English"Dürfen wir überhaupt eine KI ans Telefon lassen?" — eine der ersten Fragen, die uns Zahnarztpraxen, Salons und Restaurants stellen. Die kurze Antwort: Ja, sofern ein paar grundlegende DSGVO-Anforderungen erfüllt sind. Dieser Artikel geht jedes relevante Kriterium im Detail durch, damit Sie eine fundierte Entscheidung treffen können.
Welche Daten verarbeitet ein KI-Telefonassistent?
Bei einem typischen Anruf werden verarbeitet:
- Die Telefonnummer des Anrufers
- Der gesprochene Inhalt, zur Verarbeitung in Text umgewandelt (Transkript)
- Name und Kontaktdaten, sofern für eine Terminbuchung angegeben
- Gesundheits- oder behandlungsbezogene Hinweise, falls der Anrufer diese im Gespräch nennt (z. B. bei Arztpraxen)
Das sind personenbezogene, teils besonders schützenswerte Daten im Sinne von Art. 4 und Art. 9 DSGVO — entsprechend gelten erhöhte Sorgfaltsanforderungen, vor allem im medizinischen Kontext.
Rechtsgrundlage der Verarbeitung
In der Regel stützt sich die Verarbeitung auf zwei mögliche Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:
- lit. b (Vertragserfüllung): Der Anrufer möchte aktiv einen Termin buchen oder eine Dienstleistung anfragen — die Datenverarbeitung ist zur Erfüllung dieses Anliegens notwendig.
- lit. f (berechtigtes Interesse): Für allgemeine Anrufannahme und Qualitätssicherung, sofern die Interessen des Anrufers nicht überwiegen.
Eine explizite Einwilligung ist in den meisten Standardfällen nicht zwingend erforderlich, eine transparente Information über die Datenverarbeitung (z. B. ein kurzer Hinweis am Anfang des Gesprächs oder in der Datenschutzerklärung) ist jedoch empfehlenswert und in vielen Fällen ohnehin Pflicht.
Die wichtigsten DSGVO-Kriterien für KMU
- Auftragsverarbeitungsvertrag (AVV): Der Anbieter des KI-Telefonassistenten muss als Auftragsverarbeiter einen AVV nach Art. 28 DSGVO anbieten.
- Serverstandort: Idealerweise Verarbeitung innerhalb der EU, um internationale Datentransfers und zusätzliche Garantien zu vermeiden.
- Speicherdauer: Klare Löschfristen für Anrufaufzeichnungen und Transkripte — nicht unbegrenzt speichern.
- Transparenz für Anrufer: Anrufer sollten erkennen können, dass sie mit einem KI-System sprechen, wenn dies relevant ist.
- Datenminimierung: Nur die Daten erfassen, die für die Terminbuchung oder Anfrage tatsächlich nötig sind.
- Technische und organisatorische Maßnahmen (TOM): Verschlüsselung, Zugriffsbeschränkungen und Protokollierung beim Anbieter.
- Unterauftragsverarbeiter offenlegen: Welche weiteren Dienstleister (z. B. Cloud-Hosting, Sprachverarbeitung) eingebunden sind, sollte dokumentiert sein.
- Datenschutzerklärung aktualisieren: Die eigene Datenschutzerklärung sollte den Einsatz eines KI-Telefonassistenten erwähnen.
Was im Auftragsverarbeitungsvertrag stehen muss
Ein rechtskonformer AVV nach Art. 28 DSGVO regelt unter anderem: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Daten, Pflichten und Rechte des Verantwortlichen, sowie die eingesetzten technischen und organisatorischen Maßnahmen. Ohne diesen Vertrag fehlt die rechtliche Grundlage für die Beauftragung eines externen Dienstleisters mit der Verarbeitung von Anrufdaten.
Serverstandort und internationale Transfers
Wird die Sprachverarbeitung außerhalb der EU durchgeführt, greifen zusätzliche Anforderungen — etwa Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission. Das erhöht den Prüfaufwand erheblich. Eine Verarbeitung innerhalb der EU vermeidet diese Komplexität und ist für die meisten KMU die unkompliziertere Wahl.
Speicherfristen für Aufzeichnungen
Es gibt keine pauschale gesetzliche Frist für Anrufaufzeichnungen — entscheidend ist der Zweck. Üblich sind kurze Aufbewahrungsfenster (z. B. wenige Wochen für Qualitätssicherung), während Terminbuchungsdaten so lange gespeichert werden dürfen, wie sie für die Geschäftsbeziehung benötigt werden. Wichtig ist, dass der Anbieter ein klares Löschkonzept dokumentiert und nicht unbegrenzt speichert.
Fragen an den Anbieter vor der Beauftragung
| Frage | Warum sie wichtig ist |
|---|---|
| Wird ein AVV nach Art. 28 DSGVO angeboten? | Ohne AVV fehlt die rechtliche Grundlage für die Auftragsverarbeitung. |
| Wo findet die Datenverarbeitung statt? | Bestimmt, ob zusätzliche Transferinstrumente nötig sind. |
| Wie lange werden Aufzeichnungen gespeichert? | Unbegrenzte Speicherung verstößt gegen das Prinzip der Datenminimierung. |
| Welche Unterauftragsverarbeiter sind eingebunden? | Transparenz ist Pflicht und beeinflusst das Risiko der Verarbeitung. |
| Wie werden Löschanfragen umgesetzt? | Betroffene haben ein Recht auf Löschung nach Art. 17 DSGVO. |
Nicht jeder Anbieter erfüllt diese Kriterien automatisch. Bevor Sie sich für eine Lösung entscheiden, lohnt sich die schriftliche Bestätigung dieser Punkte — nicht nur eine mündliche Zusicherung.
Hinweis
Dieser Artikel bietet einen allgemeinen Überblick und ersetzt keine Rechtsberatung. Für eine rechtssichere Bewertung Ihrer individuellen Situation empfehlen wir die Rücksprache mit einem Datenschutzbeauftragten oder Fachanwalt.
Fragen zum Datenschutz bei Hallodesk?
Wir beantworten gerne Ihre Fragen zu AVV, Serverstandort und Datenverarbeitung in einem kurzen Gespräch.
✉️ Kontakt aufnehmenHäufige Fragen
Dürfen Unternehmen in Deutschland überhaupt eine KI ans Telefon lassen?
Ja, sofern der Anbieter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO anbietet, die Datenverarbeitung transparent dokumentiert ist und Löschfristen für Aufzeichnungen und Transkripte definiert sind.
Ist eine ausdrückliche Einwilligung der Anrufer notwendig?
In der Regel stützt sich die Verarbeitung auf die Erfüllung eines Vertrags oder ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. b bzw. f DSGVO, etwa wenn der Anrufer aktiv einen Termin buchen möchte. Eine explizite Einwilligung ist meist nicht erforderlich, eine transparente Information über die Datenverarbeitung aber empfehlenswert.
Was sollte ich einen Anbieter vor der Beauftragung fragen?
Fragen Sie nach dem Serverstandort, ob ein AVV nach Art. 28 DSGVO bereitgestellt wird, wie lange Aufzeichnungen und Transkripte gespeichert werden und ob Unterauftragsverarbeiter außerhalb der EU eingesetzt werden.