KI-Telefonassistenten und die DSGVO: Was deutsche Firmen wissen müssen

KI-Telefonassistenten und die DSGVO

Was deutsche Firmen wissen müssen

Die Nutzung von Künstlicher Intelligenz (KI) revolutioniert immer mehr Bereiche der Unternehmenswelt. Besonders im Kundenservice erleben KI-gestützte Telefonassistenten, auch Voice Bots oder Call Bots genannt, einen wahren Aufschwung. Sie versprechen Effizienzsteigerung, 24/7-Verfügbarkeit und eine Entlastung der menschlichen Mitarbeiter. Doch gerade in Deutschland, wo der Datenschutz traditionell einen hohen Stellenwert genießt und die Datenschutz-Grundverordnung (DSGVO) strenge Regeln vorgibt, stellen sich für Unternehmen viele Fragen. Wer einen KI-Telefonassistenten einführen möchte, muss sich intensiv mit den rechtlichen Rahmenbedingungen auseinandersetzen, um hohe Bußgelder und Reputationsschäden zu vermeiden.

Was sind KI-Telefonassistenten und warum sind sie interessant für Unternehmen?

KI-Telefonassistenten sind intelligente Systeme, die mittels Spracherkennung und natürlicher Sprachverarbeitung (Natural Language Processing, NLP) menschliche Sprache verstehen, interpretieren und darauf reagieren können. Sie beantworten Kundenfragen, erfassen Daten, leiten Anrufe weiter oder führen sogar einfache Transaktionen durch, alles ohne menschliches Zutun.

Die Vorteile für Unternehmen liegen auf der Hand:
* Verbesserte Erreichbarkeit: Kunden erhalten auch außerhalb der Geschäftszeiten oder an Feiertagen Unterstützung.
* Schnellere Bearbeitung: Standardanfragen können sofort und ohne Wartezeit bearbeitet werden.
*Kosteneffizienz: Personalkosten im Kundenservice können reduziert werden, da sich Mitarbeiter auf komplexere Fälle konzentrieren können.
* Skalierbarkeit: Der Assistent kann beliebig viele Anrufe gleichzeitig bearbeiten, auch bei Spitzenlasten.
* Kundenbindung: Durch schnelle und präzise Antworten kann die Kundenzufriedenheit gesteigert werden.

Die DSGVO als Grundstein des Datenschutzes

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in der gesamten Europäischen Union in Kraft und regelt den Umgang mit personenbezogenen Daten. Ihr Ziel ist es, die Rechte der Einzelpersonen in Bezug auf ihre Daten zu stärken. Für Unternehmen bedeutet das, dass jede Verarbeitung personenbezogener Daten – also alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen – einer strengen Prüfung unterzogen werden muss. Das umfasst auch die Daten, die ein KI-Telefonassistent erhebt, verarbeitet und speichert.

Herausforderung Nummer eins: Die Erhebung personenbezogener Daten

Ein KI-Telefonassistent ist naturgemäß darauf ausgelegt, mit Anrufern zu interagieren und dabei Informationen zu sammeln. Diese Informationen können von einfachen Anliegen bis hin zu sensiblen Kundendaten reichen. Typische personenbezogene Daten, die erfasst werden könnten, sind:
* Name, Adresse, Geburtsdatum
* Kundennummer, Vertragsdetails
* Bankverbindungen oder Kreditkartendaten
* Sprachbiometrische Daten zur Identifizierung
* Der Inhalt des Gesprächs selbst, der private Informationen enthalten kann

Die Einwilligung richtig einholen

Nach der DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn, es liegt eine Rechtsgrundlage vor. Die häufigste und oft sicherste Rechtsgrundlage für die Nutzung von KI-Telefonassistenten ist die Einwilligung der betroffenen Person gemäß Artikel 6 Absatz 1 Buchstabe a DSGVO.

Diese Einwilligung muss spezifisch, freiwillig, informiert und unmissverständlich sein. Das bedeutet in der Praxis:
Informiert: Der Anrufer muss klar und verständlich darüber aufgeklärt werden, dass das Gespräch von einem KI-Assistenten geführt und unter Umständen aufgezeichnet wird, welche Daten erhoben und zu welchem Zweck sie verarbeitet werden.
Freiwillig: Dem Anrufer muss eine echte Wahlmöglichkeit geboten werden, zum Beispiel die Option, stattdessen mit einem menschlichen Mitarbeiter zu sprechen oder das Gespräch zu beenden. Es darf kein Druck ausgeübt werden.
Spezifisch: Die Einwilligung muss sich auf genau definierte Datenkategorien und Verarbeitungszwecke beziehen. Eine pauschale Zustimmung reicht nicht aus.
Unmissverständlich: Die Einwilligung muss aktiv erfolgen, zum Beispiel durch die Bestätigung einer Taste am Telefon oder eine klare mündliche Zustimmung („Ja, ich stimme zu“). Ein stillschweigendes Einverständnis ist nicht ausreichend.

Besondere Vorsicht ist bei sensiblen Daten (besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO, z.B. Gesundheitsdaten, ethnische Herkunft, politische Meinungen) geboten. Für deren Verarbeitung ist in der Regel eine ausdrückliche Einwilligung erforderlich, die noch höhere Anforderungen stellt.

Transparenz ist das A und O

Die DSGVO legt großen Wert auf Transparenz. Unternehmen sind verpflichtet, betroffene Personen klar und verständlich über die Verarbeitung ihrer Daten zu informieren. Dies geschieht in der Regel über die Datenschutzerklärung auf der Webseite (Artikel 13 DSGVO) und durch Hinweise direkt zu Beginn des Telefonats (Artikel 14 DSGVO, falls Daten nicht direkt beim Betroffenen erhoben werden, was bei einem Telefonassistenten aber meist der Fall ist).

In der Datenschutzerklärung und im Initialhinweis des Telefonassistenten müssen mindestens folgende Informationen enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen (des Unternehmens).
  •  Gegebenenfalls Kontaktdaten des Datenschutzbeauftragten.
  •  Die Zwecke, für die die personenbezogenen Daten verarbeitet werden (z.B. Bearbeitung der Anfrage, Verbesserung des KI-Assistenten).
  •  Die Rechtsgrundlage der Verarbeitung (z.B. Einwilligung des Anrufers).
  •  Die Kategorien der verarbeiteten Daten (z.B. Name, Kundennummer, Gesprächsinhalt).
  •  Gegebenenfalls die Empfänger oder Kategorien von Empfängern der Daten (z.B. externer KI-Dienstleister).
  •  Die Dauer der Datenspeicherung.
  •  Informationen über die Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung etc.).
  • Das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde.
  • Die Möglichkeit, eine erteilte Einwilligung jederzeit zu widerrufen.

Datenverarbeitung und -speicherung: Wo und wie?

Ein weiterer wichtiger Aspekt ist die Speicherung und weitere Verarbeitung der vom KI-Assistenten erhobenen Daten. Hier gelten die Grundsätze der **Zweckbindung** und der **Datenminimierung**. Daten dürfen nur für die Zwecke verarbeitet werden, für die sie erhoben wurden, und es dürfen nur so viele Daten wie unbedingt notwendig gesammelt werden.

Die Speicherdauer muss ebenfalls klar definiert und begründet sein. Daten dürfen nicht länger als für den ursprünglichen Zweck erforderlich gespeichert werden. Dies gilt auch für Gesprächsaufzeichnungen oder Texttranskripte, die der KI-Assistent eventuell erstellt.

Auftragsverarbeitung mit Drittanbietern

Die meisten Unternehmen entwickeln ihre KI-Telefonassistenten nicht selbst, sondern nutzen die Dienste spezialisierter Anbieter. In diesem Fall handelt es sich um eine **Auftragsverarbeitung** im Sinne der DSGVO (Artikel 28). Das Unternehmen, das den KI-Assistenten einsetzt, ist der „Verantwortliche“, während der Dienstleister der „Auftragsverarbeiter“ ist.

Für eine rechtmäßige Zusammenarbeit ist der Abschluss eines **Auftragsverarbeitungsvertrags (AVV)** zwingend erforderlich. Dieser Vertrag regelt die Pflichten beider Parteien und stellt sicher, dass der Auftragsverarbeiter die Daten nur auf Weisung des Verantwortlichen und unter Einhaltung der DSGVO-Vorgaben verarbeitet. Unternehmen müssen ihre Dienstleister sorgfältig auswählen und deren Datenschutzmaßnahmen prüfen.

Besondere Aufmerksamkeit erfordert der Fall, wenn der KI-Dienstleister seinen Serverstandort außerhalb der EU/EWR hat (z.B. in den USA). Nach dem Schrems II-Urteil des Europäischen Gerichtshofs sind Datentransfers in Drittländer, die kein dem EU-Recht gleichwertiges Datenschutzniveau bieten, nur unter strengen Auflagen erlaubt. Standardvertragsklauseln müssen durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden, um einen effektiven Schutz der Daten zu gewährleisten. Viele deutsche und europäische Unternehmen bevorzugen daher Anbieter mit Serverstandorten innerhalb der EU.

Die Rechte der Betroffenen gewährleisten

Die DSGVO stattet Bürger mit einer Reihe von Rechten in Bezug auf ihre personenbezogenen Daten aus. Unternehmen müssen sicherstellen, dass diese Rechte auch im Kontext der KI-Telefonassistenten effektiv wahrgenommen werden können:
* Auskunftsrecht (Artikel 15): Anrufer können Auskunft darüber verlangen, welche Daten über sie verarbeitet werden.
* Recht auf Berichtigung (Artikel 16): Anrufer können verlangen, dass unrichtige Daten korrigiert werden.
* Recht auf Löschung (Artikel 17): Auch bekannt als „Recht auf Vergessenwerden“. Anrufer können die Löschung ihrer Daten verlangen, wenn keine andere Rechtsgrundlage die weitere Speicherung rechtfertigt (z.B. nach Widerruf der Einwilligung).
* Recht auf Einschränkung der Verarbeitung (Artikel 18): Das Recht, die Verarbeitung einzuschränken, wenn bestimmte Voraussetzungen erfüllt sind.
* Recht auf Datenübertragbarkeit (Artikel 20): Das Recht, die eigenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
* Widerspruchsrecht (Artikel 21): Das Recht, der Verarbeitung personenbezogener Daten zu widersprechen.

Unternehmen müssen klare Prozesse etablieren, wie sie solchen Anfragen nachkommen können, auch wenn die Daten über den KI-Assistenten erfasst wurden.

Datensicherheit und technische Schutzmaßnahmen

Ein KI-Telefonassistent verarbeitet oft sensible Kundeninformationen. Daher sind umfassende technische und organisatorische Sicherheitsmaßnahmen (TOMs) unerlässlich, um die Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen (Artikel 32 DSGVO). Dazu gehören unter anderem:
Verschlüsselung: Datenübertragung und -speicherung sollten verschlüsselt erfolgen.
Zugriffskontrollen: Nur autorisiertes Personal darf auf die Daten zugreifen.
Pseudonymisierung/Anonymisierung: Wo immer möglich, sollten personenbezogene Daten pseudonymisiert oder anonymisiert werden, um den Personenbezug zu reduzieren.
Sicherheitsaudits: Regelmäßige Überprüfung der Sicherheitsinfrastruktur durch interne oder externe Experten.
Incident Response: Ein Plan für den Fall einer Datenpanne ist zwingend erforderlich, einschließlich der Meldepflichten an die Aufsichtsbehörden (Artikel 33 DSGVO).

Besondere Risiken bei biometrischen Daten und Sprachanalyse

Einige fortschrittliche KI-Telefonassistenten nutzen biometrische Daten, wie zum Beispiel Stimmabdrücke (Voice Prints), zur eindeutigen Identifizierung von Anrufern. Solche Daten fallen unter die besonderen Kategorien personenbezogener Daten (Artikel 9 DSGVO) und erfordern eine ausdrückliche Einwilligung des Anrufers sowie noch strengere Schutzmaßnahmen.

Auch die Analyse von Sprachmustern oder sogar der Tonlage zur Erkennung von Emotionen oder Verhaltensmustern kann problematisch sein. Wenn solche Analysen dazu führen, Profile von Kunden zu erstellen oder sie in bestimmte Kategorien einzuordnen, müssen Unternehmen dies offenlegen und eine Rechtsgrundlage dafür haben. Das Erstellen von Profilen kann unter Umständen eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO erforderlich machen.

Checkliste für deutsche Unternehmen

Bevor Sie einen KI-Telefonassistenten einführen, sollten Sie folgende Punkte sorgfältig prüfen und umsetzen:

1. Datenanalyse: Welche Arten von personenbezogenen Daten werden vom KI-Assistenten erfasst? Erfasst er auch sensible Daten (Artikel 9 DSGVO)?
2. Zweckbestimmung: Definieren Sie klar, zu welchen spezifischen Zwecken die Daten verarbeitet werden.
3.*Rechtsgrundlage: Stellen Sie sicher, dass für jede Datenverarbeitung eine gültige Rechtsgrundlage vorliegt (meist die informierte Einwilligung des Anrufers).
4. Einwilligungsmanagement: Entwickeln Sie einen Prozess, um die Einwilligung ordnungsgemäß einzuholen, zu dokumentieren und den Widerruf zu ermöglichen.
5. Transparenz:** Aktualisieren Sie Ihre Datenschutzerklärung und informieren Sie Anrufer direkt zu Beginn des Gesprächs über die Datenverarbeitung.
6. Auftragsverarbeitungsvertrag: Wenn ein externer Dienstleister genutzt wird, schließen Sie einen DSGVO-konformen AVV ab und prüfen Sie dessen Datenschutzmaßnahmen. Beachten Sie die Standortfrage der Server.
7. Datensicherheit: Implementieren Sie robuste technische und organisatorische Maßnahmen zum Schutz der Daten (Verschlüsselung, Zugriffskontrolle, Pseudonymisierung).
8. Rechte der Betroffenen: Etablieren Sie Prozesse, um Anfragen bezüglich Auskunfts-, Berichtigungs-, Lösch- und Widerspruchsrechten schnell und effektiv bearbeiten zu können.
9. Datenschutz-Folgenabschätzung (DSFA): Führen Sie eine DSFA durch, wenn die Nutzung des KI-Assistenten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Personen birgt (z.B. bei der Verarbeitung von großen Mengen sensibler Daten, biometrischen Daten oder umfassendem Profiling).
10. Internes Schulung: Schulen Sie Ihre Mitarbeiter im Umgang mit dem KI-Assistenten und den damit verbundenen Datenschutzpflichten.
11. Dokumentation: Dokumentieren Sie alle getroffenen Maßnahmen und Entscheidungen gemäß Artikel 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten).
12. Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Einhaltung der Datenschutzvorgaben und passen Sie Ihre Prozesse bei Bedarf an.