In einer Marketing-Welt, die ständig im Wandel und gezeichnet von Trends und Veränderungen ist, stellen Chatbots eine spannende Möglichkeit dar, den neuen Ansprüchen im Bereich der Customer Experience gerecht zu werden: Ein stets freundlicher Mitarbeiter, der rund um die Uhr sieben Tage die Woche Höchstleistungen vollbringt und gleichzeitig Personalkosten- und Zeitersparnis für das Unternehmen bedeutet. Mit einem entsprechenden Konzept und einer guten Planung ist ein virtueller Assistent heute binnen weniger Wochen realisierbar. Unbedingt zu berücksichtigen sind dabei die rechtlichen Rahmenbedingungen.
Chatbots fallen unter die DSGVO
Ob im direkten Kundensupport, als Unterstützung im Kaufanbahnungsprozess oder um einfach einen besonderen Touchpoint zur Marke herzustellen: Chatbots leben von Daten und insbesondere in Deutschland wird besonders sensibel damit umgegangen. Unternehmen sollten sich bewusst sein, dass Chatbots Gesprächsdaten und Kommunikationsdaten sammeln, folglich in den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) fallen und entsprechende rechtliche Herausforderungen mit sich bringen. Dabei sollten folgende Gesetze beachtet werden:
Die Verarbeitung der Daten muss „rechtmäßig“ sein (Art. 6 Abs 1. DSGVO)
Die Verarbeitung personenbezogener Daten bedarf immer einer Rechtsgrundlage. Dazu gehört beispielsweise, dass die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, wie beispielsweise die Erstellung eines Angebotes. Besonders wichtig ist, dass regelmäßig eine ausdrückliche Einwilligung des Nutzers zur Verarbeitung seiner Daten eingeholt wird. Diese Zustimmung muss aktiv über ein Opt-In-Verfahren erfolgen, sowie protokolliert werden und jederzeit einfach durch den Nutzer widerrufen werden können. Ein Cookiefenster, wie man es von Webseiten kennt, ist nicht ausreichend: entweder der Chatbot selbst oder ein separater Hinweis, der vor dem Chat erscheint, sollte dem Nutzer die entsprechenden Informationen zur Rechtmäßigkeit der Verarbeitung seiner Daten an die Hand geben.
Informationspflichten gegenüber dem Nutzer (Art. 13,14 DSGVO und Art. 12 Abs 1. DSGVO)
Das Unternehmen, das einen Chatbot einsetzen möchte, ist verpflichtet, alle geeignete Maßnahmen zu treffen, um den Nutzer die gesetzlichen Pflichtangaben in präziser, transparenter verständlicher und leicht zugänglicher Form zu vermitteln. Konkret bedeutet das: dem Nutzer wird offen gelegt, wozu der Chatbot eingesetzt wird, kurzbeschrieben, wie er grob funktioniert und welches Unternehmen dahinter steckt. Dabei ist es empfehlenswert, nur eine kurze Information in dem Bot zu integrieren und den Verweis auf die weiterführenden Datenschutzinformationen und zum Impressum per Link einzubinden. Hinzu kommt, dass der Nutzer jederzeit Auskunft darüber erhalten können muss, welche konkreten Daten von ihm gespeichert wurden – im Optimalfall mit wenigen Klicks. Der gesamte Gesprächsverlauf muss also genau protokolliert werden, sodass bei Bedarf auch schnell und einfach vom sogenannten „Recht auf Löschung“ Gebrauch gemacht werden kann.
Datensparsamkeit: so wenig Informationen wie möglich erheben (§ 3a BDSG und Art. 5 DSGVO)
Wie bei Webseiten auch, sollten Chatbots den Grundsatz der Datensparsamkeit einhalten. Das bedeutet, dass so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden. Art. 5 DSGVO schreibt neben der Datenminimierung und Zweckbindung namentlich zusätzlich folgende Grundsätze vor: Verarbeitung nach Treu und Glauben, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Transparenz. In diesem Sinne ist es auch besonders wichtig, dass der Chatbot dem Nutzer klar suggeriert, dass er nicht mit einer realen Person kommuniziert, sondern mit einem Programm.
Datensicherheit (Art. 32 DSGVO)
Die Verarbeitung personenbezogener Daten muss auf einer sicheren Grundlage erfolgen und nicht durch Dritte ausgelesen werden können. Die Daten müssen dabei nicht nur von Vertraulichkeit und Integrität geprägt sein, sondern auch die Anforderungen der Belastbarkeit und Verfügbarkeit entsprechen. Bei technischen Schwierigkeiten oder Serverausfällen muss der Chatverlauf schnell wiederhergestellt werden können. Da ein Großteil der Chatbots cloudbasiert sind, ist der Aspekt der Datensicherheit noch einmal besonders zu berücksichtigen. Bei der Entwicklung bedarf es deshalb einem entsprechenden IT-Sicherheitskonzept, das auch Punkte berücksichtigt wie regelmäßige Software-Updates, Sicherheitspatches, Multi-Faktor-Authentifizierung, Speicherort und Speicherdauer.
Fazit: Dem Nutzer ein sicheres Gefühl geben
Die rechtlichen Bestimmungen in Bezug auf Chatbots versuchen nicht, die Entwicklung der Technologie aufzuhalten. Vielmehr geht es darum, die Mensch-Maschine-Kommunikation auf eine rechtssichere Ebene zu heben. Das bringt zwar für Unternehmen zunächst einen entsprechenden Mehraufwand mit sich, zahlt sich schließlich aber aus – nicht nur im Sinne einer erhöhten Sicherheit und der Vermeidung datenschutzrechtlicher Sanktionen, sondern auch für die gesteigerte Akzeptanz und Bereitschaft der Nutzer mit einem dialogbasierten System zu chatten. Schließlich braucht jeder (virtuelle) Berater auch einen Gesprächspartner.
Wenn Sie Fragen zum Thema haben oder selbst einen Chatbot für Ihre Seite umsetzen möchten, beraten wir Sie gerne.
