DSGVO-konforme KI-Telefonie: Was Unternehmen wissen mussen

Die Nutzung von KI-basierten Telefonsystemen in deutschen Unternehmen wachst rasant. Laut aktuellen Marktstudien setzen bereits uber 15% der kleinen und mittelstandischen Unternehmen in Deutschland auf KI-gestutzte Kommunikationslosungen -- Tendenz stark steigend.

Doch mit der zunehmenden Verbreitung wachsen auch die Fragen: Ist das uberhaupt legal? Was passiert mit den aufgezeichneten Gesprachen? Wie schutze ich die Daten meiner Kunden?

Diese Fragen sind berechtigt und wichtig. Die gute Nachricht: KI-Telefonie und DSGVO-Konformitat schliessen sich nicht aus. Im Gegenteil -- ein gut konfiguriertes System kann sogar datenschutzfreundlicher sein als herkommliche Losungen.

In diesem Artikel erklaren wir Ihnen alles, was Sie uber den datenschutzkonformen Einsatz von KI-Telefonsystemen wissen mussen. Verstandlich, praxisnah und ohne Juristendeutsch.

Um die Datenschutzfragen zu beantworten, mussen wir zunachst verstehen, welche Daten bei einem KI-gesteuerten Telefonat uberhaupt anfallen:

Gesprachsinhalte: Das KI-System verarbeitet die gesprochenen Worte in Echtzeit, um den Anrufer zu verstehen und angemessen zu antworten. Je nach Konfiguration werden die Gesprachsinhalte als Text transkribiert.

Telefonnummer: Die Rufnummer des Anrufers wird erfasst -- wie bei jedem herkommlichen Telefonat auch. Diese dient der Identifikation und fur eventuelle Ruckrufe.

Gesprachsmetadaten: Dazu gehoren Zeitpunkt und Dauer des Gesprachs, ob der Anruf erfolgreich war, und welche Aktionen ausgelost wurden (z.B. Terminbuchung).

Abgeleitete Daten: Das System kann aus dem Gesprach Informationen ableiten -- beispielsweise den Namen des Anrufers, sein Anliegen oder gewunschte Terminzeiten. Diese werden strukturiert gespeichert.

Audiodaten: In manchen Konfigurationen werden die Audioaufnahmen der Gesprache temporar oder dauerhaft gespeichert. Dies ist jedoch optional und sollte sorgfaltig abgewogen werden.

Wichtig: Nicht alle diese Daten mussen zwingend erhoben werden. Das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt, dass nur die Daten erhoben werden, die fur den jeweiligen Zweck tatsachlich erforderlich sind.

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Fur KI-Telefonsysteme kommen im Wesentlichen drei Rechtsgrundlagen in Frage:

Vertragserfullung (Art. 6 Abs. 1 lit. b DSGVO) Wenn ein Kunde anruft, um einen Termin zu buchen oder eine Bestellung aufzugeben, dient die Datenverarbeitung der Erfullung eines Vertrags oder vorvertraglicher Massnahmen. Dies ist die haufigste und starkste Rechtsgrundlage fur KI-Telefonie im Geschaftskontext.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) Das berechtigte Interesse an einer effizienten Kundenkommunikation kann ebenfalls als Rechtsgrundlage dienen. Hier muss jedoch eine Interessenabwagung stattfinden: Das Interesse des Unternehmens an der Nutzung von KI wird gegen die Rechte und Freiheiten der betroffenen Personen abgewogen.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) In bestimmten Fallen -- etwa bei der langfristigen Speicherung von Audioaufnahmen zu Qualitatsicherungszwecken -- kann eine ausdrueckliche Einwilligung erforderlich sein. Diese muss freiwillig, informiert, spezifisch und unmissverstandlich sein.

Praxistipp: Fur die meisten Geschaftsanwendungen reicht die Kombination aus Vertragserfullung und berechtigtem Interesse als Rechtsgrundlage aus. Die ausdrueckliche Einwilligung wird nur fur Sonderfalle benotigt.

Informationspflicht gegenuber Anrufern

Die DSGVO verlangt Transparenz. Das bedeutet: Anrufer mussen informiert werden, dass sie mit einem KI-System sprechen. Dies kann auf verschiedene Weisen geschehen:

- Ansage zu Beginn des Gesprachs: "Sie sprechen mit dem KI-Assistenten von [Firma]. Dieses Gesprach wird zur Bearbeitung Ihres Anliegens verarbeitet." - Verweis auf die Datenschutzerklarung auf der Webseite fur weiterfuhrende Informationen - Moglichkeit, das Gesprach mit einer menschlichen Person fortzufuhren

Auftragsverarbeitungsvertrag (AVV)

Wenn Sie einen externen Anbieter fur Ihre KI-Telefonie nutzen, ist dieser in der Regel ein Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Das bedeutet: Sie mussen einen Auftragsverarbeitungsvertrag (AVV) abschliessen.

Ein AVV regelt unter anderem: - Gegenstand und Dauer der Verarbeitung - Art und Zweck der Verarbeitung - Art der personenbezogenen Daten - Kategorien betroffener Personen - Technische und organisatorische Massnahmen (TOMs) - Unterauftragsverarbeiter und deren Genehmigung - Rechte und Pflichten des Verantwortlichen

Bei Bubblu Labs ist der AVV standardmassig Bestandteil unserer Vertrage. Sie mussen sich nicht selbst um die Erstellung kummern.

Verzeichnis von Verarbeitungstatigkeiten

Vergessen Sie nicht: Die Nutzung eines KI-Telefonsystems muss in Ihr Verzeichnis von Verarbeitungstatigkeiten (Art. 30 DSGVO) aufgenommen werden. Wir stellen Ihnen hierfur eine Vorlage zur Verfugung.

Wo werden die Daten verarbeitet und gespeichert? Diese Frage ist fur die DSGVO-Konformitat entscheidend.

EU-basierte Verarbeitung Die sicherste Option: Alle Daten werden auf Servern innerhalb der Europaischen Union verarbeitet und gespeichert. Dies vermeidet die komplexen Anforderungen an Drittlandubermittlungen.

US-Anbieter und angemessene Garantien Viele KI-Technologien stammen von US-Unternehmen. Seit dem EU-US Data Privacy Framework (DPF) ist die Ubermittlung an zertifizierte US-Unternehmen grundsatzlich wieder moglich. Dennoch empfehlen wir:

- Prufen Sie, ob der Anbieter unter dem DPF zertifiziert ist - Vereinbaren Sie zusatzlich Standardvertragsklauseln (SCCs) - Fuhren Sie ein Transfer Impact Assessment (TIA) durch - Bevorzugen Sie Anbieter mit EU-Rechenzentren

Verschlusselung und Sicherheit Unabhangig vom Standort sollten folgende technische Massnahmen implementiert sein:

- Ende-zu-Ende-Verschlusselung der Gesprachsdaten - Verschlusselung im Ruhezustand (encryption at rest) - Sichere Authentifizierung und Zugriffskontrolle - Regelmassige Sicherheitsaudits und Penetrationstests

Basierend auf unserer Erfahrung mit hunderten Implementierungen empfehlen wir folgende Best Practices:

1. Datenminimierung konsequent umsetzen Erfassen Sie nur die Daten, die Sie wirklich brauchen. Keine Audioaufnahmen speichern, wenn eine Texttranskription ausreicht. Keine Telefonnummern langer aufbewahren als notig.

2. Loschkonzept erstellen Definieren Sie klare Fristen: Wie lange werden Gesprachsdaten aufbewahrt? Wir empfehlen: Transkriptionen nach 30 Tagen loschen, Metadaten nach 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

3. Datenschutzerklarung aktualisieren Ihre Datenschutzerklarung muss die Nutzung von KI-Telefonsystemen beschreiben. Informieren Sie uber: den Zweck der Verarbeitung, die Rechtsgrundlage, die Empfanger der Daten, die Speicherdauer und die Betroffenenrechte.

4. Mitarbeiter schulen Auch wenn das KI-System automatisch arbeitet: Ihre Mitarbeiter mussen wissen, wie das System funktioniert, welche Daten erhoben werden und wie sie mit Anfragen zu Betroffenenrechten umgehen.

5. Regelmassige Uberprufung Datenschutz ist kein einmaliges Projekt. Uberprufen Sie regelmaessig, ob Ihre Massnahmen noch aktuell sind und ob sich die Rechtslage geandert hat.

6. Betroffenenrechte gewahrleisten Stellen Sie sicher, dass Anrufer ihre Rechte ausuben konnen: Auskunft, Berichtigung, Loschung, Einschrankung, Datenubertragbarkeit und Widerspruch.

Bei Bubblu Labs ist Datenschutz kein Nachgedanke -- er ist integraler Bestandteil unserer Architektur und unserer Prozesse.

Privacy by Design Unsere Systeme sind von Grund auf datenschutzfreundlich gestaltet. Datenminimierung, Zweckbindung und Speicherbegrenzung sind in die Technik eingebaut, nicht nachtraglich aufgesetzt.

EU-Infrastruktur Wir setzen auf europaische Cloud-Infrastruktur. Ihre Gesprachsdaten verlassen die EU nicht -- es sei denn, Sie wunschen es ausdruecklich und die rechtlichen Voraussetzungen sind erfullt.

Standardmassiger AVV Jeder Kundenvertrag beinhaltet einen umfassenden Auftragsverarbeitungsvertrag, der alle Anforderungen des Art. 28 DSGVO erfullt.

Transparente KI-Ansage Unsere Systeme informieren Anrufer automatisch uber die KI-Nutzung. Die Ansage ist konfigurierbar und kann an Ihre Markenkommunikation angepasst werden.

Dokumentation und Unterstutzung Wir stellen Ihnen alle notwendigen Unterlagen zur Verfugung: TOMs, Verarbeitungsverzeichnis-Vorlagen, Datenschutzhinweise fur Ihre Webseite und Schulungsmaterial fur Ihr Team.

Regelmassige Audits Unsere Systeme und Prozesse werden regelmaessig intern und extern uberpruft. Sicherheitsupdates werden zeitnah implementiert.

Wir glauben: Datenschutz ist kein Hindernis fur Innovation. Er ist die Grundlage fur Vertrauen -- und Vertrauen ist die Grundlage fur erfolgreiche Geschaftsbeziehungen.