Als Facebook-Chef Mark Zuckerberg auf der F8-Konferenz Anfang April dieses Jahres seine neuen Pläne vorstellte, stand das Thema „Facebook Bots“ weit oben auf der Tagesordnung. Möglicherweise angetrieben vom Konkurrenzdruck arbeitet das Entwicklerteam des größten sozialen Netzwerks der Welt mit Hochtouren an neuen, technischen Konzepten für künstliche Assistenzsysteme. Siri (Apple), Contana (Microsoft) und Alexa (Amazon) machen es vor. Künftig will auch Facebook mitmischen und über den Facebook Messenger (Chat) einen direkten Assistenzservice in Form eines Chatbots ermöglichen. Geht es nach den Plänen von Facebook, können die Mitglieder des Sozialen Netzwerks künftig Hotelzimmer oder Flüge direkt über den Messenger buchen, gezielt auf Shoppingtour gehen oder sich einfach nur blitzschnell nach dem Wetter am eigenen Standort erkundigen – per Textchat mit einem Roboter über den Facebook Messenger. Einige gehen sogar noch einen Schritt weiter und prophezeien sogar schon den Einsatz von Chatbots im täglichen Verwaltungsablauf (eGovernment).

Das Ziel ist klar: Es soll der direkte und möglichst schnelle Informationsaustausch zwischen Anbietern und Kunden ermöglicht werden. Für Unternehmen und Agenturen ergeben sich durch die bevorstehende Technologie viele neue Marketing-Instrumente und wirtschaftliche Vorteile. Doch der vermeintlich schnelle Support, den beispielsweise schon seit einiger Zeit größere Telekommunikationsanbieter oder Online-Shops in Deutschland über den Facebook-Chat anbieten, hat natürlich auch seine Schattenseiten. Und diese liegen unter anderem wieder einmal bei den rechtlichen Rahmenbedingungen, insbesondere dem Datenschutz.

Technische Anfangsschwierigkeiten

Chatbots sind freilich keine Neuheit. Schon Ende des 20. Jahrhunderts gab es erste „Bots“ in der riesigen Chatroom-Welt des IRC (Internet Relay Chat), die auf vorgegebene Befehle automatisch bestimmte Prozesse durchführten. Diese ließen sich im beschränkten Maße programmieren, waren aber eher eine Art „virtueller Anrufbeantworter“. Es folgten Chatbots in Online-Spielen, automatisierte Assistenten in Form von Kontaktskripten auf Unternehmenswebseiten und die genannten sprachgesteuerten Assistenzsysteme. Und wie es in naher Zukunft aussehen mag, vermittelte beispielsweise der Oscar prämierte Kinofilm „Her“ aus dem Jahre 2013. In dieser Zukunftsvision wird der Einzelne nahezu rund um die Uhr von seinem persönlichen, elektronischen Assistenten begleitet, woraufhin sich mit zunehmenden Vermenschlichung des Programms der Hauptdarsteller in „seine“ Samantha verliebt.

Allen Bots gemein sind die anfänglichen technischen Schwierigkeiten, die sowohl im Umfang der Antworten als auch in der Interaktion mit dem Nutzer liegen. Die Programme können schließlich nur solche Informationen liefern, auf die sie tatsächlich zugreifen. Es hängt also viel von der Schnittstelle mit den entsprechenden Datensätzen und der Datenauswertung ab. Aber nichtsdestotrotz müssen die Bots erst einmal verstehen, was der Nutzer von ihnen überhaupt will. Sie müssen also anhand von Keywords und Satzzeichen das Anliegen des Nutzers begreifen. Mit zunehmendem Einsatz von KI (Künstlicher Intelligenz) und dank eingebauter Lernprozesse sowie Auswertungs- bzw. Filterungsmethoden steigert sich dies selbstverständlich. Die Bots werden also immer „intelligenter“ und können daher immer mehr Anfragen beantworten. Bald lässt sich nicht mehr mit Gewissheit beurteilen, ob der Kommunikationspartner ein Mensch oder eine Maschine ist.

Rechtliche Fragestellungen zu Chatbots

Der Einsatz von Chatbots für den direkten Kundenkontakt berührt viele juristische und datenschutzrechtliche Belange. Denn im Zentrum dieser Kommunikation steht der Austausch von Informationen, die personenbezogene Daten nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) beinhalten können. Zunächst sind dies beispielsweise der Klarname des Nutzers und etwaige Standort- und Metadaten. Hinzukommen möglicherweise die Kundendaten, das Profilfoto, die Anschrift, Aufenthaltsorte oder sogar sensible Daten, z.B.  Gesundheitsdaten – all jenes, was bei der Bearbeitung des konkreten Anliegens erforderlich ist.

Die Thematik ist ein stückweit zu vergleichen mit der in jüngster Zeit auftretenden Problematik des Kundensupports via WhatsApp. Ist es datenschutzrechtlich bedenklich, wenn ein potentieller Kunde bzw. Käufer mit einer Apotheke via WhatsApp ein Rezept kommuniziert? Mag WhatsApp auch seit kurzem auf eine Ende-zu-Ende Verschlüsselung setzen, wirft dieser Kommunikationsweg insbesondere beim Kontakt mit Gesundheitseinrichtungen weiterhin datenschutzrechtliche Fragen auf (denn wer mit wem kommuniziert bleibt für Facebook als Betreiber von WhatsApp sichtbar) – gleiches gilt auch für Facebook Chatbots:

  • Auf welcher Rechtsgrundlage erfolgt die Erhebung, Übermittlung und Speicherung der personenbezogenen Daten im konkreten Fall?
  • Wer hat alles Zugriff auf das Gerät bzw. die Kommunikationsinhalte?
  • Erfolgt eine Verschlüsslung der Informationen?
  • Werden die Daten beispielsweise auf Server außerhalb der EU transferiert?
  • Wie lange werden die personenbezogenen Daten wie z.B. Dokumente, Rezepte und der Chatverlauf gespeichert?
  • Wie erfolgt eine korrekte Aufklärung bzw. Information des Endkunden?
  • Und weiß der Nutzer überhaupt, dass er mit einem Chatbot kommuniziert?

Die Zulässigkeit des datenschutzrechtlich relevanten Vorgangs könnte auf die Einwilligung des Nutzers nach § 4a BDSG gestützt sein, wenn er sich freiwillig und ohne Zwang mit diesem Prozess einverstanden erklärt (Einwilligungslösung) und dieser von den Facebook Nutzungsbedingungen (AGB) umfasst sind. All das müsste für jeden konkreten Fall erklärt werden. Denn auch Facebook kann nicht im Wege der allumfassenden AGB jeden einzelnen datenschutzrechtlich relevanten Vorgang sowie sonstige rechtliche Situationen zwischen Unternehmen und Kunden regeln.

Viel juristisches Neuland bei der Bot-Technologie

Der Einwilligung muss eine klar verständliche Information und Aufklärung des Betroffenen hinsichtlich des Umgangs und Zwecks der Datenerhebung, deren konkreten Verarbeitung und Löschung vorausgehen. Ebenso wäre ein Hinweis über die Betroffenenrechte (Auskunfts-, Berichtigungs- und Widerspruchsanspruch) wünschenswert. All dies müsste vor bzw. bei Beginn der Chatkonversation erfolgen. Auch müsste diese Aufklärung und Einwilligungserklärung optisch gut erkennbar und jederzeit abrufbar und widerrufbar sein, was das kleine Chatfenster natürlich sprengen dürfte.

Fraglich ist zudem, ob personenbezogene Daten gespeichert werden und, wenn dies der Fall ist: Welche Daten und für welchen Zeitraum? Selbst die Bestellung einer Pizza lässt im Zusammenhang mit dem Profil (Klarnamen) und der Lieferadresse personenbezogene Daten entstehen, die mittelbar über die Server von Facebook übermittelt und gespeichert werden. Mithin darf und sollte hinterfragt werden, ob die beteiligten Parteien (Unternehme – Kunde) überhaupt wissen, welche personenbezogenen Daten auch von Facebook gesammelt werden. Schließlich kann darüber spekuliert werden, ob und inwiefern Facebook den Inhalt der Chatkonversation auswertet, mit weiteren Profildaten verknüpft und (anonymisiert) Werbepartnern zur Verfügung stellt. Wie sich jüngst erneut herausstellte, wertet Facebook den Chatverlauf aus – liest also im gewissen Rahmen und mittels Scan-Software die Nachrichten mit. Begründet wird dies bislang mit Sicherheitsaspekten, um so Viren/ illegale Links oder Straftaten zu entdecken bzw. einzugrenzen.  Zumal aktuell beim Messenger keine „Ende zu Ende“ Verschlüsselung stattfindet, wie bei WhatsApp oder Threema. Und selbst wenn diese eingeführt würde, blieben die aufgeworfenen Fragen weiterhin relevant. Denn der Nutzer würde ja direkt mit dem Chatbot kommunizieren.

Das heißt in diesem Beispiel: Wissen Facebook oder ein Partner-Unternehmen anhand der gesammelten Daten, dass ein bestimmter Nutzer häufiger eine Pizza über diesen Service bestellt, so ergeben sich neue Möglichkeiten der „personalisierten Werbung“.

Zudem können unterschiedliche Arten von Informationen zu unterschiedlichen Speicherfristen führen. Während allgemeine Daten und Protokolle des Chatverlaufs gar nicht bzw. nach § 100 Telekommunikationsgesetz (TKG) nur wenige Tage gespeichert werden dürfen, kommt im Falle des Vertragsschlusses (Bestellung der Pizza) eine Speicherung der Kundendaten zu Abrechnungszwecken für den Abrechnungszeitraum (bis zur Bezahlung) in Betracht. Bei anderen personenbezogenen Daten verhält es sich wiederum anders. Eine etwaige (endlose) Speicherung aller Profildaten/Kommunikationsinhalten durch Facebook auf den Servern des Unternehmens würde mit diesen abweichenden, strengeren Speicherfristen kollidieren.

Können die Betroffenenrechte z.B. auf Löschung der Daten überhaupt tatsächlich und rechtswirksam durchgesetzt werden und wenn ja gegenüber wem? Das Unternehmen kann zwar die vom Chatbot ausgelesenen Chatprotokolle sperren oder löschen, aber sind diese doch gleichzeitig auf den Servern von Facebook gespeichert. Und der Betreiber des größten sozialen Netzwerks zeigt sich bislang wenig sperr- und löschfreudig. Zuletzt wäre noch die derzeitige Rechtsunsicherheit beim internationalen Datentransfer nach der „Safe Harbor“-Entscheidung (EuGH, Urteil vom 6. Oktober 2015 in der Rechtssache C‑362/14), der hier de facto auch stattfinden würde, wenn die Mitglieder in Europa mit Chatbots in den USA kommunizieren. Natürlich fußt der Transfer auf die Nutzungsbedingungen und innerhalb des Facebook-Netzwerks auf anerkannte Regeln. Doch hier stehen zukünftig noch viele Unabwägbarkeiten auf dem Weg zur nachhaltigen Rechtsklarheit im internationalen Datenschutz aus.

Viele fordern die Verschärfung der Rechtslage

Vor diesem Hintergrund ist auch die hierzulande vom Bundesrat angestrebte Gesetzesnovellierung im „Telekommunikationsrecht“ zu erwähnen (Beschluss vom Bundesrat vom 22.04.2016). So sieht der Beschluss vor, dass sich Messenger-Dienste wie der Facebook Messenger oder WhatsApp künftig auf Grund ihrer Stellung als sogenannter „Over-The-Top“-Anbieter, die nach und nach die klassischen Telekommunikationswege ersetzen, den gesetzlichen Regelungen der herkömmlichen Telekommunikationsanbieter zu unterwerfen haben. Dann hätten die Messenger-Dienste deutlich strengere Vorgaben des Gesetzgebers zu beachten, wie die Achtung des Fernmeldegeheimnisses (§ 88 TKG) und des Datenschutzes (§§ 91 ff. TKG) sowie auch den Vorschriften zur Vorratsdatenspeicherung (§ 113b TKG). Wer die Inhalte der Konversation speichert und vor allem auswertet, könnte nach dieser Novellierung gegen das Fernmeldegeheimnis verstoßen. Hier stehen Bußgelder und strafrechtliche Folgen für den Betreiber im Raume.

Zuletzt stellen sich darüber hinaus noch zahlreiche Fragen der Zurechnung und Haftung bei dem Einsatz von Chatbots (Robotern) im rechtsgeschäftlichen Verkehr. Wer haftet bei Irrtümern, Schäden oder Vertragsverletzungen und wem ist der automatisierte Prozess zuzurechnen? Hier muss sich jeder vor Auge führen, was bei Fehlern der Software oder Schnittstellen passieren kann, ebenso bei „Tippfehlern“ oder falschen Angaben durch den Nutzer. Haftet dann das jeweilige Unternehmen, Facebook oder gar der Nutzer (Kunde)? Und kann z.B. ein minderjähriger Nutzer einen Vertrag abschließen? Derartige Diskussionen werden in Zukunft vermutlich vermehrt auftauchen.

Drohen nun Werbemails?

Im Übrigen könnten noch nicht absehbare Konflikte entstehen, wenn z.B. das Unternehmen via Chatbot mit dem Kunden in einer vertraglichen Beziehung steht und währenddessen oder nach Beendigung meint, die Vorzüge des direct mailings ausnutzen zu wollen. Unterstellt der Facebook-Messenger sei als internes Nachrichtensystem der Rechtsposition der E-Mail gleichzustellen, so könnten Nachrichten zu neuen Produkten oder „tollen Angeboten“ eine unzumutbare Belästigung nach § 7 Abs. 2 UWG darstellen. Allein einige wenige Ausnahme sind anerkennt, z.B. Werbemails an die Bestandskunden in engem Rahmen. Für eine zulässige Werbung bedarf es der ausdrücklichen Einwilligung des Empfängers, die sich am sichersten über eine Opt-in Lösung einholen lässt, andernfalls drohen rechtliche Ansprüche des Empfängers auf Unterlassen (§§ 823, 1004 II BGB i.V.m. § 8 UWG) und sogar Abmahnungen durch Mitbewerber und Verbraucherschutzvereine. Aber ist eine rechtskonforme, ausdrückliche Einwilligungserklärung nebst Information hierüber im Chat überhaupt möglich? Oder laufen die strengen Rechtsvorschriften ins Leere?

Fazit

Es stehen uns viele und völlig neue Rechtsprobleme bevor, die noch einiges an Kopfzerbrechen bereiten dürften. Wieder einmal kann der Gesetzgeber mit den technischen Neuerungen nicht Schritt halten. Der Trend zu Roboter-Lösungen lässt sich ohnehin nicht (mehr) aufhalten. Es geht also nur noch um das „Wie“ der rechtlichen Einordnung und um die Schaffung datenschutzrechtlich zulässiger Systeme.

Aber am Ende ist und bleibt der Nutzer weiterhin dafür verantwortlich, welche Daten er bei Facebook veröffentlicht und inwiefern er an neuen Apps und Tools teilnimmt.

Zumindest in einem Punkt könnte Facebook in wenigen Monaten zur Freude der Nutzer eine erste Abhilfe leisten: Wie jüngst gemeldet wurde, können die Mitglieder bei einer Chatkonversation über den Facebook Messenger nach erfolgreichem Testdurchlauf vor Beginn der Unterhaltung eine Ende-zu-Ende Verschlüsselung für eine zeitlich beschränkte Zeit („Secret Conversations“) aktivieren. Eine durchgängige Verschlüsselung für alle Teilnehmer wäre das allerdings nicht.