Einbindung intelligenter Chatbots im Kundenservice

KI-Recht

Einbindung intelligenter Chatbots im Kundenservice

Foto (Header): © Zerbor – stock.adobe.com

Wer öfter Online-Shopping betreibt, ist sicherlich bereits einem kleinen Banner oder einem Widget auf der Website begegnet, das einen Chatbot zur Beantwortung von Fragen oder gar zur Verwaltung von Bestellungen anbietet.

Ein Chatbot und v. a. ein „intelligenter“ bietet sich damit für Unternehmen im E-Commerce oder Dienstleistungssektor an, die eine hohe Anzahl an Kunden mit einem regelmäßigen Bedürfnis an Kommunikation und Abstimmung haben.

Chatbots – Funktionen und Einsatzmöglichkeiten

Chatbots bieten sich v. a. für den First-Level-Support an, bei dem typische Standard-Fragen und Prozesse eigenständig beantworten werden können. Hierbei sind verschiedene Automatisierungsgrade zu unterscheiden, wobei man den Chatbot als „intelligent“ bezeichnen kann, wenn er nicht nur Daten erheben, sondern auch Sachverhalte und Kundenanliegen, zumindest bis zu einem gewissen Grad, eigenständig bearbeiten kann. Ein Servicemitarbeiter schaltet sich im besten Fall nur dann ein, wenn der Chatbot das Anliegen nicht klären konnte.

Die zur Verfügung stehenden Software-Lösungen reichen hierbei von einem regelbasierten Algorithmus bis zu einer KI auf Grundlage von Machine Learning (ML) sowie Large Language Models (LLMs). Die meisten Chatbots greifen bei ihren Antworten auf eine bestehende Wissensdatenbank zurück, wobei in aller Regel im Bestandskundenbereich auch eine Verknüpfung zu CRM-, ERP- oder Ticket-Systemen bestehen wird. Die wenigsten Unternehmen werden jedoch die Ressourcen und Rechenkapazitäten haben, einen eigenen „intelligenten“ Chatbot zu entwickeln und zu hosten, weshalb hier oftmals auf externe Dienstleister zugegriffen wird.

Welche Rechtsgrundlagen kommen für die Einbindung intelligenter Chatbots in Frage?

Um die allgemeine Zulässigkeit der Verarbeitung zu bewerten, sollte zunächst das Risiko der Nutzung eines KI-basierten Chatbots im Rahmen einer Schwellwertanalyse eingeschätzt werden. Je nach Ausgestaltung könnte eine Datenschutzfolgenabschätzung notwendig sein, um Gegenmaßnahmen für bestehende, hohe Risiken zu treffen, bevor letztlich die richtige Rechtsgrundlage ermittelt werden kann.

Wird der KI-basierte Chatbot im Rahmen der Vertragsanbahnung zur Bereitstellung von Informationen, die für das Zustandekommen eines Vertrages notwendig sind, oder zur Beantwortung von vertrags-spezifischen Anfragen genutzt, so lässt sich regelmäßig argumentieren, dass die Einbindung gem. Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung (vor-)vertraglicher Maßnahmen erforderlich ist. Dies ist insbesondere dann anzunehmen, wenn die Nutzung eines Chatbots als fester Vertragsbestandteil definiert wird, z. B. wenn ein 24-Stunden Kunden-Support angeboten und durch die Nutzung eines Chatbots sichergestellt bzw. unterstützt wird.

Vorsicht sollte jedoch dann geboten sein, wenn die Funktionen des „intelligenten“ Chatbots über eine Verarbeitung zu Vertragszwecken hinausgehen und ebenfalls anderen Zwecken dienen. In gewissen Einzelfällen wäre denkbar, dass der verantwortliche Betreiber die Verarbeitung auf die Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen könnte. Dies wäre z. B. der Fall, wenn der Chatbot nicht nur Fragen zu einem (potenziellen) Vertrag, sondern ebenfalls zu allgemeinen Thematiken, Website-Inhalten oder Events beantworten kann.

Auch die Nutzung des Chatbots zum Ausspielen von werblichen Inhalten an Bestandskunden dürfte aufgrund der vorhandenen Kundenbindung gem. Art. 6 Abs. 1 lit. f DSGVO zu rechtfertigen sein, sofern hierüber ausreichend informiert wird.

In anderen Fällen, wie beispielsweise bei der Nutzung zur Zusendung von Werbung an Interessenten, zur Profilbildung oder der weiterführenden Analyse von Chat-Daten, wird regelmäßig die Einholung einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO notwendig sein. Dies gilt insbesondere auch dann, wenn Chat-Daten zur Verbesserung des Algorithmus bzw. zur Weiterentwicklung des Bots genutzt werden sollen.

Sofern der Chatbot ermächtigt ist, einseitige oder gegenseitige Rechtsgeschäfte zu tätigen oder entgegenzunehmen, sollte zusätzlich geprüft werden, ob eine automatisierte Entscheidungsfindung i. S. d. Art. 22 DSGVO vorliegen könnte und ob ein entsprechender Erlaubnistatbestand greift. Sofern dies der Fall ist, müssten ggf. zusätzliche Informationspflichten sowie das Recht eines menschlichen Eingriffes umgesetzt werden.

Achtung bei Cookies! Viele intelligente Chatbots setzen zur Gewährleistung der Kontinuität des Chats über mehrere Unterseiten hinweg Cookies. Je nachdem, welche Rechtsgrundlage anwendbar ist sowie ob ein Einwilligungserfordernis gem. § 25 TTDSG besteht, muss also vor Aktivierung des Chatbots auch eine Einwilligung über den Cookie-Banner eingeholt werden. Wenn möglich, sollte der Chatbot immer so konfiguriert werden, dass eine Cookie-Setzung bis zur nutzerveranlassten Aktivierung des Chatbots, bspw. durch Anklicken des Konversationsfensters oder einer Schaltfläche, unterlassen wird.

Zuletzt sollte bei der Inanspruchnahme eines externen Entwicklers bzw. Anbieters ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen werden. Hierbei sollte darauf geachtet werden, dass dieser keine versteckten Klauseln zur Verarbeitung von Auftragsdaten zur eigenen Weiterentwicklung des KI-Chatbots enthält.

Auszug aus: Ausgabe März 2024

Auszug aus: Markin, Isabell; El-Danasouri, Hischam: Einbindung intelligenter Chatbots im Kundenservice – Risiken und Anforderungen an den Datenschutz. In: Datenschutz für Praktiker, März 2024, S. 8–11.

Zur Person

Isabell Markin hat Internationales und Europäisches Recht (LL. B.) in Den Haag studiert, spezialisiert sich auf Technologierecht und ist IAPP-zertifizierte (CIPP/ E) Data Privacy Managerin. Als Expertin für Datenschutzrecht berät sie bei der Proliance GmbH, bekannt für die Plattform datenschutzexperte. de, Unternehmen aus den verschiedensten Branchen bei der Umsetzung datenschutzrechtlicher Vorgaben. Dabei liegt ihr Schwerpunkt auf der Beratung von Unternehmen mit Konzernstrukturen und internationalem Tätigkeitsfeld.

Hischam El-Danasouri ist Wirtschaftsjurist (LL. B.) und Experte auf dem Gebiet des Datenschutzrechts. Als Data Privacy Manager bei der Proliance GmbH berät er Unternehmen ganzheitlich zur Implementierung datenschutzrechtlicher Anforderungen. Dabei begleitet er schwerpunktmäßig Unternehmen und Konzerne der Energiewirtschaft bei der Umsetzung des Datenschutzes.