Chatbots: Definition und Bedeutung
Chatbots sind computerbasierte Programme, die mit Menschen Konversationen führen und Informationen via Text, Bild, Ton oder Code bereitstellen können. Auch wenn es die Technologie von Chatbots bereits seit vielen Jahren gibt, markierte vor allem der Launch von ChatGPT – dem intelligenten Chatbot der Firma OpenAI – im Jahr 2022 den Startschuss für die Bereitstellung von Chatbots für die breite Masse. Inzwischen nutzen zahlreiche Unternehmen KI-Chatbots im Kundenservice, Marketing oder Vertrieb, um die Kundenkommunikation zu erleichtern, interne Prozesse zu verschlanken und die Nutzerzufriedenheit zu verbessern. Mit fortschreitender Technologieentwicklung werden Chatbots zunehmend personalisierter und intuitiver, was ihre Rolle in der digitalen Transformation weiter stärkt.
Relevanz von Datenschutz und DSGVO
Parallel zur fortschreitenden Technologieentwicklung nimmt auch die Bedeutung von Datenschutz und Datensicherheit immer weiter zu. Seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) im Jahr 2016 gelten in Europa einheitliche Standards für den Umgang mit personenbezogenen Daten, an die sich Webseiten-Betreiber, Online-Shops und Unternehmen halten müssen. Dies hat den Vorteil, dass es einen eindeutigen rechtlichen Rahmen für alle gibt und Verbraucher:innen vor Datenmissbrauch, Identitätsdiebstahl und anderen Risiken geschützt werden. Die Einhaltung der Datenschutzregelungen ist für europäische Unternehmen demnach kein Nice-to-have, sondern ein klares Must-have. Hierbei handelt es sich um einen kontinuierlichen Prozess, da Unternehmen immer wieder neue Produkte, Prozesse oder Tools einführen. In der Regel verfügen die meisten Firmen deshalb über eine datenschutzbeauftragte Person, die sich um die Beachtung der Datenschutzregelungen kümmert.
Chatbots DSGVO-konform einsetzen: Die 7 wichtigsten Tipps
Datenschutz und Chatbots sind eng miteinander verbunden, da ein Bot täglich eine Vielzahl von Konversationen mit Menschen führt und daher große Datenmengen verarbeitet. Der Umfang personenbezogener Informationen von Benutzer:innen, auf die der Chatbot Zugriff hat, variiert je nach Einsatzgebiet des Chatbots. Bei den verarbeiteten Informationen kann es sich beispielsweise um Namen, Kontaktdaten, Präferenzen und sogar persönliche Probleme oder Anliegen handeln. Es ist daher von entscheidender Bedeutung, dass Unternehmen sicherstellen, dass ihre Chatbots den europäischen und deutschen Datenschutzbestimmungen entsprechen und die Privatsphäre von User:innen respektieren. Aber kein Grund zur Sorge, denn Datenschutz und Chatbots sind einwandfrei miteinander vereinbar. Anhand folgender Tipps können Sie sich ein Bild davon machen, woran man einen DSGVO-konformen Anbieter erkennt:
Tipp Nr. 1: Das Recht auf Vergessenwerden nicht vergessen
Ein wichtiges Kriterium, um als Chatbot-Anbieter und als Firma, die diesen einsetzt, DSGVO-konform zu sein, ist die Gewährleistung des Rechts auf Vergessenwerden. Demnach haben alle Nutzer:innen Anspruch darauf, das Löschen sämtlicher persönlicher Daten über sie zu veranlassen. Äußert ein:e Nutzer:in diesen Wunsch, muss der Anbieter dieser Aufforderung nachkommen und die Nutzerdaten zurücksetzen.
Tipp Nr. 2: Das Recht auf Datenauskunft gewährleisten
User:innen haben grundsätzlich das Recht, beim jeweiligen Dienstleister eine Auskunft über die Daten, die zur eigenen Person gespeichert werden, anzufordern.
Tipp Nr. 3: Für das Recht auf Berichtigung & Ergänzung sorgen
Zusätzlich zum Recht auf Vergessenwerden und zum Recht auf Datenauskunft haben Anwender:innen das Recht auf Berichtigung und Ergänzung. Das bedeutet, dass Unternehmen dafür sorgen müssen, dass Nutzende ihre Daten, wie z.B. die Adresse oder Telefonnummer, ändern können. Der Chatbot kann hier helfen, beispielsweise indem er die Schnittstelle ist, über die ein Nutzer dem Unternehmen kommuniziert, dass gewisse Daten im System geändert werden sollen.
Tipp Nr. 4: Einwilligung einholen
Bevor ein Unternehmen Nutzerdaten speichern und weitergeben kann, muss es die Zustimmung der Nutzer:innen dafür via Opt-in-Verfahren einholen. Beispiele hierfür sind die Bestätigung von Cookies, die Anmeldung zu einem Newsletter oder der Download von Dokumenten. Auch innerhalb eines Chatbots kann von einem Opt-In-Verfahren Gebrauch gemacht werden, z.B., indem bereits vor Beginn der Konversation ein Datenschutzhinweis ausgespielt wird. Ob ein solcher Hinweis erforderlich ist, hängt von der datenschutzrechtlichen Einordnung ab.
Tipp Nr. 5: Vertrag zur Auftragsverarbeitung abschließen
Ein Auftragsverarbeitungsvertrag (AVV) sollte immer dann zum Einsatz kommen, wenn ein Unternehmen personenbezogene Daten im Auftrag an Dritte weitergibt bzw. diese verarbeitet oder nutzt. Schließen Sie mit dem Chatbot-Anbieter Ihrer Wahl daher am besten einen datenschutzkonformen AVV ab, um einen ordnungsgemäßen Umgang mit den Daten Ihrer Nutzer:innen gewährleisten zu können.
Tipp Nr. 6: Vollständige Datenschutzerklärung bereitstellen
Ein weiterer wichtiger Punkt, auf den bei der Wahl des richtigen Chatbot-Anbieters geachtet werden sollte, ist eine aktuelle, leicht zugängliche und vollständige Datenschutzerklärung. Webseiten-Betreibende müssen dafür sorgen, dass die Erklärung einfach verständlich und von jeder Unterseite der Webseite innerhalb eines Klicks einsehbar ist.
Tipp Nr. 7: Serverstandort Deutschland wählen
Gemäß den Regelungen des europäischen Datenschutzrechts dürfen keine personenbezogenen Daten aus der EU in unsichere Drittländer übermittelt werden. Als sichere Drittstaaten gelten neben allen EU-Ländern und den Ländern des Europäischen Wirtschaftsraumes:
- Andorra,
- Argentinien,
- Kanada (nur kommerzielle Organisationen),
- Färöer,
- Guernsey,
- Israel,
- Isle of Man,
- Jersey,
- Neuseeland,
- Schweiz,
- Uruguay,
- Japan,
- das Vereinigte Königreich und
- Südkorea.
Länder wie die USA, Russland oder China gelten beispielsweise als unsichere Drittländer. Wird ein DSGVO-konformer Chatbot-Anbieter gesucht, muss dieser also über Server verfügen, die sich entweder in der EU, dem Europäischen Wirtschaftsraum oder in einem der genannten sicheren Drittstaaten befinden.
Alle 7 Tipps im Überblick
Datenschutz, DSGVO und ChatGPT – warum das nicht zusammenpasst
Wer das Thema Datenschutz und Chatbots beleuchtet, kommt um eine Diskussion über ChatGPT nicht herum. ChatGPT hat im Jahr 2022 eine regelrechte KI-Welle ausgelöst und konnte viele Menschen für Chatbots begeistern. Nach einem ersten ChatGPT-Hype wurden allerdings auch einige kritische Stimmen laut, die Datenschutzbedenken in Hinblick auf die Nutzung des Tools äußerten. So sperrten beispielsweise die italienischen Aufsichtsbehörden kurz nach der Veröffentlichung des Chatbots den Zugang für einige Zeit, da sie Datenschutzverstöße identifiziert hatten. Auch in Deutschland und anderen europäischen Ländern prüfen die Datenschutzbehörden ChatGPT und treten daher mit OpenAI in Kontakt.
Besonders folgende drei Punkte verdeutlichen, dass Datenschutz, DSGVO und ChatGPT nicht gut zusammenpassen:
Fehlende Rechtsgrundlage zur Datenverarbeitung
Gemäß Artikel 6 Absatz 1 der Datenschutz-Grundverordnung ist eine Datenverarbeitung nur dann zulässig, wenn eine entsprechende Rechtsgrundlage vorliegt, d.h. es müssen konkrete vertragliche Verpflichtungen vorhanden sein. Anderenfalls ist für die Datenverarbeitung das Einverständnis der Betroffenen erforderlich. Da OpenAI wenig über die eigene Datenverarbeitung kommuniziert, sind auch Unternehmen nicht in der Lage, umfassend darüber aufzuklären. Dies wiederum bedeutet im Umkehrschluss, dass eine Zustimmung von Nutzer:innen ebenfalls nahezu unmöglich ist.
Verarbeitung von Daten in unsicheren Drittländern
Um als DSGVO-konform gelten zu können, müsste ChatGPT Daten entweder in der EU bzw. dem Europäischen Wirtschaftsraum oder in den von der EU als sicher eingestuften Drittländern verarbeiten. OpenAI ist allerdings ein US-amerikanisches Unternehmen, das seine Server in den USA verwaltet. Dort gelten die amerikanischen Datenregelungen, die aktuell noch nicht mit den europäischen vereinbar sind. ChatGPT in Unternehmen datenschutzkonform zu nutzen, ist deshalb so gut wie ausgeschlossen.
Fehlende Transparenz zur Datenverarbeitung
Artikel 13 der europäischen Datenschutzverordnung sieht vor, dass Unternehmen Nutzer:innen darüber informieren müssen, wie mit deren Daten umgegangen wird, sprich, welche Daten verarbeitet werden und in welchem Zusammenhang darauf zugegriffen werden darf. OpenAI entspricht diesen Anforderungen der DSGVO zurzeit nicht, da sie nicht umfassend genug über die Datenverarbeitung und Algorithmen informieren. Auch dies erschwert den rechtskonformen Einsatz von ChatGPT in Unternehmen erheblich.
ChatGPT? Praktisch, aber nicht für die Kundenkommunikation geeignet.
Unternehmen, die Chatbot-Anbieter wie ChatGPT für die Kundenkommunikation wählen, riskieren nicht nur Bußgelder, weil sie gegen die DSGVO verstoßen, sondern auch Imageschäden durch sogenannte “Chatbot-Fails”. Diese entstehen vor allem dann, wenn eine Generative KI keine Kontrollmöglichkeiten bietet und halluziniert – also frei erfundene, falsche oder unpassende Inhalte ausspielt.
Mehr Informationen zum Thema KI-Halluzinationen und wie man ihnen vorbeugt, erhalten Sie in unserem Artikel “Die 6 größten Chatbot-Fails und Tipps, wie man sie vermeidet".
Fazit: Auf der sicheren Seite mit einem deutschen KI-Chatbot-Anbieter
Ein genauer Blick auf die DSGVO und die Analyse von ChatGPT in diesem Zusammenhang zeigt: Augen auf bei der Chatbot-Anbieter-Wahl. DSGVO-konforme Anbieter nehmen die Rechte von Verbraucher:innen ernst, schützen diese, bieten vollständige Transparenz bezüglich des Umgangs mit Daten und sorgen für eine Datenverarbeitung an sicheren Standorten wie Deutschland.
Sie möchten anhand eines Beispiels verdeutlicht sehen, dass Datenschutz und KI-Chatbots keine Gegenpole darstellen, sondern gut miteinander kombinierbar sind? moinAI hat nicht nur jahrelange Branchenerfahrung, sondern bietet auch KI made in Hamburg. Erfahren Sie auf unserer Datenschutzseite alles darüber, wie moinAI die Anforderungen der DSGVO in die Tat umsetzt.
Dieser Artikel wird nur zu Informationszwecken bereitgestellt und ist kein Ersatz für eine rechtliche Beratung.