Künstliche Intelligenz hält Einzug in immer mehr Geschäftsbereiche - von der automatisierten Kundenkommunikation über intelligente Terminplanung bis zum KI-Telefonassistenten. Für viele kleine und mittlere Unternehmen stellt sich dabei eine zentrale Frage: Darf ich das überhaupt? Und wenn ja, wie setze ich KI-Tools ein, ohne gegen die DSGVO zu verstoßen? Dieser Artikel gibt Ihnen einen praxisorientierten Überblick - verständlich, konkret und ohne Juristendeutsch.
Welche Daten erhebt ein KI-Tool im Geschäftsalltag?
Das hängt vom Einsatzzweck ab. Ein KI-Telefonassistent erfasst typischerweise: die Telefonnummer des Anrufers, den Namen (sofern genannt), das gesprochene Wort als Audiodatei und als Transkription, sowie die Gesprächszusammenfassung mit Anliegen und nächsten Schritten. Bei einem automatisierten E-Mail-System kommen Absenderadressen, Nachrichteninhalte und Zeitstempel hinzu. Bei einem Buchungssystem werden personenbezogene Daten wie Name, E-Mail und Termindetails verarbeitet. All diese Daten fallen unter die DSGVO und müssen entsprechend behandelt werden.
Wo werden die Daten gespeichert? - Die Serverfrage
Die wichtigste Frage bei jedem KI-Tool: Wo werden die Daten verarbeitet und gespeichert? Nach DSGVO müssen personenbezogene Daten von EU-Bürgern innerhalb der EU oder in Ländern mit angemessenem Datenschutzniveau verarbeitet werden. In der Praxis bedeutet das: Wenn Ihr KI-Anbieter Daten an US-Server schickt, brauchen Sie mindestens Standardvertragsklauseln, besser noch einen Anbieter mit deutschen oder europäischen Servern. Bei Synora setzen wir konsequent auf Hosting und Verarbeitung auf deutschen Servern - damit sind Sie auf der sicheren Seite.
Der AV-Vertrag: Pflicht, nicht Kür
Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AV-Vertrag nach Art. 28 DSGVO) gesetzlich vorgeschrieben. Das gilt auch für KI-Tools. Der AV-Vertrag regelt unter anderem: welche Daten verarbeitet werden, zu welchem Zweck, welche Sicherheitsmaßnahmen gelten und was bei einem Datenschutzvorfall passiert. Ohne AV-Vertrag drohen Bußgelder - unabhängig davon, ob tatsächlich ein Datenschutzverstoß vorliegt. Seriöse Anbieter stellen Ihnen einen AV-Vertrag proaktiv zur Verfügung. Wenn ein Anbieter keinen AV-Vertrag anbietet, ist das ein Warnsignal.
Einwilligung und Informationspflicht
Beim Einsatz eines KI-Telefonassistenten stellt sich die Frage: Muss der Anrufer zustimmen? In den meisten Fällen basiert die Datenverarbeitung auf einem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) - Sie nehmen einen Anruf entgegen und verarbeiten die Daten zur Bearbeitung des Anliegens. Dennoch besteht eine Informationspflicht: Der Anrufer sollte zu Beginn des Gesprächs darüber informiert werden, dass er mit einem KI-System spricht und wie seine Daten verarbeitet werden. Ein kurzer Hinweis zu Gesprächsbeginn genügt in der Regel. Details können Sie in Ihrer Datenschutzerklärung bereitstellen.
Praktische Checkliste: DSGVO-konforme KI-Nutzung
- AV-Vertrag mit dem KI-Anbieter abgeschlossen und archiviert
- Serverstandort geprüft: Verarbeitung auf deutschen oder EU-Servern
- Datenschutzerklärung auf der Website um KI-Tools ergänzt
- Verarbeitungsverzeichnis nach Art. 30 DSGVO aktualisiert
- Anrufer werden über KI-Einsatz informiert (Gesprächshinweis)
- Löschkonzept definiert: Wie lange werden Gesprächsdaten aufbewahrt?
- Zugriffsrechte geklärt: Wer im Team hat Zugriff auf die Daten?
- Regelmäßige Überprüfung der technischen Sicherheitsmaßnahmen
Häufige Mythen rund um DSGVO und KI
Mythos 1: "KI ist grundsätzlich nicht DSGVO-konform." - Falsch. KI-Tools können vollständig DSGVO-konform betrieben werden, wenn die richtigen Maßnahmen getroffen werden. Entscheidend sind Serverstandort, AV-Vertrag und transparente Informationspflichten. Mythos 2: "Ich brauche von jedem Anrufer eine schriftliche Einwilligung." - Nicht zwingend. In vielen Fällen reicht das berechtigte Interesse als Rechtsgrundlage. Ein mündlicher Hinweis zu Gesprächsbeginn und eine aktualisierte Datenschutzerklärung decken die Informationspflicht ab. Mythos 3: "Als kleines Unternehmen bin ich nicht betroffen." - Doch. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet - unabhängig von der Größe. Auch ein Drei-Mann-Betrieb muss die Regeln einhalten.
Wie Synora DSGVO-Konformität sicherstellt
Bei jedem Projekt, das KI-Komponenten umfasst, prüfen und dokumentieren wir die DSGVO-Konformität. Das bedeutet konkret: Alle Daten werden auf deutschen Servern verarbeitet. Wir stellen einen vollständigen AV-Vertrag bereit. Die Datenschutzerklärung wird um die relevanten Passagen ergänzt. Gesprächsdaten werden nach einem definierten Zeitraum automatisch gelöscht. Und wir beraten Sie zu Informationspflichten, damit Ihre Kunden transparent informiert sind. Datenschutz ist kein Hindernis für KI-Einsatz - sondern eine Qualitätsanforderung, die wir ernst nehmen.
