Datenschutz: (Wie) kann ChatGPT für den Kundensupport rechtmäßig genutzt werden?

Die Automatisierung des Kundensupports mittels KI ist attraktiv, aber datenschutzrechtlich problematisch. Wir zeigen, ob und wie „ChatGPT“ zur Bearbeitung von Kundenanfragen rechtskonform genutzt werden kann.

Kundensupport via KI und der Datenschutz

Wer Software mit künstlicher Intelligenz für die autonome Bearbeitung von Supportanliegen eigener Kunden und Seitenbesucher einsetzt, ermöglicht der KI zwangsweise die Erhebung und weitere Verarbeitung personenbezogener Daten.

Um ein Supportanliegen korrekt zu identifizieren und zu bearbeiten, ist die Software nämlich auf die Bereitstellung von personenbezogenen Informationen des Anfragenden angewiesen und muss diese abfragen, auswerten, abgleichen und zuordnen.

Daten des Supportsuchenden (etwa: Name, Mailadresse, Bestellnummer ggf. auch Anschrift oder Weiteres) werden von der KI erfasst und sodann durch mathemisch-statistische Verfahren weiterverarbeitet, um das kommunizierte Anliegen einer Lösung zuzuführen.

Um diese KI-Verarbeitung zu legitimieren, muss sie nach der DSGVO auf eine hinreichende Rechtsgrundlage gestützt werden können.

Denkbar ist zunächst eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) des Supportsuchenden. Diese lässt den KI-Support allerdings technisch unattraktiv werden, weil vor dessen Nutzung eine Einwilligungsfunktion programmiert werden müsste. Außerdem steht die rechtliche Wirksamkeit in Frage, weil diese eine vollständige Information und Aufklärung über alle Verarbeitungszwecke, Empfänger und den weiteren Umgang mit Daten erfordern würde, deren Kenntnis sich dem Anwender meist entzieht.

Praktikabler erscheint es daher, die KI-Support-Verarbeitung auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an einer Rationalisierung der Betriebsabläufe und einem fortschrittlichen Kundenerlebnis zu stützen.

Berechtigte Interessen des Supportanbieters rechtfertigen eine Datenverarbeitung aber nur, wenn sie die Interessen des Betroffenen an einer Kontrolle und Zurückhaltung seiner Daten im Einzelfall überwiegen.

Hierfür sind beim Einsatz von KI wiederum gewisse technische und rechtliche Voreinstellungen zwingend erforderlich, um den Kontrollverlust des Betroffenen bestmöglich zu begrenzen und die Zweckbindung der Verarbeitung sicherzustellen.

Damit Datenverarbeitungen durch ein KI-Supportsystem durch überwiegende berechtigte Interessen des Anbieters gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden können, sind die folgenden Voraussetzungen kumulativ zu erfüllen:

• Der KI-Anbieter muss seinen Sitz in der EU oder in einem Drittland haben, für das ein Angemessenheitsbeschluss der EU gilt.
• Der KI-Anbieter darf Input-Daten nicht auch zu KI-Trainingszwecken verarbeiten. Eine solche Verarbeitung ist technisch zu unterbinden bzw. ist ihr durch eine entsprechende Einstellung zu widersprechen.
• Mit dem KI-Anbieter muss ein Auftragsverarbeitungsvertrtag (AV-Vertrag) zum Schutz personenbezogener Daten abgeschlossen worden sein.
• Über die Verwendung der KI muss mit Hinweisen zum Verarbeitungszweck und -umfang in der Datenschutzerklärung des Anwenders informiert werden

Umsetzung der Voraussetzungen für ChatGPT

Um KI-Kundensupport mittels ChatGPT möglichst datenschutzkonform zu implementieren und Datenverarbeitungen über berechtigte Anwenderinteressen rechtfertigen zu können, sind folgende Ausrichtungen und Einstellungen erforderlich.

1. Kostenpflichtige Business-Version notwendig

ChatGPT in der Basis- und Pro-Version ist für den Kundensupport aus mehreren Gründen datenschutzkonform nicht nutzbar:

• Informationen werden originär an die OpenAI OpCo, LLC mit Sitz in den USA übermittelt, an die Datentransfers mangels Zertifizierung für das EU-US-Data Privacy Framework nicht rechtskonform möglich sind
• der Abschluss eines AV-Vertrags ist nicht möglich

Ein datenschutzkonformer Einsatz der KI-Software setzt insofern voraus, dass eines der folgenden kostenpflichtigen Lizenzmodelle von ChatGPT genutzt wird:

• Team
• Enterprise
• API
• Edu

Datenempfänger ist bei diesen Lizenzmodellen primär die „OpenAI Ireland Limited“ mit Sitz in Irland.

2. Widerspruch gegen Input zu Trainingszwecken

Der Nutzung von Input-Informationen zu KI-Trainingszwecken muss ausdrücklich widersprochen werden.

Hierfür ist in den Einstellungen von ChatGPT unter „Datenkontrollen“ das „Chattraining“ zu deaktivieren:

3. AV-Vertrag

Weiterhin ist mit OpenAI ein Vertrag über die Auftragsverarbeitung (AV-Vertrag) zu schließen.

Dieser kann hier aufgerufen werden und ist über die Schaltfläche „Datenverarbeitungsvereinbarung ausführen“ ganz unten zu vollziehen:

4. Information in der Datenschutzerklärung

Schließlich ist über den Einsatz von ChatGPT zu Kundensupportzwecken in der Datenschutzerklärung der Website zu informieren, auf welcher das KI-Modell zum Einsatz gelangt.

Belehrt werden muss nicht nur über den Datenempfänger, sondern auch um Zwecke, Umfang, Rechtsgrundlage und Dauer der Verarbeitung.