Channel

Ecosystem

How-to

DSGVO: So bereitet ihr Chatbots auf den neuen EU-Datenschutz vor

Der Runtastic-Chatbot. © Jakob Steinschaden
Der Runtastic-Chatbot. © Jakob Steinschaden

Österreich gilt als Chatbot-Nation. Firmen wie die Chatbots Agency von Barbara Ondrisek, oratio (RIP) von David Pichsenmeister und Bernhard Hauser oder The Ventury von Jakob Reiter, Christoph Bitzner und Adrian Zettl-Singh waren Trendsetter. Und mit Lemmings.io von Thomas Schranz gibt es einen Inkubator mit Fokus auf Chatbots und AI.

Dementsprechend viele kleinere und größere Firmen in Österreich haben Chatbots im Einsatz und stehen mit ihren automatisierten Mitarbeitern demnächst vor einer neuen Herausforderung: Am 25. Mai bringt die Datenschutzgrundverordnung (DSGVO) der EU einige rechtliche Neuerungen, die auch den Einsatz von Chatbots beeinflussen werden.

Trending Topics hat sich die wichtigsten Punkte angesehen, die Chatbot-Betreiber bis 25. Mai überprüfen sollten:

1. Ausführliches Opt-in:

Verarbeitet ein Chatbot persönliche Daten, muss er Nutzer zuvor um ausdrückliche Erlaubnis darum bitten. Dieses Opt-in kann man einfach an den Beginn der Konversation stellen. Es muss Angaben zu allen Daten enthalten, die erhoben werden – etwa, wenn der Name des Nutzers ausgelesen wird. Außerdem muss der Nutzer informiert werden, zu welchem Zweck die Daten verarbeitet werden. In den meisten Fällen wird es zudem sinnvoll sein, auf die Datenschutzbestimmungen des Unternehmens zu verlinken.

„Dass der ‚Get Started‘-Button in Zukunft genügt, bezweifle ich“, sagt Jakob Reiter von der Marketing-Agentur The Ventury. Die Nachricht, bevor der Bot persönliche Daten ausliest – etwa, um sich Abonnements zu merken – könnte also so aussehen:

„Hi, ich versorge dich täglich mit Neuigkeiten aus der Welt der Puppengewand-Designer.  Damit das reibungslos funktioniert, speichere ich deinen Namen und deine Facebook-ID – mehr dazu erfährst du in unseren Datenschutzbestimmungen [Link]. Du kannst dein Abo jederzeit abbestellen und deine Daten löschen. Bist du dabei?“

Die Einverständniserklärung muss nachweisbar sein und zwar auch für bereits bestehende Nutzer. Bis 25. Mai ist es also ratsam, auch von bestehenden Bot-Abonnenten noch einmal ein ausführliches Opt-in einzuholen, falls das bisher nicht geschehen ist.

2. Daten ansehen und löschen

Das Hauptaugenmerk der DSGVO liegt drauf, Nutzern die Kontrolle über ihre Daten in die Hand zu geben. Es muss also für den Nutzer des Chatbots eine Möglichkeit geben, sich persönliche Daten anzeigen zu lassen, die der Bot speichert. Und sie zu löschen. Beide Optionen sind idealerweise in das Menü des Bots integriert. Ob der beliebte Chatbot-Baukasten Chatfuel entsprechende, einfach zu nutzende, Optionen einbaut, ist noch unklar – in den Ankündigungen zur DSGVO ist speziell dazu nichts zu lesen. Die Chatfuel-Alternative ManyChat hat entsprechende Tools bereits angekündigt.

3. Auftragsdatenverarbeiter

Ist ein Bot mit einem Tool wie Chatfuel oder ManyChat gebaut worden, fungiert die jeweilige Firma als Auftragsdatenverarbeiter. Mit solchen muss ein Vertrag abgeschlossen werden. Zumindest Chatfuel hat bereits angekündigt, einen solchen Mustervertrag rechtzeitig zur Verfügung stellen zu wollen.

Facebook oder andere Messenger-Plattformen, auf denen Chatbots agieren, sind in der Regel keine Auftragsdatenverarbeiter. Tools zur statistischen Auswertung der Chatbot-Daten könnten es aber sein, wenn sie persönliche Daten der Nutzer verarbeiten. Mit welchen Firmen Chatbot-Anbieter Auftragsdatenverarbeiter-Verträge benötigen, muss im Einzelfall geklärt werden. Facebook hat Fragen zum Thema Messenger und DSGVO übrigens in einem eigenen FAQ behandelt. Dieses lässt jedoch mehr Fragen offen als es beantwortet.

Derzeit kämpfen Plattformen wie Chatfuel und ManyChat noch an einer ganz anderen Front: Im Zuge des Datenskandals hat Facebook seine Schnittstellen für Apps vorübergehend gekappt, um bestehende Apps und die Schnittstellen zu prüfen. Während etliche Schnittstellen wieder offen sind und beispielsweise herkömmliche Chatbots schon wieder mit Facebook-Seiten verbunden werden können, heißt es für Chatfuel und ManyChat nach wie vor: warten.

Dieser Artikel stellt keine Rechtsberatung dar. Wir übernehmen keinerlei Gewähr für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben.

DSGVO: So passt ihr WordPress an den neuen EU-Datenschutz an

So passt man den Newsletter-Dienst MailChimp an die Regeln der neuen DSGVO an

Springe zu:

Ganzen Artikel lesen