Chatbot DSGVO-konform nutzen: So geht’s!

Chatbot DSGVO

Seit dem 25. Mai 2018 gilt EU-weit die Daten­schutz-Grund­verord­nung (DSGVO oder EU-DSGVO), welche Regeln zur Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en fes­tlegt. Diese haben weitre­ichende Auswirkun­gen auf die Daten­ver­ar­beitung durch Unternehmen und wirken sich genau­so auf die Nutzung von Kün­stlich­er Intel­li­genz aus. Im Fol­gen­den erk­lären wir, wie ein Chat­bot DSG­VO-kon­form genutzt und daten­schutztech­nisch sich­er gebaut wer­den kann.

Was ist die DSGVO? 

Die Daten­schutz­grund­verord­nung wurde vom EU-Par­la­ment zur Vere­in­heitlichung des Daten­schutzes in allen Mit­gliedsstaat­en beschlossen. Es geht um den Schutz per­so­n­en­be­zo­gen­er Daten. 

Dabei gel­ten neben Vor­gaben zur Ver­ar­beitung der Dat­en auch bes­timmte Pflicht­en gegenüber Betrof­fe­nen, wie zum Beispiel eine Infor­ma­tion­spflicht und Trans­parenz. Für Nutzer:innen soll so ein angemessen­er Daten­schutz sichergestellt werden.

Welche Bedeutung haben der Datenschutz und die DSGVO für Chatbots?

Die DSGVO gilt für jegliche Daten­ver­ar­beitung, auch für Chat­bots. Bei der Ver­wen­dung von Bots kön­nen the­o­retisch bere­its ab dem ersten Klick zum Öff­nen des Chat­fen­sters per­so­n­en­be­zo­gene Dat­en erhoben wer­den, zum Beispiel IP und Standort. 

Sobald diese Dat­en irgend­wo gespe­ichert wer­den, gilt das bere­its als eine Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en. Das bedeutet, dass bei der Chat­bot-Entwick­lung immer ein beson­deres Augen­merk auf den Daten­schutz gelegt wer­den muss.

Im weit­eren Ver­lauf eines Bot-Gesprächs ist es weit­er­hin nicht unüblich, dass per­so­n­en­be­zo­gene Infor­ma­tio­nen wie Name oder E‑Mail-Adresse abge­fragt wer­den. Und auch noch sen­si­blere Dat­en wie Kun­den­num­mern oder Bankverbindun­gen kön­nen Teil eines Chat­bot-Prozess­es sein. 

Für all diese Datenkat­e­gorien gilt die DSGVO und hat unter­schiedliche Anforderun­gen und Standards.

Was passiert, wenn ein Chatbot nicht DSGVO-konform eingesetzt wird? 

Ob all diese Anforderun­gen auch umge­set­zt wer­den, prüfen die zuständi­gen Daten­schutza­uf­sichts­be­hör­den. Dass ein Ver­stoß keine Lap­palie ist, zeigen die Bußgelder: Bis zu vier Prozent des Jahre­sum­satzes oder 20 Mil­lio­nen Euro kön­nen diese ausfallen. 

Die Verord­nung ist mit­tler­weile auch schon vier Jahre alt – falls es je eine Gnaden­frist für Unternehmen gab, ist diese lange abge­laufen. Es ist also höchst rat­sam, bei der Umset­zung eines Chat­bots daten­schutzrechtlich auf der sicheren Seite zu sein.

DSGVO- und datenschutzrechtliche Anforderungen für Chatbots

Die DSGVO ist lang und beschäftigt sich detail­liert mit sämtlichen Bere­ichen des Daten­schutzes. Wir fassen hier die wichtig­sten Punk­te zusam­men und zeigen, wie eine sichere und DSG­VO-kon­forme Umset­zung eines Chat­bot-Pro­jek­ts ausse­hen kann.

Datenschutzhinweis

Um Trans­parenz zu schaf­fen, muss es einen Daten­schutzhin­weis für Nutzer:innen geben, in denen die Daten­ver­ar­beitung des Chat­bots präzisiert wird. Darin soll­ten die Zwecke der Daten­ver­ar­beitung enthal­ten sein. So kön­nen User nachvol­lziehen, ob die Spe­icherung ihrer Dat­en unver­hält­nis­mäßig oder legit­im ist.

Unternehmen soll­ten dies allerd­ings nicht ein­fach als lästige Pflicht durch die DSGVO abtun, son­dern als Chance sehen. 

Ein offen­er und trans­par­enter Umgang mit dem sen­si­blen The­ma Daten­schutz kann bei Kund:innen auch pos­i­tiv aufgenom­men wer­den und Ver­trauen schaffen.

Vertrag zur Auftragsverarbeitung 

Ver­ant­wortlich für den Umgang mit dem Daten­schutz und der DSGVO sind diejeni­gen, die den Chat­bot einsetzen. 

Dien­stleis­ter, zum Beispiel Chat­bot-Anbi­eter beziehungsweise deren Dien­stleis­ter (soge­nan­nte Unter­auf­tragsver­ar­beit­er), sind allerd­ings dazu verpflichtet, alle notwendi­gen Schritte zur Sich­er­stel­lung des Daten­schutzes zu gewährleisten.

Fest­ge­hal­ten wird dies in der Regel in einem Ver­trag zur Auf­tragsver­ar­beitung (AV-Ver­trag oder AVV), in dem detail­liert die Schritte und Pflicht­en zur Ein­hal­tung des Daten­schutzes aufge­führt sind. Das bietet Sicher­heit sowohl für die Auf­tragge­ber als auch für die Dienstleister.

Gesprächsstart / Einwilligung

Aus Nutzer­sicht begin­nt die Daten­schutz-The­matik wie bere­its beschrieben ab dem ersten Klick. Daher ist es sin­nvoll, bere­its beim Gesprächsstart auf die beste­hen­den Daten­schutz­maß­nah­men aufmerk­sam zu machen. Ein direk­ter Link zum Daten­schutzhin­weis ist empfehlenswert.

Außer­dem ist es in manchen Fällen sin­nvoll, von den Nutzer:innen eine Ein­willi­gung in die Daten­ver­ar­beitung zu fordern. Gute Möglichkeit­en sind hier das Ein­holen der Ein­willi­gung in Textform oder ein Opt-In, zum Beispiel per Check­box oder Klick eines Buttons. 

Dies bietet eine starke Grund­lage zur Ver­ar­beitung bes­timmter per­so­n­en­be­zo­gen­er Daten.

SSL-Verschlüsselung

Eine sichere Ver­schlüs­selung von Dat­en ist mit­tler­weile gang und gäbe. Wichtig ist hier, sowohl die Datenüber­tra­gung als auch die gespe­icherten Dat­en zu ver­schlüs­seln. Infor­ma­tio­nen, die nicht oder nicht mehr gebraucht wer­den, soll­ten genullt werden. 

So bleiben nur rel­e­vante Dat­en erhal­ten, die zum Beispiel in weit­eren Prozessen benötigt werden.

Datenlöschung

Über­all, wo per­so­n­en­be­zo­gene Dat­en gespe­ichert wer­den, sollte es ein Löschkonzept geben. Dieses gibt vor, welche Dat­en wie lange gespe­ichert wer­den. Das ist eine Abstim­mungssache zwis­chen Auf­tragge­bern und Auftragnehmern. 

Es ist empfehlenswert, auch den Nutzer:innen im Daten­schutzhin­weis offen­zule­gen, wann ihre Dat­en automa­tisch gelöscht werden.

Deutsches Hosting

Auch beim Host­ing ist darauf zu acht­en, dass die Regeln der DSGVO einge­hal­ten wer­den. Am ein­fach­sten machen es sich deutsche Unternehmen, wenn sich ein Chat­bot eben­falls in Deutsch­land hosten lässt. 

Für die Serv­er gel­ten dann automa­tisch sowohl die DSG­VO-Anforderun­gen als auch deutsches Recht. Prinzip­iell ist aber auch ein Host­ing inner­halb des EU-Aus­lands unprob­lema­tisch, denn genau das ist ein weit­er­er Zweck der Verord­nung: Der sichere Daten­verkehr inner­halb der EU.

Betroffenenrechte

Die DSGVO regelt neben Vor­gaben zur Daten­ver­ar­beitung auch bes­timmte Rechte von betrof­fe­nen Per­so­n­en. Eines der bekan­ntesten ist das Recht auf Vergessen­wer­den. Hier­mit kön­nen Betrof­fene jed­erzeit ein­fordern, dass sämtliche über sie gespe­icherten Dat­en gelöscht wer­den, sofern keine trifti­gen Gründe für den Fortbe­stand der Spe­icherung vorliegen.

Ein weit­eres häu­fig genan­ntes Recht ist das Auskun­ft­srecht nach Artikel 15 der DSGVO, wonach betrof­fene Nutzer:innen jed­erzeit Auskun­ft über die gespe­icherten per­so­n­en­be­zo­ge­nen Dat­en ein­fordern dürfen. 

Dies ist eine weit­ere Maß­nahme zur Steigerung der Trans­parenz bei der Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en. Sämtliche Betrof­fe­nen­rechte müssen vom Auf­tragge­ber sichergestellt werden.

chatbot datenschutz

Datenschutzkonforme Chatbots mit Botcamp.ai

Das ist eine Menge zu berück­sichti­gen. Die DSGVO hat die Umset­zung von Chat­bots sicher­lich nicht vere­in­facht. Als erfahren­er Bot-Entwick­ler haben wir von Botcamp.ai jedoch von Anfang an darauf geset­zt, Chat­bots sich­er und DSG­VO-kon­form zu machen. Weil wir die Anforderun­gen genau ken­nen, wis­sen wir auch, was zu tun ist.

Daher haben wir bere­its alle unsere Prozesse an die Vor­gaben der DSGVO angepasst. Außer­dem stellen wir unseren Kun­den alle nöti­gen Infor­ma­tio­nen und Vor­la­gen zur Ver­fü­gung, um Daten­schutz­in­for­ma­tio­nen kor­rekt wiederzugeben und ver­traglich abgesichert zu sein.

Wir konzen­tri­eren uns darauf, Daten­schutzsicher­heit und Effek­tiv­ität zu vere­inen. Die DSGVO mag für manche Fragestel­lun­gen eine Hürde darstellen. Wir wollen allerd­ings stets pro­duk­tiv damit umge­hen und trotz­dem ide­ale Bot-Lösun­gen kreieren.

Fazit

Die EU-Daten­schutz-Grund­verord­nung im Bere­ich Chat­bots kommt mit vie­len Auf­gaben ein­her – für Auf­tragge­ber wie Auf­trag­nehmer – und wirkt bisweilen wie ein undurch­dringlich­es Dic­kicht. Wer sich ausken­nt und den richti­gen Part­ner wählt, manövri­ert sich jedoch sich­er durch dieses hin­durch, ohne Abstriche beim End­pro­dukt machen zu müssen.

Eine zen­trale Fragestel­lung dabei ist auch, wie der genaue Anwen­dungs­fall aussieht. Je nach Chat­bot wer­den ganz unter­schiedliche Dat­en gesammelt. 

Es gibt sog­ar Bots, die gän­zlich ohne per­so­n­en­be­zo­gene Dat­en auskom­men. Sicher­heits­maß­nah­men und Löschfris­ten richt­en sich nach dem entsprechen­den Chat­bot-Pro­dukt. Wie genau der Daten­schutz eines Pro­jek­tes gestal­tet wird, klärt sich also immer erst im Dialog.

Sie benötigen einen DSGVO-konformen Chatbot?

Nutzen Sie unseren kosten­losen Show­case und erfahren Sie selb­st, welche Vorteile unsere Chat­bots haben! 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.