Kundenbindung: rechtskonforme Implementierung von Loyaltyprogrammen

Künstliche Intelligenz

Rechtskonforme Einbindung von Bots, Sprachassistenten und Messengern für die interne und externe Kommunikation

Eingebettet in digitale Assistenten, auf Websites oder auf Social-Media-Kanälen werden Bots (z.B. Sprachbots oder Chatbots) schon heute für die interne und externe digitale Unternehmenskommunikation verwendet. Durch die automatisierten Interaktionsmöglichkeiten mit Wirtschaftssystemen, Analysetools und anderen KI-basierten Plattformen können Bots zukünftig sowohl im B2C- als auch im B2B-Bereich mit den Anwendern in einer Weise kommunizieren, bei der nicht mehr zwischen Menschen und Maschine unterschieden werden kann. Gleichzeitig wird der Einsatz von Künstlicher Intelligenz in Verbindung mit Voice Analytics, psychologischen Modellen und Kundendaten ermöglichen, dass unendlich viele Emotionen und Bedürfnisse einer unbegrenzten Anzahl von Nutzern auf den unterschiedlichsten Kanälen effektiv identifiziert und die erforderlichen Anwendungen bedient werden können, wobei zusätzlich stetig lernende Rückschlüsse für alle Unternehmensbereiche generiert werden.

Jedoch ist nicht alles, was technisch möglich ist, auch rechtlich zulässig. Bei der Einbindung der genannten Technologien stellen sich für Unternehmen zahlreiche rechtliche Herausforderungen: unter anderem müssen Vorgaben aus dem Datenschutz-, Wettbewerbs- und IP-Recht berücksichtigt werden. Auch die Vertragsbeziehungen mit Anbietern entsprechender Dienste müssen gestaltet werden. Um diese Herausforderungen bewältigen zu können, hilft Ihnen eine Beratung durch unsere Kanzlei: aufgrund der gesammelten Erfahrungen bei der rechtskonformen Einbindung von Bots, Sprachassistenten und Messengern in die Unternehmenskommunikation können wir Ihnen für jede Frage eine interessengerechte und praxisorientierte Lösung präsentieren!

Wir beraten:

  • Handel und E-Commerce
  • Pharma und Health
  • Versicherungen
  • Finance
  • Energie
  • Medien
  • AdTech

Welche rechtlichen und tatsächlichen Herausforderungen ergeben sich für unsere Mandanten und wie können wir sie erfolgreich lösen?

Erfahrungsgemäß ist es von Vorteil, wenn die Beratung der Mandanten im Hinblick auf den Einsatz dieser Kommunikationstechnologien möglichst früh beginnt. Durch unsere frühzeitige Beratung können die gesetzlichen Anforderungen und Vorgaben bereits bei der Implementierung entsprechender Systeme berücksichtigt und dadurch der Compliance-Aufwand möglichst geringgehalten werden (sog. „privacy-by-design“ und „privacy-by-default“).

Dabei empfiehlt es sich, dass wir mit unseren Mandanten schrittweise die tatsächlichen und rechtlichen Herausforderungen erörtern. Häufig hilft es dabei, dass zunächst gemeinsam einige „Use-Cases“ ausgearbeitet werden, anhand derer von uns die konkreten rechtlichen Fragestellungen aufgezeigt und beantwortet werden können. Regelmäßig bildet dabei die datenschutzrechtliche Beratung einen Schwerpunkt. Hier ist meistens die Entwicklung wirksamer Konzepte zur Einhaltung der Vorschriften aus dem Datenschutz erforderlich. Nach der Erstellung der Konzepte bietet sich die Prüfung konkreter Dokumente an, bei der unsere Mandanten beispielsweise im Hinblick auf die Vertragsgestaltung oder die Erstellung von Informationstexten beraten werden.

Die Kernfrage: Wie können die Vorteile des Einsatzes von Sprachassistenten, Bots und Messengern für die Unternehmenskommunikation mit den rechtlichen Anforderungen in Einklang gebracht werden?

Zunächst erörtern wir die Funktionsweisen der eingesetzten Technologien. Dieses Vorgehen ist erforderlich, um in einem zweiten Schritt die konkreten rechtlichen Anforderungen und Vorgaben darlegen zu können, die in dem spezifischen Beratungsfall beachtet werden müssen. Unter Berücksichtigung der ersten beide Schritte präsentieren wir unseren Mandanten abschließend eine passgenaue Lösung, die im Einklang mit den geltenden rechtlichen Anforderungen ist.

Wie funktioniert der Einsatz von Voice, Messengern und Bots? Welche Gesichtspunkte sind bei der rechtlichen Beurteilung zu beachten?

Sprachassistenten können die durch Sprechen eingegebenen Befehle oder Fragen grundsätzlich nur umsetzen, wenn die eingebauten Mikrofone dauerhaft auf ihre Umgebung reagieren und diese aufnehmen, ohne dass diese Aufnahmen aufgezeichnet werden. Die eigentliche Aufzeichnung der gesprochenen Wörter und Sätze beginnt erst nach Aktivierung, häufig durch das Aussprechen eines bestimmten Aktivierungswortes. Anschließend sendet beispielsweise Amazons Echo, Apples Siri oder Googles Assistant Dateien mit den aufgezeichneten Informationen an die Server des Anbieters. Eine auf den Servern des Anbieters verwendete Software wertet die erlangten Audiodateien in Echtzeit aus und übermittelt die passende Antwort, die anschließend als Sprachausgabe des Voice-Assistenten erfolgt. Aus rechtlicher Perspektive ist dabei vor allem relevant, dass dieses Vorgehen Daten der Nutzer verarbeitet. Neben den in der aufgezeichneten Sprachdatei genannten persönlichen Daten werden auch IP-Adressen und Kommunikationsdaten gespeichert.

Bei privaten Messengern wie WhatsApp, Telegram oder Facebook Messenger werden Text- oder Sprachnachrichten sowie Videos meistens auf den Servern des Anbieters zwischengespeichert, bevor sie im Anschluss an die jeweiligen Kommunikationspartner übermittelt werden. Dabei sind diese Nachrichten teilweise – z.B. bei WhatsApp – Ende-zu-Ende verschlüsselt, sodass weder WhatsApp noch ein Dritter mitlesen kann. Allerdings werden meistens die Metadaten, z.B. wann der Messenger eingesetzt und mit wem kommuniziert wird, von den Anbietern gespeichert. Darüber hinaus liest beispielsweise WhatsApp regelmäßig das Adressbuch des Nutzers aus und verwendet diese Daten ebenfalls.

Bei Sprach- oder Chatbots handelt es sich um eine Software oder eine sonstige Dienstleistung, die – regelmäßig ausgestattet mit einer Künstlichen Intelligenz (KI) – einfache Kommunikationsaufgaben übernimmt. Die Bots können verschiedene Kundenanfragen oder -aufträge individuell beantworten und entwickeln sich aufgrund ihrer Fähigkeit zum „Machine Learning“ stetig weiter. Zur Beantwortung werden die Antworten meistens nach Daten und Erkennungsmerkmalen durchsucht, um anhand dieser Merkmale die passende Antwort durch den Zugriff auf eine Datenbank herauszusuchen.

Nach welcher Rechtsgrundlage dürfen Daten verarbeitet werden?

Durch die dargestellten Technologien werden eine Vielzahl an persönlichen Daten, teilweise sogar besonders schützenswerte Kategorien wie beispielsweise Gesundheitsdaten, verarbeitet. Ein Fokus unserer Beratung liegt daher auf der Einhaltung der Datenschutz-Grundverordnung (DSGVO). Für die Verarbeitung der Daten, d.h. insbesondere der Speicherung der genannten Daten auf den Servern der Mandanten, ist zunächst eine Rechtsgrundlage erforderlich.

Im Kundenkontakt werden diese Daten teilweise zur Erfüllung eines Vertrages oder Vorvertrages erhoben. Dies stellt einen legitimen gesetzlichen Erlaubnisgrund dar, um Daten verarbeiten zu dürfen, Art. 6 Abs. 1 lit. b DSGVO. Ein solcher Fall liegt beispielsweise dann vor, wenn die Daten zur Identifizierung über die Kommunikationskanäle gegenüber eingesetzter Service-Bots angegeben werden, die anschließend prüfen, ob eine bestimmte vertragliche Verpflichtung des Mandanten besteht. Auch Anfragen in Bezug auf den Abschluss eines Vertrages können hiervon erfasst sein.

Anderenfalls können die Daten verarbeitet werden, wenn ein „überwiegend berechtigtes Interesse“ des Mandanten vorliegt, Art. 6 Abs. 1 lit. f DSGVO. Dabei darf das Interesse der Personen am Schutz der persönlichen Daten gegenüber dem Interesse des Mandanten an der Verarbeitung der Daten nicht überwiegen. Hierfür ist vor allem erforderlich, dass die betroffenen Personen die Datenverarbeitung erkennen und den Umfang überblicken können.

Zuletzt bleibt die Möglichkeit, dass die Daten aufgrund einer Einwilligung der Betroffenen verarbeitet werden dürfen, Art. 6 Abs. 1 lit. a DSGVO. Dies gilt beispielsweise dann, wenn Bots über digitale Kommunikationskanäle zum Zweck der Werbung mit den Kunden in Kontakt treten. Problematisch ist hier zum Teil, dass diese Einwilligungen protokolliert werden müssen, um der Rechenschaftspflicht des Mandanten nachzukommen. Dies kann beim Einsatz von Sprach- und Chatbots oder von Voice-Assistenten zu Problemen führen.

Wir prüfen für unsere Mandanten, welche Grundlage für die jeweilige Verarbeitungstätigkeit einschlägig ist. Sofern notwendig, erstellen wir auch eine rechtskonforme Einwilligung und erarbeiten eine praxisgerechte Umsetzung im Interesse des Mandanten.

In Bezug auf die Verwendung von Messengern zur internen oder externen Unternehmenskommunikation stellt sich vor allem bei WhatsApp zusätzlich die Frage, ob für den Zugriff von WhatsApp auf das Adressbuch eine Rechtsgrundlage vorliegt. Dies kann meistens nur dann angenommen werden, wenn die Personen, deren Adressen WhatsApp verarbeitet, ebenfalls den Messengerdienst nutzen. Anderenfalls muss regelmäßig eine Einwilligung oder ein berechtigtes Interesse an der Verarbeitung abgelehnt werden. Hier sollten unsere Mandanten daher Maßnahmen ergreifen, um den Zugriff von WhatsApp auf sämtliche Mitarbeiternummern bzw. Telefonnummern von Kunden zu verhindern. Beispielsweise können durch technische Maßnahmen wie einer Mobile-Device-Management-Applikation die Zugriffsrechte von WhatsApp auf bestimmte Adressen beschränkt werden.

Hier beraten wir gerne hinsichtlich der Implementierung eines datenschutzkonformen Systems unter Berücksichtigung der Mandanteninteressen!

Wer ist für die datenschutzkonforme Verarbeitung der Daten verantwortlich?

Eine weitere Frage beim Einsatz von digitalen Kommunikationskanälen und Bots ist, wer im Sinne der DSGVO überhaupt für die verarbeiteten Daten verantwortlich ist. Die Beantwortung dieser Frage ist u.a. maßgeblich, um bei der Erstellung eines Datenschutzkonzeptes die Verantwortlichkeit für Betroffenenrechte (z.B. bei Lösch- oder Auskunftsanfragen) beurteilen zu können. Daneben richtet sich hiernach die Verantwortung des Mandanten bei Rechtsverstößen.

In Bezug auf die Verwendung von Messengern und Sprachassistenten zu Zwecken von Kundenkommunikation und -service sowie der internen Kommunikation muss zwischen der Art der verarbeiteten Daten unterschieden werden: für die erhobenen Metadaten wie Zeitpunkt und Parteien der Kommunikation liegt die Verantwortlichkeit grundsätzlich bei den Anbietern der Messengerdienste. Allerdings kommt diesbezüglich auch eine gemeinsame Verantwortlichkeit in Betracht, wenn der Mandant durch die Verwendung des Messengers dazu beiträgt, dass personenbezogene Daten durch die Anbieter des Dienstes verarbeitet werden können und der Mandant hierauf zumindest teilweise einen Zugriff oder Einfluss hat. Diese Bedenken bestehen beispielsweise bei der Verwendung des Facebook Messengers. Im Gegensatz dazu sieht sich beispielsweise WhatsApp als Auftragsverarbeiter und nicht als Verantwortlicher im Sinne der DSGVO an, da die Kommunikation hier verschlüsselt erfolgt und WhatsApp den Inhalt der Nachrichten nicht verarbeiten kann. Grundsätzlich empfiehlt es sich, dass der Mandant mit jedem Anbieter, der weisungsgebunden im Auftrag tätig wird, eine Auftragsverarbeitungsvereinbarung schließt, wenn allein die Möglichkeit des Zugriffs auf die Daten durch die Anbieter besteht.

Gleiches gilt bei der Verwendung von Bots: sofern ein externer Anbieter die Bot-Software sowie die Serverinfrastruktur zur Verfügung stellt, sollte der Abschluss einer entsprechenden Auftragsverarbeitungsvereinbarung berücksichtigt werden. Auch muss im Einzelfall geklärt werden, ob möglicherweise eine gemeinsame Verantwortlichkeit vorliegt, wenn der Anbieter der Bot-Software die eingegeben Daten eigenständig verwertet, beispielsweise für Tracking oder das Erstellen von Nutzerprofilen.

Hier profitieren unsere Mandanten von unserer Erstellung eines Datenschutzkonzeptes, um die Verarbeitungsvorgänge der personenbezogenen Nutzerdaten genau erkennen und die Verantwortlichkeiten für jeden Vorgang spezifisch bestimmen zu können. Auch können wir unsere Mandanten bei der Gestaltung von Auftragsvereinbarungen beraten und entsprechende Verträge unter Berücksichtigung des Mandanteninteresses und der datenschutzrechtlichen Vorgaben prüfen.

Welche Pflichten nach der DSGVO müssen noch berücksichtigt werden?

Bei der Verwendung von Bots müssen die Mandanten regelmäßig umfassende Informationspflichten beachten, sofern eine Verantwortlichkeit nach den oben genannten Grundsätzen für die Verarbeitung der Daten anzunehmen ist. Diese umfassen nach Art. 13 und 14 DSGVO vor allem den Zweck, Umfang und die Dauer der Verarbeitung. Zusätzlich muss auf die entsprechenden Rechte der Betroffenen hingewiesen werden. Auch bei einfachen Anfragen über Messenger oder Sprachassistenten empfiehlt es sich daher, entweder einen QR-Code oder einen Link mit den erforderlichen Informationen bereitzustellen oder beispielsweise über ein Menü oder eine Navigation zu implementieren. Weiterhin sollten die Mandanten das Transparenzgebot beachten: gerade beim Einsatz von Bots muss für den Nutzer erkennbar sein, mit wem kommuniziert wird. Hier spielt auch das Wettbewerbsrecht eine Rolle, da sich ein Unternehmen ggf. wettbewerbswidrig verhält, wenn es über den Einsatz von KI anstelle eines Menschen täuscht. Daneben müssen die Mandanten die Betroffenenrechte berücksichtigen.

Hier empfiehlt sich wieder das von uns erstellte Datenschutzkonzept, anhand dessen interne Vorgänge für den Umgang von Widerruf-, Lösch- und Auskunftsanfragen der betroffenen Personen im Unternehmen festgelegt werden können. Daneben erstellen wir für Sie die erforderlichen Informationshinweise!

Weiterhin sollte das Datenschutzkonzept die Rechenschaftspflicht der Unternehmen berücksichtigen: die erhobenen Daten müssen gesichert und ggf. abgegebene Einwilligungserklärung protokolliert werden. Auch sollte beim Einsatz von Bots der Kommunikationsverlauf gespeichert werden, um die Rechenschaftspflicht erfüllen zu können. Sofern besonders sensible Daten betroffen sind, muss zudem eine Datenschutzfolgenabwägung (Datenschutz-Folgenabschätzung) vorgenommen werden.

Profitieren Sie hier von unseren Erfahrungen, die wir bei der Konzeptionierung von technischen Kommunikationskanälen und dem Einsatz von Künstlicher Intelligenz mit einfließen lassen können!

Was ist mit der Datensicherheit?

Eine weitere Herausforderung ist die Sicherheit der verarbeiteten Nutzerdaten. Bei der Einbindung von digitalen Kommunikationskanälen und Bots müssen insbesondere technische und organisatorische Maßnahmen ergriffen werden, um ein angemessenes Schutzniveau der Daten sicherzustellen. Diese sollen die Daten vor allem gegen den unbefugten Zugriff durch Dritte schützen. Bei der Zusammenarbeit mit Drittanbietern, z.B. Server-Hostern oder Cloud-Anbietern, müssen die Mandanten die Einhaltung eines angemessenes Schutzniveaus auch gegenüber den Vertragspartnern wahren. So muss bei dem Einsatz von Messengern oder Sprachassistenten beispielsweise eine bestimmte Belastbarkeit der Server und die Verfügbarkeit der erhobenen Daten sichergestellt werden. Dies gilt insbesondere für mögliche Serverausfälle. Daneben stellt sich die Frage, ob und ggf. wie die erhobenen Daten pseudonymisiert und verschlüsselt werden können, damit Dritte im Fall des Verlusts keinen Zugriff auf die Daten haben.

Wir helfen Ihnen auch an dieser Stelle, ausreichende technischen und organisatorische Maßnahmen für die Datensicherheit festzulegen und gemeinsam entwickelte Schutzkonzepte gut zu dokumentieren.

Eine weitere klärungsbedürftige Frage ist der Speicherort der Daten: sofern dieser nicht innerhalb der EU bzw. der EWR liegt, muss geprüft werden, ob in dem Drittland die europäischen Datenschutzvorgaben eingehalten werden. Dies ist beispielsweise bei amerikanischen Messengern und Sprachassistenten der Fall, sofern der Anbieter nach dem sog. EU-US-Privacy-Shield zertifiziert ist. Derzeit ist das Privacy-Shield-Abkommen in Kraft, nach der die Übermittlung in die USA rechtmäßig ist. Allerdings bestehen gegen die Rechtmäßigkeit des Abkommens Bedenken, sodass wir zusätzlich noch den Abschluss der sog. Standardvertragsklauseln der Kommission empfehlen, mit denen der Datentransfer in Drittstaaten ebenfalls gerechtfertigt werden kann.

Hier helfen wir Ihnen gerne, Drittanbieter im Hinblick auf die europäischen Datenschutzstandards zu überprüfen und die Einhaltung der Vorgaben sicherzustellen!

Weitere rechtliche Herausforderungen

Im Einzelfall können – gerade beim Einsatz von Bots – weitere Fragen auftreten, die eine ausführliche rechtliche Würdigung benötigen. Bei dem Einsatz von Bots kann beispielsweise die Frage der automatischen Entscheidungsfindung auftreten, auch „Scoring“ genannt. Hier ist zu berücksichtigen, dass den betroffenen Personen das Recht zusteht, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden, sofern die Entscheidung ihnen gegenüber eine rechtliche Wirkung entfaltet oder in ähnlicher Weise beeinträchtigt.

Eine weitere Herausforderung ist die Frage der Haftung für den Fall der falschen Beratung durch die eingesetzten Bots. Hier muss geprüft werden, ob das Fehlverhalten der eingesetzten Bots auf das Fehlverhalten einer natürlichen oder juristischen Person zurückgeführt werden kann und wie hoch ein möglicherweise bestehendes Haftungsrisiko ist.

Handlungsempfehlungen

  1. Berücksichtigung der rechtlichen Vorgaben bei der Implementierung von digitalen Kundenkommunikationskanälen und Bots.
  2. Erstellung eines ausführlichen Datenschutzkonzeptes.
  3. Festlegen der Verantwortlichkeiten und möglicherweise Abschließen von erforderlichen Auftragsverarbeitungsvereinbarungen mit Drittanbietern.
  4. Berücksichtigung von technischen und organisatorischen Maßnahmen zum Schutz der Daten vor unbefugtem Zugriff durch Dritte.
Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.