CNIL: Hinweise zum datenschutzkonformen Einsatz von Chatbots


Ihre Kontakte

Chatbots erfreuen sich immer grösserer Beliebtheit. Die französische Datenschutzbehörde (CNIL) hat nun im Februar 2021 Hinweise veröffentlicht, welche Anforderungen an einen datenschutzkonformen Einsatz der digitalen Assistenten zu stellen sind. Auch wenn diese Leitlinien nicht alle datenschutzrechtlichen Fragen abdecken können, stellen sie eine willkommene Orientierungshilfe dar, auch mit einem Blick über das französische Recht hinaus.

Rege Einbindung von Chatbots auf Websites

Wer aufmerksam durch das Internet surft, dem ist es in den vergangenen Jahren aufgefallen: Immer mehr Unternehmen haben Chatbots auf ihren Websites integriert, die mehr oder weniger auffällig ihre Dienste zur Verfügung stellen. Chatbots haben das Potenzial, den Kundendienst von einfacheren und repetitiven Anfragen zu entlasten, womit dieser sich auf komplexere Probleme konzentrieren kann. Zudem sind die computerunterstützen Assistenten 24 Stunden am Tag und sieben Tage der Woche im Einsatz. Chatbots sollen damit vor allem auch den Kunden zugutekommen und deren Zufriedenheit erhöhen.

Entscheidet sich ein Unternehmen für den Einsatz von Chatbots, stellen sich eine Reihe von rechtlichen Folgefragen. Unternehmen sind gut beraten, sich zu überlegen, ob die vorgesehene Implementierung haftungsrechtliche Konsequenzen hat oder aufgrund aufsichtsrechtlicher Vorgaben unzulässig sein könnte. Da Chatbots mit Menschen kommunizieren und von diesen Informationen erhalten, ist zudem das Datenschutzrecht zu beachten, wenn diese Informationen personenbezogen sind.

Hinweise der CNIL

Vor diesem Hintergrund ist es erfreulich, dass sich die französische Datenschutzaufsicht (CNIL) des Themas Chatbots angenommen und am 19. Februar 2021 Hinweise dazu veröffentlicht hat, was beim Einsatz von Chatbots in datenschutzrechtlicher Hinsicht zu berücksichtigen ist. Die CNIL äussert sich zu folgenden Aspekten:

  • Einhalten der datenschutzrechtlichen Prinzipien
    Verantwortliche sowie Auftragsdatenverarbeiter müssen bei jeder Verarbeitung personenbezogener Daten die Grundprinzipien des Datenschutzrechts berücksichtigen (siehe Art. 5 DSGVO).
  • Wann braucht es eine Einwilligung zum Einsatz eines Chatbots?
    Um die technische Kontinuität des Chatbots zu gewährleisten oder um den Konversationsverlauf über mehrere Unterseiten der Website zu erhalten, wird häufig ein Cookie auf dem Endgerät des Nutzers platziert und ausgelesen. Sofern der Betreiber vor der Aktivierung des Chatbots ein Cookie hinterlegen möchte, muss er die vorherige Zustimmung des Benutzers einholen. Diese muss freiwillig, spezifisch, informiert und unmissverständlich sein (vgl. dazu z.B. MLL-News vom 25.10.2019). Der Betreiber kann den Chatbot aber auch so ausgestalten, dass das Cookie nur abgelegt wird, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst). In diesem Fall ist das Cookie für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich und kann auf Art. 5 Abs. 3 Satz. 2 E-Privacy Richtlinie bzw. das diese Richtlinie umsetzende nationale Recht (in Frankreich Art. 82 Loi 78-17) gestützt werden. Der Einsatz des Chatbots bedarf in dieser Konstellation keiner datenschutzrechtlichen Einwilligung. Auf diese Ausnahme kann sich der Betreiber aber nur berufen, wenn das Cookie einzig der Bereitstellung des Chatbots dient. Jeder andere Zweck erfordert die Einwilligung des Benutzers.
  • Speicherdauer der gesammelten Daten
    Der Verantwortliche muss sicherstellen, dass die Daten nur solange gespeichert werden, wie dies erforderlich ist. Dies bedeutet, dass er sich fragen muss, ob die Daten nach der Interaktion gelöscht werden können (die CNIL macht hier das Beispiel eines Chatbots, der nur beim Einkauf hilft) oder ob es berechtigte Gründe gibt, die Daten länger zu speichern (die CNIL macht hier das Beispiel eines Chatbots, der Reklamationen entgegennimmt).
  • Durchführung vollständig automatisierter Einzelentscheidungen
    Besondere Pflichten sind gemäss der CNIL zu beachten, wenn der Chatbot wichtige automatisierte Einzelentscheidungen treffen darf, wie z.B. Entscheide über die Kreditvergabe, Entscheide über die auf die betroffene Person anwendbaren Tarife oder Entscheide im Zusammenhang mit Bewerbungen. Solche automatisierten Einzelentscheidungen sind nach Art. 22 DSGVO nur zulässig, wenn (i) sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, (ii) durch das anwendbare mitgliedstaatliche Recht oder Unionsrecht erlaubt sind oder (iii) die betroffene Person ausdrücklich eingewilligt hat. Die CNIL ruft aber in Erinnerung, dass der Verantwortliche auch in diesen Fällen angemessene Massnahmen zum Schutz der Grundrechte und berechtigten Interessen der betroffenen Person ergreifen muss, wozu mindestens Folgendes gehört: Möglichkeit einer menschlichen Überprüfung der Entscheidung seitens des Verantwortlichen, Darlegung des eigenen Standpunkts durch die betroffene Person und Anfechtung der Entscheidung durch die betroffene Person.
  • Übermittlung besonders schützenswerter Personendaten über den Chatbot
    Schliesslich äussert sich die CNIL dazu, wie mit über den Chatbot übermittelten besonders schützenswerten Personendaten umgegangen werden soll. Die CNIL macht hier eine Differenzierung zwischen angefragter oder vorhersehbarer Übermittlung einerseits und unvorhersehbarer, spontaner Übermittlung andererseits: Wird der Chatbot in Konstellationen eingesetzt, in denen die Übermittlung besonders schützenswerter Daten mindestens vorhersehbar ist (z.B. im Gesundheitsbereich oder als Anlaufstelle für Opfer sexueller Gewalt) muss sich die Verarbeitung von Gesundheitsdaten auf eine Grundlage nach Art. 9 Abs. 2 DSGVO stützen können (z.B. die Einwilligung der betroffenen Person oder eine einschlägige Gesetzesgrundlage). Ermöglicht der Chatbot aber die Eingabe von Freitext, kann es passieren, dass dem Verantwortlichen besonders schützenswerte Personendaten übermittelt werden, ohne dass er diese angefragt hat oder dies vorhersehbar war. In diesen Konstellationen ist es gemäss der CNIL nicht erforderlich, die Einwilligung der betroffenen Person einzuholen. Der Verantwortliche muss aber risikominimierende Massnahmen treffen, indem (i) vor jeder Nutzung des Chatbots eine Warnung/Information angezeigt wird, die dazu auffordert, von der Kommunikation sensibler Daten abzusehen und (ii) ein System implementiert wird, dass die sofortige oder zumindest regelmässige Löschung solcher nicht erforderlichen besonders schützenswerten Daten ermöglicht.

Fazit und Anmerkungen

Es ist sehr erfreulich, dass die CNIL diese technologiespezifischen Hinweise veröffentlicht. Sie geben Unternehmen einen guten Überblick über die Herausforderungen beim Einsatz von Chatbots. Sie dürften auch die schweizerische Praxis der datenschutzrechtlichen Handhabung von Chatbots prägen. Besonders interessant sind die Ausführungen zu den Rechtsgrundlagen für die Verarbeitung besonders schützenswerten Daten, ein Thema das nicht nur bei Chatbots für viel Kopfzerbrechen sorgt. Die Leitlinien sind aber keine abschliessende Erläuterung zum Einsatz von Chatbots, da sie z.B. die praxisrelevanten Aspekte der Datensicherheit und der Transparenz weitgehend ausklammern. Verantwortliche werden daher die konkrete technische Einbindung des Chatbots auf ihrer Website weiterhin im Einzelfall prüfen müssen.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.