Gefährdet der Brexit den Datenschutz?

Stepanova: Sollte der Brexit tatsächlich ungeregelt ablaufen, hat die Europäische Kommission bereits angekündigt, dass Großbritannien nicht als sicherer Drittstaat eingestuft wird. Dies bedeutet, dass Daten nur aus der EU nach Großbritannien transferiert werden dürfen, wenn ausreichende Garantien vorhanden sind. Dies könnten im Einzelfall EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules (BCR) sein.

Die einfachste Lösung wären dabei die Standardvertragsklauseln, durch die letztlich eine Pflicht des in UK ansässigen Datenimporteuers begründet wird, die importierten Daten unter anderem ausschließlich nach den Weisungen des Datenexporteurs zu verarbeiten.

Stepanova: Eine Vorbereitung ist möglich, indem man zunächst prüft, inwieweit ein Drittstaatentransfer überhaupt erforderlich ist. Kann man beispielsweise auf in der EU ansässige Cloud-Dienste zurückgreifen, wäre dies der einfachste Weg, weil dadurch der Drittstaatentransfer umgangen wird.

Stepanova: Dann wird es komplizierter und man sollte sich Gedanken über die angesprochenen Binding Corporate Rules machen. Diese sind zwar weitestgehend sicher, allerdings ist die Implementierung mit einem nicht zu unterschätzenden Personal- und Kosteneinsatz verbunden. Diese Lösung ist sinnvoll, wenn der Konzern bereits bestehende BCR auf Großbritannien ausweiten kann oder wegen seiner multinationalen Tätigkeit ohnehin geplant hat, diese einzuführen.

Man muss sich jedoch bewusst sein, dass die Implementierung eine gewisse Zeit in Anspruch nimmt, sodass man gegebenenfalls auf eine Zwischenlösung wie die Standardvertragsklauseln ausweichen muss.

Daneben gibt es noch ein paar Ausnahmetatbestände in der Datenschutz-Grundverordnung, die sich jedoch kaum dafür eignen, einen dauerhaften Datenexport nach UK sicherzustellen. Sie sind für Ausnahmefälle gedacht, beispielsweise Datenverarbeitung zum Schutz lebenswichtiger Inte­ressen, und gerade nicht für die routinemäßige Datenübermittlung.

Stepanova: Eine gesetzliche Pflicht gibt es nicht. Jedoch empfiehlt es sich aus vielerlei Gesichtspunkten da­rüber aufzu­klären, dass ein Chatbot eingesetzt wird. In nichtjuristischer Hinsicht ist das wichtig, um die Erwartung des Kunden zu steuern, da dieser sich ärgern könnte, beispielsweise eine generische Antwort zu erhalten, wenn er denkt, es würde ein Mensch mit ihm kommunizieren.

Stepanova: Aus juristischer Perspektive muss das Unternehmen zum Beispiel in der Datenschutzerklärung darüber informieren, dass je nach Einzelfall Profiling vorliegen kann. Dies kann der Fall sein, wenn der Chatbot nicht nur die Kundenanfrage beantwortet, sondern auch im Wege des Machine Learnings die Daten zur Verbesserung seiner Künstlichen Intelligenz nutzt. In den meisten Fällen wird eine solche weitergehende Verarbeitung nur auf Grundlage einer informierten Einwilligung des Kunden möglich sein, sodass man spätestens bei den Angaben zum Verarbeitungszweck über den Chatbot aufklären muss.

Stepanova: Beides ist möglich. Letztlich verbietet die DSGVO nicht die Datenverarbeitung, vielmehr ist ein Kernziel der Verordnung, den „free flow of data“ sicherzustellen – es geht darum, dass der Betroffene stets weiß, was genau mit seinen Daten passiert und wie diese verarbeitet werden. Stützt das Unternehmen die Verarbeitung auf eine passende Rechtsgrundlage und informiert es den Betroffenen auf eine transparente Art und Weise, Stichwort Datenschutzerklärung, ist die Verarbeitung rechtmäßig, sodass der Einsatz der Chat­bots keine gesonderte Problematik darstellt.