Seit dem 25. Mai 2018 gilt EU-weit die Datenschutz-Grundverordnung (DSGVO oder EU-DSGVO), welche Regeln zur Verarbeitung personenbezogener Daten festlegt. Diese haben weitreichende Auswirkungen auf die Datenverarbeitung durch Unternehmen und wirken sich genauso auf die Nutzung von Künstlicher Intelligenz aus. Im Folgenden erklären wir, wie ein Chatbot DSGVO-konform genutzt und datenschutztechnisch sicher gebaut werden kann.
Was ist die DSGVO?
Die Datenschutzgrundverordnung wurde vom EU-Parlament zur Vereinheitlichung des Datenschutzes in allen Mitgliedsstaaten beschlossen. Es geht um den Schutz personenbezogener Daten.
Dabei gelten neben Vorgaben zur Verarbeitung der Daten auch bestimmte Pflichten gegenüber Betroffenen, wie zum Beispiel eine Informationspflicht und Transparenz. Für Nutzer:innen soll so ein angemessener Datenschutz sichergestellt werden.
Welche Bedeutung haben der Datenschutz und die DSGVO für Chatbots?
Die DSGVO gilt für jegliche Datenverarbeitung, auch für Chatbots. Bei der Verwendung von Bots können theoretisch bereits ab dem ersten Klick zum Öffnen des Chatfensters personenbezogene Daten erhoben werden, zum Beispiel IP und Standort.
Sobald diese Daten irgendwo gespeichert werden, gilt das bereits als eine Verarbeitung personenbezogener Daten. Das bedeutet, dass bei der Chatbot-Entwicklung immer ein besonderes Augenmerk auf den Datenschutz gelegt werden muss.
Im weiteren Verlauf eines Bot-Gesprächs ist es weiterhin nicht unüblich, dass personenbezogene Informationen wie Name oder E‑Mail-Adresse abgefragt werden. Und auch noch sensiblere Daten wie Kundennummern oder Bankverbindungen können Teil eines Chatbot-Prozesses sein.
Für all diese Datenkategorien gilt die DSGVO und hat unterschiedliche Anforderungen und Standards.
Was passiert, wenn ein Chatbot nicht DSGVO-konform eingesetzt wird?
Ob all diese Anforderungen auch umgesetzt werden, prüfen die zuständigen Datenschutzaufsichtsbehörden. Dass ein Verstoß keine Lappalie ist, zeigen die Bußgelder: Bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro können diese ausfallen.
Die Verordnung ist mittlerweile auch schon vier Jahre alt – falls es je eine Gnadenfrist für Unternehmen gab, ist diese lange abgelaufen. Es ist also höchst ratsam, bei der Umsetzung eines Chatbots datenschutzrechtlich auf der sicheren Seite zu sein.
DSGVO- und datenschutzrechtliche Anforderungen für Chatbots
Die DSGVO ist lang und beschäftigt sich detailliert mit sämtlichen Bereichen des Datenschutzes. Wir fassen hier die wichtigsten Punkte zusammen und zeigen, wie eine sichere und DSGVO-konforme Umsetzung eines Chatbot-Projekts aussehen kann.
Datenschutzhinweis
Um Transparenz zu schaffen, muss es einen Datenschutzhinweis für Nutzer:innen geben, in denen die Datenverarbeitung des Chatbots präzisiert wird. Darin sollten die Zwecke der Datenverarbeitung enthalten sein. So können User nachvollziehen, ob die Speicherung ihrer Daten unverhältnismäßig oder legitim ist.
Unternehmen sollten dies allerdings nicht einfach als lästige Pflicht durch die DSGVO abtun, sondern als Chance sehen.
Ein offener und transparenter Umgang mit dem sensiblen Thema Datenschutz kann bei Kund:innen auch positiv aufgenommen werden und Vertrauen schaffen.
Vertrag zur Auftragsverarbeitung
Verantwortlich für den Umgang mit dem Datenschutz und der DSGVO sind diejenigen, die den Chatbot einsetzen.
Dienstleister, zum Beispiel Chatbot-Anbieter beziehungsweise deren Dienstleister (sogenannte Unterauftragsverarbeiter), sind allerdings dazu verpflichtet, alle notwendigen Schritte zur Sicherstellung des Datenschutzes zu gewährleisten.
Festgehalten wird dies in der Regel in einem Vertrag zur Auftragsverarbeitung (AV-Vertrag oder AVV), in dem detailliert die Schritte und Pflichten zur Einhaltung des Datenschutzes aufgeführt sind. Das bietet Sicherheit sowohl für die Auftraggeber als auch für die Dienstleister.
Gesprächsstart / Einwilligung
Aus Nutzersicht beginnt die Datenschutz-Thematik wie bereits beschrieben ab dem ersten Klick. Daher ist es sinnvoll, bereits beim Gesprächsstart auf die bestehenden Datenschutzmaßnahmen aufmerksam zu machen. Ein direkter Link zum Datenschutzhinweis ist empfehlenswert.
Außerdem ist es in manchen Fällen sinnvoll, von den Nutzer:innen eine Einwilligung in die Datenverarbeitung zu fordern. Gute Möglichkeiten sind hier das Einholen der Einwilligung in Textform oder ein Opt-In, zum Beispiel per Checkbox oder Klick eines Buttons.
Dies bietet eine starke Grundlage zur Verarbeitung bestimmter personenbezogener Daten.
SSL-Verschlüsselung
Eine sichere Verschlüsselung von Daten ist mittlerweile gang und gäbe. Wichtig ist hier, sowohl die Datenübertragung als auch die gespeicherten Daten zu verschlüsseln. Informationen, die nicht oder nicht mehr gebraucht werden, sollten genullt werden.
So bleiben nur relevante Daten erhalten, die zum Beispiel in weiteren Prozessen benötigt werden.
Datenlöschung
Überall, wo personenbezogene Daten gespeichert werden, sollte es ein Löschkonzept geben. Dieses gibt vor, welche Daten wie lange gespeichert werden. Das ist eine Abstimmungssache zwischen Auftraggebern und Auftragnehmern.
Es ist empfehlenswert, auch den Nutzer:innen im Datenschutzhinweis offenzulegen, wann ihre Daten automatisch gelöscht werden.
Deutsches Hosting
Auch beim Hosting ist darauf zu achten, dass die Regeln der DSGVO eingehalten werden. Am einfachsten machen es sich deutsche Unternehmen, wenn sich ein Chatbot ebenfalls in Deutschland hosten lässt.
Für die Server gelten dann automatisch sowohl die DSGVO-Anforderungen als auch deutsches Recht. Prinzipiell ist aber auch ein Hosting innerhalb des EU-Auslands unproblematisch, denn genau das ist ein weiterer Zweck der Verordnung: Der sichere Datenverkehr innerhalb der EU.
Betroffenenrechte
Die DSGVO regelt neben Vorgaben zur Datenverarbeitung auch bestimmte Rechte von betroffenen Personen. Eines der bekanntesten ist das Recht auf Vergessenwerden. Hiermit können Betroffene jederzeit einfordern, dass sämtliche über sie gespeicherten Daten gelöscht werden, sofern keine triftigen Gründe für den Fortbestand der Speicherung vorliegen.
Ein weiteres häufig genanntes Recht ist das Auskunftsrecht nach Artikel 15 der DSGVO, wonach betroffene Nutzer:innen jederzeit Auskunft über die gespeicherten personenbezogenen Daten einfordern dürfen.
Dies ist eine weitere Maßnahme zur Steigerung der Transparenz bei der Verarbeitung von personenbezogenen Daten. Sämtliche Betroffenenrechte müssen vom Auftraggeber sichergestellt werden.
Datenschutzkonforme Chatbots mit Botcamp.ai
Das ist eine Menge zu berücksichtigen. Die DSGVO hat die Umsetzung von Chatbots sicherlich nicht vereinfacht. Als erfahrener Bot-Entwickler haben wir von Botcamp.ai jedoch von Anfang an darauf gesetzt, Chatbots sicher und DSGVO-konform zu machen. Weil wir die Anforderungen genau kennen, wissen wir auch, was zu tun ist.
Daher haben wir bereits alle unsere Prozesse an die Vorgaben der DSGVO angepasst. Außerdem stellen wir unseren Kunden alle nötigen Informationen und Vorlagen zur Verfügung, um Datenschutzinformationen korrekt wiederzugeben und vertraglich abgesichert zu sein.
Wir konzentrieren uns darauf, Datenschutzsicherheit und Effektivität zu vereinen. Die DSGVO mag für manche Fragestellungen eine Hürde darstellen. Wir wollen allerdings stets produktiv damit umgehen und trotzdem ideale Bot-Lösungen kreieren.
Fazit
Die EU-Datenschutz-Grundverordnung im Bereich Chatbots kommt mit vielen Aufgaben einher – für Auftraggeber wie Auftragnehmer – und wirkt bisweilen wie ein undurchdringliches Dickicht. Wer sich auskennt und den richtigen Partner wählt, manövriert sich jedoch sicher durch dieses hindurch, ohne Abstriche beim Endprodukt machen zu müssen.
Eine zentrale Fragestellung dabei ist auch, wie der genaue Anwendungsfall aussieht. Je nach Chatbot werden ganz unterschiedliche Daten gesammelt.
Es gibt sogar Bots, die gänzlich ohne personenbezogene Daten auskommen. Sicherheitsmaßnahmen und Löschfristen richten sich nach dem entsprechenden Chatbot-Produkt. Wie genau der Datenschutz eines Projektes gestaltet wird, klärt sich also immer erst im Dialog.