DSGVO und KI-Telefonassistenten — was Unternehmen wissen müssen

Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an den Umgang mit personenbezogenen Daten. Wer einen KI-Telefonassistenten einsetzt, muss einige Punkte beachten, damit die Lösung rechtskonform arbeitet. Dieser Artikel gibt einen praxisnahen Überblick.

Welche Daten verarbeitet ein KI-Telefonassistent?

Bei jedem Anruf können personenbezogene Daten anfallen: Name, Telefonnummer, Anliegen und in manchen Branchen auch Gesundheitsdaten oder Vertragsinformationen. Die DSGVO stuft Telefongespräche als Verarbeitung personenbezogener Daten ein, sobald diese aufgezeichnet, transkribiert oder gespeichert werden.

Auftragsverarbeitung (AVV) ist Pflicht

Da der KI-Anbieter Daten im Auftrag Ihres Unternehmens verarbeitet, ist eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO zwingend erforderlich. Diese regelt, welche Daten verarbeitet werden, zu welchem Zweck und welche technischen und organisatorischen Maßnahmen (TOMs) der Anbieter umsetzt. Bei ephesus-ai ist die AVV standardmäßig im Vertrag enthalten.

Serverstandort Deutschland

Ein kritischer Punkt: Wo werden die Daten verarbeitet und gespeichert? Anbieter, die auf US-amerikanische Cloud-Dienste ohne ausreichende Schutzmaßnahmen setzen, bewegen sich in einer rechtlichen Grauzone. Unternehmen sollten darauf achten, dass die Datenverarbeitung auf Servern innerhalb der EU, idealerweise in Deutschland, stattfindet. Dies vereinfacht die Compliance erheblich.

Informationspflichten und Transparenz

Anrufer haben das Recht zu erfahren, dass sie mit einer KI sprechen. Die DSGVO verlangt zudem, dass Betroffene über die Datenverarbeitung informiert werden. In der Praxis geschieht dies durch eine kurze Ansage zu Beginn des Gesprächs und einen Verweis auf die Datenschutzerklärung auf Ihrer Website.

Besondere Kategorien: Gesundheitsdaten

In Branchen wie dem Gesundheitswesen gelten verschärfte Anforderungen. Gesundheitsdaten fallen unter Art. 9 DSGVO und erfordern besondere Schutzmaßnahmen. Für Arztpraxen bedeutet das: verschlüsselte Übertragung, strenge Zugriffskontrollen und eine explizite Rechtsgrundlage für die Verarbeitung.

Rechte der Betroffenen

Anrufer können jederzeit Auskunft über ihre gespeicherten Daten verlangen, deren Löschung fordern oder der Verarbeitung widersprechen. Dein KI-Telefonassistent muss in der Lage sein, diese Anfragen korrekt zu erkennen und an die zuständige Stelle weiterzuleiten. Automatisierte Löschroutinen nach definierten Fristen sind ebenfalls empfehlenswert.

Checkliste für DSGVO-konforme KI-Telefonie

• Auftragsverarbeitungsvereinbarung (AVV) abgeschlossen
• Datenverarbeitung auf EU/DE-Servern
• Transparenzhinweis zu Beginn des Gesprächs
• Verschlüsselte Datenübertragung (TLS/SSL)
• Definierte Löschfristen für Gesprächsdaten
• Prozess für Betroffenenrechte implementiert
• Verarbeitungsverzeichnis aktualisiert

Fazit

DSGVO-Konformität ist kein Hindernis für den Einsatz von KI-Telefonassistenten, sie ist eine Grundvoraussetzung. Mit dem richtigen Anbieter und einer sauberen vertraglichen Grundlage lässt sich ein Voice Agent mit allen Vorteilen datenschutzkonform betreiben. Alle Details zu unserem Datenschutzkonzept findest du in unserer Datenschutzerklärung.