Datenschutz und Sicherheit beim KI-Telefonservice: wichtige Prüfpunkte

Wenn ein KI-Telefonservice personenbezogene Daten verarbeitet, müssen Datenschutz, IT-Sicherheit und Auftragsverarbeitung vor dem Einsatz geprüft und dokumentiert werden. Ob ein konkretes Setup datenschutzkonform betrieben werden kann, hängt unter anderem von Hosting, Konfiguration, AVV, TOMs, Speicherfristen, Schnittstellen und Unterauftragsverarbeitern ab.

KI Telefonservice Sicherheit Datenschutz

Welche Daten verarbeitet ein KI-Telefonservice und warum?

Im Rahmen eines Anrufs können – je nach Anwendungsfall und Konfiguration – verschiedene personenbezogene Daten durch einen KI-Service wie „Marlene“ erfasst und verarbeitet werden. Dazu gehören typischerweise:

  • Kontaktdaten: Name, Telefonnummer, E-Mail-Adresse.
  • Anliegenbezogene Daten: Grund des Anrufs, geäußerte Wünsche (z.B. Rückruf, Termin).
  • Kontextdaten: Datum, Uhrzeit des Anrufs.
  • Spezifische Daten: Bestellnummern, Kundennummern, Termindaten (je nach Dialog).

Vorab ist festzulegen, welche Daten für den jeweiligen Zweck erforderlich sind, wohin sie übertragen werden, wie lange sie gespeichert werden und wer Zugriff hat. Eine Übermittlung an CRM, Kalender oder andere Drittsysteme braucht eine dokumentierte Rechtsgrundlage, Rollenverteilung und Konfiguration.

 

Sicherheits- und Datenschutzprüfpunkte

Vor dem Einsatz sind technische, organisatorische und vertragliche Sicherheitsaspekte projektbezogen zu prüfen:

  • Serverstandort und Drittstaatentransfers: Zu prüfen ist, wo Verarbeitung und Speicherung stattfinden, welche Unterauftragsverarbeiter beteiligt sind und ob Drittstaatentransfers ausgeschlossen oder rechtlich abgesichert sind.
  • Zertifizierungen und Nachweise: Konkrete Zertifizierungen, Rechenzentrumsstandards oder Sicherheitsnachweise sollten nur auf Basis aktueller Vertrags- und Nachweisdokumente genannt werden.
  • Verschlüsselung und Schnittstellen: Gesicherte Übertragung, Zugriffskontrollen und Speicherung sind je nach System, Schnittstelle und Betriebsmodell technisch zu prüfen und zu dokumentieren.
  • DSGVO-relevante Verarbeitung: Rollen, Zwecke, Rechtsgrundlagen, Speicherfristen, Informationspflichten und Löschprozesse müssen für den konkreten Anwendungsfall festgelegt werden.
  • Sicherheitsüberprüfungen: Prüfintervalle, Verantwortlichkeiten und Nachweise sollten vertraglich oder organisatorisch geregelt sein.

AVV / DPA: Auftragsverarbeitung vertraglich regeln

Wenn personenbezogene Daten im Auftrag verarbeitet werden, ist ein AVV nach Art. 28 DSGVO erforderlich. Der Vertrag sollte Weisungen, TOMs, Unterauftragsverarbeiter, Löschfristen, Kontrollrechte und Meldewege regeln. Die konkrete Ausgestaltung ist projektbezogen zu prüfen.

➡️ AVV und technische/organisatorische Maßnahmen abstimmen 

Kontrolle und Transparenz im Betrieb

Kontrolle entsteht durch dokumentierte Datenflüsse, Rollen- und Rechtekonzepte, nachvollziehbare Schnittstellen, Speicherregeln und klare Verantwortlichkeiten:

  • Nachvollziehbare Dokumentation: Alle vom KI-Service erfassten und übermittelten Daten werden strukturiert dokumentiert (z.B. in E-Mail-Protokollen, CRM-Einträgen).
  • Konfiguration: Vorab ist festzulegen, welche Informationen erfasst, wie lange sie gespeichert und wohin sie weitergeleitet werden.
  • Schnittstellen: API-Schnittstellen sollten mit Zugriffskontrollen, Authentifizierung und Protokollierung abgesichert werden.
  • Rollenbasierte Zugriffssteuerung: Zugriff auf relevante Daten und Konfigurationen sollte auf autorisierte Rollen begrenzt und nachvollziehbar dokumentiert sein.

Sprachverarbeitung und Mitschnitt: Setup dokumentieren

Ein häufiges Missverständnis betrifft die Sprachaufzeichnung. Moderne KI-Voicebots wie „Marlene“ arbeiten anders:

  • Echtzeit-Verarbeitung: Die gesprochene Sprache wird in Echtzeit analysiert und in Text umgewandelt (ASR/NLU).
  • Audio- und Transkriptverarbeitung: Ob Audio gespeichert, nur temporär verarbeitet oder nicht dauerhaft abgelegt wird, muss für das konkrete Setup dokumentiert werden. Relevant sind Rechtsgrundlage, Informationspflichten, Speicherfristen, technische Protokolle und der Umgang mit Transkripten.
  • Textbasierte Weiterverarbeitung: Nur das Ergebnis der Erkennung – der erkannte Text und die daraus abgeleitete Absicht – wird für die weitere Verarbeitung (z.B. Erstellung einer Gesprächsnotiz, Eintragung im CRM) genutzt und gespeichert.

Offene Sicherheits- und Datenschutzfragen sollten vor dem Start geklärt werden.

➡️ Sicherheits- und Datenschutzfragen klären 

Fazit – Datenschutz- und Sicherheitsrahmen sauber klären

Ein KI-Telefonservice kann datenschutz- und sicherheitsbewusst betrieben werden, wenn technische, organisatorische und vertragliche Bedingungen sauber geklärt sind. Entscheidend sind AVV, TOMs, Hosting, Datenflüsse, Rollenrechte, Speicherfristen und eine klare menschliche Eskalation bei sensiblen Fällen.

 

Für den Einsatz sollten AVV, TOMs, Hosting, Speicherfristen und Schnittstellen vorab geprüft sein:

➡️ AVV und technische/organisatorische Maßnahmen abstimmen 

➡️ Zertifizierungen und Infrastruktur-Nachweise projektbezogen prüfen 

➡️ Compliance-Anforderungen für den konkreten Einsatz klären 

Externe Telefonzentrale und KI-Telefonservice als Betriebsmodell prüfen

Eine externe Telefonzentrale kann Erreichbarkeit, Priorisierung und Rückrufprozesse unterstützen, wenn Betrieb, Schnittstellen und Datenschutzrahmen passen.

➡️ Jetzt unverbindlich informieren & beraten lassen!

➡️ Unsere Tarife im Überblick 

Der Bundesbeauftragte für den Datenschutz gibt klare Leitlinien für den Umgang mit personenbezogenen Daten. Bundesbeauftragter für Datenschutz (BfDI)

Weiterführende Artikel

DSGVO Cookie Consent mit Real Cookie Banner
Privacy settings Revoke consent
Privacy settings Revoke consent