Marcel Czeranski · Redaktion
·
28. Juni 2026 · 4 Min. Lesezeit
Ein KI-Anrufbeantworter verarbeitet in jedem Gespräch personenbezogene Daten, oft sogar besonders sensible. Name, Telefonnummer, Anliegen und mitunter Gesundheits- oder Vertragsdaten fallen an, sobald ein Anrufer sein Anliegen schildert. Weil die KI Gespräche mitschneidet, transkribiert und speichert, greifen die vollen Anforderungen der Datenschutz-Grundverordnung. Verstöße können mit empfindlichen Bußgeldern geahndet werden, im schlimmsten Fall bis zu vier Prozent des weltweiten Jahresumsatzes. Der Aufwand für saubere Compliance ist überschaubar, wenn Sie ihn von Beginn an mitdenken, statt ihn nachträglich reparieren zu müssen.
Der Serverstandort ist einer der wichtigsten Hebel für Rechtssicherheit. Anbieter, die ausschließlich in Deutschland hosten, etwa fonio in Frankfurt, VITAS in Nürnberg oder sipgate in eigenen deutschen Rechenzentren, ersparen Ihnen die Diskussion um Datentransfers in Drittländer. Achten Sie zusätzlich auf anerkannte Zertifizierungen wie ISO 27001, die viele der geprüften Anbieter vorweisen, oder auf den strengeren C5-Katalog, den etwa VITAS erfüllt. Diese Nachweise belegen, dass technische und organisatorische Maßnahmen unabhängig geprüft wurden. Bei Anbietern mit EU-weitem Hosting an mehreren Standorten sollten Sie klären, wo genau die Daten liegen. Ein deutscher oder zumindest europäischer Serverstandort ist für die meisten Betriebe der sicherste Ausgangspunkt.
Sobald ein Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO. Seriöse Anbieter stellen diesen Vertrag standardmäßig bereit, verlangen Sie ihn aktiv und lesen Sie ihn, bevor Sie unterschreiben. Klären Sie darin, wie lange Aufzeichnungen und Transkripte gespeichert werden und wann sie gelöscht werden, denn Datensparsamkeit ist Pflicht. Prüfen Sie außerdem, ob Zugriffe protokolliert werden und ob die Übertragung verschlüsselt erfolgt. Legen Sie eine klare Löschfrist fest, etwa 30 oder 90 Tage, und dokumentieren Sie diese in Ihrem Verarbeitungsverzeichnis.
Anrufer müssen wissen, dass sie mit einem KI-System sprechen und dass das Gespräch verarbeitet wird. Formulieren Sie zu Beginn eine kurze, klare Ansage, die auf die KI-Annahme und die Aufzeichnung hinweist, zum Beispiel den Hinweis, dass ein digitaler Assistent das Gespräch entgegennimmt und protokolliert. Bieten Sie einen Weg an, wie Anrufer zu einem Menschen gelangen, wenn sie das wünschen. Für reine Aufzeichnungen ist Transparenz zentral, bei weitergehender Verarbeitung kann eine ausdrückliche Einwilligung nötig sein. Halten Sie die Informationspflichten nach Artikel 13 auch in Ihrer Datenschutzerklärung fest, damit Betroffene alles nachlesen können.
Anrufer haben Rechte, die Sie auch beim KI-Telefon gewährleisten müssen. Dazu gehören das Recht auf Auskunft, auf Berichtigung, auf Löschung und auf Widerspruch gegen die Verarbeitung. Richten Sie einen klaren Prozess ein, wie Sie auf solche Anfragen reagieren und wer im Betrieb dafür zuständig ist. Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten, in dem der Einsatz des KI-Anrufbeantworters mit Zweck, Datenkategorien und Löschfristen dokumentiert ist. Prüfen Sie bei umfangreicher oder sensibler Verarbeitung, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Wer diese Punkte sauber abarbeitet, setzt die KI am Telefon rechtssicher und mit gutem Gewissen ein.