Chatbots: Betroffenenrechte einhalten
Chatbots sind immer häufiger auf Websites und Applikationen zu finden und ermöglichen es, dem Nutzer schnelle Antworten zu geben. Ihre Verfügbarkeit, die wichtige Fragen für die Rechte des Einzelnen beinhalten kann, muss bestimmte Regeln einhalten.
Konversationsagenten (oder Chatbots) sind Softwareprogramme, die es einem Benutzer ermöglichen, mit einem Programm oder einer Webseite ´, das Informationen bereitstellen soll, einen Dialog zu führen. Sie werden eingesetzt, um Antworten auf die am häufigsten gestellten Fragen zu geben und diese Informationen gezielt, relevant und interaktiv zu geben. Zu diesem Zweck werden häufig personenbezogene Daten verarbeitet, z. B. um eine Aufzeichnung der Konversation zu führen, auch wenn der Dienst ohne die Erstellung eines Kontos oder die Angabe von direkt identifizierenden Informationen verfügbar ist.
Zusätzlich zu den wichtigsten Grundsätzen, die bei jeder Verarbeitung personenbezogener Daten zu berücksichtigen sind, muss der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, der einen Chatbot einsetzt, mit Hilfe seines Datenschutzbeauftragten (falls er denn einen ernannt hat) besonders auf die Fragen achten, die für die Rechte und Freiheiten der Personen gelten.
Das EDPB hat Guidelines (Entwurf) zum Einsatz virtueller Sprachassistenten zur öffentlichen Konsultation veröffentlicht.
So verwalten Sie die vom Chatbot benötigte Cookie-Hinterlegung
Um die technische Funktionalität des Chatbots zu gewährleisten bzw. um eine Historie der Konversation zwischen den verschiedenen Seiten der Website, auf denen er präsent ist, zu führen, wird häufig ein Cookie auf dem Endgerät des Nutzers abgelegt und ausgelesen.
Der Chatbot-Betreiber hat zwei Optionen:
- entweder der Betreiber möchte vor der Aktivierung des Chatbots ein Cookie auf dem Endgerät speichern. In diesem Fall muss er die vorherige Zustimmung des Benutzers einholen, die frei, spezifisch, informiert und unmissverständlich sein muss
- oder das Cookie wird nur gespeichert, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst). Sie ist dann „für die Bereitstellung des Online-Kommunikationsdienstes und auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich“ und bedarf daher nicht der zusätzlichen Zustimmung des Nutzers. Diese Ausnahmeregelung kann nur in Anspruch genommen werden, wenn der Tracker nur zur Bereitstellung des Chatbots verwendet wird: Jeder andere Zweck (Marketing), der damit verbunden ist, erfordert die Zustimmung des Nutzers.
Wie lange können die vom Chatbot gesammelten Daten aufbewahrt werden?
Die Daten können so lange aufbewahrt werden, wie es zur Erreichung des vom für die Verarbeitung Verantwortlichen festgelegten Zwecks erforderlich ist. Mit anderen Worten: Es sollte zwischen Fällen unterschieden werden, in denen die Daten am Ende der Konversation gelöscht werden sollten (wie im Fall eines Chatbots, der bei einem Kauf hilft), und Fällen, in denen der für die Datenverarbeitung Verantwortliche die Daten legitimerweise für einen längeren Zeitraum aufbewahren kann (z. B. für eine Reklamation über ein gekauftes Produkt).
Kann eine Unterhaltung mit einem Chatbot genutzt werden, um Entscheidungen zu treffen, die eine Person betreffen?
Die Konversation mit einem Chatbot ohne menschliches Eingreifen kann allein nicht zu wichtigen Entscheidungen für die betroffene Person führen, wie z. B. die Ablehnung eines Online-Kreditantrags, die Anwendung höherer Tarife oder die Unfähigkeit, sich auf eine Stelle zu bewerben. Diese Konversation kann jedoch Teil eines umfassenderen Prozesses sein, der ein erhebliches menschliches Eingreifen zugrunde liegt.
Tatsächlich ist eine automatisierte Entscheidungsfindung, wenn sie rechtliche Folgen hat oder eine Person in ähnlicher Weise erheblich beeinträchtigt, gemäß Artikel 22 der DSGVO verboten, es sei denn, es bestehen Maßnahmen zur Wahrung der Rechte, Freiheiten und Interessen der betroffenen Person (zumindest ein Mittel, das es der betroffenen Person ermöglicht, ein menschliches Eingreifen zu erwirken, ihre Meinung zu äußern und die Entscheidung anzufechten) mit den folgenden Ausnahmen:
- wenn die Person ihr ausdrückliches Einverständnis gegeben hat;
- die Entscheidung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist;
- die Entscheidung ist nach dem Recht der Europäischen Union oder dem Recht eines Mitgliedstaats zulässig.
Was tun bei der Erfassung sensibler Daten?
Wie bei der Verwaltung von Notiz- und Kommentarbereichen ist auch hier besondere Aufmerksamkeit auf sensible Daten (z. B. Informationen über Gesundheit, politische Meinungen, mögliche Gewerkschafts- oder Religionszugehörigkeit) zu achten, deren Verarbeitung durch die DSGVO grundsätzlich verboten ist (Artikel 9 der DSGVO).
Solche Daten können in zwei Situationen verarbeitet werden.
1. Wenn die Sammlung solcher Daten vorhersehbar ist und die Verarbeitung relevant ist
Mit dem Chatbot eines Dienstes zur Unterstützung sexueller oder gesundheitsbezogener Minderheiten können solche Daten zum Beispiel gesammelt werden.
Es muss dann sichergestellt sein, dass die Datenverarbeitung unter eine der in Artikel 9 Abs. 2 der DSGVO genannten Ausnahmen fällt. Dies kann z.B. und je nach Fall die ausdrückliche Einwilligung des Nutzers sein oder die Tatsache, dass die Verarbeitung aus einem wichtigen Grund des öffentlichen Interesses erforderlich ist. Die Verarbeitung von sensiblen Daten ist eines der neun Kriterien, die zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) führen können. Zu beachten ist, dass das Vorhandensein eines weiteren dieser Kriterien (wie z. B. die Sammlung personenbezogener Daten in großem Umfang), eine DSFA zwingend erforderlich macht.
2. Wenn die Erfassung nicht vorhersehbar ist
Da Chatbots oft einen freien Schreibmodus anbieten, können sie sensible Daten verarbeiten, die direkt vom Benutzer zur Verfügung gestellt werden, ohne dass der Controller oder Prozessor dies vorhergesehen hat. In diesem Fall sind Organisationen nicht verpflichtet, die vorherige Zustimmung der Benutzer einzuholen. Sie werden jedoch Mechanismen einrichten müssen, um die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren:
- indem vor jeder Nutzung des Chatbots eine Warnung mitgeteilt wird, die dazu auffordert, von der Übermittlung sensibler Daten abzusehen;
- durch die Einrichtung eines Systems zur sofortigen oder zumindest regelmäßigen Löschung, da die Aufbewahrung dieser sensiblen Daten nicht relevant ist.
Quelle: CNIL France
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks