KI und Datenschutz

Was KI-Datenschutz bedeutet

Wer einen KI-Agenten für Kundenanfragen, interne Prozesse oder automatisierte Kommunikation nutzt, verarbeitet dabei personenbezogene Daten und fällt damit in den Geltungsbereich der Datenschutz-Grundverordnung (DSGVO).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen: Namen, E-Mail-Adressen, Telefonnummern, aber auch IP-Adressen oder Gesprächsinhalte. Sobald ein KI-Agent solche Daten verarbeitet, greift der Datenschutz.

Wer Datenverarbeitung und Rechtsgrundlagen vor dem Go-live klärt, vermeidet nachträgliche technische Anpassungen und mögliche Bußgelder. Und schafft zudem eine Grundlage, auf der KI-Agenten rechtssicher betrieben werden können.

Was "Daten verarbeiten" konkret heißt

Der Begriff "Verarbeitung" ist in Art. 4 Nr. 2 DSGVO weit gefasst. Er umfasst jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, unabhängig davon, ob das automatisiert geschieht oder nicht. (Quelle: EUR-Lex, Art. 4 Nr. 2 DSGVO – Begriffsbestimmungen)

Für KI-Agenten bedeutet das: Schon das Entgegennehmen eines Anrufs, bei dem ein Name oder eine Telefonnummer übermittelt wird, ist Datenverarbeitung. Ebenso das Speichern einer Anfrage, das Weiterleiten an ein CRM-System oder das Auswerten von Gesprächsinhalten. Konkrete Beispiele:

• Erheben: Der KI-Agent nimmt eine Telefonnummer oder einen Namen auf.
• Speichern: Gesprächsinhalte oder Kontaktdaten werden in einem System abgelegt.
• Übermitteln: Daten werden an ein CRM, eine Ticketing-Software oder an Mitarbeitende weitergegeben.
• Auswerten: Der KI-Agent kategorisiert Anliegen oder zieht Rückschlüsse auf Kundenwünsche.
• Löschen: Auch das gezielte Entfernen von Daten nach Ablauf einer Frist gilt als Verarbeitung.

Wichtig:

Ob ein Mensch die Daten danach zu Gesicht bekommt oder nicht, spielt keine Rolle. Bereits die vollautomatisierte Verarbeitung durch den KI-Agenten allein löst die DSGVO-Pflichten aus.

Rechtliche Grundlagen im Überblick

Für den Datenschutz beim Einsatz von KI gelten in Deutschland vor allem drei Regelwerke:

• DSGVO (Datenschutz-Grundverordnung, EU 2016/679): Das zentrale EU-Datenschutzrecht. Es regelt, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen. Für KI-Anwendungen relevant sind insbesondere Art. 5 (Grundsätze), Art. 6 (Rechtsgrundlagen), Art. 13/14 (Informationspflichten) und Art. 22 (automatisierte Entscheidungen). (Quelle: EUR-Lex, DSGVO vollständiger Text)

• BDSG (Bundesdatenschutzgesetz): Ergänzt die DSGVO auf nationaler Ebene, u. a. beim Beschäftigtendatenschutz (§ 26 BDSG). Relevant, wenn KI-Agenten im HR-Kontext oder zur Mitarbeitendenkommunikation eingesetzt werden. (Quelle: Bundesministerium der Justiz, BDSG)

• EU AI Act (Verordnung (EU) 2024/1689): Das weltweit erste umfassende KI-Gesetz. Es klassifiziert KI-Systeme nach Risikoklassen und legt entsprechende Anforderungen fest. Für viele Unternehmensanwendungen mit KI-Agenten gilt die Risikostufe "begrenzt" oder "minimal". Hochrisiko-KI, etwa im Personalwesen, in der Kreditvergabe oder in kritischer Infrastruktur, unterliegt strengeren Auflagen. (Quelle: EUR-Lex, EU AI Act)

Diese drei Regelwerke greifen ineinander. Der EU AI Act fügt eine neue Schicht hinzu, ersetzt aber nicht die DSGVO.

Pflichten beim Einsatz von KI-Agenten

Wer einen KI-Agenten betreibt, der personenbezogene Daten verarbeitet, hat konkrete Pflichten:

Rechtsgrundlage sicherstellen: Jede Datenverarbeitung braucht eine Grundlage. Das kann eine Einwilligung sein (Art. 6 Abs. 1 lit. a DSGVO), ein Vertrag (lit. b) oder ein berechtigtes Interesse (lit. f). Für KI-Agenten im Kundenkontakt ist oft das berechtigte Interesse oder ein bestehender Vertrag die passende Grundlage. Das sollten Sie im Einzelfall prüfen.

Informationspflichten erfüllen: Verarbeitende müssen Nutzende transparent informieren, wenn ein KI-Agent mit ihnen interagiert (Art. 13/14 DSGVO). Das gilt auch für den STRATO Smart KI-Telefonassistenten: Wer Anrufe automatisiert beantwortet, muss Anrufende darüber in Kenntnis setzen.

Verzeichnis der Verarbeitungstätigkeiten führen: Ab einer gewissen Unternehmensgröße und bei regelmäßiger KI-Nutzung ist ein Verarbeitungsverzeichnis nach Art. 30 DSGVO Pflicht.

Auftragsverarbeitung regeln: Nutzen Sie externe KI-Dienste, schließen Sie mit dem anbietenden Unternehmen einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab. Ohne AVV fehlt die Rechtsgrundlage für die Weitergabe von Daten an Dritte.

Automatisierte Entscheidungen und ihre Grenzen

Art. 22 DSGVO verbietet, dass Personen ausschließlich aufgrund automatisierter Verarbeitung eine Entscheidung erhalten, die rechtliche oder erhebliche praktische Folgen hat. Klassische Beispiele: Ein KI-System lehnt automatisch einen Kredit- oder Versicherungsantrag ab, stuft eine Bewerbung aus, oder sperrt ein Konto, ohne dass ein Mensch eingreift.

Für KI-Agenten, die Anfragen beantworten, Termine planen oder einfache Prozesse steuern, greift Art. 22 in der Regel nicht. Anders sieht es aus, sobald der KI-Agent eigenständig Entscheidungen mit spürbaren Konsequenzen für Personen trifft. In diesem Fall muss entweder eine ausdrückliche Einwilligung vorliegen, die Verarbeitung zur Vertragserfüllung notwendig sein oder eine gesetzliche Ausnahmeregelung greifen. Zusätzlich schreibt Art. 22 Abs. 2 lit. b und c DSGVO vor, dass Betroffene das Recht haben, die Entscheidung von einer natürlichen Person überprüfen zu lassen und ihren eigenen Standpunkt darzulegen. (Quelle: dsgvo-gesetz.de, Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall)

Datenschutz durch Technikgestaltung: Privacy by Design

Art. 25 DSGVO fordert, Datenschutz nicht nachträglich einzubauen, sondern von Beginn an mitzudenken. Das Prinzip heißt "Privacy by Design" und "Privacy by Default". Konkret bedeutet das für KI-Agenten:

• Nur so viele Daten erheben wie nötig (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO)
• Standardmäßig die datenschutzfreundlichste Einstellung wählen
• Speicherfristen definieren und automatisierte Löschung implementieren
• Zugriffe auf Daten protokollieren und einschränken

Wer KI-Agenten auf diese Weise konfiguriert, reduziert nicht nur rechtliche Risiken, sondern erfüllt auch die Auskunfts- und Löschpflichten gegenüber Betroffenen zuverlässig, was im Geschäftsverkehr als Zeichen sorgfältiger Datenverarbeitung wahrgenommen wird. Dazu gehört auch, die Anweisungen an den KI-Agenten gezielt zu formulieren: Über Prompt Engineering lässt sich steuern, welche Daten der Agent abfragt und welche er bewusst nicht erhebt.

KI-Datenschutz mit STRATO umsetzen

Der STRATO Smart KI-Telefonassistent ist ein KI-Agent für die automatisierte Anrufannahme, direkt in die Telefonanlage Ihres Unternehmens integriert. STRATO betreibt die Infrastruktur auf Servern in Deutschland, womit kein Datentransfer in Drittstaaten stattfindet und die DSGVO-Anforderungen an den Speicherort erfüllt sind. Da die Datenverarbeitung innerhalb der EU stattfindet, entfällt die Prüfung eines Drittlandtransfers nach Art. 46 DSGVO.

Für die eigene Umsetzung empfiehlt sich diese Vorgehensweise:

1. Einsatzzweck definieren: Welche Daten verarbeitet der KI-Agent? Auf welcher Rechtsgrundlage?
2. Nutzendeninfo einrichten: Stellen Sie sicher, dass Anrufende über den Einsatz des KI-Agenten informiert werden, zum Beispiel per Ansagetext am Beginn des Gesprächs.
3. AVV abschließen: Verarbeitet der KI-Agent Daten Ihrer Kundschaft, schließen Sie mit ihr einen Auftragsverarbeitungsvertrag ab.
4. Verarbeitungsverzeichnis aktualisieren: Tragen Sie den neuen KI-Agenten in Ihr Verzeichnis der Verarbeitungstätigkeiten ein.
5. Speicherfristen festlegen: Definieren Sie, wie lange Gesprächsdaten gespeichert werden, und richten Sie die automatische Löschung ein.

Was der EU AI Act für Unternehmen bedeutet

Der EU AI Act ist seit August 2024 in Kraft und wird schrittweise anwendbar. (Quelle: EUR-Lex, EU AI Act Inkrafttreten) Die meisten Pflichten für Anbieter und Betreibende von KI-Systemen gelten ab August 2026.

Für Unternehmen, die KI-Agenten wie den STRATO Smart KI-Telefonassistenten nutzen, ist vor allem die Rolle des "Betreibers" relevant. Als Betreibende tragen Sie Verantwortung für den konkreten Einsatzzweck und müssen sicherstellen, dass Sie das System nur für vorgesehene Zwecke nutzen. Bei KI-Systemen mit begrenztem Risiko, wie Chatbots und Sprachagenten, gilt eine Transparenzpflicht: Nutzende müssen wissen, dass sie mit einer KI interagieren.

Hochrisiko-KI, etwa im Personalwesen oder bei Kreditentscheidungen, unterliegt zusätzlichen Anforderungen wie Risikobewertungen, menschlicher Aufsicht und technischer Dokumentation. Diese Kategorie betrifft die meisten standardmäßigen KI-Agenten für Telefonie und Kundenkommunikation nicht.

Häufige Fragen

Brauche ich eine Datenschutz-Folgenabschätzung für KI-Agenten?

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist dann Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei einem KI-Telefonassistenten, der lediglich Anrufe entgegennimmt und Rückruftermine plant, ist das in der Regel nicht der Fall. Sobald jedoch systematisch sensitive Daten verarbeitet oder Profile erstellt werden, kann eine DSFA erforderlich sein. Orientierung bieten die Listen der Aufsichtsbehörden, z. B. der Datenschutzkonferenz (DSK).

Was passiert, wenn ich keinen Auftragsverarbeitungsvertrag abschließe?

Ohne AVV fehlt die Rechtsgrundlage für die Weitergabe personenbezogener Daten an den KI-Dienst. Das ist ein DSGVO-Verstoß nach Art. 83 Abs. 4 DSGVO, der mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden kann.

Der AVV legt fest, wie der Auftragsverarbeiter die Daten verarbeiten darf, welche technischen und organisatorischen Schutzmaßnahmen gelten und wie bei Datenpannen vorzugehen ist. Zuständig für die Aufsicht und Ahndung sind in Deutschland die jeweiligen Landesdatenschutzbehörden. (Quelle: Art. 83 DSGVO)

Gilt der EU AI Act auch für kleine Unternehmen?

Ja, der EU AI Act unterscheidet nicht grundsätzlich nach Unternehmensgröße. Für KMU und Startups gibt es allerdings vereinfachte Compliance-Wege und geringere Gebühren bei bestimmten Konformitätsbewertungen.

Darf ein KI-Agent Gespräche aufzeichnen und speichern?

Das hängt vom Einzelfall ab. Eine Aufzeichnung ist nur mit ausdrücklicher Einwilligung aller Gesprächsteilnehmenden erlaubt (§ 201 StGB, ergänzend Art. 6 DSGVO). Wer Gesprächsinhalte zu Qualitätssicherungszwecken speichert, muss darüber vorab informieren und klare Speicherfristen festlegen.