Welche DSGVO-Anforderungen gelten für KI-Telefonie?
- ▸Art. 13/14 DSGVO: Anrufer muss vor/beim Anruf über Aufzeichnung und KI-Verarbeitung informiert werden
- ▸Art. 28 DSGVO: Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter ist Pflicht
- ▸Art. 17 DSGVO: Recht auf Löschung – Transkripte und Aufzeichnungen müssen auf Anfrage löschbar sein
- ▸Art. 32 DSGVO: Technische und organisatorische Maßnahmen (TOMs) müssen dokumentiert sein
- ▸BDSG (Deutschland): Besondere Anforderungen bei Beschäftigtendaten und behördlichem Einsatz
Server-Standorte: Nur EU ist sicher
Die Sprachverarbeitung (ASR, LLM-Inferenz, TTS) muss auf Servern innerhalb der EU stattfinden, wenn personenbezogene Daten verarbeitet werden – und das tut KI-Telefonie immer. US-Anbieter ohne EU-Rechenzentrum oder ohne gültigen Standardvertragsklauseln (SCCs) sind nicht DSGVO-konform einsetzbar. bitpull.ai verarbeitet alle Daten ausschließlich auf EU-Servern.
PII-Anonymisierung in Transkripten
Gesprächstranskripte enthalten regelmäßig personenbezogene Informationen: Namen, Telefonnummern, Geburtsdaten, Kontonummern. Gute Systeme anonymisieren diese Daten automatisch in gespeicherten Logs, sodass Transkripte zu Analysezwecken genutzt werden können, ohne Datenschutzvorgaben zu verletzen.
bitpull.ai erkennt und anonymisiert PII in Transkripten automatisch. Aufzeichnungen werden nach konfigurierbarer Frist (Standard: 30 Tage) automatisch gelöscht.
Einwilligungspflichten und Hinweistexte
Anrufer müssen zu Beginn des Gesprächs darüber informiert werden, dass sie mit einer KI sprechen und/oder das Gespräch aufgezeichnet wird. Eine kurze automatische Ansage genügt: „Dieses Gespräch wird durch ein KI-System bearbeitet und kann aufgezeichnet werden." Für besonders sensible Daten (Gesundheit, Finanzen) ist eine explizite Einwilligung erforderlich. Arztpraxen und andere Gesundheitsdienstleister sollten diesen Punkt besonders sorgfältig umsetzen – worauf es bei KI-Telefonie im medizinischen Bereich ankommt, erklärt unsere Branchenseite für Arztpraxen.
Checkliste für die Anbieterauswahl
- ▸☑ Sprachverarbeitung auf EU-Servern (keine US-Infrastruktur)
- ▸☑ Auftragsverarbeitungsvertrag (AVV) verfügbar und DSGVO-konform
- ▸☑ Automatische PII-Anonymisierung in Transkripten
- ▸☑ Konfigurierbare Löschfristen für Aufzeichnungen
- ▸☑ Dokumentierte TOMs (technische und organisatorische Maßnahmen)
- ▸☑ Hinweis-Ansagen konfigurierbar (für Einwilligungspflicht)
DSGVO-konform konzipiert und sofort einsatzbereit
bitpull.ai ist auf die DSGVO-Anforderungen im DACH-Raum ausgelegt. AVV auf Anfrage, Verarbeitung auf EU-Servern.