DSGVO und KI: Was Unternehmen wissen müssen

KI ist in aller Munde – und immer mehr Unternehmen setzen auf KI-Tools für Telefonie, Kundenkommunikation oder Prozessautomatisierung. Doch gerade in Deutschland kommt sofort die Frage: Ist das DSGVO-konform?

Die kurze Antwort: Ja – wenn man es richtig macht. In diesem Artikel erklären wir praxisnah, worauf Unternehmen achten müssen, wenn sie KI einsetzen.

Was bedeutet DSGVO überhaupt?

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in der gesamten EU gültig und regelt, wie personenbezogene Daten verarbeitet werden dürfen. Personenbezogene Daten sind alle Informationen, die eine Person identifizierbar machen – Name, Telefonnummer, E-Mail-Adresse, aber auch IP-Adressen oder Gesprächsinhalte.

Wenn ein KI-System Telefongespräche führt, Nachrichten beantwortet oder Daten verarbeitet, werden fast immer personenbezogene Daten berührt. Deshalb ist die DSGVO hier relevant.

Die 4 wichtigsten Punkte für KI und DSGVO

1. Transparenz – Anrufer müssen informiert werden

Wenn ein KI-System ein Telefonat führt, muss der Anrufer darüber informiert werden. Das klingt komplizierter als es ist. Eine einfache Begrüßung wie "Sie sprechen mit einer digitalen Assistentin" reicht in den meisten Fällen aus, um die Transparenzpflicht zu erfüllen.

Wichtig: Der Anrufer darf nicht den Eindruck bekommen, mit einem echten Menschen zu sprechen, wenn es sich um eine KI handelt.

2. Datenminimierung – nur das Nötigste erfassen

Die DSGVO schreibt vor, dass nur so viele Daten erfasst werden dürfen, wie für den jeweiligen Zweck notwendig sind. Für einen KI-Telefonassistenten bedeutet das: Rufnummer und Anliegen – ja. Unnötige persönliche Details – nein.

Bei Simplima AI erfassen wir genau das: Datum, Uhrzeit, Anliegen und – nur wenn der Anrufer es selbst angibt – Rufnummer und Name für einen Rückruf.

3. Aufbewahrungsfristen – Daten nicht ewig speichern

Daten dürfen nicht unbegrenzt gespeichert werden. Wir empfehlen unseren Kunden, Gesprächsdaten nach spätestens 30 Tagen automatisch zu löschen. Das ist nicht nur DSGVO-konform, sondern auch sinnvoll – wer ruft nach einem Monat noch zurück?

4. Auftragsverarbeitung – der richtige Anbieter

Wenn Sie einen KI-Dienstleister einsetzen, sind Sie als Unternehmen Verantwortlicher im Sinne der DSGVO – der Dienstleister ist Auftragsverarbeiter. Das bedeutet: Sie müssen einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter schließen.

Seriöse Anbieter stellen diesen Vertrag auf Anfrage zur Verfügung. Wer das verweigert, ist kein geeigneter Partner für den Einsatz im deutschen Unternehmensumfeld.

Praxis-Checkliste: KI DSGVO-konform einsetzen

• Anrufer informieren: KI klar als solche kennzeichnen zu Beginn des Gesprächs
• AVV abschließen: Auftragsverarbeitungsvertrag mit dem KI-Anbieter unterzeichnen
• Daten minimieren: Nur erfassen was wirklich nötig ist
• Löschfristen setzen: Automatische Löschung nach 30 Tagen einrichten
• EU-Server bevorzugen: Daten sollten möglichst auf Servern in der EU verarbeitet werden
• Datenschutzerklärung aktualisieren: KI-Einsatz in der Datenschutzerklärung erwähnen

Wie Simplima AI mit Datenschutz umgeht

Bei allen KI-Lösungen die wir entwickeln, ist Datenschutz von Anfang an eingeplant – kein nachträglicher Gedanke. Konkret bedeutet das:

• Anrufer werden zu Beginn jedes Gesprächs darüber informiert, dass sie mit einer KI sprechen
• Gesprächsaufzeichnungen werden nicht dauerhaft gespeichert
• Gesprächsdaten werden nach 30 Tagen automatisch gelöscht
• Rufnummern werden nur gespeichert wenn der Anrufer sie selbst für einen Rückruf hinterlässt
• Wir schließen mit allen Kunden einen Auftragsverarbeitungsvertrag ab

DSGVO muss kein Hindernis sein. Mit den richtigen Maßnahmen können Unternehmen KI sicher, legal und vertrauenswürdig einsetzen – und gleichzeitig ihren Kunden zeigen, dass Datenschutz ernst genommen wird.