DSGVO-konformer KI-Telefonassistent: Der vollständige Leitfaden für KMU
Kurz zusammengefasst
KI-Telefonassistenten verarbeiten personenbezogene Daten und fallen damit vollständig unter die DSGVO. Rechtsgrundlage ist in den meisten Fällen Art. 6 Abs. 1 lit. b (Vertragserfüllung) oder lit. f (berechtigtes Interesse). Zwingend erforderlich sind: ein AV-Vertrag nach Art. 28 DSGVO, ein Serverstandort in der EU/DE sowie eine Hinweispflicht gegenüber Anrufern. Anbieter wie Vokaro (Nürnberg/Hetzner) und Fonio (Deutschland/Hetzner) erfüllen diese Anforderungen – US-amerikanische Lösungen nicht.
Warum DSGVO beim KI-Telefon besonders relevant ist
Wenn ein Kunde anruft, verarbeitet ein KI-Telefonassistent personenbezogene Daten: Stimme, Name, Telefonnummer, Anliegen – und bei Gesundheitspraxen auch besonders sensible Gesundheitsdaten (Art. 9 DSGVO). Das Gespräch wird in Echtzeit transkribiert, per KI analysiert und in einer Datenbank gespeichert. Damit gelten alle Pflichten der DSGVO: Zweckbindung, Speicherbegrenzung, Transparenz und Datensicherheit. Zusätzlich verpflichtet die EU-KI-Verordnung (seit August 2024 in Kraft) zu einem Transparenzhinweis, wenn Menschen mit KI-Systemen interagieren. Kurz: Wer einen KI-Telefonassistenten einsetzt, braucht eine saubere datenschutzrechtliche Grundlage.
- Stimmdaten gelten als personenbezogene Daten (Art. 4 Nr. 1 DSGVO)
- Transkriptionen, Anrufinhalte und Buchungsdaten werden gespeichert
- Gesundheitsdaten (Praxen) unterliegen Art. 9 DSGVO – höchste Schutzstufe
- EU-KI-Verordnung: Hinweispflicht bei KI-Interaktion (seit Aug. 2024)
- Drittlandtransfers (z.B. US-Cloud) sind seit Schrems II (2020) DSGVO-kritisch
Rechtsgrundlage nach Art. 6 DSGVO: Was gilt für die Telefonverarbeitung?
Für die Verarbeitung personenbezogener Daten beim Telefonkontakt kommen in der Praxis drei Rechtsgrundlagen in Frage. Welche gilt, hängt vom Kontext ab:
| Rechtsgrundlage | Wann anwendbar | Beispiel | Ausreichend? |
|---|---|---|---|
| Art. 6 Abs. 1 lit. b – Vertragserfüllung | Bestandskunde ruft zur Terminvereinbarung an | Patient bucht Folgetermin beim Physiotherapeuten | ✓ Ja |
| Art. 6 Abs. 1 lit. f – Berechtigtes Interesse | Interessent ruft erstmals an; KMU hat legitimes Interesse an Erreichbarkeit | Neukunde fragt Angebot an | ✓ Ja (mit Abwägung) |
| Art. 6 Abs. 1 lit. a – Einwilligung | Aufzeichnung zu Qualitätszwecken oder Marketinganalyse | Gesprächsaufzeichnung für Training | ✓ Aber: aktive Zustimmung erforderlich |
| Art. 9 Abs. 2 – Sensible Daten (Gesundheit) | Wenn Gesundheitsdaten verarbeitet werden | Physio, Zahnarzt, Arztpraxis | Zusätzliche Voraussetzungen notwendig |
Einwilligung muss aktiv gegeben werden – passive Hinweispflicht reicht nicht
Gründer.de – KI-Telefonassistent: DSGVO, Einwilligung & Grauzonen(Quelle)
Die 7 DSGVO-Pflichten für KI-Telefonassistenten
Folgende sieben Pflichten müssen KMU beim Einsatz eines KI-Telefonassistenten erfüllen – unabhängig vom gewählten Anbieter:
| Pflicht | Erklärung | Wie erfüllen |
|---|---|---|
| 1. Rechtsgrundlage (Art. 6) | Jede Datenverarbeitung braucht eine Grundlage | Art. 6 lit. b oder lit. f dokumentieren, bei Gesundheitsdaten Art. 9 beachten |
| 2. Transparenz (Art. 13/14) | Anrufer müssen über die Verarbeitung informiert werden | Ansage zu Beginn: "Sie sprechen mit einem KI-Assistenten" |
| 3. AV-Vertrag (Art. 28) | Schriftlicher Vertrag mit dem KI-Anbieter als Auftragsverarbeiter | Anbieter muss AV-Vertrag bereitstellen – Pflichtdokument |
| 4. Datensicherheit (Art. 32) | Verschlüsselung, Zugriffskontrolle, sichere Übertragung | TLS-Verschlüsselung, DE-Server, Zugriff nur für Befugte |
| 5. Speicherbegrenzung (Art. 5 Abs. 1 lit. e) | Daten nicht länger als nötig speichern | Löschfrist max. 6 Monate für Gesprächsdaten |
| 6. Betroffenenrechte (Art. 15–22) | Auskunft, Löschung, Widerspruch müssen möglich sein | Prozess für Löschanfragen einrichten und dokumentieren |
| 7. Verarbeitungsverzeichnis (Art. 30) | Dokumentation aller Verarbeitungstätigkeiten | KI-Telefonassistent als Verarbeitungstätigkeit eintragen |
Deutsche Server vs. US-Cloud: Was ist rechtlich erlaubt?
Der Serverstandort ist der entscheidende Datenschutzfaktor. Der Europäische Gerichtshof hat 2020 mit dem Schrems-II-Urteil entschieden, dass die USA kein angemessenes Schutzniveau für EU-Daten bieten. Zusätzlich ermöglicht der US CLOUD Act US-Behörden den Zugriff auf Daten von US-Unternehmen – auch wenn die Server physisch in Deutschland stehen. Das bedeutet: Selbst ein "EU-Server" eines US-Konzerns (Google, Microsoft, AWS) ist datenschutzrechtlich riskant.
| Anbieter-Typ | Serverstandort | Schrems-II-Risiko | US CLOUD Act Risiko | DSGVO-Empfehlung |
|---|---|---|---|---|
| DE-Anbieter (z.B. Vokaro, Fonio) | Deutschland | Keines | Keines | ✓ Empfohlen |
| EU-Anbieter (nicht DE) | EU | Gering | Keines | ✓ Akzeptabel |
| US-Anbieter, EU-Server | EU | Mittel | Hoch (US CLOUD Act) | ⚠ Riskant |
| US-Anbieter, US-Server | USA | Sehr hoch | Hoch | ✗ Nicht empfohlen |
EuGH Schrems II (2020): USA bietet kein angemessenes Datenschutzniveau
Anexia Blog – Implications of the Schrems II Judgement on Cloud Providers(Quelle)
Auftragsverarbeitungsvertrag (AV-Vertrag): Was muss geregelt sein?
Ein AV-Vertrag gemäß Art. 28 DSGVO ist keine optionale Vereinbarung – er ist gesetzlich verpflichtend, sobald ein Dienstleister personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Ein fehlender oder unvollständiger AV-Vertrag ist selbst eine DSGVO-Verletzung und kann mit Bußgeldern bis zu €20 Millionen geahndet werden.
- Gegenstand und Dauer der Verarbeitung (was wird verarbeitet, wie lange)
- Art und Zweck der Verarbeitung (Telefonkommunikation, Terminbuchung)
- Art der personenbezogenen Daten (Stimme, Name, Anliegen, Gesundheitsdaten)
- Kategorien betroffener Personen (Kunden, Patienten, Interessenten)
- Pflichten und Rechte des Verantwortlichen (Weisungsrecht gegenüber Auftragsverarbeiter)
- Serverstandort und zulässige Unterauftragsverarbeiter (z.B. Deepgram, Hetzner)
- Technische und organisatorische Maßnahmen (TOM) des Anbieters
- Verbot der Nutzung für KI-Training ohne explizite Einwilligung
Hinweispflicht: Müssen Anrufer informiert werden?
Ja – und das ist rechtlich eindeutig. Es reicht nicht, einen passiven Hinweis in der Datenschutzerklärung zu vergraben. Anrufer müssen zu Beginn des Gesprächs aktiv darüber informiert werden, dass sie mit einem KI-System sprechen. Das ergibt sich aus mehreren Rechtsgrundlagen: **DSGVO Art. 13/14** – Transparenzpflicht bei der Erhebung personenbezogener Daten **EU-KI-Verordnung (seit Aug. 2024)** – Transparenzpflicht bei KI-Interaktion **§ 201 StGB** – Unbefugtes Aufnehmen von Gesprächen ist strafbar; Einwilligung durch Information Die Ansage muss klar und verständlich sein, z.B.: *"Willkommen bei [Praxisname]. Sie sprechen mit unserem KI-Assistenten. Ihre Anfrage wird aufgezeichnet und verarbeitet, um Ihnen zu helfen. Für persönliche Beratung wählen Sie bitte..."*
Aktive Einwilligung per Sprache oder Tastendruck – passive Information reicht nicht
Proliance.ai – Aufzeichnung von Telefongesprächen: DSGVO-konform?(Quelle)
Checkliste: So wählen Sie einen DSGVO-konformen Anbieter
Nutzen Sie diese Checkliste bei der Anbieterbewertung. Alle Punkte sollten mit "Ja" beantwortet werden können, bevor Sie einen Vertrag unterzeichnen.
| Kriterium | Frage an den Anbieter | Vokaro | Zu prüfen beim Wettbewerb |
|---|---|---|---|
| Serverstandort | Wo werden Daten physisch gespeichert? | Nürnberg, DE (Hetzner) | DE oder EU erforderlich |
| AV-Vertrag | Stellen Sie einen Art.-28-AV-Vertrag bereit? | ✓ Ja | Pflicht – ohne = Ausschluss |
| Unterauftragsverarbeiter | Welche Subdienstleister werden eingesetzt? | Hetzner, Deepgram (EU) | Vollständige Liste erforderlich |
| Kein KI-Training mit Kundendaten | Werden Gesprächsdaten für Modelltraining genutzt? | ✓ Nein | Explizit ausschließen |
| Löschfristen | Wie lange werden Gesprächsdaten gespeichert? | Max. 6 Monate | 6 Monate Richtwert |
| Verschlüsselung | TLS bei Übertragung, AES bei Speicherung? | ✓ Ja | Technische Details anfragen |
| Betroffenenrechte | Können Kunden Auskunft und Löschung verlangen? | ✓ Ja | Prozess dokumentieren |
| Hinweispflicht | Wird KI-Ansage zu Gesprächsbeginn konfiguriert? | ✓ Ja (Standard) | Pflicht nach DSGVO + KI-VO |
Besonderheiten für Praxen: Gesundheitsdaten nach Art. 9 DSGVO
Arztpraxen, Zahnärzte, Physiotherapeuten und Psychotherapeuten verarbeiten beim Telefongespräch regelmäßig Gesundheitsdaten – die sensibelste Datenkategorie unter der DSGVO. Hier gelten verschärfte Anforderungen. Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist empfohlen oder sogar verpflichtend, wenn die KI-Verarbeitung systematisch und in großem Umfang erfolgt. Für eine [Zahnarztpraxis](/de/branchen/zahnarzt) mit 30+ täglichen Anrufen ist eine DSFA sinnvoll – für ein kleines [Handwerksunternehmen](/de/branchen/handwerk) ohne Gesundheitsbezug in der Regel nicht erforderlich. Weitere Details zum Fachkräftemangel in Arztpraxen und KI-Lösungen finden Sie in unserem [Vergleichsartikel](/de/blog/fachkraeftemangel-arztpraxis-ki-loesung).
- Art. 9 DSGVO: Gesundheitsdaten benötigen explizite Rechtsgrundlage (Art. 9 Abs. 2)
- Für Praxen: Art. 9 Abs. 2 lit. h (Gesundheitsversorgung) als Rechtsgrundlage nutzen
- DSFA (Art. 35) prüfen: Verpflichtend bei systematischer Verarbeitung sensibler Daten
- Schweigepflicht (§ 203 StGB): AV-Vertrag muss Vertraulichkeit des Anbieters sichern
- Zertifizierungen des Anbieters (ISO 27001, C5) als Qualitätsnachweis anfragen
Häufig gestellte Fragen
Muss ich für einen KI-Telefonassistenten einen AV-Vertrag abschließen?
Ja, zwingend. Ein AV-Vertrag nach Art. 28 DSGVO ist gesetzlich vorgeschrieben, sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Ein fehlender AV-Vertrag ist selbst eine DSGVO-Verletzung und kann zu Bußgeldern bis €20 Millionen führen.
Darf ein KI-Telefonassistent Kundengespräche aufzeichnen?
Ja, aber mit klaren Voraussetzungen: Es braucht eine gültige Rechtsgrundlage (Art. 6 DSGVO), alle Anrufer müssen aktiv zu Beginn des Gesprächs informiert werden, der AV-Vertrag muss vorliegen und Daten müssen nach spätestens 6 Monaten gelöscht werden.
Ist Deepgram (US-Unternehmen) DSGVO-konform nutzbar?
Deepgram bietet einen EU-Endpunkt an, der Daten ausschließlich auf EU-Servern verarbeitet. Vokaro nutzt diesen EU-Endpunkt. Für vollständige DSGVO-Konformität müssen Deepgram als Unterauftragsverarbeiter im AV-Vertrag benannt sein und Standardvertragsklauseln vorliegen.
Können Kunden verlangen, dass ihre Gesprächsdaten gelöscht werden?
Ja. Das Recht auf Löschung (Art. 17 DSGVO) gilt auch für Gesprächsdaten des KI-Telefonassistenten. Sie müssen einen Prozess eingerichtet haben, um Löschanfragen innerhalb von 30 Tagen zu bearbeiten. Der Anbieter muss die Löschung in seinen Systemen bestätigen können.
Ist ein KI-Telefonassistent für Arztpraxen erlaubt?
Ja, wenn die DSGVO-Anforderungen für Gesundheitsdaten (Art. 9) erfüllt sind: DE-Serverstandort, AV-Vertrag, keine Nutzung für KI-Training, Hinweis an Patienten. Für Praxen mit hohem Anrufvolumen empfiehlt sich zusätzlich eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO).
Darf ein US-amerikanischer KI-Dienst in deutschen Praxen eingesetzt werden?
Grundsätzlich nur mit erheblichem Risiko. Das Schrems-II-Urteil des EuGH (2020) erklärt die USA für nicht datenschutzadäquat. Der US CLOUD Act ermöglicht US-Behörden den Datenzugriff auch auf EU-Server von US-Unternehmen. Für sensible Gesundheitsdaten ist davon dringend abzuraten.
Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?
Für kleine Unternehmen ohne Gesundheitsdaten in der Regel nicht. Für Praxen (Arzt, Zahnarzt, Physiotherapie), die systematisch Gesundheitsdaten per KI verarbeiten, ist eine DSFA nach Art. 35 DSGVO empfohlen oder verpflichtend. Der Datenschutzbeauftragte Ihres Landes gibt spezifische Hilfestellung.
Wie lange dürfen Gesprächsdaten des KI-Assistenten gespeichert werden?
Richtwert: maximal 6 Monate. Dieser Zeitraum ist in Rechtsprechung und Aufsichtsbehördenempfehlungen etabliert. Längere Speicherung ist möglich, wenn ein spezifischer Zweck dies rechtfertigt und dokumentiert ist. Unbegrenzte Speicherung ist nicht DSGVO-konform.
Was muss ich in meine Datenschutzerklärung aufnehmen?
Sie müssen den KI-Telefonassistenten als Verarbeitungstätigkeit in Ihrer Datenschutzerklärung ausweisen: Zweck, Rechtsgrundlage, Speicherdauer, Empfänger (Unterauftragsverarbeiter) und Serverstandort. Eine Anpassung der Datenschutzerklärung ist beim Einsatz eines neuen KI-Systems Pflicht.