Worauf es bei Datenschutz und Sicherheit in der KI-Telefonie ankommt
Der Einsatz eines VoiceAgents im Kundenservice ist DSGVO-konform möglich, wenn bestimmte Voraussetzungen erfüllt sind. Dazu gehören beispielsweise Aspekte wie eine klare Rechtsgrundlage, ein geeigneter Serverstandort und die Einhaltung der Datensparsamkeit. Dieser Ratgeber zeigt, worauf KMU bei der Wahl eines Anbieters achten sollten und wie comdesk mit seinem VoiceAgent Datenschutz und Sicherheit konkret umsetzt.
Die wichtigsten Themen auf einen Blick
- Was macht einen VoiceAgent datenschutzrechtlich besonders?
- Welche DSGVO-Pflichten gelten beim Einsatz eines VoiceAgents?
- EU AI Act und VoiceAgent – was gilt ab 2026?
- Worauf müssen KMU bei der Anbieterwahl achten?
- Wie setzt comdesk Datenschutz und Sicherheit beim VoiceAgent um?
- Häufige Fragen zu Datenschutz & Sicherheit bei VoiceAgents
Was macht einen VoiceAgent datenschutzrechtlich besonders?
Wer einen VoiceAgent einsetzt, verarbeitet automatisch personenbezogene Daten. Das ist der entscheidende Unterschied zu vielen anderen Software-Lösungen im Unternehmensalltag.
Warum gelten Sprachdaten als personenbezogene Daten?
Ein VoiceAgent führt Gespräche mit Menschen. Dabei entstehen Sprachaufnahmen, Gesprächsinhalte und in vielen Fällen auch Namen, Kundennummern oder Anliegen. All das sind personenbezogene Daten im Sinne der DSGVO. Unternehmen, die einen Voice Agent betreiben, sind damit automatisch für deren Verarbeitung verantwortlich.
Gut zu wissen: Sprachdaten, die ein VoiceAgent verarbeitet, gelten nach DSGVO als personenbezogene Daten. Unternehmen brauchen immer eine klare Rechtsgrundlage für deren Verarbeitung. Unabhängig davon, ob die Daten gespeichert werden oder nicht.
Welche Rechtsgrundlage gilt beim Einsatz eines VoiceAgents?
Für den Einsatz eines VoiceAgents im Kundenservice genügt in der Regel eine der beiden DSGVO-Rechtsgrundlagen:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b) oder
- berechtigtes Interesse (Art. 6 Abs. 1 lit. f).
Zusätzlich ist eine gesonderte Einwilligung der Anrufenden erforderlich.
Werden besondere Kategorien personenbezogener Daten verarbeitet, beispielsweise Gesundheitsdaten in einer Arztpraxis, dann gelten strengere Anforderungen nach Art. 9 DSGVO.
Welche DSGVO-Pflichten gelten beim Einsatz eines VoiceAgents?
Der Einsatz eines KI-Sprachagenten löst konkrete Pflichten aus. Unternehmen müssen diese kennen und aktiv umsetzen.
Datensparsamkeit – nur speichern, was wirklich nötig ist
Der Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) gilt auch für VoiceAgents. Unternehmen sollten festlegen, welche Gesprächsdaten tatsächlich benötigt werden und wie lange sie gespeichert bleiben. Klare Löschfristen reduzieren das Risiko von DSGVO-Verstößen und möglichen Bußgeldverfahren. Zudem erleichtern sie die Dokumentation gegenüber Aufsichtsbehörden.
Datenschutz-Folgenabschätzung (DSFA) – wann ist sie nötig?
Eine Datenschutz-Folgenabschätzung (DSFA) ist immer empfehlenswert und wird dann erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Der Einsatz eines VoiceAgents im großen Maßstab oder in sensiblen Branchen – etwa im Gesundheits- oder Finanzbereich – kann eine DSFA auslösen.
Was darf ein VoiceAgent nach Art. 22 DSGVO nicht automatisch entscheiden?
Art. 22 DSGVO verbietet vollautomatisierte Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf Personen haben. Ein VoiceAgent darf z. B. keine eigenständigen Vertragsabschlüsse vornehmen oder Kreditentscheidungen treffen. Für solche Prozesse muss immer ein Mensch eingebunden werden.
Welche Aufgaben kann ein VoiceAgent ohne Einschränkung übernehmen?
Ein VoiceAgent kann ohne Einschränkung FAQs beantworten, Termine vereinbaren, Anliegen aufnehmen und an die richtige Stelle weiterleiten.
EU AI Act und VoiceAgent – was gilt ab 2026?
Der EU AI Act ergänzt die DSGVO. Er bringt neue Pflichten für KI-Systeme und somit auch für VoiceAgents im Unternehmenseinsatz.
Transparenzpflicht ab August 2026 – KI muss sich als KI zu erkennen geben
Ab August 2026 gilt Art. 52 EU AI Act verbindlich. Er schreibt vor, dass KI-Systeme, die mit Menschen interagieren, dies zu Beginn des Gesprächs offenlegen müssen. Wer einen VoiceAgent betreibt, muss sicherstellen, dass Anrufer zu Gesprächsbeginn darüber informiert werden, dass sie mit einem KI-System sprechen.
Gut zu wissen: Die Transparenzpflicht nach Art. 52 EU AI Act gilt ab August 2026. Unternehmen, die VoiceAgents einsetzen, müssen ihre Systeme entsprechend konfigurieren. In Deutschland kommt hinzu, dass eine Täuschung über den Gesprächspartner wettbewerbsrechtlich und strafrechtlich relevant sein kann.
Wie ergänzen sich DSGVO und EU AI Act?
DSGVO und EU AI Act verfolgen unterschiedliche Ziele, gelten aber parallel und müssen beide eingehalten werden. Die folgende Übersicht zeigt die wichtigsten Unterschiede:
| DSGVO | EU AI Act | |
|---|---|---|
| Fokus | Schutz personenbezogener Daten | Sicherheit und Vertrauenswürdigkeit von KI-Systemen |
| Gilt für | Alle Verarbeitungen personenbezogener Daten | KI-Systeme nach Risikoklasse |
| Relevanz für VoiceAgent | Sprachdaten, Rechtsgrundlage | Transparenzpflicht, Kennzeichnung als KI |
| Sanktionen | Bis zu 20 Mio. Euro oder 4% des Jahresumsatzes | Bis zu 35 Mio. Euro oder 7% des Jahresumsatzes |
Worauf müssen KMU bei der Anbieterwahl achten?
Nicht jeder VoiceAgent-Anbieter erfüllt die Anforderungen, die in Deutschland und der EU gelten. Diese Checkliste hilft bei der Auswahl.
Checkliste: 5 Kriterien für einen datenschutzkonformen VoiceAgent-Anbieter
- Serverstandort:
Werden alle Daten ausschließlich in Deutschland oder der EU verarbeitet und gespeichert? - Verschlüsselung:
Setzt der Anbieter TLS (Transportverschlüsselung) und SRTP (Medienverschlüsselung) ein? - Subdienstleister:
Kann der Anbieter transparent machen, welche KI-Modelle und Drittanbieter eingesetzt werden? - US-Anbieter:
Falls US-Anbieter genutzt werden: Gibt es geprüfte Standard Contractual Clauses (SCCs)? - Löschfristen:
Wie lange werden Gesprächsdaten gespeichert und kann das Unternehmen die Fristen selbst festlegen?
Wie setzt comdesk Datenschutz und Sicherheit beim VoiceAgent um?
Der VoiceAgent von comdesk ist vollständig DSGVO-konform aufgebaut. Datenschutz ist dabei kein Zusatz, sondern ein fester Bestandteil der Plattform. Hier sind die zentralen Sicherheitsmerkmale im Überblick:
- Deutsches Rechenzentrum: Alle Gesprächsdaten werden ausschließlich in deutschen und europäischen Rechenzentren verarbeitet und gespeichert. Ein Datentransfer in Drittländer ohne angemessenes Schutzniveau findet nicht statt.
- Verschlüsselte Speicherung: Gesprächsdaten werden verschlüsselt gespeichert. Die Übertragung erfolgt über gesicherte Protokolle.
- DSGVO-konforme Partner: comdesk arbeitet ausschließlich mit zertifizierten, DSGVO-konformen Partnern und Subdienstleistern zusammen.
- Transparenz über KI-Modelle: comdesk legt offen, welche KI-Technologien im VoiceAgent eingesetzt werden.
- EU AI Act-konform: Der comdesk VoiceAgent ist auf die Transparenzpflichten nach Art. 52 EU AI Act vorbereitet.
comdesk: Ihr DSGVO-konformer VoiceAgent-Anbieter
Der VoiceAgent von comdesk verarbeitet alle Daten in deutschen und europäischen Rechenzentren, verschlüsselt und DSGVO-konform. comdesk setzt dabei ausschließlich auf zertifizierte, europäische Partner oder Partner mit angemessenem Schutzniveau.
Als Business Telefonie-Anbieter bietet comdesk umfassende Telefonie-Lösungen an. Die cloudbasierte Telefonanlage bietet über 200 Business-Funktionen, darunter CRM-Integration, Microsoft Teams-Anbindung und Softphones für PC und Smartphone.
Häufige Fragen zu Datenschutz & Sicherheit bei VoiceAgents
Ist der Einsatz eines VoiceAgents im Kundenservice DSGVO-konform?
Ja, sofern die richtigen Voraussetzungen erfüllt sind. Dazu gehören eine klare Rechtsgrundlage für die Datenverarbeitung, ein geeigneter Serverstandort und die Einhaltung der Datensparsamkeit. Mit einem DSGVO-konformen Anbieter wie comdesk ist der Einsatz im Kundenservice rechtssicher möglich.
Müssen Anrufer darüber informiert werden, dass sie mit einer KI sprechen?
Ab August 2026 ist das nach Art. 52 EU AI Act verpflichtend. Anrufer müssen zu Beginn des Gesprächs darüber informiert werden, dass sie mit einem KI-System interagieren. Gut konfigurierte VoiceAgents setzen diesen Hinweis automatisch zu Gesprächsbeginn.
Was passiert mit den Gesprächsdaten nach dem Anruf?
Das hängt von der Konfiguration und den Löschfristen ab, die das Unternehmen festlegt. Grundsätzlich gilt: Daten dürfen nur so lange gespeichert werden, wie sie für den jeweiligen Zweck notwendig sind. Klare Löschfristen sind Teil eines datenschutzkonformen Betriebs.
Welche technischen Sicherheitsstandards sollte ein VoiceAgent-Anbieter erfüllen?
Ein datenschutzkonformer VoiceAgent-Anbieter muss Sprachdaten verschlüsselt übertragen, mindestens per TLS (Transport) und SRTP (Medien). Alle Daten sollten in deutschen oder europäischen Rechenzentren verarbeitet
werden.
Wie erkenne ich einen DSGVO-konformen VoiceAgent-Anbieter?
Ein seriöser Anbieter benennt seinen Serverstandort transparent. Er legt offen, welche KI-Modelle und Subdienstleister er einsetzt und er verfügt über nachweisbare Sicherheitsstandards.
