Chatbots & Datenschutz: 7 Tipps für einen DSGVO-konformen Chatbot

Inhaltsverzeichnis

Über diesen Guide

Dass Chatbots im Kontext von Digitalisierung und Künstlicher Intelligenz weiterhin Thema Nr. 1 der medialen Öffentlichkeit sind, ist aufgrund ihrer technischen Möglichkeiten, Vorteile und Fortschritte nicht verwunderlich. Doch wie bei nahezu jeder Technologie stellt sich auch bei KI-Chatbots die Frage des Datenschutzes: Halten Chatbots, inkl. ChatGPT, die europäische Datenschutz-Grundverordnung (DSGVO) ein? Welche Kriterien muss ein Anbieter erfüllen, um als DSGVO-konform zu gelten? In diesem Lexikon-Artikel klären wir über alle wichtigen Dos and Don’ts zum Thema Datenschutz auf und geben Ihnen 7 Tipps mit auf den Weg, wie der Einsatz eines DSGVO-konformen KI-Chatbots in Ihrem Unternehmen gelingen kann. 

Chatbots: Definition und Bedeutung

Chatbots sind computerbasierte Programme, die mit Menschen Konversationen führen und Informationen via Text, Bild, Ton oder Code bereitstellen können. Auch wenn es die Technologie von Chatbots bereits seit vielen Jahren gibt, markierte vor allem der Launch von ChatGPT – dem intelligenten Chatbot der Firma OpenAI – im Jahr 2022 den Startschuss für die Bereitstellung von Chatbots für die breite Masse. Inzwischen nutzen zahlreiche Unternehmen KI-Chatbots im Kundenservice, Marketing oder Vertrieb, um die Kundenkommunikation zu erleichtern, interne Prozesse zu verschlanken und die Nutzerzufriedenheit zu verbessern. Mit fortschreitender Technologieentwicklung werden Chatbots zunehmend personalisierter und intuitiver, was ihre Rolle in der digitalen Transformation weiter stärkt.

Relevanz von Datenschutz und DSGVO

Parallel zur fortschreitenden Technologieentwicklung nimmt auch die Bedeutung von Datenschutz und Datensicherheit immer weiter zu. Seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) im Jahr 2016 gelten in Europa einheitliche Standards für den Umgang mit personenbezogenen Daten, an die sich Webseiten-Betreiber, Online-Shops und Unternehmen halten müssen. Dies hat den Vorteil, dass es einen eindeutigen rechtlichen Rahmen für alle gibt und Verbraucher:innen vor Datenmissbrauch, Identitätsdiebstahl und anderen Risiken geschützt werden. Die Einhaltung der Datenschutzregelungen ist für europäische Unternehmen demnach kein Nice-to-have, sondern ein klares Must-have. Hierbei handelt es sich um einen kontinuierlichen Prozess, da Unternehmen immer wieder neue Produkte, Prozesse oder Tools einführen. In der Regel verfügen die meisten Firmen deshalb über eine datenschutzbeauftragte Person, die sich um die Beachtung der Datenschutzregelungen kümmert. 

Chatbots DSGVO-konform einsetzen: Die 7 wichtigsten Tipps

Datenschutz und Chatbots sind eng miteinander verbunden, da ein Bot täglich eine Vielzahl von Konversationen mit Menschen führt und daher große Datenmengen verarbeitet.  Der Umfang personenbezogener Informationen von Benutzer:innen, auf die der Chatbot Zugriff hat, variiert je nach Einsatzgebiet des Chatbots. Bei den verarbeiteten Informationen kann es sich beispielsweise um Namen, Kontaktdaten, Präferenzen und sogar persönliche Probleme oder Anliegen handeln. Es ist daher von entscheidender Bedeutung, dass Unternehmen sicherstellen, dass ihre Chatbots den europäischen und deutschen Datenschutzbestimmungen entsprechen und die Privatsphäre von User:innen respektieren. Aber kein Grund zur Sorge, denn Datenschutz und Chatbots sind einwandfrei miteinander vereinbar. Anhand folgender Tipps können Sie sich ein Bild davon machen, woran man einen DSGVO-konformen Anbieter erkennt:

Tipp Nr. 1: Das Recht auf Vergessenwerden nicht vergessen

Ein wichtiges Kriterium, um als Chatbot-Anbieter und als Firma, die diesen einsetzt, DSGVO-konform zu sein, ist die Gewährleistung des Rechts auf Vergessenwerden. Demnach haben alle Nutzer:innen Anspruch darauf, das Löschen sämtlicher persönlicher Daten über sie zu veranlassen. Äußert ein:e Nutzer:in diesen Wunsch, muss der Anbieter dieser Aufforderung nachkommen und die Nutzerdaten zurücksetzen.

Tipp Nr. 2: Das Recht auf Datenauskunft gewährleisten

User:innen haben grundsätzlich das Recht, beim jeweiligen Dienstleister eine Auskunft über die Daten, die zur eigenen Person gespeichert werden, anzufordern

Tipp Nr. 3: Für das Recht auf Berichtigung & Ergänzung sorgen

Zusätzlich zum Recht auf Vergessenwerden und zum Recht auf Datenauskunft haben Anwender:innen das Recht auf Berichtigung und Ergänzung. Das bedeutet, dass Unternehmen dafür sorgen müssen, dass Nutzende ihre Daten, wie z.B. die Adresse oder Telefonnummer, ändern können. Der Chatbot kann hier helfen, beispielsweise indem er die Schnittstelle ist, über die ein Nutzer dem Unternehmen kommuniziert, dass gewisse Daten im System geändert werden sollen.

Tipp Nr. 4: Einwilligung einholen

Bevor ein Unternehmen Nutzerdaten speichern und weitergeben kann, muss es die Zustimmung der Nutzer:innen dafür via Opt-in-Verfahren einholen. Beispiele hierfür sind die Bestätigung von Cookies, die Anmeldung zu einem Newsletter oder der Download von Dokumenten. Auch innerhalb eines Chatbots kann von einem Opt-In-Verfahren Gebrauch gemacht werden, z.B., indem bereits vor Beginn der Konversation ein Datenschutzhinweis ausgespielt wird. Ob ein solcher Hinweis erforderlich ist, hängt von der datenschutzrechtlichen Einordnung ab.

Beispiel für ein Opt-in-Verfahren im Chatbot
Beispiel für ein Opt-in-Verfahren im Chatbot

Tipp Nr. 5: Vertrag zur Auftragsverarbeitung abschließen

Ein Auftragsverarbeitungsvertrag (AVV) sollte immer dann zum Einsatz kommen, wenn ein Unternehmen personenbezogene Daten im Auftrag an Dritte weitergibt bzw. diese verarbeitet oder nutzt. Schließen Sie mit dem Chatbot-Anbieter Ihrer Wahl daher am besten einen datenschutzkonformen AVV ab, um einen ordnungsgemäßen Umgang mit den Daten Ihrer Nutzer:innen gewährleisten zu können.

Tipp Nr. 6: Vollständige Datenschutzerklärung bereitstellen

Ein weiterer wichtiger Punkt, auf den bei der Wahl des richtigen Chatbot-Anbieters geachtet werden sollte, ist eine aktuelle, leicht zugängliche und vollständige Datenschutzerklärung. Webseiten-Betreibende müssen dafür sorgen, dass die Erklärung einfach verständlich und von jeder Unterseite der Webseite innerhalb eines Klicks einsehbar ist.

Beispiel für einen leicht zugänglichen Hinweis auf die Datenschutzerklärung
Beispiel für einen leicht zugänglichen Hinweis auf die Datenschutzerklärung

Tipp Nr. 7: Serverstandort Deutschland wählen

Gemäß den Regelungen des europäischen Datenschutzrechts dürfen keine personenbezogenen Daten aus der EU in unsichere Drittländer übermittelt werden. Als sichere Drittstaaten gelten neben allen EU-Ländern und den Ländern des Europäischen Wirtschaftsraumes:

  • Andorra,
  • Argentinien,
  • Kanada (nur kommerzielle Organisationen),
  • Färöer,
  • Guernsey,
  • Israel,
  • Isle of Man,
  • Jersey,
  • Neuseeland,
  • Schweiz,
  • Uruguay,
  • Japan,
  • das Vereinigte Königreich und
  • Südkorea.

Länder wie die USA, Russland oder China gelten beispielsweise als unsichere Drittländer. Wird ein DSGVO-konformer Chatbot-Anbieter gesucht, muss dieser also über Server verfügen, die sich entweder in der EU, dem Europäischen Wirtschaftsraum oder in einem der genannten sicheren Drittstaaten befinden.

Alle 7 Tipps im Überblick

7 Tipps für einen DSGVO-konformen Chatbot
7 Tipps für einen DSGVO-konformen Chatbot

Datenschutz, DSGVO und ChatGPT – warum das nicht zusammenpasst 

Wer das Thema Datenschutz und Chatbots beleuchtet, kommt um eine Diskussion über ChatGPT nicht herum. ChatGPT hat im Jahr 2022 eine regelrechte KI-Welle ausgelöst und konnte viele Menschen für Chatbots begeistern. Nach einem ersten ChatGPT-Hype wurden allerdings auch einige kritische Stimmen laut, die Datenschutzbedenken in Hinblick auf die Nutzung des Tools äußerten. So sperrten beispielsweise die italienischen Aufsichtsbehörden kurz nach der Veröffentlichung des Chatbots den Zugang für einige Zeit, da sie Datenschutzverstöße identifiziert hatten. Auch in Deutschland und anderen europäischen Ländern prüfen die Datenschutzbehörden ChatGPT und treten daher mit OpenAI in Kontakt. 

Besonders folgende drei Punkte verdeutlichen, dass Datenschutz, DSGVO und ChatGPT nicht gut zusammenpassen:

Fehlende Rechtsgrundlage zur Datenverarbeitung

Gemäß Artikel 6 Absatz 1 der Datenschutz-Grundverordnung ist eine Datenverarbeitung nur dann zulässig, wenn eine entsprechende Rechtsgrundlage vorliegt, d.h. es müssen konkrete vertragliche Verpflichtungen vorhanden sein. Anderenfalls ist für die Datenverarbeitung das Einverständnis der Betroffenen erforderlich. Da OpenAI wenig über die eigene Datenverarbeitung kommuniziert, sind auch Unternehmen nicht in der Lage, umfassend darüber aufzuklären. Dies wiederum bedeutet im Umkehrschluss, dass eine Zustimmung von Nutzer:innen ebenfalls nahezu unmöglich ist.

Verarbeitung von Daten in unsicheren Drittländern

Um als DSGVO-konform gelten zu können, müsste ChatGPT Daten entweder in der EU bzw. dem Europäischen Wirtschaftsraum oder in den von der EU als sicher eingestuften Drittländern verarbeiten. OpenAI ist allerdings ein US-amerikanisches Unternehmen, das seine Server in den USA verwaltet. Dort gelten die amerikanischen Datenregelungen, die aktuell noch nicht mit den europäischen vereinbar sind. ChatGPT in Unternehmen datenschutzkonform zu nutzen, ist deshalb so gut wie ausgeschlossen. 

Fehlende Transparenz zur Datenverarbeitung

Artikel 13 der europäischen Datenschutzverordnung sieht vor, dass Unternehmen Nutzer:innen darüber informieren müssen, wie mit deren Daten umgegangen wird, sprich, welche Daten verarbeitet werden und in welchem Zusammenhang darauf zugegriffen werden darf. OpenAI entspricht diesen Anforderungen der DSGVO zurzeit nicht, da sie nicht umfassend genug über die Datenverarbeitung und Algorithmen informieren. Auch dies erschwert den rechtskonformen Einsatz von ChatGPT in Unternehmen erheblich.

ChatGPT? Praktisch, aber nicht für die Kundenkommunikation geeignet.

Unternehmen, die Chatbot-Anbieter wie ChatGPT für die Kundenkommunikation wählen, riskieren nicht nur Bußgelder, weil sie gegen die DSGVO verstoßen, sondern auch Imageschäden durch sogenannte “Chatbot-Fails”. Diese entstehen vor allem dann, wenn eine Generative KI keine Kontrollmöglichkeiten bietet und halluziniert – also frei erfundene, falsche oder unpassende Inhalte ausspielt. 

Mehr Informationen zum Thema KI-Halluzinationen und wie man ihnen vorbeugt, erhalten Sie in unserem Artikel “Die 6 größten Chatbot-Fails und Tipps, wie man sie vermeidet".

Fazit: Auf der sicheren Seite mit einem deutschen KI-Chatbot-Anbieter 

Ein genauer Blick auf die DSGVO und die Analyse von ChatGPT in diesem Zusammenhang zeigt: Augen auf bei der Chatbot-Anbieter-Wahl. DSGVO-konforme Anbieter nehmen die Rechte von Verbraucher:innen ernst, schützen diese, bieten vollständige Transparenz bezüglich des Umgangs mit Daten und sorgen für eine Datenverarbeitung an sicheren Standorten wie Deutschland. 

Sie möchten anhand eines Beispiels verdeutlicht sehen, dass Datenschutz und KI-Chatbots keine Gegenpole darstellen, sondern gut miteinander kombinierbar sind? moinAI hat nicht nur jahrelange Branchenerfahrung, sondern bietet auch KI made in Hamburg. Erfahren Sie auf unserer Datenschutzseite alles darüber, wie moinAI die Anforderungen der DSGVO in die Tat umsetzt.

KI-Chatbot und Datenschutz

Dieser Artikel wird nur zu Informationszwecken bereitgestellt und ist kein Ersatz für eine rechtliche Beratung.

Zufriedenere Kunden durch schnellere Antworten.

Überzeugen Sie sich selbst und erstellen Sie Ihren eigenen Chatbot. Kostenlos und unverbindlich.

Chatbot erstellen
Produkt-Demo anfordern