KI-Telefonassistenten versprechen Effizienz und Erreichbarkeit rund um die Uhr. Doch wer bei der Wahl des Anbieters nicht genau hinschaut, riskiert empfindliche Bußgelder und Abmahnungen. Die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten – und viele populäre KI-Telefonie-Anbieter erfüllen diese Anforderungen nicht.
Welche Daten verarbeiten KI-Telefonassistenten?
Ein Telefonat enthält in aller Regel personenbezogene Daten: Mindestens die Telefonnummer des Anrufers, häufig auch Namen, Adressen, Anliegen und in sensiblen Branchen sogar Gesundheitsinformationen oder finanzielle Details. All diese Daten fallen unter die DSGVO – unabhängig davon, ob sie von einem Menschen oder einer KI entgegengenommen werden.
Das Schrems-II-Problem: US-Server sind rechtlich riskant
Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) im sogenannten Schrems-II-Urteil das Privacy-Shield-Abkommen für ungültig. Das hatte weitreichende Folgen: Die Übermittlung personenbezogener Daten in die USA ist seitdem nur noch unter sehr engen Voraussetzungen zulässig. Standardvertragsklauseln (SCCs) können dies theoretisch abdecken – in der Praxis jedoch häufig nicht ausreichend, da US-Behörden weiterhin Zugriff auf Daten US-amerikanischer Unternehmen haben.
Konkret bedeutet das: Wer Vapi, Retell AI oder Bland AI einsetzt, überträgt Telefongesprächsdaten in die USA. Das ist nach aktuellem EU-Datenschutzrecht höchst problematisch. Deutsche Datenschutzbehörden haben in der Vergangenheit bereits Bußgelder für vergleichbare Verstöße verhängt.
Wichtig: Das Trans-Atlantic Data Privacy Framework (TADPF), das 2023 eingeführt wurde, bietet zwar eine rechtliche Grundlage für bestimmte Datentransfers – es ist jedoch umstritten und kann erneut vor Gericht angefochten werden. Die sicherste Lösung bleibt die Verarbeitung von Daten ausschließlich auf EU- oder deutschen Servern.
Informationspflicht: Muss ich Anrufer über KI informieren?
Ja. Nach der DSGVO (Art. 13 und 14) müssen betroffene Personen über die Verarbeitung ihrer Daten informiert werden. Wenn ein KI-Assistent Gesprächsdaten aufzeichnet oder verarbeitet, muss der Anrufer zu Beginn des Gesprächs darüber informiert werden – am besten per klarer Ansage.
Zudem gibt es in Deutschland nach dem Urteil des Bundesgerichtshofs die Pflicht, auf Nachfrage offenzulegen, ob man mit einer KI oder einem Menschen spricht. Ein KI-Assistent muss diese Frage wahrheitsgemäß beantworten.
Aufzeichnung von Telefonaten: Was ist erlaubt?
Das Aufzeichnen von Telefonaten ist in Deutschland nur mit Einwilligung aller Gesprächsteilnehmer zulässig (§ 201 StGB). Eine KI, die Gespräche aufzeichnet oder transkribiert, muss also zu Beginn des Gesprächs die Einwilligung des Anrufers einholen. Dies sollte automatisch und eindeutig erfolgen – mit der Möglichkeit, die Einwilligung zu verweigern.
Auftragsverarbeitung: Was ist mit dem Anbieter zu regeln?
Wenn Sie einen externen KI-Telefonassistenten einsetzen, sind Sie der Verantwortliche im Sinne der DSGVO – der Anbieter ist Auftragsverarbeiter. Das bedeutet: Sie müssen einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter schließen. Dieser Vertrag regelt, wie der Anbieter mit den Daten umgeht, welche Sicherheitsmaßnahmen er ergreift und was mit den Daten nach Vertragsende passiert.
Rufmeister stellt einen DSGVO-konformen AVV zur Verfügung und unterstützt Kunden beim Aufbau einer rechtssicheren Datenschutzstruktur. US-amerikanische Anbieter wie Vapi oder Retell AI haben in der Regel keinen EU-konformen AVV anzubieten.
Besonders sensible Branchen: Arztpraxen, Kanzleien, Steuerberater
In bestimmten Branchen gelten noch strengere Anforderungen. Arztpraxen verarbeiten Gesundheitsdaten – besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Steuerberater und Anwälte unterliegen der Verschwiegenheitspflicht. Für diese Branchen ist die Wahl eines DSGVO-konformen Anbieters mit deutschen Servern keine Option, sondern absolute Pflicht.
So schützen Sie sich vor Abmahnungen
- Wählen Sie einen Anbieter mit Serverstandort in Deutschland oder der EU – idealerweise mit expliziter DSGVO-Konformität.
- Schließen Sie einen Auftragsverarbeitungsvertrag mit Ihrem Anbieter ab.
- Informieren Sie Anrufer zu Beginn des Gesprächs über die KI-Verarbeitung.
- Holen Sie bei Gesprächsaufzeichnungen die explizite Einwilligung ein.
- Dokumentieren Sie alle datenschutzrelevanten Maßnahmen in Ihrem Verzeichnis der Verarbeitungstätigkeiten.
- Lassen Sie Ihre Konfiguration von einem Datenschutzbeauftragten prüfen.
Rufmeister: Datenschutz als Grundprinzip
Rufmeister wurde von Anfang an mit Datenschutz als Grundprinzip entwickelt. Alle Daten werden ausschließlich auf deutschen Servern verarbeitet, die Informationspflichten sind fest in den Gesprächsabläufen verankert, und Auftragsverarbeitungsverträge werden standardmäßig bereitgestellt. Für Unternehmen in sensiblen Branchen ist Rufmeister die einzig konsequent sichere Wahl.
Fazit: Datenschutz ist kein Beiwerk – er ist Voraussetzung
Wer KI-Telefonassistenten einsetzen möchte, muss Datenschutz von Anfang an mitdenken. Die Wahl eines nicht-konformen Anbieters aus Kostengründen kann teuer werden – nicht nur finanziell durch Bußgelder, sondern auch durch Reputationsschäden. Rufmeister bietet die Sicherheit, die deutsche Unternehmen brauchen.
