Zum Inhalt springen Zur Navigation springen
Chatbots, ChatGPT und der Datenschutz

Chatbots, ChatGPT und der Datenschutz

Artikel von Dr. Datenschutz·7. Dezember 2023

Chatbots gewinnen mit voranschreitender Digitalisierung weiter an Bedeutung und halten Einzug in den verschiedensten Bereichen, insbesondere im Kundenservice. Der Trend hin zu KI-basierten Chatbots, allem voran ChatGPT, stellt den Verantwortlichen vor besonderen Herausforderungen, das System datenschutzkonform zu integrieren. Das hat auch die Aufsichtsbehörden auf den Radar gerufen, die Transparenz in Bezug auf die Vorgänge hinter der App fordern.

Was ist ein Chatbot?

Ein Chatbot ist ein softwarebasiertes Dialogsystem, das einen text- oder sprachbasierten kommunikativen Austausch mit einem technischen System ermöglicht; in anderen Worten: Ein Chatbot ist Computerprogramm, das dazu entwickelt wurde, um mit Menschen zu chatten.

Je nach Art des Chatbots kann der Nutzer das Gefühl bekommen mit einem menschlichen Gesprächspartner zu kommunizieren. Dies ist etwa der Fall bei einem Chatbot, der für die Interaktion mit den Nutzer künstliche Intelligenz mit natürliche Sprachverarbeitung (Natural Language Processing, NLP) einsetzt. Ein KI basierter NLP-Chatbot kann natürliche Sprache verstehen und auch interpretieren. Standard-Bots bzw. regelbasierte Systeme hingegen folgt bei der Beantwortung von Fragen einem festen Regelwerk. Einfache Bots können daher nicht flexibel auf Fragen außerhalb des Regelwerks antworten und sie wirken auch nicht so natürlich und menschlich wie NLP-Chatbots.

Wo werden Chatbots eingesetzt?

Chatbots werden in verschiedensten Bereichen eingesetzt. Chatbots werden etwa von Unternehmen für die interne Kommunikation verwendet. Am häufigsten wird diese Technologie jedoch im E-Commerce Bereich oder im Kundenservice verwendet, um die Kundeninteraktion zu optimieren.

Hinweise zur Implementierung eines Chatbots auf der Webseite haben wir in unserem Beitrag „Chatbots auf Webseiten – Was ist zu beachten?“ gegeben.

Chatbots und der Datenschutz

Ein Chatbot dient dazu, interaktiv Antworten auf eine Vielzahl von gestellten Fragen bereitzustellen. Zu diesem Zweck werden auch personenbezogene Daten verarbeitet. Neben der IP-Adresse und Nutzerdaten können Kunden-, Gesprächs- und Kommunikationsdaten verarbeitet werden. Daher ist auch bei der Verwendung von Chatbots auf einen datenschutzkonformen Einsatz zu achten. Insbesondere die nachfolgenden Aspekte zu berücksichtigen:

Bedarf es immer der Einwilligung als Rechtsgrundlage?

Welche Rechtsgrundlage beim Einsatz eines Chatbots einschlägig ist hängt davon ab, zu welchem Zweck ein Chatbot eingesetzt wird. Die wichtigste Rechtsgrundlage ist die Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a DSGVO. Eine Einwilligung ist insbesondere dann erforderlich, wenn besonders sensible Daten nach Art. 9 DSGVO verarbeitete werden, die Datenverarbeitung zu Werbezwecken dient oder die Daten zur Verbesserung des KI-Chatbot Systems verwendet werden. Hier kann der Verantwortlicher nach Möglichkeit das sog. „Opt-In-Verfahren“ nutzen, um seiner Nachweispflicht hinreichend Rechnung zu tragen. Ist der Einsatz von Chatbot auf die Erfüllung eines Vertrags gerichtet oder zur Durchführung vorvertraglicher Maßnahmen ist Art.6 Abs. 1 lit. b DSGVO einschlägig. Ebenso kann die Verwendung von Chatbots auf das berechtigte Interesse gestützt werden (Art. 6 Abs. 1 lit. f DSGVO), wenn die Datenverarbeitung zur Beantwortung der Kundenfrage erforderlich ist. In allen Fällen ist der Zweckbindungsgrundsatz zu beachten.

Was gilt in Bezug auf Informationspflichten?

Grundsätzlich gilt, dass spätestens zum Zeitpunkt der Datenerhebung der Verantwortliche Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache an Betroffene zu übermitteln hat. Der Verantwortliche ist mithin gem. Art. 13 und 14 DSGVO dazu verpflichtet auf den Einsatz von Chatbot hinzuweisen und neben der Verantwortlichkeit insbesondere auf:

  • Die Datenkategorien die verarbeitet werden
  • Der Zweck der verfolgt wird
  • Die Rechtsgrundlage auf die sich der Verantwortliche stützt (das berechtigte Interesse, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt wird)
  • Die Speicherdauer
  • Die Empfänger der Daten
  • Die Herkunft der Daten (wenn sie bei einem Dritten erhoben werden)
  • Informationen über eine automatisierte Entscheidungsfindung, sofern einschlägig
  • Die Betroffenenrechte

Der Chatbot sollte mit den Datenschutzhinweisen verlinkt sein und vor Beginn des Chats auf diese verweisen.

Was ist noch zu beachten?

Auch beim Einsatz eines Chatbots sind die nachfolgenden datenschutzrechtlichen Grundsätze zu beachten:

  • Zweckbindungsgrundsatz (die Datenverarbeitung ist nur soweit zulässig, wie sie der Nutzer bei der Verwendung des Chatbots vernünftigerweise erwarten darf).
  • Grundsätze der Datenminimierung
  • Grundsatz der Richtigkeit
  • Grundsatz der Speicherbegrenzung
  • Grundsatz der Integrität und Vertraulichkeit
  • Rechenschaftspflichten

Zu denken ist auch an den Abschluss eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO.

Chatbots und künstliche Intelligenz

Große Rechtsunsicherheit besteht bezüglich des Einsatzes von KI-basierten Chatbots, wie etwa ChatGPT. Insbesondere stellt sich die Frage, der wirksamen Rechtsgrundlage und ob den Grundprinzipien des Art. 5 DGVO und Privacy by default sowie den Informationspflichten hinreichend Rechnung getragen wird. Ein Problemfeld eröffnet sich auch dann, wenn Daten Minderjährige betroffen sind und sensible Daten an das Chatbot übertragen werden, etwa Angaben zur Religion, zur Gesundheit oder zur sexuellen Orientierung (Art. 9 DSGVO).

OpenAI muss Rede und Antwort stehen zu ChatGPT

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat als Leiter der Taskforce „Künstliche Intelligenz“ einen innerhalb der Datenschutzkonferenz abgestimmt Fragebogen zu dem KI-Chatbot ChatGPT an den US-Amerikanischen Anbieter OpenAI versandt, der bereits umfangreich Stellungnahme hierzu genommen hat.

Zweck des Fragebogens sei es zu bewerten, ob die Verarbeitung personenbezogener Daten in ChatGPT rechtmäßig erfolgt, insbesondere mit Blick auf die Verarbeitung von Art. 9 DSGVO Daten, Auskunftsersuchen von Betroffenen und auch die Frage, ob und wie ChatGPT personenbezogene Daten beim Training als solche erkennt und aussortiert.

Entscheidend sei überdies nach außen hin transparent offenzulegen, was im Hintergrund der App für Datenverarbeitungsvorgänge ablaufen. Kurzum: Künstliche Intelligenz müsse nachvollziehbar und erklärbar sein.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.