Chat-Funktionen erfreuen sich weiter großer Beliebtheit. Verschiedene Anbieter versprechen maximalen Kundenservice und in der Tat ist die unmittelbare Kommunikation über die Unternehmenswebsite für viele Kunden attraktiv. Ein aktuelles Verfahren der Datenschutzbehörde in Hessen gibt Anlass, auf die rechtlichen Vorgaben von Chat-Tools hinzuweisen.
Rechtsgrundlage für die Datenerhebung
Natürlich fallen bei der Nutzung von Chat-Fenstern personenbezogene Daten an. Jedenfalls die IP-Daten werden an den Website-Betreiber (oder den Betreiber des integrierten Tools) übermittelt. Hinzu werden häufig weitere Informationen treten. Insbesondere bei Service-Chats mit Bestandskunden werden oft auch Kundennummern und Kundennamen übermittelt. Bekanntlich bedarf jede Verarbeitung personenbezogener Daten nach der DSGVO einer Rechtfertigung.
In Betracht kommen hier mehrere Rechtfertigungsgrundlagen. Zwar ist insbesondere bei der Kommunikation mit Bestandskunden denkbar, die Erhebung und Speicherung von Daten auf die Anbahnung oder die Nachbetreuung von Verträgen zu stützen. Im Regelfall wird es aber auf eine Rechtfertigung mit berechtigten Unternehmensinteressen oder eine Einwilligung der Nutzer hinauslaufen.
Ob eine Einwilligung erforderlich ist, hängt von den Einzelheiten der Ausgestaltung des Chat-Fensters ab. Insbesondere, wenn der Inhalt der Chats dauerhaft gespeichert wird, weitere Tracking- oder Targeting-Maßnahmen an den Chat geknüpft sind oder die Daten im EU-Ausland gespeichert werden sollen, wird man um eine Einwilligung nicht herumkommen.
Anders als etwa bei Tracking-Tools ist die Einholung einer datenschutzrechtlichen Einwilligung der Nutzer allerdings vergleichsweise einfach einzuholen. Bevor der Chat beginnt, kann man den Nutzer bitten, seine Einwilligung zu erteilen. Hierbei lässt sich gegebenenfalls auch zwischen den verschiedenen Datenverarbeitungsvorgängen unterscheiden.
In jedem Falle ist wichtig, eine klare Entscheidung zu treffen, weil das Chat-Tool auch in der Datenschutzinformation des Website-Betreibers aufgeführt sein muss. Die Datenschutzerklärung sollte vor der Nutzung des Chat-Tools verlinkt sein. Empfehlenswert ist, den Link direkt an die Stelle in der Datenschutzerklärung zeigen zu lassen, in der es um die Chat-Funktion geht.
Mitlesen verboten
Manche Chat-Tool-Provider bieten an, dass der Text des Nutzers nicht erst dann an den Betreiber übermittelt wird, wenn der Nutzer seinen Text absendet, sondern eine Datenübertragung unmittelbar mit der Eingabe der Zeichen stattfindet. Ein solches Chat-Tool setzte ein Finanzdienstleister in Hessen ein, was die dortige Datenschutzbehörde auf den Plan rief. Über das vom Datenschutzbeauftragten in Hessen eingeleitete Verfahren ist in dessen Tätigkeitsbericht für das Jahr 2019 (S. 107) zu lesen.
Ohne dass darauf gesondert hingewiesen worden war, wurden Änderungen im Eingabefeld für Chat-Nachrichten nahezu in Echtzeit an den Finanzdienstleister übermittelt. Eine Betätigung der Absenden-Schaltfläche war hierzu nicht erforderlich. Die Datenschutzbehörde hat dies beanstandet und meint, dass es für ein solches Verfahren einer entsprechenden Einwilligung der Nutzer bedürfe. Der Finanzdienstleister wusste von der Funktion angeblich nichts und schaltete diese umgehend ab, ihm droht nun ein Bußgeld.
Wer eine solche Funktion einsetzt, muss also eine Einwilligung der Nutzer einholen.
Zusammenarbeit mit Dienstleistern
Anbieter solcher Chat-Funktionalitäten gibt es inzwischen viele. Website-Betreiber sollten sich dabei auch mit der Einhaltung der Datenschutzanforderungen vertraut machen.
Wie das Beispiel aus Hessen zeigt, muss klar sein, welche Daten zu welchem Zeitpunkt erhoben werden und wann diese wieder gelöscht werden. Die Anbieter sollten eine Vorstellung davon haben, auf welche Rechtsgrundlage die Unternehmen die Datenerhebung jeweils stützen können. In jedem Falle sollten etwaige Zusatzfenster für Einwilligungstexte oder Informationen der Nutzer über den Datenschutz durch das Unternehmen frei editierbar sein.
Ausgeschlossen sein sollte jede Nutzung der personenbezogenen Daten durch den Anbieter für eigene Zwecke. Obacht ist daher geboten, wenn sich der Anbieter vorbehält, Auswertungen über Chatverläufe vorzunehmen. Erhält der Tool-Anbieter Zugriff auf personenbezogene Daten, wird dies in aller Regel allein im Auftrag des Website-Betreibers geschehen, so dass eine Auftragsverarbeitungsvereinbarung zu schließen ist.
Aufzeichnungspflicht
In manchen Branchen, insbesondere im Finanzdienstleistungsbereich, besteht eine gesetzliche Pflicht zur Aufzeichnung jedweder Kommunikation mit den Kunden. Insofern ist auch der Inhalt der Chat-Verläufe zu speichern. Hierüber ist der Kunde jedenfalls zu informieren, gegebenenfalls sollte dies auch in die Einwilligung, die der Kunde erklärt, mit aufgenommen werden. Dies gilt insbesondere, wenn eine solche gesetzliche Pflicht nicht besteht, sondern das Unternehmen die Daten aus eigenem Interesse (etwa zu Nachweiszwecken oder für eine spätere Auswertung) zu dem jeweiligen Kunden speichert.
Fazit
Der Einsatz von Chat-Tools ist datenschutzrechtlich nicht besonders kompliziert, auf einige Punkte sollte man jedoch achten:
- Festlegung der Rechtsgrundlage
- Entscheidung, ob eine Einwilligung in Erhebung und Speicherung von Daten eingeholt werden soll
- Anpassung der Datenschutzinformation
- Verlinkung der Datenschutzerklärung
- Abschluss einer AV-Vereinbarung mit einem Tool-Anbieter
Kein gesondertes Problem besteht im Übrigen bei der Nutzung der Chat-Kommunikation für Werbezwecke. Anders als eine E-Mail, bei der eine Nachricht in eine Mailbox des Empfängers gelangt und dort zeitversetzt abgerufen werden kann, eignen sich Chat-Fenster nur für die Kommunikation in Echtzeit. Insofern ist Kommunikation über Chat-Fenster nicht als elektronische Post anzusehen und dortige Werbung nicht gesondert einwilligungsbedürftig.