In einer zunehmend digitalisierten Welt setzen Unternehmen vermehrt auf digitale Telefonassistenten (KI-Telefonbot), um Kundenanfragen effizient und rund um die Uhr zu bearbeiten. Doch so praktisch diese Lösung auch ist – der Einsatz von KI-Telefonbots wirft erhebliche datenschutzrechtliche Fragen auf, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) und die neue KI-Verordnung (AI Act) der Europäischen Union (weiterführende Informationen zur KI-Verordnung finden Sie in unserem Blogbeitrag).
KI-Telefonbot: datenschutzrechtliche Herausforderungen
1. Transparenz und Informationspflichten
Nutzer müssen klar darüber informiert werden, dass sie mit einer KI interagieren. Dies ergibt sich sowohl aus der KI-Verordnung als auch aus der DSGVO. Die Belehrung der Anrufer sollte unmittelbar zu Beginn des Anrufs erfolgen. Die Formulierung sollte einfach und verständlich gehalten werden, um dem Anrufer eine informierte Entscheidung zu ermöglichen. Folgende Informationen sollten beinhaltet sein:
- Hinweis auf die Nutzung eines KI-Systems
- Hinweis auf die Aufzeichnung des Gesprächs
- Zweck der Datenverarbeitung
- Hinweis auf die Möglichkeit, das Gespräch abzubrechen, falls keine Einwilligung erteilt wird
- Erläuterung der Rechte der betroffenen Person (z.B. Widerruf der Einwilligung)
2. Einwilligung
Im Rahmen des Einsatzes von KI am Telefon ist es technisch nahezu unumgänglich, Gespräche aufzuzeichnen, um die Inhalte in Echtzeit verarbeiten und analysieren zu können. Eine solche Aufzeichnung kann jedoch strafrechtlich relevant sein, insbesondere im Hinblick auf § 201 StGB (Verletzung der Vertraulichkeit des Wortes). Danach ist die Aufnahme des nicht-öffentlich gesprochenen Wortes ohne Einwilligung strafbar. Folglich ist eine ausdrückliche Einwilligung in die Aufzeichnung erforderlich.
Die Einwilligung muss spezifisch, informiert und freiwillig erfolgen. Dabei stellt sich die Frage, ob eine konkludente (stillschweigende) Einwilligung – etwa durch die Fortsetzung des Gesprächs nach einem entsprechenden Hinweis – ausreichend ist. In der Praxis wird dies durchaus so gehandhabt: Wird der Anrufer zu Beginn des Gesprächs klar und eindeutig darüber informiert, dass das Gespräch aufgezeichnet und von einer KI verarbeitet wird, kann das bewusste Fortsetzen des Gesprächs als konkludente Einwilligung gewertet werden.
Dennoch ist besondere Vorsicht geboten: Um rechtliche Risiken zu minimieren, empfiehlt sich, eine ausdrückliche Einwilligung einzuholen, beispielsweise durch eine Sprachaufforderung (z.B. „Wenn Sie mit der Aufzeichnung und Verarbeitung durch eine KI einverstanden sind, sagen Sie bitte ‚Ja‘.“). Alternativ kann auch ein Tastendruck als Bestätigung vorgesehen werden. Gut ist es auch immer, eine andere Art der Kommunikation anzubieten, wenn der Anrufer keine Einwilligung erteilen möchte (z.B. „Wenn Sie mit der Aufzeichnung und Verarbeitung durch die KI nicht einverstanden sind, sagen Sie ‚nein‘ und Sie werden mit dem nächsten freien Mitarbeiter verbunden“).
3. KI-spezifische Anforderungen durch den AI Act
Die neue KI-Verordnung stuft viele KI-Systeme, die menschliche Kommunikation simulieren, als „hochriskant“ ein. Ein KI-Telefonbot, der Entscheidungen über Vertragsabschlüsse trifft oder sensible Kundendaten verarbeitet, muss somit strenge Vorgaben erfüllen. Dies bedeutet für Unternehmen zusätzliche Anforderungen, wie
- die Durchführung von Risikobewertungen der KI-Systeme,
- die Erfüllung von Dokumentationspflichten,
- die Erfüllung von Transparenzpflichten gegenüber Nutzern und
- die Umsetzung der Pflicht zur Ermöglichung menschlicher Überprüfung.
Hinweise für die Praxis
Möchten auch Sie in Ihrem Unternehmen einen solchen KI-Telefonbot einsetzen, sollten Sie also folgende Tipps beachten:
1. Datenschutz-Folgenabschätzung (DSFA): Bereits vor dem Einsatz eines KI-Telefonbots sollte eine Datenschutz-Folgenabschätzung durchgeführt werden. Diese bewertet die Risiken für die Rechte und Freiheiten der betroffenen Personen und legt geeignete Schutzmaßnahmen fest.
2. Transparente Nutzerkommunikation: Es sollte unmissverständlich klargestellt werden, dass der Anrufer mit einer KI spricht. Die Informationspflichten sollte man über eine leicht verständliche Datenschutzerklärung erfüllen.
3. Minimalprinzip und Datensparsamkeit: Nur diejenigen Daten dürfen erhoben werden, die für den jeweiligen Zweck erforderlich sind. Gesprächsaufzeichnungen sollten nur vorgenommen werden, wenn zwingend notwendig und nur nach ausdrücklicher Einwilligung.
4. Verträge mit Dienstleistern und technischer Datenschutz: Setzen Unternehmen Drittanbieter für den KI-Telefonbot ein, müssen Auftragsverarbeitungsverträge abgeschlossen werden. Zudem sollte man technische und organisatorische Maßnahmen treffen, um ein hohes Schutzniveau zu gewährleisten.
5. Regelmäßige Überprüfung und Anpassung: Da sich die rechtlichen Anforderungen (insbesondere durch den AI Act) ständig weiterentwickeln, sollten Prozesse und eingesetzte KI-Systeme regelmäßig überprüft und angepasst werden.
Fazit
Der Einsatz von digitalen Telefonassistenten bietet enormes Potenzial, birgt aber auch erhebliche datenschutzrechtliche Risiken. Unternehmen sollten den Einsatz gut vorbereiten, umfassende Transparenz sicherstellen und sowohl die Vorgaben der DSGVO als auch der neuen KI-Verordnung berücksichtigen. Man muss insbesondere das Erfordernis einer Einwilligung, sowohl aus datenschutzrechtlicher als auch aus strafrechtlicher Sicht, beachten. Mit einer sorgfältigen Planung und konsequenter Umsetzung lassen sich rechtliche Risiken minimieren und gleichzeitig innovative Kommunikationswege erfolgreich nutzen.
Sie haben noch Fragen zum datenschutzkonformen Einsatz eines digitalen Telefonassistenten oder KI im Allgemeinen? Sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.
