Ihre Kontakte
Chatbots erfreuen sich immer grösserer Beliebtheit. Die französische Datenschutzbehörde (CNIL) hat nun im Februar 2021 Hinweise veröffentlicht, welche Anforderungen an einen datenschutzkonformen Einsatz der digitalen Assistenten zu stellen sind. Auch wenn diese Leitlinien nicht alle datenschutzrechtlichen Fragen abdecken können, stellen sie eine willkommene Orientierungshilfe dar, auch mit einem Blick über das französische Recht hinaus.
Rege Einbindung von Chatbots auf Websites
Wer aufmerksam durch das Internet surft, dem ist es in den vergangenen Jahren aufgefallen: Immer mehr Unternehmen haben Chatbots auf ihren Websites integriert, die mehr oder weniger auffällig ihre Dienste zur Verfügung stellen. Chatbots haben das Potenzial, den Kundendienst von einfacheren und repetitiven Anfragen zu entlasten, womit dieser sich auf komplexere Probleme konzentrieren kann. Zudem sind die computerunterstützen Assistenten 24 Stunden am Tag und sieben Tage der Woche im Einsatz. Chatbots sollen damit vor allem auch den Kunden zugutekommen und deren Zufriedenheit erhöhen.
Entscheidet sich ein Unternehmen für den Einsatz von Chatbots, stellen sich eine Reihe von rechtlichen Folgefragen. Unternehmen sind gut beraten, sich zu überlegen, ob die vorgesehene Implementierung haftungsrechtliche Konsequenzen hat oder aufgrund aufsichtsrechtlicher Vorgaben unzulässig sein könnte. Da Chatbots mit Menschen kommunizieren und von diesen Informationen erhalten, ist zudem das Datenschutzrecht zu beachten, wenn diese Informationen personenbezogen sind.
Hinweise der CNIL
Vor diesem Hintergrund ist es erfreulich, dass sich die französische Datenschutzaufsicht (CNIL) des Themas Chatbots angenommen und am 19. Februar 2021 Hinweise dazu veröffentlicht hat, was beim Einsatz von Chatbots in datenschutzrechtlicher Hinsicht zu berücksichtigen ist. Die CNIL äussert sich zu folgenden Aspekten:
- Einhalten der datenschutzrechtlichen Prinzipien
Verantwortliche sowie Auftragsdatenverarbeiter müssen bei jeder Verarbeitung personenbezogener Daten die Grundprinzipien des Datenschutzrechts berücksichtigen (siehe Art. 5 DSGVO). - Wann braucht es eine Einwilligung zum Einsatz eines Chatbots?
Um die technische Kontinuität des Chatbots zu gewährleisten oder um den Konversationsverlauf über mehrere Unterseiten der Website zu erhalten, wird häufig ein Cookie auf dem Endgerät des Nutzers platziert und ausgelesen. Sofern der Betreiber vor der Aktivierung des Chatbots ein Cookie hinterlegen möchte, muss er die vorherige Zustimmung des Benutzers einholen. Diese muss freiwillig, spezifisch, informiert und unmissverständlich sein (vgl. dazu z.B. MLL-News vom 25.10.2019). Der Betreiber kann den Chatbot aber auch so ausgestalten, dass das Cookie nur abgelegt wird, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst). In diesem Fall ist das Cookie für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich und kann auf Art. 5 Abs. 3 Satz. 2 E-Privacy Richtlinie bzw. das diese Richtlinie umsetzende nationale Recht (in Frankreich Art. 82 Loi 78-17) gestützt werden. Der Einsatz des Chatbots bedarf in dieser Konstellation keiner datenschutzrechtlichen Einwilligung. Auf diese Ausnahme kann sich der Betreiber aber nur berufen, wenn das Cookie einzig der Bereitstellung des Chatbots dient. Jeder andere Zweck erfordert die Einwilligung des Benutzers. - Speicherdauer der gesammelten Daten
Der Verantwortliche muss sicherstellen, dass die Daten nur solange gespeichert werden, wie dies erforderlich ist. Dies bedeutet, dass er sich fragen muss, ob die Daten nach der Interaktion gelöscht werden können (die CNIL macht hier das Beispiel eines Chatbots, der nur beim Einkauf hilft) oder ob es berechtigte Gründe gibt, die Daten länger zu speichern (die CNIL macht hier das Beispiel eines Chatbots, der Reklamationen entgegennimmt). - Durchführung vollständig automatisierter Einzelentscheidungen
Besondere Pflichten sind gemäss der CNIL zu beachten, wenn der Chatbot wichtige automatisierte Einzelentscheidungen treffen darf, wie z.B. Entscheide über die Kreditvergabe, Entscheide über die auf die betroffene Person anwendbaren Tarife oder Entscheide im Zusammenhang mit Bewerbungen. Solche automatisierten Einzelentscheidungen sind nach Art. 22 DSGVO nur zulässig, wenn (i) sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, (ii) durch das anwendbare mitgliedstaatliche Recht oder Unionsrecht erlaubt sind oder (iii) die betroffene Person ausdrücklich eingewilligt hat. Die CNIL ruft aber in Erinnerung, dass der Verantwortliche auch in diesen Fällen angemessene Massnahmen zum Schutz der Grundrechte und berechtigten Interessen der betroffenen Person ergreifen muss, wozu mindestens Folgendes gehört: Möglichkeit einer menschlichen Überprüfung der Entscheidung seitens des Verantwortlichen, Darlegung des eigenen Standpunkts durch die betroffene Person und Anfechtung der Entscheidung durch die betroffene Person. - Übermittlung besonders schützenswerter Personendaten über den Chatbot
Schliesslich äussert sich die CNIL dazu, wie mit über den Chatbot übermittelten besonders schützenswerten Personendaten umgegangen werden soll. Die CNIL macht hier eine Differenzierung zwischen angefragter oder vorhersehbarer Übermittlung einerseits und unvorhersehbarer, spontaner Übermittlung andererseits: Wird der Chatbot in Konstellationen eingesetzt, in denen die Übermittlung besonders schützenswerter Daten mindestens vorhersehbar ist (z.B. im Gesundheitsbereich oder als Anlaufstelle für Opfer sexueller Gewalt) muss sich die Verarbeitung von Gesundheitsdaten auf eine Grundlage nach Art. 9 Abs. 2 DSGVO stützen können (z.B. die Einwilligung der betroffenen Person oder eine einschlägige Gesetzesgrundlage). Ermöglicht der Chatbot aber die Eingabe von Freitext, kann es passieren, dass dem Verantwortlichen besonders schützenswerte Personendaten übermittelt werden, ohne dass er diese angefragt hat oder dies vorhersehbar war. In diesen Konstellationen ist es gemäss der CNIL nicht erforderlich, die Einwilligung der betroffenen Person einzuholen. Der Verantwortliche muss aber risikominimierende Massnahmen treffen, indem (i) vor jeder Nutzung des Chatbots eine Warnung/Information angezeigt wird, die dazu auffordert, von der Kommunikation sensibler Daten abzusehen und (ii) ein System implementiert wird, dass die sofortige oder zumindest regelmässige Löschung solcher nicht erforderlichen besonders schützenswerten Daten ermöglicht.
Fazit und Anmerkungen
Es ist sehr erfreulich, dass die CNIL diese technologiespezifischen Hinweise veröffentlicht. Sie geben Unternehmen einen guten Überblick über die Herausforderungen beim Einsatz von Chatbots. Sie dürften auch die schweizerische Praxis der datenschutzrechtlichen Handhabung von Chatbots prägen. Besonders interessant sind die Ausführungen zu den Rechtsgrundlagen für die Verarbeitung besonders schützenswerten Daten, ein Thema das nicht nur bei Chatbots für viel Kopfzerbrechen sorgt. Die Leitlinien sind aber keine abschliessende Erläuterung zum Einsatz von Chatbots, da sie z.B. die praxisrelevanten Aspekte der Datensicherheit und der Transparenz weitgehend ausklammern. Verantwortliche werden daher die konkrete technische Einbindung des Chatbots auf ihrer Website weiterhin im Einzelfall prüfen müssen.
Weitere Informationen:
- CNIL: les conseils de la CNIL pour respecter les droits des personnes vom 21. Februrar 2021
- MLL-News vom 25.10.2019: «EuGH-Urteil: aktive Einwilligung in Werbe-Cookies erforderlich – auch bei fehlendem Personenbezug»
- MLL-News vom 10.9.2019: «ICO und CNIL publizieren Richtlinien für die Verwendung von Cookies»