Direkt zum Inhalt wechseln

Martin Schirmbacher gibt in der Erstausgabe der Zeitschrift für das Recht der digitalen Wirtschaft (ZdiW) einen Überblick über rechtliche Fragen bei der Einführung von Chat-Funktionen und Chatbots im E-Commerce mit hilfreichen Praxistipps und Checkliste. Hier gibt es eine aktualisierte Zusammenfassung.

 

Chat-Funktionen auf E-Commerce-Websites erfreuen sich großer Beliebtheit. Immer öfter bieten Unternehmen ihren potenziellen Kunden die Möglichkeit, in direkte Kommunikation über geschriebene Nachrichten zu treten. Die Versicherungswirtschaft, Telekommunikationsunternehmen und auch die Energiebranche haben hier eine gewisse Vorreiterrolle. Auch andere Branchen mit erklärungsbedürftigen Produkten setzen schon lange auf den Austausch von Direktnachrichten auf ihren Websites. Dieser Beitrag gibt einen Überblick über rechtliche Fragen bei der Einführung von Chat-Funktionen und Chatbots im E-Commerce. Um Chat-Funktionen rechtssicher einzusetzen, gilt es zu prüfen, ob Verträge über diesen Kanal geschlossen werden können sollen. Außerdem sind die datenschutz- und wettbewerbsrechtlichen Vorgaben einzuhalten. Zusätzliche Anforderungen gelten, wenn der Chatbot KI-getrieben ist.

Chat-Funktionen im E-Commerce

Chatfenster auf E-Commerce-Websites werden zu unterschiedlichen Zwecken eingesetzt. Häufig begegnen einem kleine Chat-Fenster unmittelbar auf der Startseite von Shops und erfüllen dort vor allem eine Beratungsfunktion. Aufgabe ist in der Regel, den Bedarf von Kunden zu ermitteln und diese auf die richtige Produktdetailseite weiterzuleiten, um dort einen Vertrag abzuschließen. Denkbar ist auch eine detaillierte Beratung der Nutzer:innen mit dem Ziel eines späteren Abschlusses. Bisweilen werden auch persönliche Daten (insbesondere Telefonnummer oder E-Mail-Adresse) aufgenommen, um die potenziellen Kund:innen später erneut kontaktieren zu können.

Auch im After-Sales-Service wird Live-Chat eingesetzt, um Beschwerden und konkrete Fragen von Kund:innen adressieren zu können. Hier ist in der Regel erforderlich, die Kund:innen konkret zu identifizieren, um spezifische Aussagen zu in der Vergangenheit getätigten Käufen treffen zu können. Denkbar sind etwa konkrete Aussagen zu Stornierungen oder Ersatzlieferungen. Bisweilen werden auch weitere Verträge geschlossen, etwa über Ersatzteile, Zubehör oder andere ergänzende Produkte. Dass ein Chat-Tool grundsätzlich geeignet ist, spezifische Fragestellungen von Interessierten zu beantworten, haben nicht zuletzt auch EuGH und BGH festgestellt. Eine Chat-Funktion genügt ähnlich wie ein Rückrufsystem den Anforderungen an eine schnelle Kontaktaufnahme und kann eine effektive Kommunikation sicherstellen.

Chat-Funktionalitäten auf Websites können unmittelbar auf dem Server des Website-Anbieters laufen oder als Drittinhalt eingebunden sein. In letzterem Fall läuft die Kommunikation über den Server eines externen Anbieters von Chat-Funktionalitäten – ohne, dass die Nutzer:innen dies bemerken. Häufig werden bei dem Einsatz von Chat-Funktionen zugleich Cookies gesetzt. Diese dienen der Wiedererkennung der Nutzer:innen für den Fall, dass diese die Seite kurzfristig verlassen und dann zurückkehren. Ist der User eingeloggt, ist auch denkbar, den Chatverlauf zu dem Benutzerkonto zu speichern und dort dauerhaft abzulegen.

Bisher war der Normalfall die Echtzeitkommunikation mit den Nutzer:innen durch reale Personen. Immer häufiger werden gerade in jüngererer Zeit auch Chatbots eingesetzt. Dabei versucht die hinter dem Bot stehende Software das Problem der Nutzer:innen zu verstehen und entsprechend zu reagieren. Meist haben Chatbots noch eingeschränkte Funktionen. Spätestens seit der Verbreitung von ChatGPT und der Möglichkeit, eigene GPTs zu erstellen, werden diese deutlich besser und können tatsächlich qualifizierte Antworten geben. Im E-Commerce werden häufig auch hybride Formen eingesetzt, bei denen einfache Anliegen automatisiert und komplexere Anfragen durch Menschen beantwortet werden.

Vertragsschluss und Verbraucherrecht

1. Vertragsschluss und Dokumentation

Dass im Rahmen von Chat-Funktionen unmittelbar Verträge geschlossen werden können, steht außer Frage, ist aber bisher eher die Ausnahme. Umso wichtiger sind klare unternehmensinterne Regelungen zum Umgang mit Vertragsanbahnung im Chat. Lässt sich dies einfach realisieren, wird es aus juristischer Sicht häufig empfehlenswert sein, den Vertragsschluss im Chat auszuschließen und Kund:innen auf die Bestellseiten zu verweisen.

E-Commerce-Unternehmen, die es gezielt auf Abschlüsse im Chat anlegen, sollten dagegen geeignete Maßnahmen dafür treffen, dass ein Vertragsschluss dokumentiert ist. Ist der Kunde eingeloggt, bietet es sich an, den Chat-Verlauf unmittelbar zu dem Kundenkonto des Kunden zu speichern. Existiert kein Kundenkonto, zu dem ein Chatverlauf zugeordnet werden kann, ist die Abwicklung eines Kaufs schwierig. Ist nicht einmal eine E-Mail-Adresse vorhanden, kommt wohl nur eine Vorkasse-Abwicklung in Betracht. Auch hier ist essentiell, den Chatverlauf in geeigneter Weise zu protokollieren.

Für bestimmte Branchen gelten zusätzliche Dokumentationspflichten, z.B. müssen nach § 83 Abs. 3 S. 1 WpHG Wertpapierdienstleistungsunternehmen auch die elektronische Kommunikation (auch Chats) mit ihren Kund:Innen u.U. aufzeichnen („Taping“).

2. Fernabsatzrecht und Recht im elektronischen Geschäftsverkehr

Handelt es sich um einen B2C-Vertrag, ist grundsätzlich das Fernabsatzrecht einschlägig. Fraglich ist allein, ob der Vertragsschluss im Einzelfall im Rahmen eines für den Fernabsatz organisierten Vertriebs- und Dienstleistungssystems im Sinne von § 312c Abs. 1 BGB erfolgt. Die Voraussetzungen dafür liegen bei E-Commerce-Unternehmen natürlich grundsätzlich vor.

Allerdings kommt es auf jeden einzelnen Vertriebskanal an. So mag die ausnahmsweise Ausführung einer E-Mail-Bestellung in einem Online-Shop nicht im Rahmen des Fernabsatzsystems „Shop“ erfolgen. Chat-Funktionen sind aber unmittelbar in die Website integriert und in der Regel kein gesonderter Vertriebsweg. Daher gilt in der Regel Fernabsatzrecht, wenn ausnahmsweise unmittelbar im Chat ein Vertrag geschlossen wird.

Neben dem Verbraucherwiderrufsrecht gelten damit auch die Informationspflichten. Denkbar ist, hier die Erleichterungen nach Art. 246a § 3 EGBGB eingreifen zu lassen, weil jedenfalls innerhalb des Chatfensters nur eine begrenzte Darstellungsmöglichkeit besteht. Ist der Chat allerdings an einen Online-Shop „angeschlossen“, können ohne Weiteres Links zu den Produktdetails und sonstigen Informationen gesetzt werden.

Auch die Regelungen über die Pflichten im elektronischen Geschäftsverkehr sind grundsätzlich einschlägig. Nach § 312i Abs. 1 S. 1 Nr. 3 BGB muss unter anderem der Zugang der Bestellung unverzüglich auf elektronischem Wege bestätigt werden. Zwar erfüllt die Chat-Funktion die Voraussetzungen von § 312i Abs. 1 BGB, doch greift die Ausnahme des § 312i Abs. 2 S. 1 BGB, weil der Vertragsschluss über den Direktaustausch von Chat-Nachrichten als individuelle Kommunikation zu qualifizieren ist. Das ist auch dann der Fall, wenn im Rahmen des Chats Links zu Produktdetailseiten gepostet werden und die Nutzer:innen sich zugleich auf der Website umsehen. Solange Antrag und Annahme im Chat erklärt werden, greift die Ausnahmebestimmung.

Auch die besonderen Pflichten von § 312j Abs. 3 BGB, wonach ein Bestellbutton in bestimmter Weise zu beschriften ist, greifen in Chat-Funktionen nicht. Es fehlt schlicht an der Schaltfläche, auf die die Norm Bezug nimmt. Zudem sind gem. § 312j Abs. 5 BGB die besonderen Informationspflichten nicht anwendbar, wenn der Vertrag durch individuelle Kommunikation zustande kam.

UWG

Auch unter wettbewerbsrechtlichen Aspekten kann die Einführung von Chat-Funktionen problematisch sein.

1. Kein Einwilligungserfordernis nach § 7 UWG

Allerdings gelten die Anforderungen an das E-Mail-Marketing aus § 7 Abs. 2 Nr. 2 UWG nicht für Chats. Voraussetzung für die Einwilligungsbedürftigkeit ist nämlich, dass Werbung unter Verwendung elektronischer Post versendet wird. Dies bedingt, dass Nachrichten in ein Postfach gelangen, das die Empfänger:innen zeitversetzt abrufen können. Daran fehlt es bei Chats, die in Echtzeit ausgetauscht und gerade nicht im Endgerät der Teilnehmenden dauerhaft gespeichert werden, bis diese die Nachrichten löschen.

Im Rahmen einer vertragsanbahnenden Chat-Kommunikation bedarf es also auch dann keiner Werbeeinwilligung, wenn einzelne Nachrichten als Werbung zu klassifizieren sein sollten. Unternehmen müssen daher nicht dafür Sorge tragen, dass sich die Chat-Agents auf Beantwortung der Fragen der Anfragenden beschränken, ohne die – letztlich schwierig zu bestimmende und im Zweifel schnell erreichte – Grenze zur Werbung zu überschreiten.

In besonderen Ausgestaltungen denkbar ist, dass in einer aktiven Ansprache durch einen Chatbot eine Werbung zu sehen ist, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer sie nicht wünscht (§ 7 Abs. 1 S. 2 UWG). Dies kann z.B. der Fall sein, wenn die Nutzer:innen eine Chatfunktionalität mehrfach wegklicken und sich damit dennoch immer wieder auseinandersetzen müssen, weil das Chatfenster erneut in aufdringlicher Weise auf sich aufmerksam macht.

2. Keine Qualifikation als aggressive geschäftliche Handlungen

Ähnlich unwahrscheinlich ist, dass Chat-Funktionalitäten von Unternehmerseite so aufdringlich genutzt werden, dass sie als aggressive geschäftliche Handlung im Sinne von § 4a UWG anzusehen sind. Nutzer:innen können sich jederzeit leicht aus einer Nötigungslage befreien, in dem sie schlicht das Browserfenster schließen, sodass es regelmäßig an der Erheblichkeit fehlt. Es ist auch kaum vorstellbar, dass die Einflussnahme per Chat-Nachricht so intensiv ausfällt wie bei der Direktansprache am Telefon. Dass Gutscheine angeboten oder Rabatte beworben werden, kann für sich genommen ebenso wenig genügen, wie ein abrupter Themenwechsel in einem Chat.

3. Kennzeichnung als Werbung

Gem. § 5a Abs. 4 UWG muss kommerzielle Kommunikation als Werbung erkennbar sein und gegebenenfalls gekennzeichnet werden. Chatbots auf E-Commerce-Websites stellen sich jedoch als Teil dieses Angebots dar und werden häufig auch als besonderer Service des Anbieters angepriesen. Solange der kommerzielle Charakter der Website als solcher erkennbar ist, stellt sich daher die Frage nach der Abgrenzung von redaktionellem und werblichem Inhalt nicht. Anders wäre dies, wenn die Chatfunktion als (getarnte) Werbung auf einer redaktionellen Seite zum Einsatz kommt.

Auch innerhalb einzelner Chatverläufe ist für überraschende, weil nicht gekennzeichnete, Werbung kaum Raum. Nutzer:innen wissen, dass sie sich in der Sphäre des E-Commerce-Unternehmens bewegen und werden deshalb in aller Regel nicht überrascht sein, innerhalb eines Gesprächs auf Produkte des Unternehmens hingewiesen zu werden. Einer Kennzeichnung bedürfen Chat-Funktionalitäten im E-Commerce daher in aller Regel nicht.

Datenschutz

Im Rahmen einer Chatfunktion werden Daten der Nutzer:innen erhoben. Dies betrifft einerseits die Daten, die bei dem Besuch der Website und Nutzung der Chatfunktion unmittelbar anfallen (vor allem also die IP-Daten und Informationen über Browser und Endgerät der User:innen). Zum anderen fallen Inhaltsinformationen aus den Chats selbst an. Hier lässt sich nicht vorhersehen, welche Daten die Nutzer:innen von sich preisgeben. Von einem weitgehend anonym verlaufenden belanglosen Kurzgespräch bis hin zur Angabe von intimen Gesundheitsdaten ist alles denkbar.

1. Personenbezug

Ist dem Website-Betreiber bekannt, um welche Person es sich handelt (etwa weil diese in einem Benutzerkonto eingeloggt ist), sind alle erhobenen Daten unmittelbar personenbezogene Daten. Doch auch, wenn es sich um eine dem Shopbetreiber unbekannte, nicht identifizierbare Person handelt, ist von Personenbezug i.S.v. Art. 4 Nr. 1 DSGVO jedenfalls dann auszugehen, wenn zur Re-Identifikation Cookies gesetzt werden. Zudem muss der Chat-Betreiber darauf eingerichtet sein, dass die Nutzer:innen im Chat personenbezogene Daten von sich aus offenbaren, so dass man stets davon ausgehen sollte, dass anfallende Daten solche mit Personenbezug sind.

2. Rechtsgrundlage für die Datenverarbeitung

Bekanntlich bedarf nach Art. 6 Abs. 1 DSGVO jede Verarbeitung personenbezogener Daten einer Rechtfertigung. Für die Daten, die innerhalb des Chats ausgetauscht werden, kommen zur Rechtfertigung insbesondere eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) und berechtigte Interessen des Shopbetreibers (Art.  6 Abs. 1 S. 1 lit. f. DSGVO) in Betracht. Theoretisch denkbar wäre auch eine Rechtfertigung nach Art.  6 Abs. 1 S. 1 lit. b DSGVO, häufig wird es jedoch an der Vertragsanbahnung oder einem Vertragsschluss fehlen, so dass diese Rechtsgrundlage für viele Chats nicht hinreichend verlässlich ist. Ob eine Einwilligung eingeholt werden sollte, hängt davon ab, welche Daten zu welchen Zwecken gespeichert werden und inwiefern dies für die Nutzer:innen erkennbar ist.

a) Einfache Chat-Funktionen

Chat-Funktionen, bei denen es vor allem um allgemeine Auskünfte geht und eine Zusammenführung mit existierenden Kundenprofilen nicht stattfindet, bedürfen im Regelfall keiner Einwilligung. Vielmehr kann die mit der Durchführung des Chats verbundene Datenverarbeitung auf berechtigte Interessen gestützt werden. Alle Informationen über die Nutzer:innen stammen unmittelbar von diesen. Es entspricht den vernünftigen Erwartungen der Nutzer:innen, dass die Fragen und alle damit im Zusammenhang stehenden personenbezogenen Daten übermittelt und jedenfalls kurzfristig zwischengespeichert werden. Dies ist zur Erreichung des Zwecks – Durchführung des Chats und bestmögliche Beantwortung der gestellten Fragen – auch erforderlich. Dass es der Anbieter nicht verhindern kann, dass vereinzelt besondere Kategorien personenbezogener Daten eingegeben werden (etwa Gesundheitsdaten oder Daten zur Religionszugehörigkeit), ändert daran nichts. Ist die Nutzung der Chat-Funktion nicht gerade darauf gerichtet, solche Informationen von den Nutzer:innen einzuholen, führt die theoretische Möglichkeit der Eingabe sensitiver Daten nicht zu einem Einwilligungserfordernis.

b) Zusammenführung mit bestehenden Kundenprofilen

Wird eine automatische Zuordnung zu existierenden Kundenprofilen vorgenommen, ist eine Rechtfertigung mit berechtigten Interessen schwieriger. Liegt die Zusammenführung und dauerhafte Speicherung der Informationen im Interesse der jeweiligen Kund:innen, liegen aber die Voraussetzungen von Art. 6 Abs. 1 S. 1 lit. f DSGVO vor. Insbesondere bei Vertragsabschlüssen, Reklamationen oder konkreten Anfragen zum Benutzerkonto kann man dies annehmen. Dagegen werden die Nutzer:innen bei reinen Produktanfragen nicht mit einer Zusammenführung der Daten rechnen.

Problematisch ist häufig, dass das konkrete Anliegen der Nutzer:innen vorab nicht feststeht und deshalb auch die Frage, ob eine Zusammenführung der Informationen mit einem existierenden Kundenkonto jedenfalls nicht gegen die Interessen der Betroffenen verstößt, vorab nicht zuverlässig beantwortet werden kann. Insofern ist Shopbetreibern zu empfehlen, eine gesonderte Einwilligung in die Nutzung der Chat-Funktionalität und die damit verbundene dauerhafte Speicherung der Daten im betreffenden Kundenkonto einzuholen.

c) Besonderheiten bei Chatbots?

Die datenschutzrechtliche Besonderheit bei Chatbots liegt in der intensiveren Datenverarbeitung auf Seiten des Website-Betreibers. Die Eingaben der Nutzer:innen müssen automatisiert verarbeitet und auf taugliche Antworten hin überprüft werden. Meist wird die Kommunikation zudem ausgewertet, um den Chatbot zu trainieren. Spezielle Gesetzgebung hierzu gibt es bisher nicht. Der AI-Act ist noch immer nicht beschlossene Sache.

Allerdings gilt für die Frage der datenschutzrechtlichen Rechtfertigung nichts grundsätzlich anderes als für den Einsatz sonstiger Chat-Funktionen. Solange die Nutzer:innen erkennen, dass es sich um einen Chatbot handelt, kann dessen Einsatz auf berechtigte Interessen gestützt werden, soweit es um die Datenverarbeitung zum Zwecke der Beantwortung der gestellten Fragen geht. Dies sieht zum Beispiel auch die beden-württembergische Datenschutzaufsichtsbehörde in einem Diskussionspapier so. Eine weitergehende Datenverarbeitung (z.B. gezielte Auswertung oder dauerhafte Speicherung) bedarf allerdings in der Regel der Einwilligung.

Art. 35 DSGVO verpflichtet den Verantwortlichen, unter bestimmten Voraussetzungen eine Datenschutzfolgeabschätzung (DSFA) durchzuführen. Nach Ansicht der Datenschutzaufsichtsbehörden besteht bei dem Einsatz KI-gestützter Chatbots ein hohes Risiko. Unternehmen, die Chatbot-Funktionalitäten einsetzen, müssen sich daher mit diesem Thema auseinandersetzen. Anbieter sind gut beraten, ihre Kunden bei der Erstellung der DSFA zu unterstützen. In jedem Falle muss die Datenschutzerklärung um den Einsatz der Chatbot-Funktionalität erweitert werden.

Eine weitere Frage ist der Umgang mit personenbezogenen Daten für das Training der KI. Hier empfiehlt etwa die Hamburgische Aufsichtsbehörde, nur Informationen ohne Personenbezug zu verwenden. Das ist leichter gesagt als getan. Bekanntlich ist die Anonymisierung zunächst personenbezogener Daten gar nicht so einfach. Grundsätzlich erscheint nicht ausgeschlossen, dass auch ein Nutzung von personenbezogenen Daten für das KI-Training mit berechtigten Interessen gerechtfertigt wird. Dies setzt jedoch eine transparente Gestaltung voraus. Die Betroffenen müssen damit praktisch rechnen. Fehlt es daran, bleibt nur die Einholung einer Einwilligung – oder eben die Anonymisierung.

d) Einbeziehung von Dienstleistern

In aller Regel bedienen sich Website-Betreiber, die Chat-Funktionen einsetzen, der Dienste Dritter. Hat der Dienstleister keinen Zugriff auf die erhobenen Daten und ausgetauschten Informationen, liegt keine Übermittlung an den Anbieter vor. Anders ist das, wenn der Dienst etwa als iFrame in die Website integriert werden soll. Hier erhält der Anbieter jedenfalls Zugriff auf die IP-Daten der Nutzer:innen. Häufig wird auch ein Zugriff auf die Inhalte möglich sein.

Wenn – was so sein sollte – der Dienstleister keine eigenen Zwecke mit der Verarbeitung der Daten verfolgt, wird es sich in aller Regel um ein Auftragsverhältnis handeln und eine Vereinbarung nach Art. 28 DSGVO zu schließen.

Zusätzlich problematisch ist eine Datenübermittlung in die USA, wo viele Anbieter ihren Sitz haben. Für Entschärfung sorgte hier allerdings seit Mitte 2023 das Transatlantic Data Privacy Framework (DPF). Amerikanische Unternehmen, die sich dem Framework unterworfen haben, gelten grundsätzlich als Unternehmen mit hinreichenden Datenschutzniveau. Solange der EuGH nach dem Safe Harbour Abkommen und dem Privacy Shield nicht auch das DPF für unwirksam erklärt, dürfen Daten an Unternehmen innerhalb des Frameworks übertragen werden.

Sinnvoll mag sein, für diesen Fall zusätzlich Standarddatenschutzklauseln abzuschließen und zusätzliche Garantien vorzusehen. Eine Verschlüsselung wird hier in der Regel nicht möglich sein, da es gerade um den Umgang mit den personenbezogenen Daten geht. Immerhin denkbar ist aber eine pseudonyme Verarbeitung, wobei die Zuordnung zu konkreten Kund:innen dann nur der Website-Betreiber selbst vornehmen können darf. Ob das den Anforderungen genügt, ist eine Frage des Einzelfalls, aber jedenfalls dann denkbar, wenn standardmäßig keine sensiblen Daten Gegenstand der Chat-Kommunikation sind.

3. Konkrete Ausgestaltung des Chatbots in der Website

Wird eine Einwilligung eingeholt, bedarf es einer eindeutigen bestätigenden Handlung des Betroffenen. Dabei genügt es, dass unmittelbar oberhalb oder unterhalb der Schaltfläche, die zum Start des Chats führt, eine entsprechende eindeutige Formulierung enthalten ist. Nicht erforderlich ist ein gesondertes Häkchen. Die bestätigende Handlung liegt ggf. in der Nutzung der Schaltfläche.

Unabhängig von der Rechtsgrundlage, auf die der Einsatz der Chat-Funktionalität gestützt wird, ist eine unmittelbare Verlinkung der Datenschutzinformation sinnvoll. Ist die Datenschutzerklärung in unmittelbarer Nähe, etwa in der Fußzeile der Seite, erreichbar, kann auf eine erneute Verlinkung verzichtet werden. Wird im Einwilligungstext auf weitere Informationen in der Datenschutzinformation verwiesen, sollte dagegen in jedem Falle eine Verlinkung erfolgen.

Die Datenschutzinformation ist um einen Passus zum Chat zu ergänzen. Anzugeben sind insbesondere, welche Daten zu welchen Zwecken erhoben und wie lange diese voraussichtlich gespeichert werden sowie die Rechtsgrundlage für die Datenverarbeitung. Zulässig ist es, in dem Absatz zur Chat-Funktion mehrere Rechtsgrundlagen anzugeben. Art. 6 Abs. 1 DSGVO sieht explizit vor, dass mindestens eine Rechtsgrundlage gegeben sein muss. Ferner bedarf es ggf. der Benennung des Dienstleister und – sofern dieser seinen Sitz im EU-Ausland hat –  die Garantien nach Art. 46 ff. DSGVO (in der Regel also der Angemessenheitsbeschluss zum DPF).

Fazit und Praxisempfehlungen

Vor der Einführung von Chat-Funktionen und insbesondere von Chatbots in E-Commerce-Unternehmen sollten einige rechtliche Fragen gestellt und beantwortet werden.

1. Vertragsschluss und Verbraucherrecht

Unternehmen sollten entscheiden, ob über Chat-Funktionen Verträge geschlossen werden können sollen. In diesem Fall, muss insbesondere die Beweisbarkeit des Vertragsschlusses sichergestellt werden. Zudem sind grundsätzlich die fernabsatzrechtlichen Bestimmungen anwendbar, ein Verbraucherwiderrufsrecht einzuräumen und die Informationspflichten einzuhalten.

Praxisempfehlung:

  • Aufstellen klarer unternehmensinterner Regelungen zum Umgang mit Vertragsanbahnungen im Chat.
  • Sicherstellung der Dokumentation von Vertragsschlüssen, z.B. über das Kundenkonto.
  • Einbindung des Chats in den Online-Shop, um die fernabsatzrechtlichen Vorgaben einhalten zu können.

2. Unlauterer Wettbewerb

Werbende Chat-Nachrichten, die in Echtzeit ausgetauscht werden, bedürfen regelmäßig anders als das E-Mail-Marketing keiner Einwilligung. Auch eine Kennzeichnung als Werbung ist nicht erforderlich, wenn die Chat-Funktion in einen Online-Shop eingebunden ist. Obacht ist geboten bei allzu aufdringlichen Chatbots.

Praxisempfehlung:

  • Chatfenster sollten sich beim ersten Wegklicken schließen und nicht immer wieder erneut erscheinen oder in sonstiger aufdringlicher Weise auf sich aufmerksam machen.

3. Datenschutz

Bei dem Angebot einer Chatfunktion sind datenschutzrechtliche Vorgaben zu beachten, insbesondere mit Blick auf die direkt bei den Nutzern erhobenen personenbezogenen Daten (wie IP-Daten und Informationen über Browser und Endgerät), den Inhalt der Chatnachrichten sowie die Informationen aus den gesetzten Cookies.

Je nachdem, welche Daten verarbeitet werden, kommen als Rechtsgrundlagen berechtigte Interessen des Shop-Betreibers und – eher selten – die Vertragserfüllung bzw. -anbahnung in Betracht. Andernfalls bleibt die Einholung einer Einwilligung der Nutzer:innen des Chats.
Insbesondere bei einfachen Chat-Funktionen bedarf es im Regelfall keiner Einwilligung.

Ob auch weitergehende Chat-Funktionen und Chatbots auf Grundlage eines berechtigten Interesses verarbeitet werden können, hängt maßgeblich davon ab, ob die konkrete Datenverarbeitung von den Nutzer:innen erwartet wird und ggf. sogar in deren Interesse liegt.

Ist der Chatbot KI-basiert, wird häufig eine Datenschutzfolgeabschätzung nötig sein. Besonderer Aufmerksamkeit bedarf das Training des Chatbots mit Echtdaten. Handelt es sich um Daten mit Personenbezug, wird für das Training häufig eine Einwilligung einzuholen sein. Besser, ist das KI-Training ausschließlich mit anonymisierten Daten vorzunehmen. Die unternehmensinterne Anonymisierung ist aber schwieriger, als man zunächst denkt.

Praxisempfehlung:

  • Vor Einführung einer Chat-Funktionalität muss geprüft werden, auf welche datenschutzrechtliche Rechtfertigung dies gestützt werden kann.
  • Die Einholung einer gesonderten Einwilligung empfiehlt sich insbesondere bei der Zusammenführung von Informationen mit einem existierenden Kundenkonto oder dem Einsatz von Chatbots, zumindest soweit keine verlässliche Einschätzung der Erwartungshaltung der Kund:innen erfolgen kann.
  • Bei dem Einsatz KI-gestützter Chatbots sollte vor deren Einsatz eine Datenschutzfolgeabschätzung durchgeführt werden.
  • Das Training eine KI-Chatbots sollte möglichst mit Daten ohne Personenbezug erfolgen.
  • Die Datenschutzerklärung ist um den Einsatz der Chat-Funktionalität zu ergänzen und in unmittelbarer Nähe zum Chat zu verlinken.
  • Bei Einbeziehung von Dienstleistern muss in der Regel eine Auftragsverarbeitungsvereinbarung geschlossen werden.
  • Bei der Einbeziehung von Anbietern aus den USA ist zwingend zu prüfen, ob sich der Dienstleister dem EU-US-Data Privacy Framework unterworfen hat.
  • Es muss geprüft werden, ob eine Einwilligung für die zum Einsatz kommenden Cookies erforderlich ist.

Checkliste

  1. Entscheiden, ob im Chat Verträge geschlossen werden können!
  2. Dokumentieren Sie etwaige Vertragsschlüsse standardmäßig!
  3. Binden Sie den Chats an den Online-Shop an (Widerrufsrecht und Informationspflichten)!
  4. Prüfen Sie sorgfältig, auf welche Rechtsgrundlage die Erhebung personenbezogener Daten im Bot gesützt werden kann!
  5. Dokumentieren Sie das Ergebnis der Interessenabwägung bzw. die Abgabe einer Einwilligungserklärung!
  6. Erweitern Sie dieDatenschutzinformation um Angaben zum Chatbot!
  7. Verlinken Sie die Datenschutzinformation!
  8. Prüfen Sie, ob es eines zusätzlichen Cookie-Consent bedarf!
  9. Nehmen Sie bei KI-gestützten Chatbots eine Datenschutzfolgeabschätzung vor!
  10. Schließen Sie saubere datenschutzrechtliche Vereinbarungen mit dem Chat-Tool-Anbieter!
  11. Prüfen Sie zusätzlich, wenn der Anbieter ein U.S.-Unternehmen ist!