat.

Cookie-Banner ermöglichen es den Nutzern in der Regel nicht, ihre Zustimmung zu einzelnen Verarbeitungsvorgängen zu differenzieren. Die Nutzer sollten die Möglichkeit haben, auszuwählen, welche Daten sie teilen möchten und wie diese verwendet werden sollen.

Beispiele für Chatbot-Datenschutzerklärung:

Chatbot von Drittanbieter: Was ist zu beachten?

Die meisten Unternehmen nutzen für die Erstellung Ihres Chatbots eine Chatbot-Plattform. Diese stellen einen Chatbot-Baukasten sowie Schnittstellen zu Programmen zur Verfügung, um den Chatbot mit verschiedenen Datenbanken und Diensten zu verknüpfen. Das bedeutet, dass der Chatbot-Anbieter zum Auftragsdatenverarbeiter für Ihr Unternehmen wird.

Wenn Sie einen Chatbot-Anbieter nutzen, sollten Sie sicherstellen, dass dieser einen Auftragsverarbeitungsvertrag (AVV) mit Ihnen abschließt, der die rechtskonforme Verarbeitung personenbezogener Daten regelt.

Falls der Chatbot-Anbieter außerhalb der EU oder des EWR Server betreibt, müssen Sie zusätzlich die Anforderungen von Art. 44 ff. der DSGVO beachten. Wir empfehlen daher, das Datenschutz-Setup und den Datenzugriff bei Nicht-EU-Anbietern sehr genau zu prüfen.

Für deutsche Unternehmen die großen Wert auf Datenschutz legen, ist ein europäischer Chatbot-Anbieter daher die beste Wahl – die Auswahl an deutschen Chatbot-Lösungen ist ohnehin groß.

Userlike – DSGVO-konformer KI-Chatbot “made in Germany”

Schon lange vor der Einführung der DSGVO, hat sich Userlike den Themen Datenschutz und Privatsphäre verschrieben, sodass sie die Entwicklung unserer Live-Chat- und Chatbot-Plattform stark mitgeprägt haben. Für uns steht Datenschutz an erster Stelle. Wir bieten Ihnen eine DSGVO-konforme Messaging- und KI-Support-Software, inklusive spezieller Datenschutzfunktionen.

Speicherung von Daten. Mit Userlike können Sie selbst definieren, wann gespeicherte Daten gelöscht werden sollen. Sie können die Daten nach Ablauf eines definierten Zeitraums automatisch löschen lassen.

Datenschutzhinweis. Transparenz ist beim Thema Datenschutz das A und O. Mit Userlike können Sie Kunden noch vor Beginn des Chats einen Datenschutzhinweis anzeigen, der akzeptiert werden muss, bevor die Unterhaltung startet.

Recht auf Löschung. Manuelle Löschungen, die beispielsweise auf Wunsch eines Chatbot-Nutzers erfolgen sollen, sind jederzeit möglich. So gewähren Sie Nutzern das Recht auf Löschung.

Auftrags­verarbeitung. Userlike bietet einen Auftragsverarbeitungsvertrag (AVV), dessen Inhalt vom Datenschutzrecht im Art. 28 DSGVO vorgegeben wird. Sie möchten unseren AVV einsehen? Dann fordern Sie diesen über unsere Datenschutzseite an.

Made in Germany – hosted in Germany. Sowohl Firmensitz als auch unser Support-Team sind in Deutschland erreichbar. Wir hosten unsere Lösung auf zertifizierten deutschen Servern.

Wenn Sie sich unsere Software näher ansehen möchten, testen Sie Userlike risikofrei. Nach dem 14-tägigen Testlauf in unserem Team-Paket wandelt sich Ihr Account automatisch in ein kostenloses Free-Paket um. Bei Fragen zu Funktionen, Einsatzbereichen und Chatbot-Datenschutz hilft Ihnen unser Serviceteam per Website-Chat oder Messaging-App gerne weiter.

Disclaimer: Userlike bietet mit diesem Beitrag keine Rechtsberatung. Alle Angaben sind ohne Gewähr. Unternehmen sollten ihren individuellen Use Case immer mit ihrem Datenschutzbeauftragten besprechen.

ÜBER DEN AUTOR
author
Alina Günder

Seit 2015 dreht sich bei Alina alles um Technologien, die das Leben leichter machen – vor allem für Unternehmen und ihre Kunden. Nach der Arbeit genießt sie Yoga und gute Musik, am liebsten gleichzeitig.

ÄHNLICHE ARTIKEL
Chatbots
10 Chatbot-Anbieter im Vergleich: Deutsche Softwares für jedes Budget
Chatbots
Chatbot-Case-Studies: Wie effektiv sind Bots in der Praxis?
Mehr Beiträge
Help your customers

When it matters, where it matters.

Live chat software userlike logo with different visitors
Learn more