Sei es die Hotelbuchung oder die Vertragsverlängerung beim Mobilfunkanbieter – immer mehr Kundensupport wird durch den Einsatz automatisierter Prozesse mit Facebook Chatbots im Messenger oder auf der Firmenwebseite abgebildet. Dieses Phänomen wird sich zukünftig weiter ausbreiten und möglicherweise dank „künstlicher Intelligenz“ (KI) und digitaler Assistenten in wenigen Jahren den Kundensupport durch Mitarbeiter nahezu ersetzen. Per Smartphone kann der Nutzer dann in wenigen Sekunden den Auftragsstatus abfragen, einen Vertrag abschließen oder personalisierte Kundeninformationen abrufen.

Rechtsgrundlage

Grundsätzlich ist jede Datenverarbeitung nur zulässig, sofern Sie auf einer gesetzlichen Rechtsgrundlage erfolgt (Art. 6 Abs. 1 DSGVO), oder aber der informierte und aufgeklärte Betroffene seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten erteilt (Art. 6 Abs. 1 lit. a), Art. 7, Art. 8 DSGVO).

In vielen Fällen wird die automatisierte Datenverarbeitung wie z.B. im Rahmen der Registrierung bei einem (kostenlosen) Social Media-Dienst oder der Anmeldung zum Newsletter auf die Einwilligung des Betroffenen gestützt, indem dieser seine Informationen (wie z.B. Name, E-Mail-Adresse, Alter, Wohnort) freiwillig im Profil oder der Anmeldemaske angibt. Gleichzeitig gilt es, den Betroffenen im Rahmen einer Datenschutzerklärung über Umfang und Zweck der Datenverarbeitung zu informieren sowie auf diverse Aspekte der IT-Sicherheit hinzuweisen. Die Einwilligungslösung birgt jedoch das Risiko, dass der Betroffene diese jederzeit widerrufen kann (Art. 7 Abs. 3 DSGVO), so dass ab diesem Moment jedweder weitere Umgang mit diesen personenbezogenen Daten des Betroffenen unzulässig wäre.

Besteht jedoch eine Kundenbeziehung im Rahmen eines Vertrages oder einer vorvertraglichen Maßnahme, könnte eine gesetzliche Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten in Betracht kommen, die eine Nutzung dieser Informationen des Kunden bzw. des Interessenten unabhängig von einer Einwilligung auf sichere Füße stellt. Denn ist die hier fragliche Erhebung bzw.  Speicherung und Übermittlung der Nutzerdaten für „die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich“ (Art. 6 Abs. 1 lit. b) DSGVO), kann das Unternehmen die mittels Chatbot, Messenger oder Kontaktformular vom Betroffenen angegebenen oder abgefragten Daten auf Grundlage dieser gesetzlichen Vorschrift verarbeiten. Vorausgesetzt: Die gegenüber dem Chatbot oder digitalen Assistenten im Messenger-Dienst vorgenommene Handlung ist für die Erfüllung des Vertrages bzw. Vorvertrages erforderlich, was bereits dann anzunehmen sein dürfte, wenn der Kunde seine Angaben zur Identifizierung macht und sein Interesse an der klar definierten schuldrechtlichen Verpflichtung (Kauf, Bestellung, Dienstleistung oder Abfrage seines Status) auf diesem Wege rechtsverbindlich bekundet. Schon die Anfrage oder ein Antrag, z.B. für die Erstellung eines Angebots für einen Werk-, Werklieferungs- oder Dienstvertrag wird als Vorbereitung eines Vertrages von Art. 6 Abs. 1 lit b) DSGVO erfasst (Paal/Pauly/Ernst, DS-GVO, Art. 6, Rn. 15). Die Vorschrift erfasst selbst jede „ein bestehendes Vertragsverhältnis betreffende Datenverarbeitung“ (Gola/Schulz, DSGVO, Art. 6. Rn. 27), also auch die Abwicklung und Beendigung von Vertragsverhältnissen oder nachträgliche Sorgfaltspflichten (Vgl. Kühling/Bucher/Bucher, Petri, DSGVO, Art. 6 Rn. 33).

Wird also das klar definierte Rechtsgeschäft (Preis, Ware, Lieferdatum usw.) von beiden Parteien erkennbar auf Basis dieser Kommunikation geschlossen oder ist auch kein anderer Weg hierfür vorgesehen, wie es beim offiziellen Kundensupport / Bestellsystem über diese Plattform gegeben sein kann, stützt sich die Datenverarbeitung mittels dieses Messenger-Dienstes auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. b) DSGVO.

Werbung

Fraglich ist jedoch, inwieweit sich auch die elektronische Werbung gegenüber Kunden oder Interessenten auf diese Rechtsgrundlage stützen lässt. Die Werbung müsste sich wohl auf ein konkretes oder ein vergleichbares Angebot beziehen und darüber hinaus auch die allgemeinen wettbewerbsrechtlichen Vorschriften wahren. Angesichts der recht restriktiven Vorgaben zum Direkt-Mailing, das bei der Kommunikation über einen Chatdienst analog anzunehmen ist, sollte die Einwilligung des Betroffenen (Empfängers) eingeholt werden (§ 7 Abs. 2 Nr. 3 UWG; Art. 7 Abs. 3 DSGVO), beispielsweise bei erstmaliger Kontaktaufnahme oder Vertragsschluss. Andernfalls drohen dem Betreiber Unterlassungs-/Schadensersatzansprüche (nach §§ 8, 9 UWG). Die sich noch in Arbeit befindliche E-Privacy Verordnung könnte 2019 hieran etwas ändern. Unabhängig dessen muss die datenschutzrechtliche Einwilligung des Empfängers protokolliert werden. Auch muss sie jederzeit widerrufen werden können, beispielsweise per einfachem Text an den Chatbot oder Klick eines Abbestellungslinks. Zudem ist die Werbung als solche zu kennzeichnen.

Informationspflichten nach der DSGVO

Eine wichtige Rolle spielen bei jedem datenschutzrechtlich relevanten Umgang mit personenbezogenen Daten die durch die Datenschutzgrundverordnung nochmals an Bedeutung gewonnenen Informationspflichten (Art. 12 ff DSGVO).

Denn das Unternehmen hat nach Art. 12 Abs. 1 DSGVO alle geeigneten Maßnahmen zu treffen, „um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.“

Den Kern bilden dabei die zahlreichen Anforderungen bei der Direkterhebung von Daten nach Art. 13 DSGVO, wenn also der Betroffene über den Chatbot oder Messenger-Dienst seine Informationen beispielsweise bei der Buchung eines Hotelzimmers, der Bestellung einer Pizza oder der Vertragsverlängerung angibt und an das Unternehmen übermittelt. Danach muss das für die Datenverarbeitung verantwortliche Unternehmen sich unter anderem mit Kontaktdaten darstellen (Art. 13 Abs. 1 lit. a) DSGVO), aber auch den Zweck und die Rechtsgrundlage der Datenverarbeitung (Art. 13 Abs. 1 lit. c) DSGVO) wie auch die Empfänger bzw. Kategorien der Empfänger (z.B. alle Mitarbeiter im Kundensupport; Art. 13 Abs. 1 lit. e) DSGVO) und sogar die Speicherdauer (Art. 13 Abs. 2 lit. a) DSGVO) benennen. Hinzu treten noch Pflichtangaben zu den Betroffenenrechten (Art. 13 Abs. 2 lit. b) DSGVO), der zuständigen Aufsichtsbehörde (Art. 13 Abs. 2 lit. d) DSGVO) und die Information für den Fall der Weiterverarbeitung durch einen Dritten (Art. 13 Abs. 3 DSGVO) oder der Übermittlung dieser Daten in ein Drittland (z.B. ein Hoster oder Dienstleister in den USA; Art. 13 Abs. 1 lit. f) DSGVO). Freilich ist diese Auflistung nicht abschließend zu verstehen.

Die transparente, verständliche und jederzeit erreichbare Einbindung dieser Informationen in den modernen elektronischen Kommunikationskanälen wie Chatbots, Messenger-Diensten oder Ticketsystemen stellt die Unternehmen in der Praxis vor schwierige Aufgaben. Soll gerade die schnelle und unkomplizierte Kommunikation im Chatfenster erreicht werden und den Vorteil gegenüber E-Mails und langen Vertragsstücken ausmachen, müssen die zuvor aufgeführten Informationen dennoch berücksichtigt werden. Es empfiehlt sich daher ein Link oder ein QR-Code bzw. eine Grafik mit Link auf die weiterführenden Datenschutzbestimmungen. Sofern es technisch umsetzbar ist, sollte im „Footer“ oder in der Navigation ein solcher Link ebenfalls implementiert sein.

Im Übrigen sollten der gesamte Gesprächsverlauf und die Eingaben des Betroffen protokolliert (als Log) werden, möglicherweise auch die IP-Adresse, um den Dokumentationspflichten nachzukommen und auch um beweissicher etwaige Vertragsverhandlungen aufzubewahren. Immerhin greifen auch die zivilrechtlichen Regelungen des Fernabsatzvertrages (§ 312c BGB) bei der Buchung oder einem Kauf via Chat, die zu den allgemeinen Verbraucherrechten (und unter anderem den Fristen für den Widerruf) führen.

Datensicherheit

Neben den rechtlichen Anforderungen haben das verantwortliche Unternehmen wie auch der in der Regel zwischengeschaltete Anbieter (z.B. Facebook oder WhatsApp) noch den allgemeinen technisch-organisatorischen Anforderungen zum Datenschutz und der Datensicherheit nachzukommen.

Unter anderem gilt es, die Daten in einer Weise zu verarbeiten, „die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“ (Art. 5 Abs. 1 lit. f) DSGVO).

Zu den nach Art. 32 DSGVO nicht abschließend aufgeführten Maßnahmen gehören

„die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.”

Bei den neuen Kommunikationskanälen drängt sich vor allem die Forderung nach der Pseudonymisierung und Verschlüsselung auf (Art. 32 Abs. 1 lit. a) DSGVO), damit die Verarbeitung der personenbezogenen Daten des Nutzers/Kunden über den Chat, Messenger-Dienst oder das Ticketsystem auf sicherer Grundlage erfolgt und nicht durch Dritte ausgelesen werden kann. In diesem Zusammenhang wird immer wieder die Frage aufgeworfen, ob WhatsApp, Facebook und sonstige Dienste der großen US-amerikanischen Plattformbetreiber überhaupt eine sichere Verschlüsselungstechnik einsetzen und damit der Datensicherheit in angemessener Weise Rechnung getragen wird – oder ob sich Unbeteiligte unbemerkt Zugriff auf die Kommunikationsinhalte verschaffen könnten.

Ferner wird die Datenschutzgrundverordnung gerade vom Gedanken der „Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ getragen (Art. 32 Abs. 1 lit. b) DSGVO). Die Kommunikationsinhalte zwischen Kunden und Chatbot/Datenbank mittels der jeweils verwendeten Dienste müssen daher nicht nur von Vertraulichkeit und Integrität geprägt sein, sondern auch deren Belastbarkeit und Verfügbarkeit gewährleisten. Bei Datenpannen oder veränderten Situationen durch technische Zwischenfälle oder „Serverausfällen“ des Betreibers müssen diese Daten im Chatverlauf „rasch“ wiederhergestellt werden können (Art. 32 Abs. 1 lit. c) DSGVO). Doch gerade auf diesen Umstand hat das verantwortliche Unternehmen, wenn es sich den Dienst von WhatsApp, Facebook und Co. bedient, praktisch keinen Einfluss.

Sofern Cloud-Lösungen gewählt werden oder aber ein Dienstleister eingesetzt wird, sind sogar noch Fragen zum Speicherort wie auch der Speicherdauer zu klären. Insgesamt bedarf es eines angemessenen IT-Sicherheitskonzepts.

Rechtliche Rahmenbedingungen

Verträge, unter anderem der Vertrag über die Auftragsdatenverarbeitung mit dem Plattformbetreiber oder Hoster sind zu schließen, wenn mindestens die Möglichkeit eines Zugriffs auf diese Daten besteht. Bei Social Media-Angeboten wird dieses wohl zu unterstellen sein, wenn die Chatverläufe in der Datenbank des Betreibers (unverschlüsselt) gespeichert werden.

Wenn der Anbieter in den USA oder einem sonstigen Drittland sitzt, gilt es noch einen zusätzlichen datenschutzrechtlichen, vertraglichen Rahmen zu prüfen. So könnte der Abschluss eines Vertrages nach den sog. EU-Standardvertragsklauseln in Betracht kommen, um den datenschutzrechtlichen Anforderungen aus Art 44, Art. 46 Abs. 2 lit c) DSGVO nachzukommen. Sind noch Unterauftragnehmer z.B. Hoster oder externe IT-Dienstleister einbezogen, treten weitere Besonderheiten nach Art. 28 Abs. 2 DSGVO auf.

Fazit

Längst können Chatbots, Messenger-Dienste und sonstige Kommunikationskanäle nicht nur den Kundensupport ausüben, sondern auch die Abwicklung von Rechtsgeschäften ermöglichen. Auch können diese als Marketinginstrument fungieren. Trotz gewisser Bedenken bestehen datenschutzkonforme Einsatzmöglichkeiten, damit Kundenbelange direkt und mittels automatisierter Prozesse (Bots) in Windeseile bearbeitet und umgesetzt werden können.