KI-gestützte Telefonie und DSGVO – was Sie wissen sollten

Ein digitales Konzeptbild zur KI-gestützten Telefonie und DSGVO. Links ein Smartphone mit ausgehenden Schallwellen, in der Mitte ein abstraktes KI-Symbol, das die Datenverarbeitung darstellt, und rechts ein Sicherheitsschild mit Schloss als Symbol für Datenschutz und DSGVO. Blaue und weiße Farbtöne mit modernen Linien verdeutlichen den digitalen Prozess.

DSGVO ist ein nützliches Übel, ob an jeder Stelle immer sinnvoll darüber lässt sich streiten, aber wir sollten davor nicht zurückschrecken und uns ausbremsen lassen, in diesem Artikel geht es um DSGVO mit Chat; und Sprachassistenten.

Die Digitalisierung macht auch vor dem Telefon nicht halt. Anstatt klassischer Callcenter kommen zunehmend KI-Sprachassistenten zum Einsatz, die Anrufe entgegennehmen, transkribieren und Antworten generieren. Das verspricht mehr Effizienz und bessere Erreichbarkeit. Allerdings müssen Unternehmen bei der Nutzung dieser Technologie auch die Datenschutz-Grundverordnung (DSGVO) im Blick behalten. Dieser Artikel gibt einen Überblick, wie KI-gestützte Telefonie funktioniert und worauf es in puncto Datenschutz ankommt.

1. Grundsätzliches zur KI-gestützten Telefonie

Definition

Bei KI-gestützter Telefonie nimmt ein KI-Sprachassistent ein Telefonat entgegen. Er kann dabei Audiodaten aufzeichnen und in Text umwandeln (Transkription). Anschließend wird der transkribierte Text an ein Large Language Model (LLM), wie beispielsweise GPT-4 (OpenAI) oder Claude (Anthropic), weitergeleitet. Dieses Modell analysiert den Inhalt, generiert eine passende Antwort und gibt sie dem Anrufer zurück – entweder wieder als Sprache oder auf anderem Wege.

Beteiligte Parteien

  1. Telefonanbieter: Leitet den Anruf an die KI-Plattform weiter.
  2. Retell.AI oder vergleichbare Dienste: Übernimmt die Transkription, Verwaltung der Daten sowie die Schnittstelle zum KI-Modell.
  3. KI-Modellanbieter: Zum Beispiel OpenAI (GPT-4) oder Anthropic (Claude).
  4. Unternehmen (Verantwortlicher nach DSGVO): Bietet den Service an und ist rechtlich dafür verantwortlich, dass die Verarbeitung der Anrufdaten datenschutzkonform erfolgt.

2. DSGVO-Grundlagen

Personenbezogene Daten

Sobald Stimmen oder Gesprächsinhalte Rückschlüsse auf eine Person zulassen, gelten sie rechtlich als personenbezogene Daten. Laut DSGVO benötigt jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage (Art. 6 DSGVO).

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 Buchstabe a DSGVO): Häufigste Methode, um Anrufe aufzeichnen oder KI-gestützt auswerten zu dürfen. Beispiel: „Sind Sie einverstanden, dass dieses Gespräch aufgezeichnet wird?“
  • Interessenabwägung (Art. 6 Abs. 1 Buchstabe f) oder Vertragserfüllung (Buchstabe b): Denkbar, aber mit besonderen Transparenzanforderungen.
  • Wichtig: Die Zustimmung muss freiwillig erfolgen. Der Anrufer darf kein Nachteil erleiden, wenn er ablehnt.

Informationspflichten (Art. 13 DSGVO)

Der Anrufer muss vor Beginn der Verarbeitung wissen:

  • Welche Daten werden aufgezeichnet?
  • Wer verarbeitet die Daten (z. B. Retell.AI, OpenAI, Anthropic)?
  • Zu welchem Zweck, wie lange und wo?
  • Findet eine Übertragung ins Nicht-EU-Ausland statt?

Außerdem ist auf das Widerrufsrecht und das Beschwerderecht (z. B. bei der Aufsichtsbehörde) hinzuweisen.

Datentransfer in Drittländer (Kapitel V DSGVO)

Bei Verarbeitung in den USA oder anderen Ländern außerhalb der EU (z. B. durch OpenAI oder Anthropic) ist ein datenschutzkonformer Drittlandtransfer notwendig. Meist verwendet man dazu:

  • Standardvertragsklauseln (SCC)
  • Zusätzliche technische und organisatorische Maßnahmen (TOMs).

Der Verantwortliche (Unternehmen) sollte einen Auftragsverarbeitungsvertrag (DPA) mit dem Anbieter (z. B. Retell.AI) abschließen, der wiederum entsprechende Verträge mit den KI-Modellanbietern hat.

3. Nutzung von GPT-4 (OpenAI)

Datenspeicherung bei OpenAI

  • OpenAI speichert API-Anfragen und Antworten in der Regel bis zu 30 Tage.
  • Keine Nutzung der eingehenden Daten für das Modelltraining im API-Bereich.

DSGVO-Relevanz

Die Übermittlung personenbezogener Daten in die USA muss über Standardvertragsklauseln oder ähnliche Regelungen abgesichert werden.

Speicherung bei Retell.AI

  • Retell.AI speichert standardmäßig Gesprächsaufzeichnungen und Transkripte.
  • Opt-Out: Mit einer speziellen Einstellung kann man das dauerhafte Speichern sensibler Daten deaktivieren.

Klarheit bei „Trainingszwecken“

  • OpenAI nutzt die Daten im API-Bereich nicht zum Trainieren seiner Modelle.
  • Unternehmen sollten präzise formulieren, ob es sich um internes Training (z. B. Schulungszwecke) handelt oder um das Training durch einen Drittanbieter.

4. Nutzung von Claude (Anthropic)

Datenspeicherung bei Anthropic

  • Claude speichert API-Eingaben kurz (max. 30 Tage) für Debugging und Missbrauchserkennung.
  • Keine Verwendung der Daten im Modelltraining, wenn die API-Variante genutzt wird.

Drittlandtransfer

  • Die Infrastruktur von Anthropic ist in den USA gehostet.
  • Ein vertraglich abgesicherter Datentransfer (SCC) ist notwendig.

Retell.AI und Claude

  • Retell dient als Vermittler (Transkription → Claude → Antwort).
  • Opt-Out-Funktion für dauerhaftes Speichern durch Retell funktioniert ähnlich wie bei GPT.

5. Einwilligung zu Gesprächsbeginn

Beispielhafter Ablauf

  1. Automatische Ansage: „Unser KI-Assistent nimmt das Gespräch entgegen. Sind Sie damit einverstanden, dass Ihre Daten zu [bestimmtem Zweck] verarbeitet werden?“
  2. Ablehnung: Weiterleitung an einen menschlichen Mitarbeiter.

Wichtige Punkte

  • Die Freiwilligkeit der Einwilligung muss gewährleistet sein.
  • Eine kurze Erklärung zur Speicherdauer und evtl. Drittlandübertragung ist sinnvoll.
  • Widerruf der Einwilligung sollte jederzeit möglich sein (z. B. während des Gesprächs).

6. Technische und vertragliche Anforderungen

Verschlüsselung

  • Transport- und Speicherverschlüsselung der Audio- und Textdaten sind essenziell.

Auftragsverarbeitungsverträge (DPA)

  • Unternehmen ↔ Retell.AI
  • Retell.AI ↔ OpenAI oder Anthropic
  • Hierin werden Art, Umfang, Löschfristen und weitere DSGVO-Punkte geregelt.

Speicherbegrenzung

  • Retell, OpenAI und Anthropic speichern Daten nur so lange, wie es erforderlich ist.
  • Mit Opt-Out-Funktionen lässt sich die dauerhafte Speicherung deaktivieren oder stark begrenzen.

7. Best Practices für DSGVO-Konformität

  1. Eindeutige und verständliche Information
    • Schon beim Telefonstart darauf hinweisen, dass eine KI im Einsatz ist, und erklären, was mit den Daten passiert.
  2. Freiwillige Einwilligung
    • Keine Nachteile bei Ablehnung. Wer nicht zustimmt, wird an einen realen Mitarbeiter weitergeleitet.
  3. Datenschutzerklärung
    • Ausführliche Informationen auf der Website oder anderswo bereitstellen (z. B. Verantwortlicher, Speicherung, Rechtsgrundlage, etc.).
  4. Verträge und Standardvertragsklauseln (SCC)
    • Alle beteiligten Dienstleister (z. B. Retell.AI, OpenAI, Anthropic) müssen vertraglich eingebunden werden, um den Drittlandtransfer rechtlich abzusichern.
  5. Rechenschaftspflichten
    • Unternehmen sollten dokumentieren, wie sie den Datenschutz einhalten (Art. 5 Abs. 2 DSGVO).
  6. Technische Sicherheit
    • Verschlüsselung, Zugriffsrechte, regelmäßige Audits – all dies reduziert das Risiko, dass Unbefugte auf sensible Daten zugreifen.

8. FAQ-Beispiele

  1. Wer ist für die Datenverarbeitung verantwortlich?
    Das Unternehmen, das den KI-gestützten Telefonservice anbietet.
  2. Was passiert, wenn ich nicht einverstanden bin?
    Sie werden an einen menschlichen Mitarbeiter weitergeleitet, ohne Nachteile.
  3. Werden meine Daten von OpenAI oder Anthropic zum Training genutzt?
    Im API-Einsatz in der Regel nicht. Die Daten werden nur kurz gespeichert (max. 30 Tage), aber nicht in das Modelltraining eingebunden.
  4. Wo werden die Daten gespeichert?
    Retell.AI verwendet größtenteils AWS-Rechenzentren (oft in den USA). OpenAI und Anthropic hosten ebenfalls in den USA. Es muss ein rechtskonformer Drittlandtransfer gewährleistet sein.
  5. Wie kann ich meine Einwilligung widerrufen?
    Während des Gesprächs oder über den Kundenservice. Die Daten werden dann gelöscht oder nicht weiterverarbeitet.
  6. Wie lange werden meine Daten gespeichert?
    Das ist abhängig von den konkreten Verträgen und den gewählten Einstellungen (z. B. 30 Tage zur Fehlererkennung). Bei Retell.AI kann man die Daueraufzeichnung abschalten.
  7. Wird meine Stimme dauerhaft gespeichert?
    Je nach Einstellung kann man die langfristige Speicherung deaktivieren, sodass nur kurzzeitig Daten für die Transkription verwendet werden.

9. Zusammenfassung

Die Kombination aus Telefonie und KI verspricht enorme Effizienzgewinne. Allerdings bringt KI-basierte Telefonassistenz auch gewisse Datenschutzverpflichtungen mit sich. Unternehmen sollten frühzeitig klären, welche Daten wie verarbeitet werden, ob eine Einwilligung benötigt wird und wie sie die Information der Anrufer sicherstellen. Darüber hinaus sind vertragsrechtliche Regelungen (DPA, SCC) mit allen Dienstleistern wichtig, um den Drittlandtransfer rechtlich abzusichern.

Mit transparenter Kommunikation, freiwilliger Einwilligung und einem soliden Datenschutz-Konzept können KI-Assistenten jedoch DSGVO-konform eingesetzt und der telefonische Kundenservice deutlich optimiert werden.

Fachkräftemangel lösen mit KI?


Quellen:
https://digitalzentrum-chemnitz.de/wissen/ki-anwendungen-und-dsgvo/
https://www.sophiehundertmark.com/generative-ai-chatbots-und-datenschutz/
https://www.userlike.com/de/blog/chatbot-datenschutz

Und Deep Research mit Chat GPT

Allgemein

Weitere Themen