KI-Telefonassistent und DSGVO — was Sie wissen müssen

Warum das Thema relevant ist

Ein KI-Telefonassistent hört zu, antwortet, bucht Termine — und protokolliert dabei Gespräche. Jedes einzelne Gespräch ist eine personenbezogene Datenverarbeitung im Sinne der DSGVO. Wer den Dienst einsetzt, trägt die rechtliche Verantwortung als Auftraggeber (Art. 4 Nr. 7 DSGVO) — der Anbieter als Auftragsverarbeiter.

Das ist kein bürokratisches Detail. Ein einziger Datenschutz-Fehler kann in DE Bußgelder im fünf- bis sechsstelligen Bereich auslösen — oder schlimmer, einen Reputationsschaden, der sich nicht mit Geld reparieren lässt.

Fünf Fragen, die Sie stellen müssen

1. Wo werden die Daten gespeichert?

Der Speicherort muss in der EU liegen — idealerweise in Deutschland. Server in den USA oder auf Replikationsknoten außerhalb der EU sind seit dem Schrems-II-Urteil kritisch und erfordern zusätzliche Schutzmaßnahmen, die in der Praxis selten sauber umgesetzt werden.

Unsere Antwort: Server in Frankfurt, ISO 27001 zertifizierter Hoster, keine US-Cloud-Provider, keine Datenreplikation außerhalb der EU.

2. Gibt es einen AVV nach Art. 28 DSGVO?

Ein Auftragsverarbeitungsvertrag (AVV) ist gesetzlich vorgeschrieben. Er regelt, unter welchen Bedingungen der Anbieter Ihre Daten verarbeiten darf. Wenn Ihr Anbieter keinen AVV anbietet — oder nur einen AVV-Anhang in den AGB — ist das ein K.o.-Kriterium.

Unsere Antwort: AVV als eigenständiges Dokument, mit jedem Salon individuell abgeschlossen, nicht AGB-beigemischt.

3. Werden Gespräche aufgezeichnet?

Hier gibt es einen subtilen, aber wichtigen Unterschied:

• Transkript (Text des Gesprächs): ist Datenverarbeitung, muss begründet und transparent gemacht werden.
• Audio-Aufzeichnung (die Stimme): ist ein besonders sensibler Eingriff und erfordert in der Regel ausdrückliche Einwilligung durch den Anrufer — z. B. per Ansage zu Gesprächsbeginn.

Unsere Antwort: Transkripte standardmäßig 30 Tage. Audio-Aufzeichnung nur mit expliziter Einwilligung per Ansage zu Gesprächsbeginn, konfigurierbar.

4. Wer hat Zugriff?

Der Anbieter muss transparent machen, wer die Daten sehen kann. Eine Liste aller Subunternehmer (Sprachmodell-Anbieter, Hosting, Transkription) muss im AVV stehen. „Wir teilen Daten mit ausgewählten Partnern" ist kein zulässiges Wording.

Unsere Antwort: Subunternehmer-Liste im AVV. Aktuell: Sprachmodell gehostet in EU (nicht OpenAI-USA), Hosting in Frankfurt, Transkription intern.

5. Wie werden Daten gelöscht?

Sie haben das Recht auf Löschung (Art. 17 DSGVO). Der Anbieter muss einen klaren Prozess haben, wie und wann Daten gelöscht werden — sowohl automatisch nach Speicherfrist als auch auf Anfrage.

Unsere Antwort: Automatische Löschung nach 30 oder 90 Tagen (je nach Konfiguration). Auf Anfrage: Löschung binnen 72 Stunden mit schriftlicher Bestätigung.

Was der Salon selbst tun muss

Auch wenn der Anbieter alles richtig macht — als Salon-Inhaber:in tragen Sie Pflichten:

1. Informationspflicht: Wer bei Ihnen anruft, muss vor dem Gespräch oder zu Beginn informiert werden, dass eine KI den Anruf entgegennimmt. Das geht via Ansage zu Gesprächsbeginn.
2. Datenschutzerklärung: Ihre Datenschutzerklärung muss den KI-Telefonassistenten als Verarbeitungsverfahren nennen — mit Name des Anbieters, Zweck, Speicherdauer.
3. Einwilligung bei Aufzeichnung: Wenn Sie Audio aufzeichnen, müssen Anrufer zu Beginn explizit zustimmen. Ohne Zustimmung ist nur das Transkript zulässig.

Fazit

DSGVO ist kein Grund, KI-Telefonassistenz im Salon zu vermeiden. DSGVO ist der Grund, einen seriösen Anbieter auszuwählen. Die fünf Fragen oben sind ein einfacher Filter — wer auf eine davon keine klare Antwort hat, ist kein seriöser Partner.

Wenn Sie unseren Ansatz im Detail kennenlernen möchten: Wir gehen im Erstgespräch jeden einzelnen Punkt durch, mit Dokumenten in der Hand.