Jetzt Mitglied werden!
eRecht24.de

Datenschutzerklärung für den Einsatz von Künstlicher Intelligenz (KI) zur Beantwortung von Kundenanfragen

(1 Bewertung, 5.00 von 5)

Wie funktioniert der Einsatz von künstlicher Intelligenz zur Beantwortung von Kundenanfragen?

Unternehmen nutzen KI zur Beantwortung von Kundenanfragen meist durch Chatbots oder virtuelle Assistenten. Diese Systeme basieren auf fortschrittlichen Algorithmen des maschinellen Lernens und der Verarbeitung natürlicher Sprache (Natural Language Processing, NLP). Technisch läuft das in der Regel so ab: Kunden stellen über ein Online-Formular, einen Chat oder eine E-Mail eine Anfrage. Die KI analysiert den Text und erkennt den Kontext sowie die Absicht des Nutzers. Basierend auf zuvor trainierten Daten oder Echtzeit-Zugriffen auf relevante Informationsquellen generiert die KI eine Antwort.

Unternehmen sparen mit KI-gestütztem Kundenservice vor allem Zeit.

Denn: Sie müssen Standardanfragen nicht mehr manuell beantworten, sodass sich Mitarbeiter auf komplexere Anliegen konzentrieren können. Das bedeutet auch: Unternehmen haben durch diese Automatisierung weniger Personalaufwand. Und: Sie können ihren Kunden schnellere Reaktionszeiten und eine Rund-um-die-Uhr-Verfügbarkeit bieten. Das steigert die Kundenzufriedenheit.

Der Punkt "Einsatz von Künstlicher Intelligenz zur Beantwortung von Kundenanfragen" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

 

Ist die Nutzung von KI für die Beantwortung von Kundenanfragen zulässig?

Die Zulässigkeit von KI-Tools im Kundenservice hängt insbesondere von den Anforderungen der Datenschutz-Grundverordnung (DSGVO) ab. Ein zentrales Problem ist dabei die Übermittlung personenbezogener Kundendaten an Drittstaaten. Die Übermittlung personenbezogener Daten aus der EU in ein Drittland ist nur unter bestimmten Voraussetzungen zulässig. Und zwar dann, wenn das Schutzniveau für die Datenübermittlung in ein Drittland mit dem der EU der Sache nach gleichwertig ist. Bietet das Drittland ein angemessenes Datenschutzniveau, verabschiedet die EU-Kommission einen Angemessenheitsbeschluss. 

Die gängigen KI-Anbieter, darunter OpenAI (ChatGPT), Microsoft (Copilot) und Google (Gemini), haben ihren Unternehmenssitz in den USA. Es gibt einen Angemessenheitsbeschluss für die Datenübermittlung in die USA. Zusätzlich ist die Datenübertragung in die USA rechtlich aber erst dann zulässig, wenn der Datenempfänger außerdem nach dem Datenschutzabkommen EU-USA (Data Privacy Framework) zertifiziert ist.

WICHTIG

Nur weil die Datenübertragung mit einem KI-Dienst rechtlich zulässig ist, bedeutet dies nicht, dass das Programm automatisch datenschutzkonform ist. Damit Sie nicht gegen den deutschen Datenschutz verstoßen, müssen Sie zusätzliche Pflichten erfüllen. 

Das ist beim Einsatz von KI zur Beantwortung von Kundenanfragen datenschutzrechtlich relevant

Beim Einsatz von KI im Kundenservice erheben Unternehmen je nach Anliegen verschiedene Arten von Daten. Dazu zählen in der Regel diese:

Personenbezogene Daten: Name, E-Mail-Adresse, Kundennummer oder Telefonnummer.

Inhaltsdaten: Die tatsächliche Kundenanfrage, die persönliche Informationen enthalten kann.

Metadaten: Zeitpunkt der Anfrage, verwendetes Endgerät, IP-Adresse.

Datenschutzrechtlich besonders problematisch sind sensible personenbezogene Daten wie etwa Gesundheitsdaten oder finanzielle Informationen. Falls die KI solche Daten verarbeitet, gelten besonders strenge Datenschutzanforderungen (Art. 9 DSGVO).

KI-Datenschutz: Worauf müssen Unternehmen achten?

Unternehmen, die KI zur Kundenkommunikation nutzen, müssen folgende gesetzliche Pflichten erfüllen:

Vertrag zur Auftragsdatenverarbeitung abschließen?

Ob Unternehmen mit einem KI-Anbieter einen Vertrag zur Auftragsverarbeitung (AV-Vertrag oder AVV) abschließen müssen, ist davon abhängig, ob das KI-System als Auftragsverarbeiter agiert. Bei den gängigen KI-Anwendungen sieht das aktuell wie folgt aus: 

ChatGPT (OpenAI)

Derzeit ist unklar, ob beim Einsatz von ChatGPT eine Auftragsverarbeitung vorliegt. Nutzen Unternehmen die KI, um ihren Kunden automatisiert schnelle Antworten bieten zu können und verwendet OpenAI die dabei erhaltenen Informationen zu Trainingszwecken, könnte eher eine gemeinsame Verantwortlichkeit von OpenAI und Unternehmen vorliegen. Die DSGVO würde dann weitere Voraussetzungen vorschreiben. Dazu gehört unter anderem eine Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Controllership). Diese bietet ChatGPT bisher jedoch nicht an. Liegt eine Auftragsverarbeitung vor, müssen Unternehmen mit OpenAI einen AV-Vertrag abschließen. In der kostenfreien ChatGPT-Version steht dieser jedoch nicht zur Verfügung. In der kostenpflichtigen Version bietet OpenAI ein Data Processing Agreement (DPA) an. Auch wenn bisher unklar ist, ob ChatGPT die Vorgaben der DSGVO erfüllt, sollten Unternehmen das DPA abschließen.

Claude (Anthropic)

Anthropic tritt bei der Nutzung von Claude durch Unternehmen als Auftragsverarbeiter auf. Anthropic verwendet diese Daten ausschließlich zur Bereitstellung des Claude-Dienstes und nicht zum Training generativer Modelle.  Unternehmen, die Claude einsetzen, sollten daher einen AV-Vertrag mit Anthropic abschließen.

Gemini (Google)

Bei der Nutzung von Gemini hängt die Rolle von Google von der spezifischen Implementierung ab: Nutzen Unternehmen Gemini als Teil von Google Workspace, agiert Google in der Regel als Auftragsverarbeiter. Unternehmen sollten dann einen Auftragsverarbeitungsvertrag mit Google abschließen. Verwenden sie Gemini außerhalb von Google Workspace oder in einer Weise, bei der Google die Zwecke und Mittel der Datenverarbeitung selbst bestimmt, tritt Google entweder als eigenständiger Verantwortlicher auf oder es liegt eine gemeinsame Verantwortlichkeit vor. Je nach Fall ist dann ein AV-Vertrag oder eine Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Controllership) notwendig.

Inhalte eines AV-Vertrags

Müssen Unternehmen mit ihrem KI-Anbieter einen AV-Vertrag abschließen, sollten sie darauf achten, dass der Vertrag definiert,

  • welche Userdaten die KI speichert,
  • wie lange die KI die Nutzerdaten speichert,
  • zu welchem Zweck die KI die Daten verarbeitet und
  • welche sonstigen Rechte und Pflichten beide Parteien haben.

Datenschutzerklärung anpassen

Unternehmen müssen über den Einsatz einer KI zur Beantwortung von Kundenanfragen in ihrer Datenschutzerklärung informieren, wenn sie über die KI personenbezogene Daten verarbeiten. 

Checkliste
Dabei müssen sie Nutzer insbesondere über folgende Punkte aufklären:
  • Zweck der Verarbeitung – z. B. „Automatisierte Beantwortung von Kundenanfragen mittels Künstlicher Intelligenz“
  • Rechtsgrundlage – z. B. „Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)“ oder „Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)“
  • Welche Daten verarbeitet werden – z. B. Name, E-Mail-Adresse, Anfrageinhalt
  • Empfänger der Daten – z. B. „Der KI-Dienstleister, mit dem wir zusammenarbeiten“
  • Datenübermittlung in Drittländer – Falls der KI-Anbieter außerhalb der EU sitzt, müssen die rechtlichen Grundlagen der Übermittlung genannt werden (z. B. Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework).
  • Speicherdauer – Wie lange die Daten gespeichert werden oder nach welchen Kriterien sie gelöscht werden.
  • Rechte der Betroffenen – Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung etc.

Standardvertragsklauseln (SCCs) abschließen

Liegt kein Angemessenheitsbeschluss vor, müssen Unternehmen sicherstellen, dass sie mit dem KI-Anbieter Standardvertragsklauseln abschließen und geeignete Schutzmaßnahmen implementieren.

Datenminimierung und Speicherbegrenzung

Gemäß Art. 5 Datenschutz-Grundverordnung (DSGVO) dürfen Unternehmen nur die unbedingt notwendigen Daten verarbeiten. Sie dürfen diese nicht länger als erforderlich speichern. In der Praxis sollten sie daher die Datenschutz-Einstellungen streng konfigurieren. Dabei können sie die erhobenen Daten zudem auch regelmäßig löschen. Und: Unter „Data Controls“ können Unternehmen OpenAI verbieten, die Daten zum Training des Modells zu nutzen.

Einwilligung in Datenerhebung einholen

Um die Erhebung sensibler Nutzerdaten auf rechtlich sichere Beine zu stellen, sollten Unternehmen die Einwilligung von Usern einholen. Das können sie beispielsweise über einen Cookie-Banner vornehmen. Dafür können Unternehmen zum Beispiel ein Cookie Consent Tool nutzen. Dies holt die Erlaubnis der User rechtskonform ein und passt dann die Datenströme auf der Webseite entsprechend an.

Betroffenenrechte gewährleisten

Gemäß der Artikel 15-21 DSGVO müssen Nutzer das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch haben. Unternehmen müssen daher darauf achten, dass sie darauf hinweisen und Usern die Möglichkeit der Wahrnehmung dieser Rechte zur Verfügung stellen.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

 

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6683 Bewertungen, 4.37 von 5)