KI-Telefonassistent: DSGVO, Einwilligung & Grauzonen

Sprachbasierte KI-Systeme wie ein KI-Telefonassistent funktionieren nicht ohne Zuhören – wortwörtlich. Damit sie überhaupt auf gesprochene Sprache reagieren können, müssen sie diese in Echtzeit analysieren, transkribieren und verarbeiten. Was dabei oft vergessen wird: Bereits ab der ersten gesprochenen Sekunde erfolgt technisch gesehen eine Aufzeichnung und Zwischenspeicherung. Auch wenn man diese Daten sofort wieder glöscht oder nicht dauerhaft speichert. Sie waren da, wurden verarbeitet, analysiert und interpretiert.

KI-Chatbots: Das Geheimnis effizienter Skalierung im Kundenservice

KI-Chatbots automatisieren Anfragen, verkürzen Wartezeiten und verbessern die Servicequalität. Erfahre, wie Unternehmen mit intelligenter Automatisierung skalieren, Kosten senken und Kundenzufriedenheit steigern.

mehr lesen ...

Aufzeichnung & Transkription: Schon der erste Satz zählt

Sobald ein Gespräch durch einen KI-Telefonassistenten ohne vorherige, wirksame Einwilligung mitgeschnitten oder transkribiert wird, kann dies nicht nur datenschutzrechtlich unzulässig, sondern auch strafbar sein. Nach § 201 StGB ist das heimliche Aufzeichnen nichtöffentlicher Gespräche ohne Zustimmung aller Beteiligten ein Straftatbestand, unabhängig davon, ob der Mitschnitt zu Trainingszwecken, zur Dokumentation oder zur späteren Analyse per KI erfolgt. Auch ein internes Einverständnis, etwa unter Mitarbeitenden, reicht nicht aus. Externe Gesprächspartner müssen aktiv und eindeutig zustimmen.

Entscheidend ist nicht, ob eine Audioaufnahme oder nur eine Verschriftlichung erfolgt. Auch die Transkription allein kann eine unzulässige Verarbeitung sein. So stellte die Datenschutzaufsicht Sachsen klar, dass bereits das schriftliche Festhalten des gesprochenen Wortes der Einwilligung bedarf. Es geht um den Inhalt, nicht das Medium. Die Vertraulichkeit des Wortes schützt sowohl Ton- als auch Textformate.

Sprachdaten gelten bei der datenschutzrechtlichen Bewertung in der Regel als biometrische Daten. Selbst wenn keine aktive Stimm-Identifikation erfolgt, reicht die Möglichkeit zur Wiedererkennung über die Stimme oft aus, um den Anwendungsbereich von Art. 9 DSGVO zu eröffnen. Das bedeutet: Es genügt nicht irgendeine Rechtsgrundlage, es braucht eine ausdrückliche Einwilligung zur Verarbeitung besonderer Kategorien personenbezogener Daten.

Die eingesetzte Technologie spielt keine Rolle. Ob per Diktiergerät, KI oder Callcenter-Software. Rechtlich entscheidend ist allein, ob alle Beteiligten vor der Verarbeitung freiwillig und eindeutig zugestimmt haben. Ohne diese Zustimmung ist die Verarbeitung unzulässig, außer in gesetzlich geregelten Ausnahmefällen. Solche bestehen etwa für Finanzdienstleister, die nach der MiFID II verpflichtet sind, bestimmte Telefongespräche aufzuzeichnen. Hier beruht die Rechtmäßigkeit nicht auf Einwilligung, sondern auf gesetzlicher Pflicht.

Wer also Gespräche aufzeichnet oder transkribiert, muss sich der rechtlichen Tragweite bewusst sein. Ohne ausdrückliche Einwilligung drohen nicht nur Bußgelder durch die Datenschutzaufsicht, sondern auch strafrechtliche Konsequenzen, selbst dann, wenn die Daten gar nicht veröffentlicht, sondern „nur intern“ verarbeitet werden.

Berechtigtes Interesse?

Unternehmen greifen bei der Verarbeitung personenbezogener Daten gerne auf Art. 6 Abs. 1 lit. f DSGVO zurück, das sogenannte berechtigte Interesse. Dieser Weg erscheint oft einfacher als eine Einwilligung einzuholen. Doch gerade beim Einsatz von KI am Telefon ist Vorsicht geboten. Hier geht es nicht nur um betriebliche Abläufe, sondern um sensible Aspekte wie die Vertraulichkeit des Gesprächs oder sogar biometrische Sprachmerkmale. Sobald KI-Systeme mitlauschen, ohne dass der Gesprächspartner davon weiß, kann dies zu einem erheblichen Eingriff in dessen Persönlichkeitsrechte führen.

Ist die Spracherkennung technisch so ausgestaltet, dass biometrische Daten verarbeitet werden (z. B. zur Identifikation oder Profilbildung), ist die Lage klar. Dann greift Art. 9 DSGVO, und eine Einwilligung ist zwingend. Das berechtigte Interesse reicht in solchen Fällen nicht aus, denn es kann ein ausdrückliches Verbot aus Art. 9 Abs. 1 nicht aufheben.

Aber selbst wenn keine besonderen Kategorien im Spiel sind, muss eine sorgfältige Interessenabwägung stattfinden. Unternehmen müssen nachweisen, dass ihre Gründe, etwa zur Qualitätssicherung oder Prozessoptimierung, im konkreten Fall schwerer wiegen als das Schutzinteresse der betroffenen Person. Die Praxis und die Positionen der Datenschutzbehörden zeigen jedoch, dass dies selten der Fall ist. Die Datenschutzkonferenz und etwa auch die dänische Aufsichtsbehörde betonen, dass eine Aufzeichnung am Telefon in der Regel nur mit Einwilligung zulässig ist. Ein bloßer Hinweis auf „legitimes Interesse“ genügt nicht.

Selbst wenn man sich auf Art. 6 Abs. 1 lit. f berufen will, muss der Gesprächspartner zu Beginn klar informiert werden und ein Widerspruchsrecht haben. In der Praxis bedeutet ein Widerspruch, dass die Verarbeitung gestoppt werden muss, funktional also kaum ein Unterschied zur verweigerten Einwilligung.

Kennzeichnungspflicht durch die KI-VO

Ab dem 2. August 2026 schreibt die EU-KI-Verordnung vor, dass Nutzer deutlich darüber informiert werden müssen, wenn sie mit einer künstlichen Intelligenz kommunizieren, insbesondere dann, wenn diese menschliche Sprache oder Verhalten nachahmt. Das betrifft vor allem Voicebots und andere dialogbasierte KI-Systeme im Kundenkontakt.

Wer automatisierte Telefongespräche mit KI-Stimme führt, muss gleich zu Beginn des Gesprächs transparent machen, dass keine echte Person spricht, etwa durch einen klaren Hinweis wie: „Dies ist ein automatisierter Anruf mit KI-Unterstützung.“

Diese Anforderung ergibt sich aus Artikel 50 Abs. 4 der KI-VO. Sie ist verbindlich, gilt ausdrücklich auch für synthetisch erzeugte oder manipulierte Audioinhalte (sogenannte Deepfakes) und ergänzt bestehende Vorgaben aus dem Datenschutz- und Wettbewerbsrecht um eine spezielle, eigene Norm.

eBook

Besser arbeiten mit KI

Das KI Handbuch: Dein Leitfaden für KI in der Arbeitswelt. Expertentipps & Use Cases inklusive!

Jetzt kostenlos herunterladen

Datenschutz-Folgenabschätzung

Bevor ein Unternehmen eine KI-Lösung im Kundenkontakt einsetzt, etwa ein Sprachsystem mit automatischer Analyse von Stimme, Inhalt oder Stimmung, ist in der Regel eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Diese ist verpflichtend, wenn der Einsatz neuer Technologien voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Im Fall sprachbasierter KI kommen mehrere Risikofaktoren zusammen:

• Neue Technologie: Der Einsatz von KI gilt als innovativ und potenziell intransparent,  ein klassischer Auslöser für eine DSFA.
• Verhaltensanalyse: Wenn Gespräche nicht nur aufgezeichnet, sondern systematisch analysiert werden (z. B. über Emotionserkennung, Transkription, Sentimentanalyse), liegt ein Profiling vor.
• Biometrische Merkmale: Sprachdaten können als biometrische Daten gelten. Werden sie systematisch verarbeitet, greift laut Behördenlisten automatisch die DSFA-Pflicht.
• Hohe Reichweite: Im Kundenservice betrifft die Verarbeitung potenziell tausende Personen, ein zusätzliches Risikomerkmal.

Die DSFA ist vor dem Start des Systems durchzuführen und muss dokumentieren, welche Risiken bestehen und wie sie minimiert werden. Dazu gehören u. a.:

• Beschreibung der Verarbeitung (Zweck, Technik, Beteiligte),
• Bewertung der Notwendigkeit und Verhältnismäßigkeit,
  Analyse möglicher Auswirkungen auf Betroffene,
• Schutzmaßnahmen wie Pseudonymisierung, Zugriffsbeschränkung oder begrenzte Speicherdauer.

Falls trotz aller Maßnahmen ein hohes Restrisiko verbleibt, etwa durch mögliche Fehlentscheidungen der KI oder Datenübertragungen in unsichere Drittstaaten, muss die zuständige Datenschutzbehörde vorab konsultiert werden (Art. 36 DSGVO).

Zusätzlich zur DSFA ergibt sich daraus oft auch die Pflicht zur Bestellung eines Datenschutzbeauftragten. Selbst wenn Art. 37 DSGVO das nicht zwingend vorschreibt, löst die Durchführung einer DSFA nach § 38 BDSG diese Pflicht aus.

KI und Recht: Diese Risiken musst du kennen

Du bist unsicher, ob du KI rechtlich korrekt anwendest? Rechtsanwalt Moritz Gielen zeigt, wie du Risiken im Bereich KI und Recht vermeidest!

mehr lesen ...

Betroffenenrechte

Sobald ein KI-System am Telefon personenbezogene Daten verarbeitet, etwa durch Aufzeichnung, Transkription oder Analyse von Gesprächen, müssen die Rechte der betroffenen Personen vollumfänglich gewahrt bleiben. Das gilt auch dann, wenn externe Dienstleister (z. B. Cloudanbieter) eingebunden sind.

Betroffene Personen haben jederzeit das Recht, Auskunft darüber zu verlangen, ob und welche Daten zu ihrer Person verarbeitet wurden. Der Kunde kann etwa eine Abschrift oder eine Kopie der Audioaufzeichnung anfordern. Voraussetzung dafür ist, dass das Unternehmen die Daten auffindbar und eindeutig zuordnungsfähig speichert, beispielsweise über Gesprächsdatum, Telefonnummer oder Kundennummer. Auch das Recht auf Berichtigung ist zu beachten. Enthält die Transkription Fehler, etwa falsch erkannte Namen, muss man diese auf Wunsch korrigieren. Ist die Speicherung der Daten nicht mehr erforderlich, etwa weil der ursprüngliche Zweck entfällt oder die Einwilligung widerrufen wurde, muss man sämtliche Aufzeichnungen löschen, auch bei externen Auftragsverarbeitern. Hierfür sind technische und organisatorische Maßnahmen nötig, etwa ein Löschkonzept mit festen Fristen oder automatisierten Routinen.

Darüber hinaus können Betroffene verlangen, dass man ihnen ihre Gesprächsdaten in einem maschinenlesbaren Format zur Verfügung stellt, zum Beispiel als JSON- oder CSV-Datei. Auch der Widerruf der Einwilligung muss jederzeit möglich sein, idealerweise sogar während des Gesprächs. In diesem Fall muss das Unternehmen die Aufzeichnung jederzeit beenden können – technisch und organisatorisch muss alles dafür vorbereitet sein. Wenn sich das Unternehmen nicht auf eine Einwilligung, sondern auf berechtigte Interessen beruft, hat die betroffene Person ein Widerspruchsrecht, dem das Unternehmen sofort nachkommen muss.

Schließlich sind sämtliche Gesprächsdaten durch geeignete Schutzmaßnahmen zu sichern. Dazu gehören Zugriffsbeschränkungen, Verschlüsselung und die Trennung personenbezogener Daten von Inhaltsdaten, etwa durch Pseudonymisierung. Unternehmen, die einen KI-Telefonassistenten einsetzen, brauchen also nicht nur ein datenschutzrechtliches Verständnis, sondern auch eine verlässliche technische Infrastruktur, um diese Rechte praktisch einzuhalten. Andernfalls drohen Verstöße gegen die DSGVO, mit entsprechenden rechtlichen und finanziellen Konsequenzen.

KI und Datenschutz: Wie Unternehmen Daten sicher nutzen können

Wie können Unternehmen KI-Datenschutz gewährleisten? Erfahre, wie sichere und verantwortungsvolle Datennutzung gelingt.

mehr lesen ...

Einwilligung in der Praxis

Wenn ein Unternehmen eine KI im Telefongespräch einsetzt und dabei personenbezogene Daten verarbeitet, braucht es vor Beginn der Verarbeitung eine wirksame Einwilligung der betroffenen Person. Diese Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich erfolgen, pauschale Hinweise oder stillschweigendes Weitermachen reichen nicht aus.

Die betroffene Person muss man klar und verständlich darüber informieren, dass das Gespräch vom Telefonassistenten aufgezeichnet und mit Hilfe des KI-Systems verarbeitet wird, etwa zur Qualitätssicherung, Schulung oder Dokumentation. Auch wer für die Verarbeitung verantwortlich ist und ob Dienstleister eingebunden sind, muss offengelegt werden. Ebenso ist darauf hinzuweisen, dass die Einwilligung jederzeit widerrufen werden kann, entweder direkt im Gespräch oder nachträglich über den Kundenservice.

Eine gültige Einwilligung setzt eine aktive Handlung voraus, etwa ein mündliches „Ja“ auf eine gezielte Frage oder die Bestätigung per Tastendruck. Schweigen oder bloßes Fortfahren mit dem Gespräch genügt nicht. Besonders bei sensiblen Daten, wie etwa biometrischen Merkmalen in der Stimme, ist eine ausdrückliche Einwilligung erforderlich.

Wichtig ist zudem, dass die betroffene Person jederzeit eine echte Wahl hat. Wer die Einwilligung nicht erteilen möchte, darf daraus keinen Nachteil erleiden. Das Unternehmen muss eine Alternative anbieten, etwa den Wechsel zu einem Gespräch ohne Aufzeichnung oder die direkte Weiterleitung an eine reale Ansprechperson.

Damit die Einwilligung im Streitfall nachgewiesen werden kann, muss man technisch und organisatorisch dokumentieren. Üblich ist, dass man entweder den Zustimmungsteil des Gesprächs aufgezeichnet oder die Zustimmung systemseitig protokolliert. Nur wenn eindeutig nachvollziehbar ist, wann, wie und zu welchem Zweck die Einwilligung erteilt wurde, ist die Datenverarbeitung rechtlich zulässig.

Eine missverständliche oder konkludente Einwilligung, etwa durch bloßes Weitertelefonieren nach einer Bandansage, genügt den Anforderungen der DSGVO nicht. Unternehmen sollten daher transparente Verfahren etablieren, die den gesetzlichen Maßstab erfüllen und auch in der Praxis funktionieren.

Dienstleister aus dem Drittland

Wenn Sprachdaten durch den KI-Telefonassistenten an Dienstleister außerhalb der EU übermittelt werden, etwa zur Analyse durch einen Anbieter in den USA, ist besondere Vorsicht geboten. Solche Datentransfers sind nur zulässig, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Seit Juli 2023 gilt für US-Unternehmen, die nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert sind, wieder ein solcher Angemessenheitsbeschluss. Nur dann dürfen Daten ohne zusätzliche Maßnahmen dorthin übermittelt werden.

Ist der Dienstleister nicht DPF-zertifiziert oder sitzt in einem anderen unsicheren Drittstaat, braucht es zusätzliche rechtliche Absicherungen, meist durch Standardvertragsklauseln (SCC) und eine Transferfolgenabschätzung (TIA). Dabei wird geprüft, ob im Empfängerland Datenschutzgesetze existieren, die den Schutz unterlaufen könnten. Oft sind ergänzende technische Maßnahmen nötig, wie etwa Verschlüsselung oder Pseudonymisierung, was bei Sprachdaten aber schwierig ist, da die Stimme selbst identifizierend wirkt.

Alternativ kann eine Datenübertragung auf ausdrücklicher Einwilligung beruhen (Art. 49 Abs. 1 lit. a DSGVO). Dazu muss die betroffene Person vorab über die Risiken informiert und die Einwilligung ausdrücklich erteilt haben. Diese Ausnahme eignet sich jedoch nur für Einzelfälle, nicht für dauerhafte Routinen.

Unternehmen müssen jeden Drittlandtransfer offenlegen, rechtlich absichern und in der Datenschutzerklärung transparent machen. Andernfalls drohen schwerwiegende Datenschutzverstöße.

Fazit und Handlungsempfehlungen

Ein KI-Telefonassistent ist kein Experimentierfeld, sondern ein hochregulierter Bereich. Wer Gespräche automatisiert verarbeitet, steht in der Verantwortung. Rechtlich, technisch und ethisch. Ohne klar dokumentierte Einwilligung, wirksame Schutzmaßnahmen und vollständige Umsetzung der Betroffenenrechte drohen nicht nur Datenschutzverstöße, sondern auch strafrechtliche Konsequenzen.

Unternehmen, die einen KI-Telefonassistenten einsetzen wollen, müssen frühzeitig klare Strukturen schaffen: Einwilligungsprozesse, Löschkonzepte, transparente Informationspflichten, sichere Datenflüsse – insbesondere bei Drittlandtransfers und eine belastbare technische Umsetzung. Nicht die Technologie ist entscheidend, sondern die Sorgfalt im Umgang mit den Rechten der Menschen, die am anderen Ende der Leitung sitzen.

Nur wer Datenschutz und Transparenz von Anfang an ernst nimmt, kann das Potenzial sprachbasierter KI verantwortungsvoll und zukunftssicher nutzen, ohne in Graubereiche oder Haftungsfallen zu geraten.

Weniger Tool-Hopping.
Mehr KI mit Plan.

Beim KI Marketing Deep Dive

Online Event | 30. Juni 2025

KOSTENLOS TEILNEHMEN