Vorsicht bei Chatbots: Die wichtigsten Voraussetzungen für den sicheren Einsatz

Während man noch vor wenigen Jahren im Alltag nicht so viele Gelegenheiten hatte, auf virtuelle Gesprächspartner wie Chatbots zu treffen, sieht die Lage heute schon anders aus. Die Möglichkeiten scheinen unbegrenzt, wenn man an Chatbots, die Hilfe bei seelischen Erkrankungen versprechen, oder andere Anwendungen denkt. Da die dahinterstehende Künstliche Intelligenz (KI) sich immer weiter verbessert, wächst ihr Potential auch für Unternehmen im Kundenservice. Ob Hotelbuchungen, Ticketkäufe oder Kundenanfragen – zunehmend ersetzt der computergesteuerte Kundenservice den persönlichen Kontakt zu menschlichen Ansprechpartnern in Unternehmen.

Was können Chatbots?

Ein Chatbot zeichnet sich durch die Fähigkeit aus, Sprache oder Text verstehen zu können und Unterhaltungen mit Menschen zu simulieren. Die KI, die im Backend des Chatbots hinterlegt, zerlegt die vom Nutzer gestellten Fragen (sog. „intents“) und gemachten Eingaben (sog. „entities“) in Einzelteile und verarbeitet diese nach vorgegebenen Regeln. Die meisten Chatbots greifen dabei auf Datenbanken mit Antworten und Erkennungsmustern zurück.

Durch Chatbots werden herkömmliche Kundenkanäle nicht bloß ersetzt, sondern auch erweitert, indem der Grad der Automatisierung erhöht wird. Dadurch kann der Umfang der Kundenkommunikation erheblich vergrößert werden, da Chatbots – anders als menschliches Personal – mit nahezu beliebig vielen Kunden gleichzeitig kommunizieren können. Chatbots können die Kunden zudem auch über Instant-Messaging-Dienste ansprechen, welche die Kunden im Alltag ohnehin nutzen. Der direkte Austausch mit einem Chatbot über ein dem Kunden bekanntes Medium stärkt das Vertrauen gegenüber der KI.

Für Kunden beziehungsweise Nutzer versprechen gut abgestimmte Chatbots frustrationsfreie, direkte Kommunikation, die frei von Wartezeiten ist. Für Unternehmen ermöglichen sie beachtliche Kosteneinsparungen sowie effiziente, individuell auf den Kunden zugeschnittene Service- und Vertriebsmechanismen. Sie sind damit in der Lage, die Mitarbeiter zu entlasten und den Kunden gleichzeitig einen Service rund um die Uhr zu bieten. In jedem Fall wird die Nutzung von Chatbots die Kundenkommunikation weiter stark verändern und Gespräche mit Mitarbeitern immer weiter in den Hintergrund rücken lassen. Damit sind zahlreiche moralische Fragen verbunden, denen sich Politik und Gesellschaft, aber auch die Unternehmen stellen müssen. Chatbots sollten daher nicht blind und wahllos eingeführt, sondern mit Bedacht für konkrete Anwendungsfälle ausgesucht und implementiert werden.

Sind Chatbots bedenkenlos einsetzbar? Ein Überblick über die rechtlichen Grundlagen

Den Unternehmen, die Chatbots einsetzen wollen, sollte zudem bewusst sein, dass sich Chatbots fast immer im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) bewegen, da Gesprächsdaten und Kommunikationsdaten (wie etwa die die IP-Adresse des Nutzers) personenbezogene Daten im Sinne der DSGVO darstellen. Der Einsatz von Chatbots bringt insofern einige datenschutzrechtliche Herausforderungen mit sich.

Gemäß Art. 6 Abs. 1 DSGVO bedarf die Verarbeitung personenbezogener Daten immer einer Rechtsgrundlage. Es kommen dabei verschiedene Rechtsgrundlagen in Betracht: So besteht bei vertragsspezifischen Anfragen über Chatbots regelmäßig eine gesetzliche Rechtsgrundlage, da die Datenverarbeitung zur Erfüllung der vertraglichen Pflichten erforderlich ist. Dies gilt insbesondere, wenn die Nutzung des Chatbots für die Beantwortung von Supportanfragen zuvor ausdrücklich zum Vertragsbestandteil gemacht wird. Teilweise kann die Verarbeitung auch auf die berechtigen Interessen des Betreibers gestützt werden. Zuvor muss jedoch eine Abwägung mit den Interessen der Nutzer erfolgen. Demgegenüber muss regelmäßig eine Einwilligung des Nutzers eingeholt werden, wenn die Funktion des Chatbots über herkömmlichen Support-Service hinausgehen. Auch für das Anlernen der KI mit personenbezogenen Daten ist regelmäßig eine Einwilligung erforderlich. Dies gilt insbesondere, wenn Daten besonderer Kategorien wie Gesundheitsdaten verarbeitet werden, die Kontaktaufnahme durch das Unternehmen geschieht (§ 7 UWG) oder bei Sprachaufnahmen. Die Einwilligung sollte protokolliert werden und muss jederzeit durch den Nutzer wiederrufbar sein.

Wie bei jedem datenschutzrechtlich relevanten Vorgang, müssen auch im Rahmen der Chatbot-Nutzung die Informationspflichten aus Art. 13, 14 DSGVO eingehalten werden. Ein Unternehmen muss hier alle geeigneten Maßnahmen treffen, um der betroffenen Person die gesetzlichen Pflichtangaben in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache zu übermitteln (Art. 12 Abs. 1 DSGVO). Dazu gehört grundsätzlich auch die Vermittlung der groben Funktionsweisen der eingesetzten KI. Dies gilt jedenfalls, wenn die KI ein sog. Profiling, die automatisierte Bewertung persönlicher Aspekte für Analyse und Prognosezwecke, vornimmt. Auch sind über den Gegenstand und Umfang der Datenverarbeitungen, die Rechtsgrundlage und die Empfänger zu informieren. Schließlich muss über die datenschutzrechtlichen Rechte der betroffenen Personen aufgeklärt werden. Da die Datenschutzerklärung jederzeit erreichbar eingebunden werden muss, drohen die Vorteile einer unkomplizierten und damit schnellen Kommunikation abhanden zu kommen. Um das zu verhindern, empfiehlt es sich nur Kurzinformationen in den Bot einzubinden und im Übrigen auf ergänzende Hinweise zu verlinken.

Zudem muss, sofern es sich nicht um einen unternehmenseigenen Bot handelt, zwischen Betreiber und Anbieter des Bots ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden, wenn der Bot-Anbieter die Möglichkeit eines Zugriffs auf Daten hat. Wichtig ist auch, darauf zu achten, dass das Programm nicht maßlos Daten verarbeitet, sondern dass der Grundsatz der Datensparsamkeit eingehalten wird. Angaben, die für die jeweilige Funktion des Chatbots nicht erforderlich sind, dürfen auch nicht erhoben werden. Die namentliche Ansprache kann beispielsweise ein Gefühl des persönlichen Gesprächs geben, doch eine Ansprache mit Klarnamen ist gerade im Kundensupport häufig nicht notwendig.

Neben den rein rechtlichen Anforderungen muss das verantwortliche Unternehmen nach Art. 32 DSGVO den allgemeinen technisch-organisatorischen Anforderungen zu Datenschutz und -sicherheit nachkommen. Dazu gehört unter anderem die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung von Daten. Dies alles sollte gewährleistet sein, bevor ein Unternehmen sich zum Einsatz von Chatbots entschließt. Zum Beispiel müssen technische Vorkehrungen getroffen werden, um bei einem Serverausfall des Dienstes die Daten im Chatverlauf schnell wiederherstellen zu können. Ebenso gehören dazu die Pseudonymisierung und Verschlüsselung personenbezogener Daten – Maßnahmen, um dem Risiko entgegenzuwirken, dass über den Chat personenbezogene Daten durch Dritte ausgelesen werden. Möglichkeiten zur Verschlüsselung der Daten sollten daher in jedem Fall geprüft und gegebenenfalls umgesetzt werden.

Fazit

Die Fähigkeiten von Chatbots werden weiterhin zunehmen und damit einhergehend auch ihre Verbreitung. Die DSGVO versucht nicht, diese Entwicklung aufzuhalten, sondern durch datenschutzrechtliche Rahmenbedingungen die Interessen der Nutzer und Verwender miteinander in Einklang zu bringen, was nicht zuletzt auch zu einer höheren Akzeptanz für derartige Technologien führen dürfte. Die Umsetzung aller datenschutzrechtlichen Maßnahmen im Vorfeld dürfte zwar zunächst zu Mehrarbeit führen, zahlt sich schließlich aber durch eine erhöhte Sicherheit und die Vermeidung datenschutzrechtlicher Sanktionen aus.