• Seite
• Diskussion

• Quelltext anzeigen
• Versionen/Autoren

Aus Portunity Wiki

Inhaltsverzeichnis 1 Wichtiger Hinweis vorab (keine Rechtsberatung) 2 Rollen und Verantwortlichkeiten 3 Was beim Telefon schon heute datenschutzrelevant ist 3.1 „Auf laut stellen“ und Mithörenlassen 3.2 Stenografische oder wörtliche Mitschriften 3.3 Anrufbeantworter und Visual Voicemail 4 Relevante Regelwerke (Orientierung, nicht abschließend) 5 Typische Verarbeitungsschritte bei der Telefon-KI 6 Informations- und Einwilligungspflichten – gestufter Ansatz 6.1 Grundidee: Transparenz vor Verarbeitung 6.2 Mögliche Varianten der Einwilligung (ohne Empfehlung) 6.3 Positiv kommunizieren statt „Datenschutz-Schreckensansage“ 7 Datenschutzfreundliche Gestaltung der Telefon-KI (Orientierung) 8 Was wir als technischer Dienstleister leisten – und was nicht 9 Checkliste zur Vorbereitung eines Gesprächs mit Ihrem Datenschutz-Team

Wichtiger Hinweis vorab (keine Rechtsberatung)

Diese Seite soll Ihnen helfen, die datenschutzrechtlichen Fragestellungen rund um den Einsatz unserer Telefon-KI besser einzuordnen und die richtigen Fragen zu stellen.

Sie ersetzt jedoch keine Rechtsberatung.

• Wir sind technischer Dienstleister für Telefonie- und KI-Funktionen.
• Wir lösen technische Probleme – nicht die rechtlichen.
• Wir dürfen und können keine individuelle Rechtsberatung leisten.
• Für verbindliche Aussagen zur Rechtslage sind ausschließlich:
  • Ihre Datenschutzbeauftragten,
  • spezialisierte Rechtsanwältinnen und Rechtsanwälte

zuständig.

Alle Beispiele, Formulierungen und Checklisten auf dieser Seite sind Denkanstöße und ausdrücklich nicht dazu gedacht, 1:1 übernommen zu werden. Bitte lassen Sie Ihre konkrete Umsetzung immer rechtlich prüfen.

Rollen und Verantwortlichkeiten

Beim Einsatz einer Telefon-KI sind typischerweise mehrere Parteien beteiligt:

Sie als Inhaber:in der Rufnummer / Verantwortliche:r

Sie entscheiden, ob und wie die Telefon-KI eingesetzt wird, welche Daten verarbeitet werden und welche Ansagen, Prompts, Speicherfristen und Workflows gelten.

Sie sind damit in aller Regel die/der Verantwortliche im Sinne der DSGVO.

Wir als technischer Dienstleister (z. B. Portunity)

Wir stellen die Telefonie- und Systeminfrastruktur bereit und bieten die technischen Funktionen an (Routing, Ansagen, KI-Agenten, Mitschnitte, Transkripte, E-Mail, Webhooks usw.).

Wir sind kein Rechtsdienstleister und übernehmen keine Verantwortung für die inhaltliche und rechtliche Ausgestaltung Ihres Einsatzes.

Externe KI-Dienste (Vorlieferanten)

Für Spracherkennung, Gesprächsanalyse und Antwortgenerierung kommen – je nach Produktkonfiguration – externe KI-Dienste zum Einsatz.

Diese agieren als technische Vorlieferanten/Subdienstleister in der Verarbeitungskette.

Welche Dienste konkret eingesetzt werden, finden Sie in den technischen Produktunterlagen und Verträgen.

Was beim Telefon schon heute datenschutzrelevant ist

Viele datenschutzrelevante Themen gab es schon lange vor der Telefon-KI. Die Telefon-KI macht sie nur sichtbarer.

„Auf laut stellen“ und Mithörenlassen

Beispiele aus dem Alltag:

• Sie stellen das Telefon auf Lautsprecher, damit jemand im Raum mithören kann.
• Sie lassen Kolleg:innen im Büro „mitlauschen“, ohne den Anrufer zu informieren.

Rechtlich kann dies – je nach Konstellation – problematisch sein, weil:

• Gesprächsinhalte an Dritte weitergegeben werden,
• der Anrufer davon in der Regel nichts weiß,
• sowohl Datenschutzrecht (DSGVO) als auch das Strafrecht (Vertraulichkeit des Wortes) betroffen sein können.

In der Praxis wird dies häufig ignoriert – die Rechtslage ändert sich dadurch aber nicht.

Stenografische oder wörtliche Mitschriften

Auch ohne Tonaufzeichnung können datenschutzrechtlich relevante Verarbeitungen stattfinden, z. B.:

• Sie schreiben ein Gespräch Wort für Wort mit (Steno, Laptop, Notizblock).
• Es entsteht ein quasi vollständiges Protokoll, ohne dass der Anrufer darüber informiert wurde.

Auch das ist eine Verarbeitung personenbezogener Daten (Gesprächsinhalte, Namen, Kontaktdaten) und kann je nach Zweck eine Rechtsgrundlage und Transparenz erfordern.

Anrufbeantworter und Visual Voicemail

Klassische und moderne Anrufbeantworter sind ebenfalls datenschutzrelevant:

• Der Anrufer hinterlässt eine gesprochene Nachricht (Aufzeichnung).
• Bei Diensten wie „Visual Voicemail“ werden Nachrichten u. U. zusätzlich
  • an andere Unternehmen weitergeleitet,
  • mit KI transkribiert,
  • in der Cloud gespeichert.

Rein rechtlich stellen sich u. a. folgende Fragen:

• Wird der Anrufer ausreichend darüber informiert, dass seine Nachricht aufgezeichnet und weiterverarbeitet wird?
• Gibt es ggf. eine Einwilligung?
• Wie lange werden Nachrichten gespeichert?
• Wer hat Zugriff darauf?

In der Praxis gibt es hier einen großen Graubereich. Wer hat schon mal eine Ansage vor dem Anrufbeantworter erhalten, wo auf die Aufzeichnung, Datenschutz, Verarbeitung in der Nicht-EU für Transkriptionen usw. tatsächlich hingewiesen wird? Hier wird millionenfach jede Minute bei vielen Anrufen gegen geltendes Recht verstoßen - und keinen interessiert es, oder? Gelebte Praxis -vs- Recht?

Für die Telefon-KI sollten Sie diese Fragen aber bewusst stellen und aktiv beantworten um eigene Risiken zu minimierenm.

Relevante Regelwerke (Orientierung, nicht abschließend)

Je nach Einsatzszenario können u. a. folgende Regelwerke eine Rolle spielen:

• Datenschutz-Grundverordnung (DSGVO)
• Telekommunikationsrecht (z. B. TKG/TDDDG in Deutschland)
• EU-Verordnung zu Künstlicher Intelligenz („AI Act“)
• ggf. Strafrecht (z. B. Schutz der Vertraulichkeit des Wortes)

Diese Seite kann nur eine grobe Orientierung geben, welche Themenfelder typischerweise betroffen sind:

• Rechtmäßigkeit der Verarbeitung (Rechtsgrundlage, z. B. Einwilligung)
• Transparenz und Informationspflichten
• Datenminimierung und Speicherbegrenzung
• Betroffenenrechte (Auskunft, Löschung, Widerspruch, Widerruf von Einwilligungen)
• Datensicherheit und Zugriffsschutz
• Drittlandübermittlungen (Datenübertragung außerhalb EU/EWR)

Welche Normen in Ihrem konkreten Fall tatsächlich greifen, muss Ihre Rechtsberatung klären.

Typische Verarbeitungsschritte bei der Telefon-KI

Zur Einordnung hilft es, den Verarbeitungsablauf einmal bewusst durchzudenken. Typisch (vereinfachte Darstellung):

1. Anruf auf Ihrer Rufnummer.
2. Weiterleitung durch Ihren VoIP-Tarif bzw. Ihre Telefonanlage.
3. Optionale vorgeschaltete Hinweis-Ansage (z. B. zu KI, Aufzeichnung, Datenschutz).
4. Gespräch mit der Telefon-KI:
   • Echtzeitanalyse von Sprache, Inhalt, Stimmung.
   • Generierung passender Antworten und Rückfragen.
5. Optional: Aufzeichnung und/oder Transkription des Gesprächs.
6. Optional: E-Mail-Benachrichtigungen, Webhooks, Einträge in externe Systeme.
7. Protokollierung in Log- und Statistikfunktionen.

An vielen dieser Punkte stellen sich datenschutzrechtliche Fragen (Rechtsgrundlage, Transparenz, Speicherfrist, Zugriffsrechte). Die konkrete Antwort hängt von Ihren Einstellungen und Ihrem Usecase ab – und sollte individuell bewertet werden.

Informations- und Einwilligungspflichten – gestufter Ansatz

Grundidee: Transparenz vor Verarbeitung

Die meisten rechtlichen Diskussionen drehen sich um zwei Fragen:

• Wissen Anrufer überhaupt, dass eine KI eingesetzt wird?
• Haben sie der Verarbeitung und ggf. Aufzeichnung zugestimmt?

Ohne ausreichende Information und eine passende Rechtsgrundlage (oft: Einwilligung) bewegen Sie sich schnell in einem rechtlichen Risiko.

In vielen Fällen wird mit einem gestuften Informationskonzept (Layered Approach) gearbeitet:

1. Stufe

Kurze, verständliche Ansage am Telefon

Nur das Wichtigste in wenigen Sätzen: KI-Einsatz, ggf. KI-Anbieter, grobe Zwecke, einfache Möglichkeit zuzustimmen oder abzulehnen.

2. Stufe

Ausführliche Informationen (z. B. auf Ihrer Website)

Vollständige Datenschutzhinweise mit allen Pflichtangaben, z. B. Verantwortliche, Zwecke, Rechtsgrundlagen, Speicherfristen, Betroffenenrechte, Kontakt der Datenschutzbeauftragten, Aufsichtsbehörde usw.

Die Telefonansage verweist idealerweise auf die ausführlichen Informationen (z. B. URL Ihrer Datenschutzseite).

Mögliche Varianten der Einwilligung (ohne Empfehlung)

Es gibt unterschiedliche Modelle, wie eine Einwilligung in die KI-Verarbeitung ausgestaltet werden kann. Jedes Modell hat Vor- und Nachteile – rechtlich und aus Sicht der Nutzerfreundlichkeit.

Typische Varianten (als Ideen, nicht als Empfehlung):

• Konkludente Einwilligung durch „in der Leitung bleiben“
  • Ansage: „Wenn Sie im Gespräch bleiben, willigen Sie in die Verarbeitung durch unsere Telefon-KI ein. Wenn Sie das nicht möchten, legen Sie bitte jetzt auf …“
  • Vorteil: Einfach und nutzerfreundlich.
  • Nachteil: Juristisch schwächer als eine aktive Bestätigung.

• Aktive Einwilligung per Tastendruck
  • Beispiel: „Wenn Sie mit der Bearbeitung durch unsere Telefon-KI einverstanden sind, drücken Sie bitte die 1. Wenn nicht, bleiben Sie in der Leitung bzw. legen Sie auf.“
  • Vorteil: Klarer, nachweisbarer „Opt-in“.
  • Nachteil: Höherer technischer und UX-Aufwand, zusätzliche Abbruchstellen.

• Ausweichwege / Alternativen
  • z. B. „Wenn Sie nicht mit der KI sprechen möchten, senden Sie uns bitte eine E-Mail an … oder rufen Sie während der Öffnungszeiten unter … an.“
  • Vorteil: Betroffene haben echte Wahlmöglichkeiten.
  • Nachteil: Mehr Aufwand in der Organisation.

Wichtig: Welche Variante in Ihrem Fall sinnvoll und rechtlich tragfähig ist, kann nur Ihre Datenschutzberatung entscheiden. Die obigen Modelle sind Anregungen aus der Praxis, aber keine Empfehlung zur direkten Übernahme.

Positiv kommunizieren statt „Datenschutz-Schreckensansage“

Neben der juristischen Dimension ist auch die psychologische wichtig: Wie verkaufen Sie die KI-Nutzung Ihren Anrufer:innen? Denn wenn wir zunächst einen zwei minütigen Vortrag über Datenschutz halten, erhalten wir die Absprungrate des Todes: Jeder Anrufer legt früher oder später auf. Damit ist keinem geholofen. Auch nicht dem Datenschutz

Mögliche Leitgedanken:

• Betonung des Mehrwerts:
  • „Anstelle langer Warteschleifen erhalten Sie sofort Hilfe durch unsere Telefonassistenz …“
• Aufzeigen von Komfort:
  • „Sie müssen Ihre Daten nicht mehrfach erzählen, wir fassen alles für unser Team zusammen …“
• Ehrliche Transparenz:
  • „Wir setzen eine KI-gestützte Telefonassistenz ein. Sie entscheidet nichts allein über Sie, sondern hilft uns nur, Ihr Anliegen schneller und strukturierter zu bearbeiten.“

Ein Beispiel für eine rein inhaltliche Idee (bitte nicht 1:1 übernehmen):

Achtung: Folgende Formulierung ist nur ein unverbindlicher Denkanstoß.
Sie ist keine Rechtsberatung und darf nicht ungeprüft übernommen werden.

"Guten Tag und herzlich willkommen bei [Ihr Unternehmen].
Unsere KI-gestützte Telefonassistenz hilft uns, Ihr Anliegen ohne lange Wartezeiten
aufzunehmen und an die richtige Stelle weiterzuleiten. Sie müssen nicht 20 Minuten 
in einer Warteschleife verbringen.

Wenn Sie im Gespräch bleiben, willigen Sie ein, dass Ihre Angaben von diesem
System verarbeitet werden und das Gespräch aufgezeichnet wird. Details zum 
Datenschutz finden Sie auf unserer Website unter [Ihre-Domain]/datenschutz. 

Wenn Sie das nicht möchten, legen Sie bitte jetzt auf und kontaktieren Sie uns z. B. 
per E-Mail oder telefonisch zu unseren Öffnungszeiten oder später  wenn wir mehr
Zeit haben."

Datenschutzfreundliche Gestaltung der Telefon-KI (Orientierung)

Die folgenden Punkte können Ihnen als Checkliste dienen, um mit Ihrer Datenschutzberatung den Einsatz der Telefon-KI zu diskutieren:

Datenminimierung

Erfassen Sie nur die Daten, die Sie wirklich benötigen (z. B. Name, Rückrufnummer, Anliegen) und vermeiden Sie überflüssige Details. Hier müssen Sie auch in den Prompts in unserem Webinterface bereits bedenken, und formulieren was tatsächlich abgefragt werden soll. Auch können Sie im Prompt Anweisungen hinterlegen wo die KI dem Anrufer kurz erklärt, warum diese Informationen benötigt werden und dass auf der Website weitere Informationen zum Datenschutz zu finden sind?

Speicherbegrenzung

Legen Sie klare Regeln fest, wie lange Transkripte, Mitschnitte und Logs auf eigenen oder weiteren Systemen aufbewahrt werden sollen – und richten Sie ggf. organisatorische oder technische Löschkonzepte ein. Bei Portunity löschen wir Anrufhistorien relativ zeitnah. Auf erhaltene Mails oder per Webhook an Dritte Systeme gesendete Informationen haben wir aber keinen Einfluss.

Zugriffskontrolle

Stellen Sie sicher, dass nur berechtigte Personen auf KI-Logs, Transkripte und Mitschnitte zugreifen können (z. B. Rollen- und Rechtekonzepte).

Transparente Dokumentation

Halten Sie intern fest, wie die Telefon-KI funktioniert, welche Daten wohin fließen und wie Sie Ihre Informations- und Einwilligungspflichten umsetzen.

Verträge mit Dienstleistern

Prüfen Sie, ob und welche Auftragsverarbeitungsverträge (AVV) und ggf. Ergänzungen (z. B. zur Verarbeitung in der EU) mit Ihren Dienstleistern erforderlich sind. Viele unserer Kunden haben noch nicht mal die Bereitgestellte Möglichkeit zum Abschluss eines AVV in unserem Webinterface genutzt.

Was wir als technischer Dienstleister leisten – und was nicht

Um Missverständnisse zu vermeiden, möchten wir unsere Rolle klar abgrenzen:

Was wir leisten:

• Bereitstellung der technischen Plattform für Telefonie und Telefon-KI.
• Konfigurationsmöglichkeiten für:
  • Ansagen (z. B. vorgeschaltete Hinweise),
  • KI-Agenten (Prompts, Unter-Prompts),
  • Mitschnitte, Transkripte, E-Mail-Benachrichtigungen, Webhooks.
• Technische Dokumentation und praxisorientierte Hinweise (z. B. dieses Wiki).
• Unverbindliche Beispiel- und Mustertexte als Denkanstoß.

Was wir nicht leisten:

• Wir prüfen nicht, ob Ihre konkrete Nutzung der Telefon-KI rechtlich zulässig ist.
• Wir geben keine Rechtsberatung und erstellen keine individuellen Datenschutzerklärungen.
• Wir übernehmen keine Haftung dafür, dass:
  • Ihre Ansagen, Prompts, Texte oder Prozesse rechtlich einwandfrei sind,
  • Ihre Einwilligungsmodelle gültig und belastbar sind,
  • Ihre interne Dokumentation und Ihre Website den gesetzlichen Anforderungen entsprechen.

Für all diese Themen sind Ihre Datenschutzbeauftragten und rechtlichen Berater zuständig. Bitte beziehen Sie diese frühzeitig in die Planung Ihrer Telefon-KI ein.

Checkliste zur Vorbereitung eines Gesprächs mit Ihrem Datenschutz-Team

Die folgende Liste kann Ihnen helfen, strukturiert in die Abstimmung mit Ihrem Datenschutz-Team oder Ihrer Rechtsberatung zu gehen:

• Welche konkreten Usecases soll die Telefon-KI abdecken (z. B. Reservierungen, Auskünfte, Störungsmeldungen)?
• Welche Daten werden dabei typischerweise erhoben (Name, Rufnummer, Anliegen, sensible Daten)?
• Wird aufgezeichnet, transkribiert oder „nur“ in Echtzeit verarbeitet?
• Welche KI-Dienste / Vorlieferanten werden eingesetzt?
• Wo liegen die Daten (EU, Drittland, gemischte Szenarien)?
• Wie und wo informieren Sie Anrufer (Ansage, Website, AGB, Datenschutzhinweise)?
• Wie soll die Einwilligung erfolgen (Modell, Text, Nachweisbarkeit)?
• Wie lange sollen Transkripte, Mitschnitte und Logs gespeichert werden?
• Wer im Unternehmen hat Zugriff auf die Ergebnisse der KI (Transkripte, Zusammenfassungen, Mitschnitte)?
• Welche Alternativwege bieten Sie für Personen, die nicht mit einer KI sprechen möchten?

Nutzen Sie diese Fragen als Grundlage, um gemeinsam mit Fachleuten eine Lösung zu finden, die zu Ihrem Betrieb, Ihren Gästen/Kund:innen und Ihrem Risikoprofil passt.