Der Einsatz von Chatbots und Live-Chat-Systemen auf Websites ist datenschutzrechtlich vielschichtig.
Rechtsgrundlage: Wenn der Chat der Beantwortung von Kundenanfragen dient, kann die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenkommunikation) gestützt werden. Werden Chatverläufe für weitergehende Zwecke ausgewertet (Qualitätssicherung, Training von KI-Modellen), ist eine gesonderte Rechtsgrundlage erforderlich - in der Regel die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Cookies und Tracking: Setzt der Chat-Dienst eigene Cookies (z.B. zur Wiedererkennung des Nutzers), greift Paragraph 25 TDDDG. Soweit die Cookies nicht unbedingt erforderlich für den gewünschten Dienst sind, ist eine Einwilligung nötig.
KI-basierte Chatbots: Werden KI-Systeme eingesetzt, gelten die Anforderungen der DSK-OH Künstliche Intelligenz (Mai 2024): Zweckfestlegung vor dem Einsatz (Art. 5 Abs. 1 lit. b DSGVO), Prüfung ob der Einsatz ohne personenbezogene Daten möglich ist, keine automatisierte Letztentscheidung mit Rechtswirkung ohne menschliches Eingreifen (Art. 22 DSGVO), und regelmäßige Prüfung der Ergebnisse auf Richtigkeit und Diskriminierung. Eine DSFA kann erforderlich sein.
Auftragsverarbeitung: Wird ein externer Chatbot-Anbieter eingesetzt, liegt in der Regel Auftragsverarbeitung nach Art. 28 DSGVO vor. Ein AVV mit dem Anbieter ist Pflicht. Bei US-Anbietern sind die Anforderungen der Art. 44 ff. DSGVO zu beachten.
Informationspflicht: Der Nutzer muss transparent darüber informiert werden, dass ein Chatbot eingesetzt wird, welche Daten verarbeitet werden und ob ein Mensch oder eine Maschine antwortet (Art. 13 DSGVO).