Einsatz von Chatbots durch öffentliche Stellen
Es gibt Anfragen von Kommunen, die für einfach gelagerte Anfragen von Bürgern sogenannte Chatbots einsetzen wollten oder sich zumindest mit der Frage des Einsatzes näher befasst haben. Ein Chatbot ist zunächst einmal eine neutrale Technologie, die schriftlich oder auch mithilfe von Spracherkennungssoftware mündlich gestellte Fragen einfacher Art analysiert und aus einem Fundus von standardisierten Antworten eine schnelle Hilfe für den Fragenden ermöglichen soll. Um einen solchen Chatbot sinnvoll betreiben zu können, ist es meist erforderlich, die Eingaben von Nutzern im laufenden Betrieb zu erheben und auszuwerten, damit die daraus gewonnenen Erkenntnisse in die Ergänzung, Erweiterung und Verbesserung der angebotenen Dienstleistung einfließen können. Diese Verarbeitung kann maschinell mit einer Form der künstlichen Intelligenz, meist sogenanntem „machine learning“ oder auch manuell durch menschliche Bearbeiter erfolgen. In den allermeisten Fällen wird aber eine maschinelle Komponente mit verwendet werden. Klar ist, dass sowohl Betrieb als auch Daten für die Verbesserung des Systems eine Verarbeitung personenbezogener Daten zur Folge hat und damit eine oder mehrere Rechtsgrundlagen erfordert.
Zunächst bedarf es einer informierten und transparenten Einwilligung in klarer Sprache für eine Nutzung des Chatbots. Einer weiteren Einwilligung bedarf es, wenn Daten von Nutzern für weitere Zwecke, zum Beispiel zur Verbesserung des Dienstes oder der Messung des Nutzungsverhaltens, verwendet werden sollen. Diese Einwilligung ist so zu gestalten, dass eine Nutzung des Chatbots auch ohne die Verarbeitung zu diesen Zwecken möglich ist. Sonderfälle der Einwilligung, wie die von Kindern, bei denen eine Einwilligung der Erziehungsberechtigten erforderlich ist, sind dabei zu berücksichtigen. Speicherdauer und Verarbeitungen müssen für alle Zwecke genau bezeichnet werden und sich ergebende Betroffenenrechte gewährleistet werden.
Werden besonders schutzwürdige Daten (beispielsweise automatisierte Auskünfte durch Gesundheitsämter zu Quarantänebestimmungen) verarbeitet, ist durch technisch-organisatorische Maßnahmen eine wirksame Verringerung der Risiken herbeizuführen, zum Beispiel durch schnellstmögliche Löschung oder Anonymisierung, Einschränkung von Zugriffsrechten, Verschlüsselung von Datenbanken oder andere geeignete Maßnahmen.
Wird ein solcher Dienst im Rahmen einer Auftragsverarbeitung eingesetzt, muss eine sorgfältige Prüfung des beauftragten Dienstleisters erfolgen. Insbesondere ist sicherzustellen, dass der Dienstleister die verarbeiteten Daten nur im Rahmen des Auftrags und nicht für eigene Zwecke verarbeitet. Für öffentliche Stellen ist eine solche Weitergabe von Daten für die Nutzung aufgrund des berechtigten Interesses Dritter ausdrücklich untersagt. Eine Datenverarbeitung „zur Verbesserung des Produktes“ zugunsten des Herstellers muss klar ausgeschlossen sein. Ebenso muss die Verarbeitung innerhalb der Europäischen Union stattfinden. Dies gilt vor allem für eingesetzte Unterauftragsverarbeiter eines Auftragsverarbeiters. Nicht selten zeigt sich in der Praxis, dass der Auftragsverarbeiter seinen Sitz zwar in Europa hat, sich aber für die Auslieferung einzelner Komponenten eines global agierenden Content-Delivery-Networks bedient und damit eine Übermittlung von Nutzungsdaten in eine Cloud mit außereuropäischer Datenverarbeitung nicht wirksam ausgeschlossen ist.
Quelle: Sächsische Datenschutzbeauftragte
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks