DSGVO und KI-Telefonassistenten: Was deutsche Unternehmen wissen müssen

Praxisleitfaden zur DSGVO-Konformität bei KI-Telefonassistenten. Datenerfassung, Rechtsgrundlage, Speicherung, Anruferrechte und worauf Sie bei Anbietern achten sollten.

DSGVO und KI-Telefonassistenten: Was deutsche Unternehmen wissen müssen Ratgeber
David Schemm David Schemm

Wenn Sie als deutscher Unternehmer über einen KI-Telefonassistenten nachdenken, steht Datenschutz wahrscheinlich auf Ihrer Liste der Bedenken. Und das sollte er auch. Deutschland hat einige der strengsten Datenschutzaufsichtsbehörden in Europa, und Fehler können Bußgelder bedeuten, Beschwerden bei der Landesdatenschutzbehörde oder schlicht den Vertrauensverlust von Kunden, die erwarten, dass ihre Daten korrekt behandelt werden.

Aber: DSGVO-Konformität mit einem KI-Telefonassistenten ist nicht so kompliziert, wie es klingt. Sie brauchen kein Jurastudium. Sie müssen verstehen, welche Daten erhoben werden, warum die Erhebung rechtmäßig ist, wie lange gespeichert wird und welche Rechte Ihre Anrufer haben. Dieser Leitfaden behandelt alle vier Punkte.

Hinweis: Dieser Artikel enthält allgemeine Informationen zur DSGVO im Kontext von KI-Telefonassistenten. Er stellt keine Rechtsberatung dar. Für spezifische Compliance-Fragen konsultieren Sie einen qualifizierten Datenschutzanwalt oder Ihren betrieblichen Datenschutzbeauftragten.

Welche Daten erhebt ein KI-Telefonassistent?

Wenn jemand Ihr Unternehmen anruft und ein KI-Assistent antwortet, werden verschiedene Datenarten verarbeitet:

1. Telefonnummer des Anrufers. Die Nummer wird automatisch per Anruferkennung übermittelt. Das sind personenbezogene Daten nach DSGVO, denn eine Telefonnummer kann eine Person identifizieren, direkt oder in Kombination mit anderen Informationen.

2. Sprachaufnahme des Gesprächs. Die KI muss Sprache in Echtzeit verarbeiten, um den Anrufer zu verstehen und zu antworten. Die meisten KI-Telefonassistenten speichern die Aufnahme zumindest temporär, um ein Transkript und eine Zusammenfassung zu erstellen.

3. Transkript des Gesprächs. Die gesprochenen Worte werden in Text umgewandelt. Dieses Transkript enthält oft personenbezogene Daten: den Namen des Anrufers, sein Anliegen, Terminwünsche, Kontaktdaten, die er freiwillig mitteilt.

4. Anruf-Metadaten. Zeitpunkt und Datum des Anrufs, Dauer, ob das Gespräch abgeschlossen wurde oder abgebrochen ist. Diese Daten sind weniger sensibel, fallen aber trotzdem unter die DSGVO.

5. Abgeleitete Daten. Die KI erstellt eine Zusammenfassung, extrahiert Handlungspunkte und kann den Anruf kategorisieren (neuer Interessent, Bestandskunde, Beschwerde). Auch diese abgeleiteten Ergebnisse zählen als Verarbeitung personenbezogener Daten, weil sie auf den Informationen des Anrufers basieren.

Das ist vergleichbar mit dem, was passiert, wenn eine menschliche Empfangskraft antwortet: Sie hört den Anrufer, macht Notizen und gibt eine Nachricht weiter. Der Unterschied: Bei KI ist die Verarbeitung automatisiert, was zusätzliche DSGVO-Anforderungen auslöst (insbesondere Artikel 22 zur automatisierten Entscheidungsfindung, wobei die meisten KI-Telefonassistenten außerhalb seines Anwendungsbereichs fallen, da sie keine Entscheidungen mit rechtlicher Wirkung treffen).

Rechtsgrundlage: Warum diese Verarbeitung zulässig ist

Die DSGVO verlangt eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Für KI-Telefonassistenten sind zwei Grundlagen relevant:

Berechtigtes Interesse (Artikel 6 Abs. 1 lit. f)

Das ist die häufigste Rechtsgrundlage für geschäftliche Telefonate. Ihr berechtigtes Interesse: Ihr Unternehmen zu führen, Ihre Kunden zu bedienen und keine wichtigen Anrufe zu verpassen. Anrufe entgegenzunehmen und den Inhalt geschäftlicher Anfragen zu erfassen, gehört zum normalen, erwartbaren Geschäftsbetrieb.

Damit das berechtigte Interesse greift, brauchen Sie eine Interessenabwägung: Ihr Interesse an der Datenverarbeitung muss die Privatsphäre-Interessen des Anrufers überwiegen. Im Kontext eines Geschäftsanrufs fällt diese Abwägung typischerweise zugunsten des Unternehmens aus, weil:

  • Der Anrufer den Anruf freiwillig initiiert hat.
  • Der Anrufer erwartet, dass seine Nachricht empfangen und bearbeitet wird.
  • Die erhobenen Daten auf das beschränkt sind, was zur Bearbeitung der Anfrage nötig ist.
  • Der Anrufer vernünftigerweise erwarten kann, dass ein Unternehmen Technologie zur Anrufverwaltung einsetzt.

Dokumentieren Sie diese Interessenabwägung (eine Seite reicht) und bewahren Sie sie auf.

Einwilligung (Artikel 6 Abs. 1 lit. a)

Manche Unternehmen informieren Anrufer zu Beginn des Gesprächs, dass ein KI-Assistent antwortet und das Gespräch aufgezeichnet wird. Wenn der Anrufer das Gespräch nach diesem Hinweis fortsetzt, kann das als konkludente Einwilligung gewertet werden, wobei die rechtliche Belastbarkeit der konkludenten gegenüber der ausdrücklichen Einwilligung umstritten ist.

Der sicherere Ansatz: Kombinieren Sie einen kurzen Hinweis zu Gesprächsbeginn (“Dieser Anruf wird von einem KI-Assistenten entgegengenommen und kann zu Service- und Qualitätszwecken aufgezeichnet werden”) mit dem berechtigten Interesse als primärer Rechtsgrundlage. So haben Sie Transparenz (die die DSGVO unabhängig von der Rechtsgrundlage verlangt) plus eine solide rechtliche Basis.

Wichtig: Wenn Sie Gespräche aufzeichnen und Ihr Unternehmen in Deutschland tätig ist, beachten Sie, dass die Aufnahme eines Telefonats ohne jeglichen Hinweis gegen § 201 StGB (Verletzung der Vertraulichkeit des Wortes) verstoßen kann. Der Hinweis zu Gesprächsbeginn adressiert sowohl die DSGVO-Transparenzanforderungen als auch diese strafrechtliche Vorschrift.

Datenspeicherung: Wo, wie lange und wie

Drei Fragen sind hier relevant:

Wo werden die Daten gespeichert?

Die DSGVO verlangt, dass personenbezogene Daten innerhalb der EU/des EWR gespeichert werden, in einem Land mit angemessenem Datenschutzniveau, oder mit geeigneten Garantien (wie Standardvertragsklauseln) bei Übermittlung außerhalb der EU.

Für deutsche Unternehmen ist die einfachste und sicherste Option ein Anbieter, der Daten auf Servern in Deutschland oder der EU speichert. Das vermeidet die Komplexität internationaler Datentransfers komplett.

Wenn Ihr KI-Telefonassistent-Anbieter Daten auf US-Servern speichert, müssen Sie prüfen, ob geeignete Übermittlungsmechanismen vorhanden sind. Seit dem EU-US Data Privacy Framework (Juli 2023) sind Transfers an zertifizierte US-Unternehmen zulässig, doch dieser Rahmen könnte angefochten werden (wie seine Vorgänger). Deutsche Datenschutzbehörden stehen US-Datentransfers traditionell skeptisch gegenüber.

Wie lange sollten Daten aufbewahrt werden?

Der Grundsatz der Speicherbegrenzung (Artikel 5 Abs. 1 lit. e DSGVO) besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck der Erhebung notwendig ist.

Für Anrufaufnahmen und Transkripte sind angemessene Aufbewahrungsfristen:

  • Anrufzusammenfassungen und Transkripte: 6-12 Monate, abgestimmt auf Ihren Geschäftsbedarf (Nachverfolgungszeitraum für Leads, Gewährleistungsfristen bei Serviceanrufen usw.)
  • Rohe Audioaufnahmen: Kürzer, oft 30-90 Tage. Sobald Transkript und Zusammenfassung erstellt sind, hat die Audioaufnahme ihren Zweck erfüllt.
  • Anruf-Metadaten: Können für Geschäftsanalysen länger aufbewahrt werden, da sie weniger datenschutzsensibel sind.

Dokumentieren Sie Ihre Aufbewahrungsfristen in Ihrem Verarbeitungsverzeichnis und konfigurieren Sie Ihren KI-Telefonassistenten so, dass Daten nach Ablauf automatisch gelöscht werden.

Wie werden die Daten geschützt?

Ihr Anbieter sollte mindestens bieten:

  • Verschlüsselung bei Übertragung (TLS) und im Ruhezustand (AES-256 oder vergleichbar)
  • Zugriffskontrollen (nur autorisiertes Personal hat Zugang zu Anrufdaten)
  • Regelmäßige Sicherheitsaudits oder Zertifizierungen (ISO 27001, SOC 2)
  • Ein dokumentiertes Verfahren für Sicherheitsvorfälle

Rechte der Anrufer

Nach der DSGVO haben Anrufer, deren Daten Sie verarbeiten, bestimmte Rechte. Sie müssen darauf vorbereitet sein:

Auskunftsrecht (Artikel 15): Ein Anrufer kann erfahren, welche Daten Sie über ihn gespeichert haben. Sie müssen innerhalb eines Monats antworten.

Recht auf Löschung (Artikel 17): Ein Anrufer kann die Löschung seiner Daten verlangen. Wenn keine übergeordnete gesetzliche Aufbewahrungspflicht besteht (wie steuerrechtliche Vorgaben), müssen Sie dem nachkommen.

Recht auf Berichtigung (Artikel 16): Wenn das Transkript Fehler enthält (falsch geschriebener Name, falsche Telefonnummer), kann der Anrufer Korrektur verlangen.

Widerspruchsrecht (Artikel 21): Bei Verarbeitung auf Basis des berechtigten Interesses können Anrufer Widerspruch einlegen. Sie müssen dann zwingende berechtigte Gründe nachweisen oder die Verarbeitung einstellen.

Informationsrecht (Artikel 13/14): Anrufer müssen darüber informiert werden, wer ihre Daten verarbeitet, zu welchem Zweck und wie lange. In der Praxis lässt sich das durch eine Datenschutzerklärung auf Ihrer Website und den kurzen Hinweis zu Gesprächsbeginn abdecken.

In der Praxis sind Anfragen nach diesen Rechten bei Telefonaten selten. Aber Sie sollten einen Prozess haben: eine E-Mail-Adresse, an die Anrufer Anfragen senden können, und einen Ablauf zur Bearbeitung innerhalb der 30-Tage-Frist.

Worauf Sie bei einem Anbieter achten sollten

Nicht alle KI-Telefonassistent-Anbieter sind beim Datenschutz gleich aufgestellt. Hier Ihre Checkliste:

Auftragsverarbeitungsvertrag (AVV). Nach Artikel 28 DSGVO brauchen Sie einen schriftlichen Vertrag mit jedem Anbieter, der in Ihrem Auftrag personenbezogene Daten verarbeitet. Das ist nicht verhandelbar. Der AVV sollte festlegen, welche Daten verarbeitet werden, wie lange sie gespeichert werden, welche Sicherheitsmaßnahmen gelten und was bei Vertragsende mit den Daten passiert.

Serverstandort. Deutschland > EU > Angemessenheitsbeschluss > alles andere. Jeder Schritt weg von Deutschland erhöht Komplexität und Risiko.

Unterauftragsverarbeiter. Ihr Anbieter nutzt wahrscheinlich Unterauftragsverarbeiter (Cloud-Hosting, Speech-to-Text-APIs usw.). Verlangen Sie eine Liste. Prüfen Sie, wo diese Unterauftragsverarbeiter Daten speichern. Ein in Deutschland ansässiger KI-Assistent, der Ihre Anruf-Audiodaten an eine US-basierte Spracherkennungs-API sendet, ist möglicherweise nicht so DSGVO-konform, wie er wirkt.

Datenlöschung. Können Sie Anrufdaten selbst löschen? Gibt es automatische Löschung nach einer konfigurierbaren Frist? Was passiert mit Backups?

Transparenz. Erklärt der Anbieter klar, welche Daten er erhebt, wie er sie nutzt und ob er Ihre Daten zum Training seiner KI-Modelle verwendet? Manche Anbieter nutzen Kundendaten zur Verbesserung ihrer KI. Das ist ein separater Verarbeitungszweck, der eine eigene Rechtsgrundlage braucht.

Zertifizierungen. ISO 27001, SOC 2 oder vergleichbare Sicherheitszertifizierungen zeigen, dass der Anbieter Datensicherheit ernst nimmt. Von der DSGVO sind sie nicht vorgeschrieben, aber sie geben Sicherheit.

Einen breiteren Vergleich von KI-Telefonassistent-Anbietern finden Sie auf unserer Vergleichsseite.

Wie Safina die DSGVO handhabt

Da dies der Safina-Blog ist, seien wir transparent über unseren Ansatz:

  • Made in Germany. Safina wird von einem deutschen Unternehmen entwickelt und unterliegt deutschem Datenschutzrecht.
  • Deutsche Server. Alle Daten werden auf Servern in Deutschland gespeichert. Keine transatlantischen Datentransfers bei der Anrufverarbeitung.
  • AVV verfügbar. Wir stellen allen Geschäftskunden einen Auftragsverarbeitungsvertrag bereit, wie von Artikel 28 DSGVO gefordert.
  • Konfigurierbare Aufbewahrung. Sie bestimmen, wie lange Anrufdaten gespeichert werden, und können einzelne Anrufe oder alle Daten jederzeit löschen.
  • Gesprächshinweis. Safina kann so konfiguriert werden, dass Anrufer darüber informiert werden, dass sie mit einem KI-Assistenten sprechen. Das adressiert sowohl DSGVO-Transparenz als auch deutsches Telekommunikationsrecht.
  • Verschlüsselung. Alle Daten sind bei Übertragung und im Ruhezustand verschlüsselt.
  • Kein Training mit Ihren Daten. Ihre Anrufdaten werden nicht zum Training unserer KI-Modelle verwendet.

Das sind keine Zusatzfunktionen. Das sind die Mindestanforderungen für einen DSGVO-konformen KI-Service in Deutschland. Wenn Ihr Anbieter diese Liste nicht erfüllen kann, ist das ein Warnsignal.

Praktische Schritte für Ihr Unternehmen

Was Sie tun sollten, bevor Sie einen KI-Telefonassistenten aktivieren:

  1. AVV abschließen. Schließen Sie einen Auftragsverarbeitungsvertrag mit Ihrem Anbieter ab, bevor Sie live gehen. Ohne Ausnahmen.
  2. Datenschutzerklärung aktualisieren. Ergänzen Sie einen Abschnitt über KI-gestützte Anrufbearbeitung in der Datenschutzerklärung Ihrer Website. Nennen Sie Zweck, Rechtsgrundlage, Aufbewahrungsfrist und Anruferrechte.
  3. Gesprächshinweis aktivieren. Konfigurieren Sie Ihren KI-Assistenten so, dass er Anrufer zu Beginn informiert. Ein einfaches “Dieser Anruf wird von einem KI-Assistenten entgegengenommen und kann aufgezeichnet werden” reicht.
  4. Aufbewahrungsfristen festlegen. Konfigurieren Sie automatische Löschung für Aufnahmen (30-90 Tage) und Transkripte/Zusammenfassungen (6-12 Monate).
  5. Interessenabwägung dokumentieren. Verfassen Sie ein kurzes Dokument, das erklärt, warum Sie einen KI-Telefonassistenten nutzen, welche Daten er erhebt und warum Ihr Geschäftsinteresse den Datenschutzeingriff überwiegt.
  6. Prozess für Betroffenenanfragen einrichten. Legen Sie eine E-Mail-Adresse fest (z. B. datenschutz@ihrfirma.de), über die Anrufer Auskunft, Berichtigung oder Löschung ihrer Daten anfragen können.

Keiner dieser Schritte dauert länger als eine Stunde. Und wenn sie erledigt sind, bewegen Sie sich innerhalb der Regeln.

Fazit

DSGVO-Konformität ist kein Grund, KI-Telefonassistenten zu meiden. Es ist ein Grund, den richtigen auszuwählen. Ein Anbieter mit Sitz in Deutschland, deutschen Servern, einem ordentlichen AVV und transparenten Datenpraktiken bietet Ihnen das gleiche Compliance-Niveau wie jeder andere Datenverarbeiter, mit dem Sie bereits arbeiten (Ihr E-Mail-Anbieter, Ihr CRM, Ihre Cloud-Speicherung).

Die Unternehmen, die Probleme mit der DSGVO bekommen, sind in der Regel nicht die, die sich sorgfältig Gedanken über ihre Datenpraktiken gemacht haben. Es sind die, die sich gar keine Gedanken gemacht haben.

Wenn Sie erfahren möchten, wie Safina für Ihr Unternehmen funktioniert, schauen Sie sich unsere Lösungen für automatische Anrufannahme an oder vergleichen Sie uns mit anderen Anbietern. Und wenn Sie spezifische Fragen zum Datenschutz haben, zeigt unsere Integrationsseite, wie Safina sich mit Ihren bestehenden Tools verbindet und dabei DSGVO-konform bleibt.

9:41

Safina führte diese Woche 51 Telefonate

46

Vertrauensvoll

4

Verdächtig

1

Gefährlich

Letzte 7 Tage
Filter
EM
Emma Martin 67s 15:30

Möchte das Angebot für die neue Kampagne besprechen und hat Fragen zum Zeitplan.

LS
Laura Wagner 54s 14:45

Fragt nach dem Status der Bestellung und wann die Lieferung kommt.

TH
Tim Hoffmann 34s 13:10

Termin für Projektbesprechung nächste Woche vereinbaren.

Unbekannt 44s 11:30

Gewinnversprechen – wahrscheinlich Spam.

SK
Sophie Meyer 10s 09:15

Reklamation zum letzten Auftrag, bittet um Rückruf.

MM
Martin Neumann 95s 13. Dez

Möchte eine mögliche Zusammenarbeit besprechen.

AR
Anna Richter 85s 13. Dez

Ist Deine Kollegin und möchte über das Projekt sprechen.

JK
Jonas König 42s 12. Dez

Erkundigt sich nach verfügbaren Terminen nächste Woche.

LB
Lina Berg 68s 12. Dez

Hat Fragen zur Rechnung und bittet um Klärung.

Anrufe
Safina
Kontakte
Profil
9:41
Anruf von Emma Martin
12. Dez
11:30
67s

Möchte das Angebot für die neue Kampagne besprechen und hat Fragen zum Zeitplan.

Wichtigste Punkte

  • Rückruf an Emma Martin
  • Fragen zu Zeitplan & Konditionen klären
Zurückrufen
Kontakt bearbeiten

KI-Einblicke

Stimmung der Person Sehr gut

Der Anrufer war kooperativ und hat die benötigten Informationen bereitgestellt.

Dringlichkeit Niedrig

Der Anrufer kann auf eine Rückmeldung warten.

Audio & Transkript

0:16

Hallo, hier spricht Safina AI, die digitale Assistentin von Peter. Wie kann ich Ihnen helfen?

Hallo Safina, hier ist Emma Martin. Ich wollte über das Angebot und den Zeitplan sprechen.

Danke, Emma. Geht es bei Ihrer Entscheidung vor allem um das Standard- oder Pro-Paket für den Launch?

Genau. Wir brauchen das Pro-Paket und möchten nächsten Monat starten, wenn das Onboarding in der ersten Woche möglich ist.

Sag Ciao zu deiner altmodischen Mailbox.

Teste Safina kostenlos und beginne deine Anrufe intelligent zu verwalten.

Kostenlos testen