CNIL: Hinweise zum datenschutzkonformen Einsatz von Chatbots


Ihr Kontakt

Chatbots erfreuen sich immer grösserer Beliebtheit. Die französische Datenschutzbehörde (CNIL) hat nun im Februar 2021 Hinweise veröffentlicht, welche Anforderungen an einen datenschutzkonformen Einsatz der digitalen Assistenten zu stellen sind. Auch wenn diese Leitlinien nicht alle datenschutzrechtlichen Fragen abdecken können, stellen sie eine willkommene Orientierungshilfe dar, auch mit einem Blick über das französische Recht hinaus.
  

Rege Einbindung von Chatbots auf Websites

Wer aufmerksam durch das Internet surft, dem ist es in den vergangenen Jahren aufgefallen: Immer mehr Unternehmen haben Chatbots auf ihren Websites integriert, die mehr oder weniger auffällig ihre Dienste zur Verfügung stellen. Chatbots haben das Potenzial, den Kundendienst von einfacheren und repetitiven Anfragen zu entlasten, womit dieser sich auf komplexere Probleme konzentrieren kann. Zudem sind die computerunterstützen Assistenten 24 Stunden am Tag und sieben Tage der Woche im Einsatz. Chatbots sollen damit vor allem auch den Kunden zugutekommen und deren Zufriedenheit erhöhen.

Entscheidet sich ein Unternehmen für den Einsatz von Chatbots, stellen sich eine Reihe von rechtlichen Folgefragen. Unternehmen sind gut beraten, sich zu überlegen, ob die vorgesehene Implementierung haftungsrechtliche Konsequenzen hat oder aufgrund aufsichtsrechtlicher Vorgaben unzulässig sein könnte. Da Chatbots mit Menschen kommunizieren und von diesen Informationen erhalten, ist zudem das Datenschutzrecht zu beachten, wenn diese Informationen personenbezogen sind.
  

Hinweise der CNIL

Vor diesem Hintergrund ist es erfreulich, dass sich die französische Datenschutzaufsicht (CNIL) des Themas Chatbots angenommen und am 19. Februar 2021 Hinweise dazu veröffentlicht hat, was beim Einsatz von Chatbots in datenschutzrechtlicher Hinsicht zu berücksichtigen ist. Die CNIL äussert sich zu folgenden Aspekten:

  • Einhalten der datenschutzrechtlichen Prinzipien
    Verantwortliche sowie Auftragsdatenverarbeiter müssen bei jeder Verarbeitung personenbezogener Daten die Grundprinzipien des Datenschutzrechts berücksichtigen (siehe Art. 5 DSGVO).
      
  • Wann braucht es eine Einwilligung zum Einsatz eines Chatbots?
    Um die technische Kontinuität des Chatbots zu gewährleisten oder um den Konversationsverlauf über mehrere Unterseiten der Website zu erhalten, wird häufig ein Cookie auf dem Endgerät des Nutzers platziert und ausgelesen. Sofern der Betreiber vor der Aktivierung des Chatbots ein Cookie hinterlegen möchte, muss er die vorherige Zustimmung des Benutzers einholen. Diese muss freiwillig, spezifisch, informiert und unmissverständlich sein (vgl. dazu z.B. MLL-News vom 25.10.2019). Der Betreiber kann den Chatbot aber auch so ausgestalten, dass das Cookie nur abgelegt wird, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst). In diesem Fall ist das Cookie für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich und kann auf Art. 5 Abs. 3 Satz. 2 E-Privacy Richtlinie bzw. das diese Richtlinie umsetzende nationale Recht (in Frankreich Art. 82 Loi 78-17) gestützt werden. Der Einsatz des Chatbots bedarf in dieser Konstellation keiner datenschutzrechtlichen Einwilligung. Auf diese Ausnahme kann sich der Betreiber aber nur berufen, wenn das Cookie einzig der Bereitstellung des Chatbots dient. Jeder andere Zweck erfordert die Einwilligung des Benutzers.
      
  • Speicherdauer der gesammelten Daten
    Der Verantwortliche muss sicherstellen, dass die Daten nur solange gespeichert werden, wie dies erforderlich ist. Dies bedeutet, dass er sich fragen muss, ob die Daten nach der Interaktion gelöscht werden können (die CNIL macht hier das Beispiel eines Chatbots, der nur beim Einkauf hilft) oder ob es berechtigte Gründe gibt, die Daten länger zu speichern (die CNIL macht hier das Beispiel eines Chatbots, der Reklamationen entgegennimmt).
      
  • Durchführung vollständig automatisierter Einzelentscheidungen
    Besondere Pflichten sind gemäss der CNIL zu beachten, wenn der Chatbot wichtige automatisierte Einzelentscheidungen treffen darf, wie z.B. Entscheide über die Kreditvergabe, Entscheide über die auf die betroffene Person anwendbaren Tarife oder Entscheide im Zusammenhang mit Bewerbungen. Solche automatisierten Einzelentscheidungen sind nach Art. 22 DSGVO nur zulässig, wenn (i) sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, (ii) durch das anwendbare mitgliedstaatliche Recht oder Unionsrecht erlaubt sind oder (iii) die betroffene Person ausdrücklich eingewilligt hat. Die CNIL ruft aber in Erinnerung, dass der Verantwortliche auch in diesen Fällen angemessene Massnahmen zum Schutz der Grundrechte und berechtigten Interessen der betroffenen Person ergreifen muss, wozu mindestens Folgendes gehört: Möglichkeit einer menschlichen Überprüfung der Entscheidung seitens des Verantwortlichen, Darlegung des eigenen Standpunkts durch die betroffene Person und Anfechtung der Entscheidung durch die betroffene Person.
      
  • Übermittlung besonders schützenswerter Personendaten über den Chatbot
    Schliesslich äussert sich die CNIL dazu, wie mit über den Chatbot übermittelten besonders schützenswerten Personendaten umgegangen werden soll. Die CNIL macht hier eine Differenzierung zwischen angefragter oder vorhersehbarer Übermittlung einerseits und unvorhersehbarer, spontaner Übermittlung andererseits: Wird der Chatbot in Konstellationen eingesetzt, in denen die Übermittlung besonders schützenswerter Daten mindestens vorhersehbar ist (z.B. im Gesundheitsbereich oder als Anlaufstelle für Opfer sexueller Gewalt) muss sich die Verarbeitung von Gesundheitsdaten auf eine Grundlage nach Art. 9 Abs. 2 DSGVO stützen können (z.B. die Einwilligung der betroffenen Person oder eine einschlägige Gesetzesgrundlage). Ermöglicht der Chatbot aber die Eingabe von Freitext, kann es passieren, dass dem Verantwortlichen besonders schützenswerte Personendaten übermittelt werden, ohne dass er diese angefragt hat oder dies vorhersehbar war. In diesen Konstellationen ist es gemäss der CNIL nicht erforderlich, die Einwilligung der betroffenen Person einzuholen. Der Verantwortliche muss aber risikominimierende Massnahmen treffen, indem (i) vor jeder Nutzung des Chatbots eine Warnung/Information angezeigt wird, die dazu auffordert, von der Kommunikation sensibler Daten abzusehen und (ii) ein System implementiert wird, dass die sofortige oder zumindest regelmässige Löschung solcher nicht erforderlichen besonders schützenswerten Daten ermöglicht.

Fazit und Anmerkungen

Es ist sehr erfreulich, dass die CNIL diese technologiespezifischen Hinweise veröffentlicht. Sie geben Unternehmen einen guten Überblick über die Herausforderungen beim Einsatz von Chatbots. Sie dürften auch die schweizerische Praxis der datenschutzrechtlichen Handhabung von Chatbots prägen. Besonders interessant sind die Ausführungen zu den Rechtsgrundlagen für die Verarbeitung besonders schützenswerten Daten, ein Thema das nicht nur bei Chatbots für viel Kopfzerbrechen sorgt. Die Leitlinien sind aber keine abschliessende Erläuterung zum Einsatz von Chatbots, da sie z.B. die praxisrelevanten Aspekte der Datensicherheit und der Transparenz weitgehend ausklammern. Verantwortliche werden daher die konkrete technische Einbindung des Chatbots auf ihrer Website weiterhin im Einzelfall prüfen müssen.

Weitere Informationen:


Artikel teilen



Highlights

MLL Meyerlustenberger Lachenal Froriep

MLL is a leading law firm in Switzerland with offices in Zurich, Geneva, Zug , Lausanne, London and Madrid. We specialise in representing and advising clients at the intersection of high tech, IP rich and regulated industries.

MLL ist eine der führende Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug , Lausanne, London und Madrid. Wir sind auf die Vertretung und Beratung von Mandanten an der Schnittstelle von High-Tech-, IP-reichen und regulierten Industrien spezialisiert.

MLL est une étude d’avocats de premier plan en Suisse avec des bureaux à Zurich, Genève, Zoug, Lausanne, Londres et Madrid. Nous sommes spécialisés dans la représentation et le conseil de clients à l’intersection des industries de haute technologie, riches en propriété intellectuelle et réglementées.

MLL Meyerlustenberger Lachenal Froriep>>

COVID-19

Read all our legal updates on the impact of COVID-19 for businesses.

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

Lisez toutes nos mises à jour juridiques sur l’impact de COVID-19 pour les entreprises.

COVID-19 Information

Newsletter

MLL-News 02/21 mit Beiträgen zu Standardvertragsklauseln, Geoblocking, XBorder u.v.m.!

Zugang MLL-News 02/21

Jetzt anmelden!

Events

Jetzt anmelden! XBorder21 am 25. August 2021 – Trends im nationalen und internationalen E-Commerce

Die jährliche Veranstaltungsreihe XBorder21 findet am 25. August 2021 statt, dieses Jahr wieder als Präsenzveranstaltung im Moods, Schiffbau Zürich. Wir freuen uns sehr darauf, unseren Gästen wieder eine spannende physische Veranstaltung mit einem vielseitigen Tagungsprogramm und Gelegenheiten zum persönlichen Networken bieten zu können. Wie gewohnt bieten wir Ihnen ein umfassendes Programm zu allen rechtlichen Aspekten des nationalen und internationalen Online-Handels. Dabei werden wir den Tag in eine Reihe von thematisch fokussierten Vortragsblöcken aufteilen. Für jeden dieser Blöcke können Sie sich auf den gewohnten Mix von Inputs aus der Praxis und rechtlichen Tipps aus unserer Beratungspraxis freuen. Gleichzeitig erhalten Sie ausführlich Gelegenheit, den jeweiligen Experten live Fragen zu stellen.

Mehr erfahren!

Publications

Click here for our latest publications

Hier geht’s zu unseren neuesten Publikationen

Cliquez ici pour nos dernières publications