KI-gestützte Chatbots erfreuen sich wachsender Beliebtheit in Unternehmen. Sie ermöglichen es, Kundenanfragen rund um die Uhr effizient zu bearbeiten, und werden in verschiedenen Branchen eingesetzt – von E-Commerce über den Tourismus bis hin zum Gesundheitssektor. Bei der datenschutzkonformen Nutzung von KI-Chatbots, besonders mit vertraulichen Informationen, ist jedoch besonders auf die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sowie der neuen Regelungen der KI-Verordnung (KI-VO) zu achten. In diesem Beitrag erläutern wir, worauf Unternehmen unter der DSGVO achten müssen, um KI-Chatbots datenschutzkonform in verschiedensten Bereichen einzusetzen.
Inhaltsverzeichnis
- Das Wichtigste kurz zusammengefasst:
- 1. Datenverarbeitung bei der Nutzung von KI-basierten Chatbots
- 2. Wer ist für den Datenschutz bei KI-Chatbots verantwortlich?
- 3. DSGVO-Herausforderungen bei dem Einsatz von KI-Chatbots
- 4. Wann dürfen personenbezogene Daten mit KI-basierten Chatbots verarbeitet werden?
- Datenschutzerklärung für den Einsatz von KI-basierten Chatbots erstellen
- Auftragsverarbeitungsvertrag mit KI-Anbieter abschließen
- Datenschutzfreundliche Technikgestaltung bei KI-Chatbots entscheidend
- Konformität mit der KI-VO
- Fazit zu Chatbots unter der DSGVO
- FAQ Datenschutzkonforme Nutzung von KI-Chatbots
Das Wichtigste kurz zusammengefasst:
- Auch nach Inkrafttreten der KI-VO bleibt die DSGVO die Grundlage für die Verarbeitung personenbezogener Daten beim Einsatz von KI-Anwendungen.
- Rechtsgrundlagen prüfen: Datenverarbeitung basiert häufig auf berechtigtem Interesse, Einwilligung oder Vertragserfüllung.
- Besondere Datenkategorien vermeiden oder sensible Daten nur mit ausdrücklicher Einwilligung verarbeiten.
- Datenschutzerklärung bereitstellen, um Betroffene über Zweck und Art der Datenverarbeitung zu informieren.
- Datenschutzfreundliche Technikgestaltung durch Sicherheitsmaßnahmen sicherstellen.
- Konformität mit der KI-Verordnung sicherstellen KI-Systeme: bzw. Chatbots können Hochrisiko-Systeme im Sinne der Begriffsdefinition der KI-VO darstellen.
1. Datenverarbeitung bei der Nutzung von KI-basierten Chatbots
Bei der Verwendung von Chatbots werden regelmäßig personenbezogene Daten verarbeitet. Zum einen verarbeitet das System Daten, die von Betroffenen direkt in das jeweilige Textfeld eingegeben werden (sog. Input-Datenverarbeitung). Die deutschen Aufsichtsbehörden interpretieren den Begriff der personenbezogenen Daten in diesem Kontext weit und schließen auch Merkmale ohne expliziten Namens- oder Adressbezug ein. Dabei ist es nicht ausgeschlossen, dass Betroffene auch besondere Kategorien personenbezogener Daten eingeben, z. B. Gesundheitsdaten auf einer entsprechenden Plattform. Solche Datenverarbeitungen unterliegen den hohen Rechtfertigungsanforderungen des Art. 9 DSGVO. Zum anderen erfolgt eine Datenverarbeitung durch das KI-System, indem es personenbezogene Daten der Nutzer oder von Dritten iRd Kommunikation ausgibt (sog. Output-Datenverarbeitung).
2. Wer ist für den Datenschutz bei KI-Chatbots verantwortlich?
Die Einbindung von Chatbots in Webseiten zur Bearbeitung von Kundenanfragen begründet regelmäßig eine datenschutzrechtliche Verantwortlichkeit des Webseitenbetreibers für die Verarbeitung von Textein- und -ausgaben. Demzufolge ist der Webseitenbetreiber für die Einhaltung aller DSGVO-Pflichten verantwortlich. Wird ein bereits bestehender und von einem Cloud-Diensteanbieter bereitgestellter Chatbot genutzt, liegt in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Der Webseitenbetreiber muss sicherstellen, dass jeder Verarbeitungsschritt auf einer tauglichen Rechtsgrundlage beruht und die Datenschutzgrundsätze der DSGVO eingehalten werden.
3. DSGVO-Herausforderungen bei dem Einsatz von KI-Chatbots
Das Unternehmen, das die KI-Bots auf seiner Website einsetzen möchte, hat unter anderem sicherzustellen, dass:
- die Datenschutzgrundsätze der DSGVO eingehalten werden.
- jeder Verarbeitungsschritt auf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO beruht.
- bei der Verarbeitung von Daten, Betroffenenrechte zuverlässig gewährleistet werden können.
- Speicherfristen eingehalten werden.
- Angemessene Datensicherheitsmaßnahmen etabliert wurden (Technikgestaltung)
- ein Datenschutzvertrag nach Art. 28 DSGVO abgeschlossen wurde.
4. Wann dürfen personenbezogene Daten mit KI-basierten Chatbots verarbeitet werden?
Die Eingabe personenbezogener Daten in ein Chatbot-Textfeld stellt eine Datenverarbeitung dar, die eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO erfordert:
• Aktive Einwilligung: Eine Datenverarbeitung infolge der Eingabe von personenbezogenen Daten in das Textfeld eines Chatbots kann auf Grundlage einer informiert und freiwillig erteilten Einwilligung erfolgen. Damit eine Einwilligung wirksam abgegeben werden kann, muss der Webseitenbetreiber eine Datenschutzerklärung bereitstellen.
• Erfüllung eines Vertrags: Eine Verarbeitung kann auch zur Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO erfolgen, sofern der Einsatz des Chatbots objektiv erforderlich ist und keine praktikablen Alternativen existieren.
• Berechtigtes Interesse: Häufig wird die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt. Voraussetzung ist, dass die Interessen des Unternehmens am Einsatz des Chatbots die Interessen der Betroffenen überwiegen. Die Interessenabwägung ist in jedem Einzelfall durchzuführen und aus Nachweisgründen ausreichend zu dokumentieren.
• Sonderfall: Sensible Daten: Chatbots bieten oft die Möglichkeit, freie Texte einzugeben. Es liegt außerhalb des Einflussbereichs des Betreibers, welche Daten die Nutzer eingeben. Dennoch sollte die Eingabe sensibler Daten vermieden werden.
Praxistipp: Bitten Sie Nutzer bei der Verwendung von Chatbots ausdrücklich, keine vertraulichen Informationen oder sensible Daten einzugeben.
Datenschutzerklärung für den Einsatz von KI-basierten Chatbots erstellen
Webseitenbetreiber müssen die Betroffenen über die Datenverarbeitung aufklären. Die Datenschutzerklärung sollte auch bei komplexen KI-Systemen einfach und präzise dargestellt werden. Ausführlichere technische Erläuterungen sind nur erforderlich, wenn die Ausgabe des Chatbots eine besondere Eingriffswirkung auf die Betroffenen hat, z. B. bei rechtlich bindenden Entscheidungen. Dies ist dann der Fall, wenn die Ausgabe des Chatbots eine rechtliche Wirkung für den Betroffenen entfaltet, z.B. weil die KI selbstständig Kündigungserklärungen prüfen und bestätigen oder zurückweisen kann.
Auftragsverarbeitungsvertrag mit KI-Anbieter abschließen
Die Einbindung von Chatbots in Webseiten zum Zweck der Bearbeitung von Kundenanfragen begründet regelmäßig eine datenschutzrechtliche Verantwortlichkeit des Webseitenbetreibers. Nutzt der Webseitenbetreiber den Chatbot eines Cloud-Diensteanbieter liegt in der Regel eine Auftragsverarbeitung nach Art. 28 DS-GVO vor. In einem solchen Fall sollten Sie einen Auftragsverarbeitungsvertrag mit dem KI-Anbieter abschließen.
Datenschutzfreundliche Technikgestaltung bei KI-Chatbots entscheidend
Bei der Auswahl des Chatbots müssen Nutzer vor Abschluss eines Lizenz- oder Nutzungsvertrags die datenschutzrechtliche Vereinbarkeit des Chatbots prüfen. Dabei ist insbesondere auf eine datenschutzfreundliche Technikgestaltung zu achten:
- Minimierung der Datenverarbeitung: Nur notwendige Daten erfassen.
- Löschpflichten: Daten umgehend nach Zweckentfall löschen.
- Tokenisierung: Texteingaben in nicht rekonstruierbare Daten umwandeln.
- Sicherheit und Verschlüsselung: Durchgängige Verschlüsselung der Datenübertragung und -speicherung.
Der Europäische Datenschutzbeauftragte (EDSB) hat erste Leitlinien zur Gewährleistung von Datenschutzkonformität bei der Verwendung generativer KI-Systeme veröffentlicht. Auch die deutschen Datenschutz-Aufsichtsbehörden haben eine Orientierungshilfe zum Thema Künstliche Intelligenz und Datenschutz veröffentlicht.
Konformität mit der KI-VO
Sofern Sie die Einbindung eines Chatbots beabsichtigen, sollten Sie prüfen, ob Sie weitere Anforderungen aus der KI-Verordnung betreffen. Gerade moderne Chatbots können als Hochrisiko-Systeme iSd Begriffsdefinition der KI-VO qualifiziert werden, etwa wenn diese eine textbasierte Emotionserkennungs-Software enthalten oder wenn diese zur Diagnose und Behandlung von Krankheiten eingesetzt werden. In einigen Fällen werden Konformitätsbewertung und/oder Pflichtschulungen für mit dem Chatbot befasste Beschäftigte erforderlich.
Fazit zu Chatbots unter der DSGVO
Die Nutzung von Chatbots birgt großes Potenzial, erfordert jedoch eine sorgfältige Berücksichtigung datenschutzrechtlicher Vorgaben. Durch eine klare Zweckbestimmung, datenschutzfreundliche Technikgestaltung und transparente Informationspflichten können Unternehmen eine datenschutzkonforme Nutzung von KI-Chatbots erreichen. Dies reduziert nicht nur rechtliche Risiken, sondern schafft auch Vertrauen bei Kunden und Nutzern.
FAQ Datenschutzkonforme Nutzung von KI-Chatbots
Chatbots verarbeiten oft personenbezogene Daten, z. B. wenn Nutzer Namen oder andere Informationen in das Chat-Feld eingeben. Datenschutz schützt diese Daten vor Missbrauch und ist durch Gesetze wie die DSGVO vorgeschrieben.
Chatbots können alle Informationen verarbeiten, die Nutzer in das Textfeld eingeben, z.B. Namen, E-Mail-Adressen oder Fragen. In manchen Fällen können auch sensible Daten wie Gesundheitsinformationen eingegeben werden.
In der Regel ist der Betreiber der Webseite verantwortlich, auf der der Chatbot genutzt wird. Wenn der Chatbot von einem Anbieter bereitgestellt wird, müssen Betreiber und Anbieter oft zusammenarbeiten.
Das sollte vermieden werden. Falls sensible Daten verarbeitet werden müssen, ist eine ausdrückliche Einwilligung erforderlich, und der Chatbot muss besondere Sicherheitsmaßnahmen erfüllen.
Falls der Chatbot eines Cloud-Diensteanbieters genutzt wird, ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen
Ja, Unternehmen müssen in einer Datenschutzerklärung erklären, welche Daten der Chatbot verarbeitet und warum. Diese Informationen sollten leicht verständlich sein. Außerdem sollte angegeben werden, ob die Daten zu Trainingszwecken verwendet werden.
Nur wenn es eine rechtliche Grundlage gibt, wie z. B. Ihre Einwilligung, ein Vertrag, den der Chatbot erfüllt, oder ein berechtigtes Interesse des Unternehmens.
Die KI-Verordnung regelt, wie KI-Systeme sicher und verantwortungsvoll eingesetzt werden. Manche Chatbots gelten als Hochrisiko-Systeme, wenn sie z. B. sensible Entscheidungen treffen oder sensible Daten verarbeiten.
Eine Datenschutz-Folgenabschätzung wird durchgeführt, wenn ein Chatbot hohe Risiken für die Privatsphäre der Nutzer mit sich bringen könnte. Sie hilft, Risiken zu erkennen und zu minimieren.
Das bedeutet, dass der Chatbot so programmiert ist, dass er die Datenschutzgrundsätze der DSGVO einhält und nur die nötigsten Daten sammelt, sie sicher verarbeitet und keine unnötigen Risiken eingeht.
In seltenen Fällen, z. B. bei Kreditentscheidungen oder der Prüfung von Kündigungsbestätigungen, kann das der Fall sein. In solchen Situationen müssen die Betroffenen besonders genau informiert werden.
Auch nach Inkrafttreten der KI-Verordnung muss die DSGVO als Gesetz für die Verarbeitung personenbezogener Daten beim Einsatz von KI-Anwendungen beachtet werden.
