Ausgangslage
Ein auf künstlicher Intelligenz (KI) basierender Chatbot ist ein textbasiertes Dialogsystem, das 24/7 auf Anfragen passende Antworten liefern kann. Indem der Chatbot etwa Produkte vorstellt oder verschiedene Fragen beantwortet, kann er unternehmensspezifisches Interesse bei den Nutzerinnen und Nutzern erzeugen. Dabei können auch spezifische Informationen über potenzielle Kundinnen und Kunden abgefragt und die Daten automatisiert einem CRM-System zugeführt werden. Gemäss jüngstem Trend basieren solche Chatbots auf grossen Sprachmodellen (Large Language Models, LLMs) wie «GPT-4» von OpenAI oder Googles «LaMDA». Aufgrund ihrer Fähigkeit, in natürlicher Sprache zu kommunizieren, bieten solche KI-Chatbots eine personalisierte Kundenerfahrung, können die Kundenakquise verbessern und die Reichweite vergrössern. In der Praxis schliessen Unternehmen dabei häufig Abonnements für die Nutzung von LLMs mit Anbietern grosser Sprachmodelle ab, um diese für die eigene Akquise nutzen zu können.

Datenschutzrechtliche Relevanz
Der Chatbot-Einsatz wird datenschutzrechtlich relevant, wenn Personendaten bearbeitet werden. Das Schweizer Datenschutzgesetz (DSG) fasst unter den Bearbeitungsbegriff jeden Umgang mit Personendaten (Art. 5 Bst. d DSG).

Personendaten als Inputdaten
Wird ein KI-Chatbot zur Lead-Generierung eingesetzt, beschafft er oft Personendaten der interessierten Person. Eine solche Beschaffung ist ein geplantes, aktives und gezieltes Vorgehen der verantwortlichen Person im Hinblick auf einen bestimmten Zweck. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (Art. 5 Bst. a DSG). Dazu zählen beispielsweise Name, Adresse oder Telefonnummer, aber auch technische Daten (z. B. IP-Adresse).

Informationspflicht bei Datenbeschaffung
Nach DSG sind die betroffenen Personen – d. h. diejenigen, die eine Eingabe an den Chatbot tätigen – in angemessener Art und Weise zu informieren, wenn ihre Personendaten beschafft werden (Art. 19 DSG). Werden die Daten direkt bei der betroffenen Person erhoben, sieht das Gesetz als Mindestangaben der Informationspflicht die Identität und die Kontaktdaten der verantwortlichen Person (Art. 5 Bst. j DSG), den Bearbeitungszweck und (falls dies zutrifft) die Empfänger, denen die Personendaten bekannt gegeben werden, vor. Die verantwortliche Person hat die betroffene Person in präziser, transparenter, verständlicher und leicht zugänglicher Form zu informieren (Art. 13 Datenschutzverordnung, DSV). Unangemessen wäre etwa die Beschreibung des Bearbeitungszwecks «für Marketingzwecke». Die Information muss spezifischer auf die Lead-Generierung gerichtet sein.
In der Praxis werden die Informationen dazu regelmässig in einer standardisierten Datenschutzerklärung auf der entsprechenden Webseite publiziert. Mit dem Einsatz eines KI-Chatbots ändert sich dies grundsätzlich nicht. Denkbar ist auch, dass der Chatbot trotz Datenschutzerklärung die wichtigsten Informationen (etwa zu Bearbeitungszweck und Speicherungsort) zusammenfassend wiedergibt, bevor der Dialog überhaupt erst beginnt. Nach dem Gesagten erscheint die Beschaffung von Personendaten bei der betroffenen Person durch den Einsatz eines KI-Chatbots nach vorgängiger Information unproblematisch.

Weitere Pflichten der verantwortlichen Person
Der Einsatz von KI-Chatbots ändert nichts an der Tatsache, dass auch die allgemeinen datenschutzrechtlichen Grundsätze (Art. 6 DSG) eingehalten werden müssen. In der hier thematisierten Konstellation sind die Verhältnismässigkeit und die Zweckbindung besonders zu betonen.

Verhältnismässige Bearbeitung
Der Verhältnismässigkeitsgrundsatz (Art. 6 Abs. 2 DSG) bedeutet hier, dass nur so viele Daten erhoben werden, wie zur Realisierung des Bearbeitungszwecks tatsächlich notwendig sind (Datensparsamkeit). Dies beurteilt sich nach dem Einzelfall anhand objektiver Kriterien.

Zweckkonforme Bearbeitung
Gemäss DSG dürfen Personendaten nur zu einem bestimmten Zweck bearbeitet werden (Art. 6 Abs. 3 DSG). Bei einer Eingabe in einen KI-Chatbot werden dem LLM verschiedene Daten mitgeteilt. Eine Verletzung des Zweckbindungsgrundsatzes kann etwa passieren, wenn die eingegebenen Personendaten im LLM gespeichert und somit zu dessen Training verwendet werden oder die LLM-Anbieterin die Daten auf andere Weise nutzt.
Neben den Datenschutzgrundsätzen sind ferner die Voraussetzungen der grenzüberschreitenden Datenbekanntgabe zu beachten. Befindet sich der Anbieter des LLM im Ausland und werden die in das System eingegebenen Daten ins Ausland übermittelt, müssen die entsprechenden Anforderungen an die Bekanntgabe von Daten ins Ausland berücksichtigt werden (Art. 16 und 17 DSG). Insbesondere muss ein angemessener Schutz gewährleistet sein, beispielsweise wenn das genügende Datenschutzniveau des entsprechenden Landes durch den Bundesrat bestätigt wurde, eine ausdrückliche Einwilligung im Einzelfall vorliegt oder ein entsprechender Vertrag besteht.

Abschliessende Bemerkung
Die Fähigkeit der KI-Chatbots, in natürlicher Sprache zu kommunizieren, macht sie zu einem attraktiven Instrument für die Kundenakquise. Dennoch gilt es zu prüfen, ob der Einsatz eines LLM überhaupt notwendig ist oder ob auch Chatbots, die nicht auf LLMs basieren, genutzt werden können, die besser kontrollierbar sind.