Was ist Manychat?
Manychat ist ein Tool, mit dem Unternehmen Chatbots für den Facebook Messenger erstellen können. Die Chatbots können unter anderem auf Nachrichten von Facebook-Usern antworten, Gespräche mit Nutzern beginnen, Newsletter versenden und Zahlungsfunktionen anbieten. Zudem können Unternehmen Manychat mit weiterer Software wie Shopify, Google Sheets und Mailchimp verbinden. Worauf sollten Unternehmen datenschutzrechtlich achten, wenn sie Manychat verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum Manychat datenschutzrechtlich relevant ist
Unternehmen legen bei Manychat selbst fest, welche Daten sie von Usern während der Kommunikation erheben wollen. Dabei können sie die Konfiguration beispielsweise so einstellen, dass der Chatbot von jedem Kunden
- Name,
- E-Mail-Adresse,
- Telefonnummer und
- IP-Adresse
einholt. Bei diesen Daten handelt es sich um personenbezogene Daten. Die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) schützen diese besonders. Unternehmen müssen daher sicherstellen, dass sie verschiedene datenschutzrechtliche Pflichten erfüllen, wenn sie Manychat verwenden.
Wie können Unternehmen Manychat datenschutzkonform verwenden?
Die DSGVO schreibt Unternehmen diese Pflichten vor, wenn sie über Manychat einen Chatbot für den Facebook Messenger einrichten:
Einwilligung in Datenerhebung einholen
Wollen Unternehmen über ihren Chatbot personenbezogene Daten erheben und speichern, benötigen sie vorab eine Einwilligung der User dafür. Sie können diese einholen, indem sie Nutzer per Opt-In der Datenerhebung zustimmen lassen. Dabei sollten sie erwähnen, welche Daten sie verarbeiten wollen. Und: Sie sollten einen Datenschutzhinweis bereitstellen, der Nutzer im Detail über die Datenerhebung und -speicherung aufklärt.
Einwilligung für Werbung einholen
Unternehmen können über einen Chatbot nicht nur Fragen von Facebook-Usern beantworten. Sie können auch aktiv Werbung ausspielen. Dafür benötigen sie die Erlaubnis der Nutzer. Unternehmen sollten diese vorab einholen. Dabei sollten sie konkret aufführen, für welche Werbung User ihr Einverständnis geben. Wollen sie beispielweise regelmäßig Werbung für eine bestimmte Produktereihe machen, sollten sie diese in der Einwilligung namentlich nennen. Sie dürfen User über den Chatbot dann nur für diese Produktreihe kontaktieren.
Cookie-Banner anpassen
Der Facebook Messenger speichert Cookies in den Browsern der User. Cookies erheben personenbezogene Daten. Dafür benötigen Unternehmen die Erlaubnis der Nutzer. Rechtlich sicher können sie diese über einen Cookie-Hinweis einholen. Dabei müssen sie sicherstellen, dass User per Opt-In in die Cookies einwilligen. Um den Cookie-Banner datenschutzkonform zu gestalten, können Unternehmen ein Cookie Consent Tool nutzen. Dies holt das Nutzer-Einverständnis nach den Bestimmungen der DSGVO ein. Es passt den Datenfluss auf der Webseite nach den Nutzer-Vorgaben an.
Vertrag zur Auftragsverarbeitung schließen
Manychat ist für Unternehmen ein Auftragsverarbeiter. Denn: Sie geben automatisch Nutzerdaten an den hinter dem Tool stehenden Anbieter weiter. Das bedeutet: Unternehmen müssen mit Manychat einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Dieser verpflichtet Manychat dazu, die Daten gemäß den Vorgaben der DSGVO zu verarbeiten. Unternehmen sollten dabei prüfen, ob der AV-Vertrag darauf hinweist,
- welche Userdaten Manychat erhält,
- warum die Software die Daten erhält,
- wie lange sie die Daten speichern will und
- welche Rechte und Pflichten beide Seiten haben.
Datenschutzerklärung aktualisieren
Jedes Mal, wenn Unternehmen personenbezogene Daten erheben, müssen sie User in ihrer Datenschutzerklärung darauf hinweisen. Das gilt auch für die Verwendung von Manychat. Dabei sollten sie Nutzer mit einfach verständlichen Formulierungen erklären,
- welche Userdaten sie an Manychat weitergeben,
- warum sie die Daten an den Anbieter weitergeben,
- was Manychat mit den Daten macht,
- dass sie für die Datenweitergaben einen AV-Vertrag mit Manychat geschlossen haben und
- dass Nutzer der Datenerhebung und -weitergabe jederzeit widersprechen können.
Grundsatz der Datensparsamkeit beachten
Die DSGVO gibt in ihrem Grundsatz der Datensparsamkeit vor: Unternehmen dürfen nur so viele Daten erheben, wie sie tatsächlich zur Erfüllung des angestrebten Zweckes benötigen. Das bedeutet für Manychat: Unternehmen sollten nur die Daten in der Kommunikation mit Kunden sammeln, die sie für die Erledigung des konkreten Anliegens benötigen.
Datenauskunft gewähren
Die DSGVO gibt Usern das Recht, ihre erhobenen Daten einzusehen. Verlangen User das, müssen Unternehmen ihnen die Daten – beispielsweise als Download – zur Verfügung stellen. Im Fall von Manychat müssen Unternehmen Usern dann alle über den Chatbot im Facebook Messenger gesammelten Daten bereitstellen.
Nutzerdaten regelmäßig löschen
Damit Unternehmen nicht große Mengen an Userdaten anhäufen, gibt die DSGVO vor, dass sie die Daten in regelmäßigen Abständen löschen müssen. Grundsätzlich dürfen sie Nutzerdaten nur so lange behalten, wie sie diese tatsächlich benötigen. Kunden können den Löschprozess beschleunigen, indem sie von Unternehmen verlangen, ihre personenbezogenen Daten zu entfernen. Dieses Recht auf Vergessenwerden gewährt ihnen die DSGVO.
Standardvertragsklauseln abschließen
Manychat sendet die über den Chatbot gesammelten Nutzerdaten an seine Server in den USA. Um diesen Datentransfer datenschutzkonform zu gestalten, müssen Unternehmen mit Manychat Standardvertragsklauseln abschließen. In diesem Rahmen müssen sie auch das Risiko der Datenübertragung prüfen und dokumentieren. Dazu sollten Unternehmen festhalten,
- welche Art von Daten sie über den Chatbot von Manychat erheben und weitergeben,
- welche Datenschutzgesetze in den USA gelten und
- ob Manychat zusätzliche Mechanismen nutzt, um Userdaten außerhalb der EU zu schützen.
Rechtsprechung zu Manychat
Für Manychat ist diese Rechtsprechung relevant:
Europäischer Gerichtshof zu Tracking Cookies
Der Europäische Gerichtshof (EuGH) stellte im Oktober 2019 fest: Unternehmen dürfen nur dann Userdaten über Tracking Cookies erheben, wenn sie dafür eine Erlaubnis der Nutzer haben. Dabei ist es unerheblich, ob es sich um personenbezogene oder anonyme Daten handelt (C-637/17).
Bundesgerichthof zu Tracking Cookies
Der Bundesgerichtshof (BGH) entschied im Mai 2020: Wollen Unternehmen Tracking Cookies nutzen, benötigen sie dafür eine Erlaubnis der User. Diese können sie nur per Opt-In einholen. Die Checkbox darf dabei nicht vorangekreuzt sein (I ZR 7/16). Damit bestätigte der BGH die Entscheidung des EuGH.
Datenschutzbehörde Hamburg zum AV-Vertrag
Versäumen es Unternehmen, einen AV-Vertrag mit Manychat zu schließen, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes. Diese Strafe gibt Art. 83 Abs. 4 lit. a DSGVO vor. Die Datenschutzbehörde Hamburg verhängte daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich Gebühren gegen das deutsche Versandunternehmen Kolibri Image. Dies sah sich nicht verantwortlich, selbst einen AV-Vertrag für die Zusammenarbeit mit einem spanischen Dienstleister aufzusetzen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Auch der VfB Stuttgart musste eine Strafe zahlen, weil er es versäumt hatte, mit Dienstleistern AV-Verträge zu schließen. Vorausgegangen war eine Zusammenarbeit des Vereins mit mehreren Dienstleistern, die Mitgliederdaten verarbeiteten. Die Datenschutzbehörde Baden-Württemberg stellte dann fest: Es fehlt die rechtliche Grundlage für die Datenweitergabe. Die Behörde sprach daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro gegen den VfB Stuttgart aus.