A. Der ganz neue „heiße Scheiss“: Chatbots als „(Il-)Legal Tech“

Chatbots sind Kommunikationsroboter, textbasierte Dialogsysteme, welche lernfähig sein können, also ihre Ausgaben z.B. aufgrund von Häufigkeiten von Text und Textmustern in Eingaben automatisch anpassen können. Um Werbeeffekte entschieden zu vermeiden, werden aktuelle kommerzielle Beispiele hier nicht namentlich bezeichnet und nur umschrieben.

Seit dem letzten Jahr hat sich die Botmanie drastisch verbreitet. Auch die Autorin hatte am 30. November 2016 einen Artikel^[1] zu den Vorteilen von Chatbots in der Kommunikation zwischen Anwalt und Mandant veröffentlicht, um die Reaktionen und weiteren Entwicklungen zu beobachten. Eine Studie wurde darin angekündigt. Doch die Studie bildete der Artikel selbst. ___STEADY_PAYWALL___

Die Reaktionen im deutschen Rechtsmarkt ließen nicht lange auf sich warten. Bisweilen dreiste Abschreibarbeiten und Verkäufe fremder Ideen als eigene, die sogar als Beiträge für die Ri feilgeboten worden sind – selbstverständlich ohne Interesse am Erwerb der Zeitschrift selbst – folgten. Ein Rechtsanwalt schrieb der Autorin am 2. Mai 2017 triumphierend, er habe mit seiner Kanzlei den ersten deutschen Anwaltschatbot entwickelt, nicht die Autorin.

Damit war der Kollege erfolgreich in die Falle der Autorin getappt und hat, stellvertretend für viele, bewiesen, dass es im Kanzleiwettbewerb nicht um etwa mehr Service am Mandanten oder Mandanteninteressen geht, sondern um Auffallen um jeden Preis, wobei Nachteile für den Mandanten in Kauf genommen werden.

Natürlich nutzt seine Kanzlei einen Facebook Messenger Chatbot in Verbindung mit der Kanzlei-Facebookseite. Feststellungen konkreter strafrechtlicher, berufsrechtlicher und datenschutzrechtlicher Verletzungen sind jedoch nicht Gegenstand dieses Beitrags. Hier soll die Problematik der Nutzung des Facebook Messenger Chatbots im Rahmen der Erbringung anwaltlicher Leistungen generell aufgezeigt werden.

B. Facebook Messenger Chatbots: billige Marketingtools – willige Nutzer

Warum nutzen die meisten Unternehmen und nunmehr sogar Kanzleien wohl den Facebook Messenger Chatbot? Weil er schnell, ohne Programmierkenntnisse sowie kostenfrei bis günstig erstellt und eingesetzt werden kann:

Die Autorin konnte unter Nutzung von Chatfuel, stellvertretend für viele Angebote, binnen nicht mehr als zwei Stunden einen Facebook Messenger Chatbot für ihre Kanzlei-Facebookseite erstellen, der lediglich Recherche- und Aufklärungszwecken dienen soll und den Nutzer entsprechend informiert. Inhalt ist, nach ausdrücklicher Bitte um Nichtangabe von persönlichen Informationen und Absehen von Mandatsanfragen, eine kurze Unterhaltung über das Wetter und Lebensmittel. Kosten sind keine entstanden. Die Erstellung konnte ohne großes Einlesen intuitiv erfolgen, machte sogar Spaß. Der Chatbot bot sofort einen reibungslosen Einsatz. Ein unmittelbarer, erfolgreicher Test erfolgte über den privaten Account und dem extra auf dem ausschließlich privat genutzten iPad installierten Facebook Messenger.

Durch eine Nutzung im Rechtsberatungsmarkt tritt natürlich noch der sehr willkommene Halo-Effekt hinzu, da die Nutzung von Social Media und neueren Technologien bei Rechtsanwaltskanzleien in Deutschland noch nicht sehr stark etabliert ist. Hemmschwellen des Nutzers, die im analogen Rechtsanwaltsmandat bestehen, werden hier unter Fehlleitung über die Vorstellung vertraulicher Kommunikation bei Herausheben der vermeintlichen Aufwandsersparnis und Kostenfreiheit auf Sturzgeschwindigkeit gesenkt.

Die Menschen tappen schließlich in noch jede Datensammel-Falle, wenn nur kostenlose Vorteile in Aussicht gestellt werden. Doch darf ein Rechtsanwalt^[2] seine Berufspflichten zu Werbezwecken verramschen? Kann er anwaltliche Dienstleistungen kostenlos anbieten gegen die Befugnis, Mandantendaten Facebook^[3] und Affiliates zur Verfügung zu stellen?

Wohl kaum.

C. Die unzulässig werbende, Facebook fütternde Berufsgeheimnisschleuder

Der Rechtsanwalt ist als Berufsgeheimnisträger zur Verschwiegenheit verpflichtet, § 2 Abs. 1 der Berufsordnung für Rechtsanwälte (BORA) und § 43a Abs. 2 der Bundesrechtsanwaltsordnung (BRAO):

„Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet. Diese Pflicht bezieht sich auf alles, was ihm in Ausübung seines Berufes bekanntgeworden ist. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.“

Die berufsrechtlichen Pflichten zur Verschwiegenheit gehen erkennbar weiter als der engere Geheimnisverrat des § 203 Abs. 1 Strafgesetzbuches (StGB):

„Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

3. Rechtsanwalt

anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“

Nimmt ein Nutzer Angebote eines Rechtsanwalts in Anspruch, der seine Dienste auf Facebook anbietet, ist von dem Bedürfnis der Geheimhaltung auszugehen, sofern der Nutzer seine persönlichen Angelegenheiten nicht selbst bewusst einsehbar für jedermann, etwa in der Chronik der Facebookseite einer Kanzlei postet. Offenkundig werden die mitzuteilenden Tatsachen in den seltensten Fällen sein, berücksichtigt man, dass die über Chatbots abzuwickelnde Anspruchsgeltendmachung (etwa Fluggastrechte aus einem Flugbeförderungsvertrag) in der Regel aus einem Vertrag des Nutzers mit einem Dritten folgt. Verträge sind grundsätzlich vertraulich, das folgt aus den gegenseitigen Rücksichtnahmepflichten aus § 241 Abs. 2, ggf. i.V.m. § 311 Abs. 2 BGB.

In Bezug auf die Interessen des Gegners eines kompromittierten Nutzers wird man zunächst an die Entscheidung des Bundesverfassungsgerichts zur Zulässigkeit der anwaltlichen Internetwerbung mit einer Gegnerliste denken.^[4] Man muss den Gedanken jedoch schnell wieder verwerfen, da eine in den sozialen Medien in einsehbarer Form erfolgende Fallbearbeitung keiner sachlichen Form entsprechen kann und sich auch nicht auf eine in zurückhaltender Weise vorgetragene zutreffende Sachinformation beschränkt.^[5] Die Unterstellung einer Pflichtverletzung oder Schuld in den sozialen Medien unter Generierung falschen Vertrauens und unlauterer Wettbewerbsvorteile, indes Facebook und Affiliates die Daten analysieren, vorhalten und vermarkten, begründet nach hiesiger Ansicht einen Unterlassungsanspruch nach §§ 823 Abs. 1, 1004 BGB und unter Umständen einen Schadensersatzanspruch nach § 823 Abs. 1 BGB wegen Eingriffs in den eingerichteten Gewerbebetrieb des Gegners. Die kostenlosen Marketing-Bots können von Trollen missbraucht werden, um unliebsame Unternehmen oder auch Konkurrenten zu schädigen. Rechtsanwälte, die unkontrollierbare Gefahrenquellen auch für unbeteiligte Dritte schaffen, haften für entstehende Schäden ebenfalls nach § 823 Abs. 1 BGB.

Auf die mögliche Rechtswidrigkeit im Sinne des § 1 Abs. 3 Netzwerkdurchsetzungsgesetzes (NetzDG) und daraus folgende Prüfungs-, Löschungs-, Speicher- sowie Berichtspflichten von Facebook als Anbieter eines sozialen Netzwerks im Sinne des § 1 Abs. 1 S. 1 NetzDG wird verwiesen. Es bedarf lediglich einer Beschwerde eines betroffenen Gegners oder eines Trolls. Facebook muss sodann in die Mandantenkommunikation, und wenn nur im vorauseilenden Gehorsam, eingreifen. Facebook ist zudem gesetzlich verpflichtet, nach Entfernung vermeintlich rechtswidriger Inhalte gemäß § 3 Nr. 4 NetzDG den Inhalt zu Beweiszwecken zu sichern und für 10 Wochen zu speichern. Im Mandanteninteresse erfolgt dieses Vorgehen gerade nicht. Chats sind nicht vom Gesetz ausgenommen.

Eine wirksame Einwilligung datenschutzrechtlicher Art, erst recht eine Erklärung zur Entbindung vom Anwaltsgeheimnis, kann nach hiesiger Auffassung vom Mandanten nicht eingeholt werden. Vorbehaltlich einer behördlichen oder gerichtlichen Anordnung der Offenlegung sämtlicher Datenverarbeitungsprozesse von Facebook und Affiliates, wird nie vollständig bekannt sein, in welchem Umfang, wofür und wie lange die von Facebook-Nutzern eingegebenen Daten zu Geschäftszwecken ermittelt, ausgewertet und verwendet werden. Wenn ein Mandant nicht übersehen kann, was mit seinen Eingaben bei Facebook geschieht, kann er den Rechtsanwalt nicht wirksam von seiner Pflicht zur Verschwiegenheit entbinden.

Das Schlimmste jedoch ist, dass Rechtsanwälte leichtfertig bzw. bedingt vorsätzlich begonnen haben, Facebook Messenger Chatbots einzusetzen um die Kanzlei im Wettbewerb hervorstechen zu lassen. Der Geistesferne sind hier erkennbar keine Grenzen gesetzt, daher ist dieser wachrüttelnde Artikel absolut überfällig.

Was passiert also bei der Nutzung eines Facebook Messenger Chatbots?

D. Welche Informationen sammelt Facebook?

I. Facebook weiß alles, wenn es Wissen will

Im Februar 2017 tauchte ein Blogbeitrag auf Github auf, der den Kritischen und unter Facebook-Verfolgungswahn Leidenden Rückenwind gab. Darin stellte die Autorin Vicki Boykis anschaulich dar, wie und welche Unmengen an Daten Facebook über seine Nutzer sammelt und hortet.^[6]

Ein sehr ernst zu nehmender Hinweis hierin erfolgt auf die Diskussion zu Postings und Kommentaren, die gesammelt und analysiert werden, obwohl sie noch vor dem Enter-Drücken im Rahmen sog. „Selbstzensur“^[7] wieder gelöscht worden sind.^[8] Hier liest sich deutlich heraus, dass auch die Eingaben in einem Textfeld, wie dem einer Nachricht, im Browser von diesem gesammelt und an Facebook übermittelt werden.^[9] Für die auch heute erfolgende Chat- bzw. Nachrichtenanalyse spricht das Bestreben von Facebook, kriminelle Aktivitäten^[10] und Selbstmordanzeichen^[11] frühzeitig erkennen zu können. Besonders große Aufmerksamkeit erlangte das Facebook’sche Scannen von Nachrichten zwecks Erkennen von Hinweisen auf Sexualdelikte, insbesondere Kinderpornografie.^[12] Nicht zuletzt sorgen Erfahrungsberichte und Bekenntnisse von informationstechnisch Kundigen für Unbehagen, die da berichten, dass Facebook-Mitarbeiter problemlos auf Nutzeraccounts zugreifen und eben auch Nachrichten einsehen können.^[13] Facebook hat deren Zugriff auf und Einsehbarkeit von Nutzeraccounts nicht bestritten und wie folgt Stellung genommen:

“Designated employees may only access the amount of information that’s necessary to carry out their job responsibilities, such as responding to bug reports or account support inquiries”.^[14]

Problemlos lässt sich hier subsumieren, dass ein Facebook-Mitarbeiter, der werberelevante Datenbestände über die Nutzer verwaltet, diese auch jederzeit einsehen kann –anderenfalls könne er sie schließlich nicht mehr verwalten („necessary to carry out their job responsibilities“). Es kommt ausschließlich auf die Aufgabe an, die Facebook ihm zugewiesen hat. Eine quantitative („amount“) Begrenzung ist nicht zuletzt unsinnig, weil es bei Daten- und Geheimnisschutz zuvörderst auf die Qualität, den Inhalt der Informationen ankommt. Es genügt schließlich, nur die eine Unterhaltung mit dem einen Chatbot anwendenden Rechtsanwalt einzusehen, den Rest des Facebook-Profils des Mandanten jedoch unbeachtet zu lassen.

Sie müssen bedenken, lieber Leser als zutrittsberechtigter Nutzer eines fremdadministrierten Systems; ein Systemadministrator ist im selbigen Hausherr, manche sagen Gott. Der Systemadministrator ist nicht Ihr Hausdiener, der beschämt wegzuschauen hat, wenn Sie dies als Nutzer wünschen. Er weiß alles, wenn er es wissen will. Und er speichert alles, wenn er es voraussichtlich irgendwann gebrauchen könnte.

II. Personalisierte Werbung als Haupteinnahmequelle

Die Nutzung von Facebook ist zunächst kostenfrei. Erst bei Hinzutreten von kostenpflichtigen Zusatzfunktionen fallen Entgelte an. Für den Unternehmensseitenbetreiber ist dies insbesondere die Schaltung von Werbeanzeigen um eine individuell anpassbare Zielgruppe zu erreichen und damit effektiver zu werben. Personalisierte Werbung, also Werbung, die speziell auf die Interessen, Gedanken, Emotionen und Wünsche der Person des Nutzers zugeschnitten ist, stellt Facebook’s Haupteinnahmequelle dar. Schließlich sitzt Facebook an einer nie versiegenden, goldenen Datenquelle. Das Leben vieler Nutzer ist heutzutage mit dem sozialen Medium verschmolzen; alles wird geteilt bis hin zu Nacktfotos der eigenen Kinder. Oft in dem Glauben, die Einstellung, dass nur Freunde die Bilder sehen können, entspräche der Wahrheit.

E. Verschlüsselung im Facebook Messenger ist nicht gleich Verschlüsselung

Seit kurzer Zeit scheint das Versenden von Nachrichten aus einem Privataccount im mobilen Browser nur noch auf gut Glück möglich. Der Nutzer sieht sich gezwungen, die Facebook Messenger App zu installieren. Soweit erscheint dies auch sinnvoll, ist der Facebook Messenger doch nunmehr per Default auf End-To-End-Nachrichtenverschlüsselung eingestellt, während Browsernachrichten eben nicht verschlüsselt werden können. Ein bisschen Zwang zum eigenen Glück, i.e. zu mehr Datenschutz wäre sicherlich nicht falsch, wenn dieser Schutz nicht von trügerischer Natur wäre.

Für eine End-To-End-Verschlüsselung müssen notwendigerweise alle „Enden“ des Konversationsstranges den (in iOS und Android) end-to-end-verschlüsselungsfähigen Facebook Messenger nutzen. Soweit nur eine Partei der Konversation dies nicht tut und via unverschlüsselte Browsernachrichtenfunktion kommuniziert, ist die Konversation, wie oben ausgeführt, unverschlüsselt, i.e. ihre Inhalte einseh-, speicher-, analysier- und natürlich nutzbar.

Die Facebookseiten, mithin die Unternehmensseiten, werden hauptsächlich über den Browser bedient. Ein Messenger(-Symbol) ist ausschließlich dem originären, personenbezogenen und „Freunde-fähigen“ Account zugeordnet. Für die derivative Facebookseite gibt es ein schlichtes Postfach. Beide, Messenger (persönlicher Account) und Postfach (Unternehmensseite), sind nicht miteinander verknüpft. Versandte Nachrichten finden sich nicht im anderen Postfach wieder; sie sind also offensichtlich nicht dasselbe. Es wird zugunsten des Seiten-„Betreibers“ ermöglicht, die persönlichen von den geschäftlichen Nachrichten zu trennen. Die Prüfung des originären, beruflich genutzten Accounts der Autorin ergab, dass die Nachrichtenwechsel mit dem Chatbot ausschließlich über das geschäftliche Postfach der Unternehmensseite im Browser abruf- und einsehbar sind.

Eine End-to-End-Verschlüsselung kann also in der Kommunikation zwischen Nutzer als Person (Facebook Messenger) und Unternehmer (Facebook-Seite mit einfachem Browserpostfach) nicht stattfinden. Es besteht allerdings auch kein nennenswerter Grund für Facebook, diese zu ermöglichen:

Es ist unternehmerisch betrachtet erkennbar sinnwidrig, ineffizient und unbequem umständlich, die Nachrichten-Kundenkommunikation von der Chronik-Kundenkommunikation getrennt zu verwalten, zumal der Messenger jedes Gerät des Unternehmens samt Gerätenamens erfassen und im gemeinsam bedienten Messenger auflisten würde. Warum sollte ein Unternehmen, welches Marketing und Kundenbindung über Facebook betreiben will, zugunsten von Verschlüsselung die Nachrichten-Kommunikation auf einen einem Mitarbeiter persönlich zugeordneten Messenger auslagern, wenn doch alles fein säuberlich im Browser vorsortiert und wohlproportioniert zur Verfügung steht? Und für Analysen und personenbezogenen Werbung nutzbar gemacht werden kann? Auch erscheint der Gedanke absurd, dass ein Rechtsanwalt, der sich eines Facebook Messenger Chatbots bedienen möchte, diesen auf seinem Kanzlei-Smartphone installieren würde, um jede Nutzerinteraktion mit dem Chatbot freudestrahlend zu verfolgen. Der Chatbot hat gerade den Zweck, seinen Anwender um die stete Anwesenheit und Verfügbarkeit zu entlasten und durch von seiner Person losgelöstes, aufwandsarmes und billiges Marketing Geschäft zu generieren.

Dass die Konversation zwischen Unternehmen und privaten Nutzern nicht verschlüsselt erfolgt, obwohl die (Default-) Einstellung eben dies suggeriert, belegen nachstehende Rechercheergebnisse.

Doch der Reihe nach:

I. Die verschlüsselte Unterhaltung von Personen

Für den Fall, dass man eine „geheime“, i.e. verschlüsselte Messenger-Unterhaltung aus dem Messenger meldet, weist Facebook daraufhin, dass alle „aktuellen“ Nachrichten aus der gemeldeten Unterhaltung verschlüsselt und auf sicherem Wege an die Kundenbetreuung gesendet werden: s. Abb. 1.

Abb. 1: FAQ Facebook, Abfrage am 16. September 2017 mit Privataccount über iPad

Die Verschlüsselung steht nur für die Messenger-App in iOS und Android zur Verfügung. Geheime Unterhaltungen werden im Facebook-Chat und auf messenger.com nicht angezeigt.

Wie ironisch wirkt doch der Hinweis auf den Screenshot des Gesprächspartners, der den Glauben an den geheimen Nachrichtenaustausch zunichtemachen kann (s. Abb. 2).

Abb. 2: FAQ Facebook, Abfrage am 16. September 2017 mit Privataccount über iPad

Im Verhältnis zu Facebook und seiner Messenger App soll der Nutzer natürlich an das Unmögliche glauben (s. Abb. 3).

Abb. 3: Facebook Messenger App, Abfrage am 16. September 2017

Die Einladung ins Märchenland erfolgt prompt via Messenger App, nur seltsam umständlich. In den FAQ von Facebook wird ausgeführt, dass die verschlüsselte Unterhaltung (entgegen der (Default-) Einstellung) in der Messenger App der zusätzlichen Auswahl „Geheim“ bedarf (vgl. Abb. 2). Klickt man sich im Messenger durch das App-Dickicht und schließlich „Geheim“ an, meldet die Messenger App Folgendes zurück: s. Abb. 3.

Die Verwirrung, gar Irreführung des Nutzers, ist perfekt. Der Nutzer glaubt nun entgegen der Tatsachenlage, dass alle Nachrichten aus dem Messenger heraus verschlüsselt sind. Das ist jedoch nach der hier gemachten Rechercheerfahrung nachweislich nicht der Fall.

Die Interaktion vom privaten Account mit dem Chatbot der Autorin und mithin deren Unternehmensseite, die von dieser Facebook Messenger App aus geführt wurde, wurde nicht verschlüsselt. Auch die Konversation mit der Anwaltsperson erfolgte nicht verschlüsselt:

II. Die unverschlüsselte Unterhaltung von Personen

Meldet die Person eine unverschlüsselte Messenger-Unterhaltung, weist Facebook entsprechend nicht darauf hin, dass Nachrichten aus der gemeldeten Unterhaltung verschlüsselt und auf sicherem Wege an die Kundenbetreuung gesendet werden (s. Abb. 4):

Abb. 4: FAQ Facebook, Abfrage am 16. September 2017 mit Privataccount über iPad

Für Facebook ist die Unterhaltung also auch ohne Meldevorgang einsehbar.

Das werden in absehbarer Zukunft auch die meisten Facebook-Konversationen bleiben, denn es ist für den Sender einer Nachricht nicht erkennbar, ob der Empfänger eine End-To-End-Verschlüsselung der Unterhaltung ermöglicht. Ist nur an einem Ende keine Möglichkeit der Verschlüsselung gegeben, i.e. ist nur bei einem Teilnehmer einer Unterhaltung der Browser und nicht der Messenger mit entsprechender Einstellung involviert, sind sämtliche Inhalte einer Unterhaltung unverschlüsselt und damit einsehbar. Facebook weist auf dieses Problem nicht hin, nimmt dem Nutzer sogar eine Ok-Erklärung ab zur falschen Darstellung, dass alle Nachrichten von der Messenger App aus verschlüsselt seien (vgl. Abb. 3).

Die Ansprache des beruflichen Personenprofils der Autorin ergab dementsprechend, dass auch die Nachricht, die eigentlich verschlüsselt von der privat genutzten Facebook Messenger App mit Verschlüsselungshinweis (Abb. 3) aus abgesandt werden sollte, in beiden Accountfällen auf jedem Gerät, ohne Schlüssel und in jedem Browser angezeigt wird. Im Browser-Messenger des beruflich genutzten Personenaccounts findet sich auch kein Hinweis auf den eigenen Versuch verschlüsselter Kommunikation aus der Messenger App heraus.

III.  Die stets unverschlüsselte Unterhaltung mit einem Unternehmen

Im Falle der Meldung einer Unterhaltung mit einem Unternehmen, mithin über das Postfach der Unternehmensseite, wird gar kein Hinweis auf eine Möglichkeit der Übersendung verschlüsselter Unterhaltungen an Facebook gegeben (vgl. Abb. 5):

Abb. 5: FAQ Facebook, Abfrage am 16. September 2017 mit Privataccount über iPad

Eine Verschlüsselung der Unterhaltung mit Unternehmen ist also nicht wie bei der Unterhaltung von Personen über die Messenger App vorgesehen. Facebook tut es nicht, muss aber ausdrücklich darauf hinweisen, dass eine Unterhaltung mit einem Unternehmen, mithin auch die Konversation mit ausschließlich mit Unternehmensseiten nutzbaren Chatbots, stets unverschlüsselt erfolgt, auch wenn die Messenger App eine andere Einstellung aufweist.

Die offensichtliche Falschinformation in Abb. 3 lässt vermuten, dass sämtliche Nutzereingaben im Nachrichtenbereich, ob abgesandt oder nicht, analysiert, ausgewertet und an die werbebedürftigen Unternehmen ohne entsprechende Analysetools günstig (zurück)verkauft werden, etwa als Werbeanzeigen im Messenger. Für die Unternehmen ist das natürlich ein guter Deal; für Facebook erst recht.

Der (private) Nutzer weiß jedoch von nichts.

IV. Zwischenfazit: Einsehbarkeit von Chats mit Anwaltsseiten auf Facebook

Anwalts-, i.e. Unternehmensseiten ermöglichen per se keine geheime Unterhaltung mit Personen. Nutzt der Rechtsanwalt einen Facebook Messenger Chatbot, funktioniert dieser nur mit der Unternehmensseite, die keine verschlüsselte Kommunikation mit den Nutzern ermöglicht.

Der Rechtsanwalt ist jedoch Berufsgeheimnisträger^[15] und hat insofern, wenn er mit Mandanten und potentiellen Mandanten in Kontakt tritt, ob persönlich, durch Mitarbeiter, durch einen Vertreter oder mittels selbstgestaltetem Chatbot, eine geheime Unterhaltung sicherzustellen, die nicht von Facebook oder sonstigen Dritten eingesehen werden kann. Dies ist auf Facebook nicht möglich. Ein Rechtsanwalt, der die unzureichende Aufklärung, gar Falschinformation (Abb. 3) von Facebook für sich nutzbar macht und Mandanten nicht auf die Einsehbarkeit hinweist, verletzt seine Verschwiegenheitspflichten, gegebenenfalls sogar in strafbarer Art und Weise (§ 203 Abs. 1 Nr. 3 StGB). Der Mangel an Verschlüsselung ist auch für technisch unkundige Rechtsanwälte leicht festzustellen, wenn sie die FAQ von Facebook genauso prüfen wie sonst auch Verträge von Mandanten.

Genügt der Rechtsanwalt seinen Pflichten und vermeidet er strafrechtliche Konsequenzen, indem er den Nutzer darauf hinweist, dass er eine unsichere und für Dritte einsehbare Plattform nutzt? Allgemein lässt sich dies nicht beantworten. Wie oben bereits darauf hingewiesen wurde, ist eine umfassende Aufklärung des Nutzers nicht möglich; was genau mit den im Facebook-Chat eingegebenen Informationen passiert, ist nicht öffentlich bekannt. Im Falle des Chatbots der Autorin, der für Recherche- und Aufklärungszwecke erstellt wurde, wird der Nutzer bereits in der Begrüßungsnachricht darauf hingewiesen, dass die Gefahr der Nutzung seiner Angaben für geschäftliche Zwecke Dritter besteht und daher aufgefordert, persönliche Informationen nicht einzugeben. Obwohl die Folgekonversation sich lediglich um Wetter, Osterdekoration und Lebensmittel dreht, hat kein einziger Testnutzer den Chatbot über die deutliche Begrüßungsmitteilung und Warnung hinaus bedient. Es kann also vermutet werden, dass ein Nutzer den Facebook-Chatbot nicht bedient, wenn eine für jedermann verständliche, nicht rechtswissenschaftlich verschwurbelt formulierte Warnung vorgeschaltet ist. Eine Verharmlosung wiederum, die den Nutzer mit einer Entscheidung alleine lässt, die in ihren Folgen nicht überblickt werden kann, dürfte einer Entbindung von der berufsrechtlichen Verschwiegenheitspflicht und einem tatbestandsausschließenden Einverständnis (§ 203 StGB) den Boden entziehen. Sähe man eine im mit Chatbot geführten Nutzerchat vorgeschaltete Information als Allgemeine Geschäftsbedingungen (AGB, vgl. §§ 305 ff. BGB) an, die u.a. eine sinngemäße, pauschale Zustimmung zur potentiellen Weitergabe aller für den Vertragszweck eingegebenen Geheimnisse vorsähe, so wäre diese Klausel nach § 307 Abs. 1, Abs. 2 Nr. 1 BGB unwirksam wegen Unvereinbarkeit mit wesentlichen Grundgedanken der gesetzlichen Regelungen (§ 203 Abs. 1 Nr. 3 StGB, § 43a Abs. 2 BRAO und § 2 Abs. 1 BORA), von denen abgewichen wird.

Nutzt ein Rechtsanwalt einen Personenaccount und kommuniziert er mit Mandanten über die Facebook Messenger App, mag eine End-To-End-Verschlüsselung im Einzelfall möglich sein. Er wird jedoch nicht darauf hingewiesen, ob der Mandant über den Browser oder die Facebook App kommuniziert und somit das andere notwendige Ende der verschlüsselten Verbindung überhaupt aktiv ist. Der Rechtsanwalt wird also so gut wie nie sicherstellten können, dass eine geheime und vor Facebook’s Datensammelwut sichere Mandantenkommunikation stattfindet; er kann das Nutzverhalten des (potentiellen) Mandanten schlichtweg nicht übersehen. Gegenüber der die Verletzung von Berufspflichten prüfenden zuständigen Rechtsanwaltskammer verfügt er über keinen tauglichen Beleg für die Wahrung der Verschwiegenheitspflicht.

F. Der mitlesende und Mandanteninformationen teilende „Vierte“

Warum kann wohl ein Chatbot nicht verschlüsselt mit einem anderen Nutzer im Facebook Messenger kommunizieren?

Weil eine dritte, gar vierte Person in die Unterhaltung eingebunden ist: die des Anbieters der Programmierkenntnisse entbehrlich machenden Chatbot-Erstell- und Anpassungssoftware. Das ist hier, stellvertretend für viele Anbieter, Chatfuel.

Die möglichen Nutzereingaben und zugeordneten automatischen Antworten werden vor Einsatz des Chatbots beim Anbieter Chatfuel eingegeben, welcher weitgehende Berechtigungen für das Profil und die E-Mail-Adresse zum Agieren im Facebook Messenger bzw. Chat verlangt (s. Abb. 6):

Abb. 6: Screenshot chatfuel.com beim Aufsetzen des Chatbots am 15. September 2017

Die unternommenen Versuche, die extrem weit wirkenden Berechtigungen von Chatfuel einzuschränken, resultierten in folgender Meldung (s. Abb. 7):

Abb. 7: Screenshot chatfuel.com beim Aufsetzen des Chatbots am 15. September 2017

Damit der Chatbot im Facebook Messenger die richtigen Antworten, die in Chatfuel vorgefertigt worden sind, auf die erkannten und in Chatfuel vorhergesehenen möglichen Nutzerfragen im Facebook Chat senden kann, muss Chatfuel zwangsläufig Zugriff auf die Inhalte der Nutzereingaben haben. Grundsätzlich wird der Nutzer davon nichts wissen. Bereits die datenschutzrechtliche Einwilligung ist damit undenkbar. Wenn der Chatbot-Anwender (hier: der Rechtsanwalt) einen kleinen Betrag für die Pro-Version von Chatfuel mit mehr Nutzungsoptionen zahlt, wird auch der kleine werbende Hinweis auf den „mitlesenden“ Vierten entfernt. Im Falle des Recherche-Bots der Autorin ist der Hinweis auf Chatfuel am unteren Ende des Chatverlaufs daher bewusst belassen worden.

Die Privacy Policy^[16] von Chatfuel erregt erhebliche Bedenken in Bezug auf den Umgang mit Mandantendaten durch einen Bot nutzenden Rechtsanwalt. Auf ein paar Auszüge soll hier kurz eingegangen werden:

Chatfuel sammelt personenbezogene Daten und sieht sich nur zur Löschung von personenbezogenen Daten von Kindern unter 13 Jahren verpflichtet, die auch auf indirektem Wege mit Chatfuel Services in Kontakt gekommen sind. Für personenbezogene Daten Dritter, i.e. Nichtvertragspartner und damit Mandanten eines anwaltlichen Botanwenders, sieht sich Chatfuel nicht verantwortlich:

Abb. 8: Screenshot der Privacy Policy von Chatfuel vom 23. September 2016, Seite 1

Wer hat Zugriff auf die Chatbot-Konversationsinhalte und worauf wird konkret zugegriffen?

Entwickler, Geschäftspartner des Chatbot-Verwenders sowie Vertriebspartner können auf die Textinhalte der gesamten Unterhaltung, die Nutzernamen und Profilfotos vollumfänglich zugreifen und diese für Geschäftszwecke weiterverarbeiten. Personenbezogene Werbung wird durch Chatfuel unbekannten Dritten, mithin „Fünften“, ausdrücklich ermöglicht:

Abb. 9: Screenshot der Privacy Policy von Chatfuel vom 23. September 2016, Seite 3

Chatfuel betrachtet personenbezogene Daten zudem als handelbares Asset, welches jederzeit auf eine dritte Partei übertragen werden kann:

Abb. 10: Screenshot der Privacy Policy von Chatfuel vom 23. September 2016, Seite 3

Nicht zuletzt behält sich Chatfuel vor, sich auf jegliche Informationen Zugriff zu verschaffen, diese zu lesen, aufzubewahren und preiszugeben:

Abb. 11: Screenshot der Privacy Policy von Chatfuel vom 23. September 2016, Seite 3

Abschließend ist darauf hinzuweisen, dass Chatfuel ein US-Unternehmen mit Sitz in San Francisco und damit nicht Europa ist. Mangels entgegenstehender Informationen werden also sämtliche personenbezogene Daten auf US-Servern gespeichert.

G. Zusammenfassung

Rechtsanwälte sehen sich im Zuge der Legal-Tech-Bewegung und des Drucks, den zahlreiche Legal-Future-Veranstaltungen ausüben, nach wirksamen und vor allem schnellen und billigen Marketingwerkzeugen um. Dabei preschen so manche nach vorn, um Erster, aber eben nicht besserer Dienstleister zu sein.

Die Nutzung eines Facebook Messenger Chatbots, der mithilfe von Drittanbietern wie Chatfuel erstellt worden ist, darf nicht in Verbindung mit der anwaltlichen Leistung, ob vorvertraglich oder vertraglich, verwendet werden. Der Rechtsanwalt verletzt seine Verschwiegenheitspflicht in ungeheurem, gar strafrechtlich relevanten Maße. Der Mandant kann den Rechtsanwalt, der Facebook Messenger Chatbots verwendet, mangels Information über die beteiligten Unternehmen und das Ausmaß der Datenverarbeitung nie wirksam von der Verschwiegenheitspflicht entbinden. Genauso wenig ist eine wirksame datenschutzrechtliche Einwilligung denkbar. Der Mandant weiß schließlich noch weniger als der Chatbot-Anwalt.

Es kann nur nachdrücklich davon abgeraten werden, einen Facebook Messenger Chatbot für die anwaltliche Mandantenakquise und -betreuung zu verwenden. Wer einen solchen als Rechtsanwalt dennoch einsetzt, tut dies in Erhebung seiner geschäftlichen Interessen über die besonders schützenswerten Interessen seiner Mandanten.

Die Kammern sind aufgefordert, sich zeitnah mit Chatbots, insbesondere angeboten von Facebook und Partnern wie Chatfuel, auseinanderzusetzen und die genannten Mandanten-, Gegner- sowie Kollegenrechte verkürzenden Verhaltensweisen mit angemessenen Mitteln zu unterbinden. Bereits jetzt fließen geheim zu haltende Informationen in die quasi unlöschbaren Datenbanken von Facebook und Co. Facebook’s elektronische Datenverarbeitung ist keine solche, derer sich der Rechtsanwalt im Sinne des § 50 Abs. 4 BRAO zur Führung elektronischer Handakten bedienen darf.

V

V

^[1]  https://www.linkedin.com/pulse/new-frontiers-legal-tech-how-chatbots-can-improve-between-otto/ und parallel hierzu auf der Kanzleiwebsite https://www.cotlegal.com/chatbot.html (abgerufen am 7. Oktober 2017).

^[2]  Im nachfolgenden Beitrag wird das Maskulinum verwendet um den Lesefluss nicht zu beeinträchtigen.

^[3]  Kursiv geschrieben meint „Facebook“ nachstehend das Unternehmen.

^[4]  BVerfG, Beschluss vom 12.12.2007, Az.: 1 BvR 1625/06.

^[5]  Ebenda.

^[6]  Boykis, Vicky “What should you think about when using Facebook?”: http://veekaybee.github.io/facebook-is-collecting-this/ (abgerufen am 7. Oktober 2017).

^[7]  Das, Sauvik und Kramer, Adam, “Self-Censorship on Facebook”: https://www.aaai.org/ocs/index.php/ICWSM/ICWSM13/paper/viewFile/6093/6350 (abgerufen am 7. Oktober 2017).

^[8]  Golbeck, Jennifer, „On Second Thought“: http://www.slate.com/articles/technology/future_tense/2013/12/facebook_self_censorship_what_happens_to_the_posts_you_don_t_publish.html (abgerufen am 7. Oktober 2017).

^[9]  Siehe Vorgängerfußnoten.

^[10]  Protalinski, Emil, „Facebook scans chats and posts for criminal activity”, https://www.cnet.com/news/facebook-scans-chats-and-posts-for-criminal-activity/(abgerufen am 7. Oktober 2017).

^[11]  Rogers, Kaleigh, “Facebook’s New Algorithm Combs Posts to Identify Potentially Suicidal Users”: https://motherboard.vice.com/en_us/article/aeqgdk/facebooks-new-algorithm-combs-posts-to-identify-potentially-suicidal-users; Kwon, Diana, “Can Facebook’s Machine-Learning Algorithms Accurately Predict Suicide?”: https://www.scientificamerican.com/article/can-facebooks-machine-learning-algorithms-accurately-predict-suicide/ (abgerufen am 7. Oktober 2017).

^[12]  Hill, Kashmir, “Yes, Facebook Scans Users’ Private Conversations Looking for Sexual Predators and Child Porn”: https://www.forbes.com/sites/kashmirhill/2012/07/13/yes-facebook-scans-peoples-private-conversations-looking-for-sexual-predators-and-child-porn/#28eeba65595a (abgerufen am 7. Oktober 2017).

^[13]  https://www.quora.com/Do-Mark-Zuckerberg-or-Facebook-employees-have-a-skeleton-key-granting-them-access-to-every-members-Facebook-profile-page-and-information (abgerufen am 7. Oktober 2017).

^[14]  Gallagher, Fergal, “Who At Facebook Has Access To Your Account Details And What Happens To Snoopers?”: http://www.techtimes.com/articles/36186/20150227/who-access-account-details-facebook.htm (abgerufen am 7. Oktober 2017).

^[15]  Siehe dazu oben.

^[16]  https://chatfuel.com/PrivacyPolicy.pdf (abgerufen am 7. Oktober 2017).