Handel und Konsumgüter03.02.2021Köln Newsletter

Künstliche Intelligenz im Kundenservice: Rechtliche Rahmenbedingungen von Chatbots beim Online-Shoppen

Chatbots sind textbasierte Dialogsysteme, die vorrangig von Unternehmen dazu eingesetzt werden, um mit ihren Kunden zu kommunizieren. Fortgeschrittene Systeme basieren auf sogenanntem Machine Learning (Generierung von Wissen aus Erfahrung) und gehören damit in den Bereich der künstlichen Intelligenz. Sie können sowohl in Apps als auch auf Webseiten des jeweiligen Unternehmens zum Einsatz kommen.

2017 hatte eine Marktforschungsstudie von YouGov ergeben, dass die Hälfte der Befragten dem Einsatz von Chatbots positiv gegenübersteht. Ausschlaggebend war, dass Chatbots Fragen schnell und unabhängig von Öffnungs- bzw. Sprechzeiten beantworten können und lästige Warteschleifen entfallen. Für den E-Commerce ergeben sich dadurch weitreichende Möglichkeiten. Chatbots sind immer besser in der Lage, die Tätigkeit von „echten“ Verkäufern zu ersetzen: Die neue Generation von Chatbots führt den Kunden bereits durch die gesamte Customer Journey, von der Beratung über die Bestellabwicklung bis hin zur Betreuung nach dem Kauf.

Mit dem Einsatz von Chatbots gehen zahlreiche rechtliche Fragen einher, die insbesondere das allgemeine Zivilrecht und das Verbraucherschutzrecht, das Wettbewerbs-, das Datenschutz- und sogar das allgemeine Persönlichkeitsrecht betreffen können. Dieser Kurzbeitrag geht auf ausgewählte Problemfelder ein.

Verbraucherrecht

Schließt ein Kunde einen Vertrag vollständig im Dialog mit dem Chatbot ab, handelt es sich mangels gleichzeitiger körperlicher Anwesenheit der Vertragsparteien um einen Fernabsatzvertrag. In diesem Fall finden die verbraucherschützenden Informationspflichten aus dem Einführungsgesetz zum BGB (EGBGB) Anwendung.

Angesichts der begrenzten Darstellungsmöglichkeiten im Rahmen eines dynamischen Dialogs, insbesondere beim Einsatz von Chatbots auf mobilen Endgeräten, liegt es nahe, sich auf die Ausnahme in Art. 246a § 3 EGBGB zu berufen und die Information auf die Angaben des Nötigsten zu beschränken: die Eigenschaften der Waren und Dienstleistungen, die Identität des Unternehmers, die Angabe des Gesamtpreises, Laufzeiten bei Dauerschuldverhältnissen und die Einzelheiten des Widerrufsrechtes. Die weiteren erforderlichen Informationen können auf andere Weise zur Verfügung gestellt werden (z. B. per E-Mail).

Wenn als Nachteil dieser Lösung angeführt wird, dass dies nachträgliche Informationspflichten auslösen würde, so bleibt festzuhalten, dass diese nachträglichen Informationspflichten (d. h. Bestätigung des Vertragsschlusses unter Wiedergabe des Vertragsinhalts, was in der Regel per E-Mail erfolgt) ohnehin fast immer bestehen. Zu beachten sind ferner die Gestaltungspflichten nach § 312i und § 312j Abs. 2 und 3 BGB: u. a. sind dem Verbraucher Mittel zur Verfügung zu stellen, mit deren Hilfe er Eingabefehler vor Abgabe seiner Bestellung erkennen und berichtigen kann und es sind Buttons mit dem Hinweis „zahlungspflichtig bestellen“ oder mit einer entsprechenden eindeutigen Formulierung zu benutzen.

Sollte der Vertragsabschluss rein durch einen Dialog mit dem Chatbot zustande kommen, müsste dieser deshalb transparent über die Zahlungsverpflichtung aufklären, die weiteren Gestaltungspflichten umsetzen und darüber hinaus die nach dem EGBGB geforderten Informationen liefern.

Empfehlenswert ist deshalb die Verlinkung aus dem Chatbot in das bestehende Shop-System, damit der Kunden nach der Vorauswahl der Produkte mithilfe des Chatbots dort den weiteren Vertragsschluss vollziehen kann und die erforderlichen (Produkt-) Informationen und Rechtstexte an gewohnter Stelle vorfindet.

Haftungsfragen

Auch bei Chatbots ist zu erleben, dass das Recht den technologischen Entwicklungen hinterherhinkt. Die Haftung autonom agierender Systeme, also letztlich auch virtueller Assistenten, ist ein in der Rechtswissenschaft kontrovers diskutiertes Thema. Es sind vielfältige Haftungsszenarien denkbar: Beispielsweise können Chatbots Schäden durch fehlerhafte Auskünfte oder „Falschberatung“ verursachen oder Fehler beim Vertragsabschluss machen. Auch könnten Unternehmen für „Aussagen“ eines Chatbots haftbar gemacht werden, durch die sich ein Kunde beleidigt fühlt. Des Weiteren ist eine Haftung für Wettbewerbs- oder Datenschutzverstöße denkbar.

Aus zivilrechtlicher Sicht stellen sich v. a. die Frage nach Kausalität, Verschulden und Zurechnung. In der Regel wird nicht klar zu bestimmen sein, wann ein Schaden als vom Chatbot verursacht zu erachten ist. Dies ist bereits ein Problem heutiger komplexer IT-Systeme. Denn wenn Assistenten eigenständig, auf Basis von Algorithmen, Unmengen an Daten und daraus generierten Erfahrungswerten, Entscheidungen fällen, kann es passieren, dass niemand den Fehler reproduzieren kann. Zum anderen kommen diverse (natürliche oder juristische) Personen als Schadensverursacher in Betracht: Der hinter dem Chatbot-Algorithmus stehende Programmierer, der Betreiber der Plattform bzw. des Online-Shops, in die der Chatbot eingebunden ist oder ggf. auch der Intermediär.

Eine eigene Haftung des Chatbots ist nach den heutigen Regelungen nicht möglich, da schuldhaftes Handeln, d. h. mindestens Fahrlässigkeit, Vorhersehbarkeit voraussetzt, die bei künstlicher Intelligenz nicht gegeben ist. Die Zurechnung des Handelns künstlicher Intelligenz über die Regeln des Erfüllungsgehilfen sind ebenfalls nicht möglich, weil § 278 BGB nur auf Personen Anwendung findet. Die Einführung einer „E-Person“ ist zwar im Gespräch, ist aber noch weit davon entfernt, Realität zu werden.

Daneben werden verschiedene weitere Haftungsmodelle diskutiert: Das Verhaltensmodell erachtet den Roboter selbst als geschäfts- und deliktsfähiges Subjekt. Das Zurechnungsmodell hingegen versucht über verschiedene Rechtsinstitute wie die Stellvertretung (§ 166 BGB), die Geschäftsführung ohne Auftrag (§ 677 BGB) oder den Verrichtungsgehilfen (§ 831 BGB) die Handlung des Roboters dem dahinterstehenden Unternehmen zuzurechnen. Schließlich wäre auch eine verschuldensunabhängige Haftung für durch Chatbots verursachte Schäden im Wege der Gefährdungshaftung denkbar, wie sie bereits im Bereich der Produkthaftung existiert.

Wenn mehrere Beteiligte involviert sind, können zudem komplexe „Regressketten“ entstehen. Da eine eindeutige Rückverfolgung der Kausalkette oftmals große Schwierigkeiten bereitet, sind Gesetzgeber und Rechtsprechung gefragt, für eine interessengerechte Verteilung der Haftungsrisiken zwischen allen Beteiligten zu sorgen.

Datenschutz 

Die Funktion moderner Chatbots basiert auf der Verarbeitung personenbezogener Daten in Echtzeit, wobei regelmäßig umso mehr Daten verarbeitet werden, je komplexer das eingesetzte System ist. Neben dem Namen, Adressen, Identifikationsnummern (z. B. Kunden-/Bestellnummern) und dem Inhalt der mit dem Chatbot ausgetauschten Informationen, greifen fortgeschrittene Systeme auf Kontextinformationen wie Bestellhistorie, den Inhalt des Warenkorbs in einem Online-Shop oder sogar auf den Standort des Endgeräts des Nutzers zu.

a) Rechtsgrundlage erforderlich

Die Verarbeitung solcher Daten ist nach den Vorschriften der Datenschutz-Grundverordnung (DSGVO) nur zulässig, soweit die Voraussetzungen einer tauglichen datenschutzrechtlichen Rechtsgrundlage gegeben sind.

Zunächst kommt Art. 6 Abs. 1 S. 1 lit. b DSGVO als Rechtsgrundlage in Betracht. Die Vorschrift erlaubt Verarbeitungen, die zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Wenn Chatbots im Kundendienst eingesetzt werden, besteht regelmäßig bereits ein Vertragsverhältnis mit dem jeweiligen Nutzer. Soll der Vertrag erst mithilfe des Chatbots geschlossen werden, dienen die Verarbeitungen der Anbahnung eines solchen.

Es ist stets anhand der Umstände des Einzelfalls zu prüfen, ob die Verarbeitungen erforderlich im Sinne von Art. 6 Abs.1 S. 1 lit. b DSGVO sind. Die Haltung des Europäischen Datenschutzausschusses (EDSA) ist hier recht strikt. Es ist stets vorab festzustellen, ob der Verantwortliche die jeweiligen Daten verarbeiten muss, um effizient den objektiv zu bestimmenden Kernpflichten aus dem Vertragsverhältnis nachkommen zu können. Dient ein Chatbot der effizienten Erfüllung klar umgrenzter Hauptleistungspflichten des Unternehmers (Beispiele hierfür wären die Entgegennahme und Abwicklung von Mängelbeschwerden in einem Chatfenster auf der Webseite eines Online-Shops), dürfte dies der Fall sein.

Bei intelligenteren Chatbots, die eine Vielzahl von Aufgaben wahrnehmen, ist genau zu prüfen, welche Verarbeitungen sich tatsächlich noch nah genug am Kern des Vertrags befinden und welche letztlich eher dem verwendenden Unternehmen dienen, ohne in erster Linie auf eine effiziente vertragliche Leistung abzuzielen.

Bei komplexen Chatbots, die bspw. in der Lage sind, Anfragen unter Zuhilfenahme umfangreicher Kontextdaten korrekt einzuordnen, kann zusätzlich ein Konflikt mit dem Grundsatz der Zweckbindung (Art. 5 Abs.1 lit. c DSGVO) bestehen. Dieser Grundsatz besagt, dass von Beginn an feststehen muss, welchem Zweck eine Verarbeitung dient. Zur Lösung dieses Problems wird eine weite Auslegung des Grundsatzes diskutiert. Eine solche dürfte jedoch nur schwerlich mit der Haltung des EDSA in Einklang zu bringen sein, der gerade im Hinblick auf Art. 6 Abs. 1 S. 1 lit. b DSGVO für eine strikte Beachtung der Zweckbindung plädiert.

Insgesamt wird es gerade beim Einsatz komplexerer Chatbots häufig notwendig sein, auf die Rechtsgrundlagen der berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) und/oder der Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) auszuweichen. Auch dort besteht jedoch potenziell ein Konflikt mit dem allgemein geltenden Zweckbindungsgrundsatz.

In bestimmten Fällen gilt unabhängig von den obigen Erwägungen ein Einwilligungserfordernis. Dies gilt nach den Regeln des Telemediengesetzes insbesondere im Fall des Zugriffs auf Informationen, die auf dem Endgerät des Nutzers gespeichert sind, (z. B. Standort) oder im Fall der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten).

b) Ausschließlich automatisierte Verarbeitung nach Art. 22 DSGVO

Zu den Voraussetzungen der jeweiligen Rechtsgrundlage können die strengen Voraussetzungen des Art. 22 Abs. 1, 2 DSGVO treten. Das ist der Fall, wenn die Funktionalität des Chatbots vorsieht, dass der jeweilige Nutzer einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird.

Weitere Voraussetzung ist, dass diese Entscheidung ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt. Dies kann etwa der Fall sein, wenn der Chatbot eigenständig – etwa auf der Basis der Adresse des Kunden – einen Vertragsschluss ablehnt oder ein Produkt zu einem höheren Preis anbietet. Solche vollautomatisierten Entscheidungen sind nur zulässig, wenn sie für die Durchführung eines Vertrags erforderlich sind, der Betroffene eingewilligt hat oder sie anderweitig ausdrücklich gesetzlich erlaubt sind. In den meisten Fällen wird sich hier in der Praxis nur eine Einwilligung umsetzen lassen.

c) Transparenzpflichten

Zur Erfüllung der Transparenzpflichten nach Art. 13, 14 DSGVO bietet es sich an, Kunden zu Beginn des Chats deutlich darauf hinzuweisen, dass bei der Nutzung des Chatbots personenbezogene Daten verarbeitet werden und ausführlichere Datenschutzhinweise zu verlinken. Auch eventuell notwendige Einwilligungen wären an dieser Stelle einzuholen. In den verlinkten Datenschutzhinweisen sind die relevanten Verarbeitungen dann näher zu erläutern.

Hier besteht bei komplexen Systemen wiederum das Problem, dass möglicherweise noch gar nicht (im Detail) klar ist, welche Daten zu welchen Zwecken verarbeitet werden. Es kann wiederum mit einer weiten Auslegung des Zweckbindungsgrundsatzes argumentiert werden. Doch ein solches Vorgehen birgt auch an dieser Stelle eine gewisse Rechtsunsicherheit, da die Aufsichtsbehörden bisher eine strenge Linie vertreten.

d) Datenschutz-Folgenabschätzung

Vor der Implementierung eines Chatbots ist stets zu prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Dies ist nach Art. 35 Abs. 1 S. 1 DSGVO bei Verarbeitungen mit besonders hohem Risiko für die Betroffenen der Fall. Die Datenschutzkonferenz (DSK), das zentrale Gremium der deutschen Datenschutz-Aufsichtsbehörden, hat eine Positivliste mit Fällen veröffentlicht, in denen ihrer Ansicht nach ein besonders hohes Risiko besteht. Unter Ziffer 11 ist hier allgemein der „Einsatz von künstlicher Intelligenz zur […] Steuerung der Interaktion mit den Betroffenen […]“ aufgeführt. Als konkretes Beispiel nennt die DSK „Kundensupport mittels künstlicher Intelligenz“. Demnach ist jedenfalls vor der Einführung komplexerer Systeme die Durchführung einer DSFA zu emfpfehlen.

Bei einfacher strukturierten Chatbots lässt sich hingegen gut vertreten, dass das Merkmal der künstlichen Intelligenz nicht erfüllt ist. Kommt ein Unternehmen zu dem Ergebnis, dass keine DSFA notwendig ist, sind die Gründe hierfür zu dokumentieren, um der Rechenschaftspflicht, die jeden Verantwortlichen trifft, gerecht zu werden.

Fazit

Der Einsatz von Chatbots bringt viele Vorteile mit sich und auch die Akzeptanz bei Kunden ist enorm. Bei der konkreten Umsetzung gilt es jedoch eine Vielzahl rechtlicher Vorschriften zu berücksichtigen. Gerade die derzeitigen Regeln des Haftungs- und Verbraucherrechts sind nur bedingt mit einem automatisierten Kundenservice oder Vertragsschlüssen „per Chat“ kompatibel.

Das Datenschutzrecht kollidiert gerade mit komplexeren, auf künstlicher Intelligenz beruhenden Systemen, die auf eine Vielzahl von Kontextdaten zugreifen können und im Wege des Machine Learning selbstständig Handlungsmöglichkeiten erarbeiten. Hier wird sich zeigen, ob die Aufsichtsbehörden tatsächlich auf einer strikten Auslegung der DSGVO beharren werden.

Mithilfe durchdachter Konzepte kann das Risiko böser Überraschungen in rechtlicher Hinsicht allerdings deutlich minimiert werden. Unsere Experten beraten Sie gerne.

 

 

Zurück zur Übersicht

Dr. Hanna Schmidt

Dr. Hanna Schmidt

Junior-PartnerinRechtsanwältin

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
F +49 221 2091 333

E-Mail
Marco Degginger

Marco Degginger

AssociateRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
F +49 221 2091 333

E-Mail