DSGVO & KI-Telefonie
Zuletzt aktualisiert: März 2026
DSGVO-konformer Einsatz von KI-Telefonie: AV-Vertrag, Serverstandort, § 203 StGB, Löschfristen. Checkliste für Arztpraxen & Kanzleien.
Inhalt
Hinweis: Dieser Artikel informiert über datenschutzrechtliche Zusammenhänge. Er ersetzt keine Rechtsberatung. Bei konkreten rechtlichen Fragen empfehlen wir die Konsultation eines Datenschutzbeauftragten oder Rechtsanwalts.
Warum Datenschutz bei KI-Telefonie so wichtig ist
KI-Anrufbeantworter sind technisch gesehen Auftragsverarbeiter: Sie nehmen Anrufe in Ihrem Namen entgegen und verarbeiten dabei personenbezogene Daten. Dazu gehören Name, Telefonnummer, Anliegen — und im medizinischen Umfeld: Gesundheitsdaten.
Das klingt abstrakt, hat aber konkrete Konsequenzen. Wer einen schlecht konfigurierten oder datenschutzrechtlich unzureichenden Dienst einsetzt, riskiert:
- Bußgelder nach Art. 83 DSGVO (bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes)
- Strafbarkeit nach § 203 StGB bei unbefugter Offenbarung von Berufsgeheimnissen (Ärzte, Rechtsanwälte, Steuerberater)
- Reputationsschäden bei Datenpannen
Die gute Nachricht: Mit dem richtigen Anbieter und einer sauberen Konfiguration ist KI-Telefonie vollständig DSGVO-konform umsetzbar. Dieser Artikel erklärt, worauf Sie achten müssen.
Welche Daten werden bei einem KI-Anrufbeantworter verarbeitet?
Beim Einsatz eines KI-Anrufbeantworters fallen folgende personenbezogene Daten an:
| Datenkategorie | Beispiel | Sensitivität |
|---|---|---|
| Telefonnummer des Anrufers | +49 201 123456 | Normal |
| Name (wenn genannt) | „Hier ist Frau Müller" | Normal |
| Anrufzeitpunkt | 14:32 Uhr | Normal |
| Gesprächsinhalt (Transkription) | „Ich brauche ein Rezept für..." | Hoch |
| Gesundheitsdaten (bei Praxen) | Diagnosen, Medikamente, Symptome | Besonders sensibel (Art. 9 DSGVO) |
| Berufsgeheimnisse (bei Kanzleien) | Rechtliche Sachverhalte | Besonders sensibel |
Gesundheitsdaten und Berufsgeheimnisse fallen unter besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Für deren Verarbeitung gelten erhöhte Anforderungen — unter anderem ein expliziter AV-Vertrag und technisch-organisatorische Schutzmaßnahmen.
Rechtsgrundlagen für die Verarbeitung
Die DSGVO erfordert für jede Datenverarbeitung eine Rechtsgrundlage (Art. 6 DSGVO). Beim Einsatz eines KI-Anrufbeantworters kommen in der Praxis zwei in Betracht:
1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Die Aufzeichnung und Transkription eines Anrufs ist notwendig, um das Anliegen des Anrufers bearbeiten zu können — z. B. einen Termin zu vergeben oder einen Rückruf zu ermöglichen. Das ist eine vertragliche oder vorvertragliche Maßnahme.
2. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Das berechtigte Interesse des Unternehmens an einer lückenlosen Erreichbarkeit und einer strukturierten Kommunikation kann ebenfalls als Rechtsgrundlage dienen — sofern die Interessen der Anrufer nicht überwiegen.
Für besondere Datenkategorien (Gesundheitsdaten): Hier ist Art. 9 Abs. 2 lit. h DSGVO relevant — die Verarbeitung ist zulässig für die Gesundheitsversorgung und ärztliche Behandlung durch Fachkräfte, die dem Berufsgeheimnis unterliegen.
Der Auftragsverarbeitungsvertrag (AV-Vertrag)
Wenn Sie einen externen Dienst mit der Verarbeitung personenbezogener Daten beauftragen, sind Sie nach Art. 28 DSGVO verpflichtet, einen Auftragsverarbeitungsvertrag abzuschließen. Das ist keine bürokratische Formalität — es ist eine rechtliche Voraussetzung.
Was der AV-Vertrag regeln muss
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Rechte und Pflichten des Verantwortlichen
- Technische und organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters
- Regelungen zu Unterauftragsverarbeitern
Bei telefon.ki: Der AV-Vertrag wird im Rahmen des Onboardings automatisch abgeschlossen und steht jederzeit im Kundenportal zum Download bereit. Sie müssen ihn nicht separat anfordern.
Achtung bei anderen Anbietern: Viele günstige KI-Dienste aus den USA oder UK bieten keinen AV-Vertrag nach deutschem Standard an oder verwenden Standardvertragsklauseln, die in Deutschland nicht ausreichend sind. Prüfen Sie das vor dem Einsatz.
Besonderheiten für Arztpraxen: § 203 StGB
Ärzte, Psychotherapeuten, Zahnärzte und andere Heilberufsangehörige unterliegen der ärztlichen Schweigepflicht nach § 203 StGB. Das bedeutet: Sie dürfen Patientengeheimnisse nicht unbefugt an Dritte weitergeben.
Ein KI-Anrufbeantworter ist ein Dritter im Sinne des § 203 StGB — es sei denn, er ist als „sonstiger Berufsgeheimnisträger-Assistent" nach § 203 Abs. 3 StGB qualifiziert. Das erfordert:
- Der Anbieter verpflichtet seine Mitarbeiter ausdrücklich zur Verschwiegenheit
- Die Verarbeitung erfolgt auf Weisung des Arztes
- Der Anbieter ist vertraglich zur Geheimhaltung verpflichtet
telefon.ki erfüllt diese Voraussetzungen durch den AV-Vertrag und die technisch-organisatorischen Maßnahmen. Da bei telefon.ki zudem keine menschlichen Mitarbeiter des Dienstleisters Zugang zu den Transkriptionen haben — die Verarbeitung erfolgt vollautomatisch auf deutschen Servern — ist das Risiko einer Verletzung der Schweigepflicht erheblich geringer als bei einem klassischen Telefonservice mit menschlichen Agenten.
Empfehlung für Arztpraxen: Holen Sie eine kurze schriftliche Einschätzung Ihres Datenschutzbeauftragten ein, bevor Sie den Dienst produktiv einsetzen. In den meisten Fällen ist der Einsatz unkompliziert möglich.
Besonderheiten für Kanzleien und Steuerberater
Rechtsanwälte und Steuerberater unterliegen ebenfalls der Verschwiegenheitspflicht nach § 203 StGB. Die Anforderungen sind analog zu denen für Arztpraxen.
Zusätzliche Anforderungen für Kanzleien
- Mandatsgeheimnisse dürfen nicht ohne Einwilligung des Mandanten an Dritte gelangen
- Die Bundesrechtsanwaltskammer (BRAK) hat Leitlinien für den Einsatz von Cloud-Diensten veröffentlicht — darunter die Anforderung, dass Daten auf Servern in Deutschland oder der EU gespeichert werden müssen
- Für die Steuerberatung gilt § 57 StBerG — die berufsrechtliche Verschwiegenheitspflicht
Praktische Empfehlung: Steuerkanzleien und Rechtsanwaltskanzleien können telefon.ki einsetzen, wenn der AV-Vertrag vorliegt, die Daten auf deutschen Servern verarbeitet werden und die Ansage den Anrufer transparent über die Aufzeichnung informiert.
Serverstandort und Drittlandtransfer
Einer der kritischsten Punkte beim Datenschutz für KI-Dienste: Wo werden die Daten tatsächlich verarbeitet?
Nach Art. 44 ff. DSGVO ist ein Datentransfer in Drittländer (außerhalb der EU/EWR) nur unter strengen Voraussetzungen zulässig — zum Beispiel durch Standardvertragsklauseln (SCCs) oder einen Angemessenheitsbeschluss der EU-Kommission (z. B. für UK oder USA).
US-amerikanische Dienste (auch solche, die mit SCCs arbeiten) sind in Deutschland datenschutzrechtlich umstritten — insbesondere nach dem Schrems-II-Urteil des EuGH. Viele Datenschutzbehörden empfehlen, für besonders sensible Daten (Gesundheitsdaten, Anwaltskorrespondenz) ausschließlich Dienste mit Serverstandort in Deutschland oder der EU zu nutzen.
telefon.ki: Alle Daten — Transkriptionen, Anrufaufzeichnungen, Metadaten — werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert. Kein Datentransfer in Drittländer. Keine US-amerikanischen Subdienstleister für Kerndaten.
Transparenzpflicht: Müssen Anrufer informiert werden?
Nach Art. 13 DSGVO müssen betroffene Personen bei der Erhebung ihrer Daten informiert werden — auch Anrufer, deren Gespräche aufgezeichnet und transkribiert werden.
Wie Sie die Transparenzpflicht erfüllen
Ansage zu Beginn des Anrufs
Ein kurzer Hinweis wie „Dieser Anruf wird aufgezeichnet und für die Bearbeitung Ihres Anliegens verwendet" ist die einfachste Lösung. Bei telefon.ki können Sie diesen Text in die Begrüßungsansage integrieren.
Datenschutzerklärung auf der Website
Erweitern Sie Ihre Datenschutzerklärung um einen Abschnitt zur telefonischen Kommunikation und zum Einsatz des KI-Anrufbeantworters.
Hinweisschild in der Praxis (optional, empfehlenswert)
Patienten, die die Praxis besuchen, können über die telefonische Datenverarbeitung informiert werden.
Was nicht ausreicht: Viele Betriebe meinen, dass ein Hinweis auf der Website ausreicht. Das ist bei Telefondaten nicht korrekt — die Information muss zum Zeitpunkt der Erhebung erfolgen, also beim Anruf selbst.
Löschfristen und Datenhygiene
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck der Verarbeitung erforderlich sind (Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO).
Empfohlene Löschfristen für KI-Anrufbeantworter
| Datenkategorie | Empfohlene Aufbewahrung |
|---|---|
| Transkription (allgemeines Anliegen) | 30–90 Tage nach Bearbeitung |
| Transkription (Gesundheitsdaten, Praxis) | Abhängig von Behandlungsdauer, max. 10 Jahre (Dokumentationspflicht) |
| Anrufaufzeichnung (Audio) | 7–30 Tage — so kurz wie möglich |
| Metadaten (Anrufzeit, Nummer) | 30–90 Tage |
Bei telefon.ki können Sie in der App individuelle Löschfristen konfigurieren. Einzelne Einträge können jederzeit manuell gelöscht werden. Automatische Löschung nach definierten Zeiträumen ist im Business-Tarif enthalten.
Checkliste: DSGVO-konformer Einsatz
Nutzen Sie diese Checkliste vor dem produktiven Einsatz eines KI-Anrufbeantworters:
- AV-Vertrag nach Art. 28 DSGVO liegt vor und ist unterzeichnet
- Serverstandort ist Deutschland oder EU — kein Drittlandtransfer
- Technisch-organisatorische Maßnahmen (TOMs) des Anbieters sind dokumentiert
- Begrüßungsansage enthält Hinweis auf Aufzeichnung
- Datenschutzerklärung auf der Website ist aktualisiert
- Löschfristen sind in der App konfiguriert
- (Für Praxen/Kanzleien) Datenschutzbeauftragter wurde einbezogen
- Verarbeitungsverzeichnis nach Art. 30 DSGVO wurde aktualisiert
- Mitarbeiter sind über den Umgang mit Transkriptionen informiert
KI-Telefonie und DSGVO schließen sich nicht aus — aber der Teufel steckt im Detail. Serverstandort, AV-Vertrag, Transparenzpflicht und Löschfristen sind keine optionalen Extras, sondern rechtliche Mindestanforderungen. telefon.ki wurde von Anfang an für den datenschutzkonformen Einsatz in deutschen Unternehmen und Praxen entwickelt — mit deutschen Servern, automatischem AV-Vertrag und konfigurierbaren Löschfristen.
Häufige Fragen
Ist ein KI-Anrufbeantworter grundsätzlich DSGVO-konform?
Ein KI-Anrufbeantworter kann vollständig DSGVO-konform eingesetzt werden — wenn der Anbieter die richtigen Voraussetzungen erfüllt: AV-Vertrag, Serverstandort EU/Deutschland, keine Drittlandübertragung, konfigurierbare Löschfristen. telefon.ki erfüllt alle diese Anforderungen.
Brauche ich eine Einwilligung der Anrufer?
Nicht zwingend, wenn Sie die Verarbeitung auf Art. 6 Abs. 1 lit. b (Vertragserfüllung) oder lit. f (berechtigte Interessen) stützen. Eine Einwilligung (Opt-in) würde den Betrieb praktisch unmöglich machen. Stattdessen reicht eine transparente Information zu Beginn des Anrufs.
Was ist der Unterschied zwischen einem AV-Vertrag und einem Datenschutzvertrag?
Ein AV-Vertrag ist ein spezifischer Vertragstyp nach Art. 28 DSGVO, der die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter regelt. Er ist verpflichtend, wenn Sie einen externen Dienst mit der Verarbeitung von Daten beauftragen.
Muss ich die Datenschutzbehörde informieren?
Eine allgemeine Meldung bei der Datenschutzbehörde ist nicht erforderlich. Meldepflichtig ist eine Datenpanne (z. B. Datenleck), die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt — dann innerhalb von 72 Stunden nach Art. 33 DSGVO.
Was passiert, wenn ein Anrufer die Löschung seiner Daten verlangt?
Betroffene Personen haben nach Art. 17 DSGVO das Recht auf Löschung. Sie können in der telefon.ki-App einzelne Einträge manuell löschen. Für strukturierte Löschprozesse empfehlen wir, eine Ansprechperson im Team für Datenschutzanfragen zu benennen.
Darf ich Transkriptionen an andere Systeme übertragen (z. B. Praxisverwaltungssoftware)?
Ja — wenn die Übertragung innerhalb des Unternehmens erfolgt und kein weiterer Dritter involviert ist. Bei der Übertragung in Cloud-Systeme (z. B. US-amerikanische PVS) gelten erneut die DSGVO-Anforderungen für Drittlandübertragungen.
Gibt es einen Unterschied zwischen Aufzeichnung und Transkription aus DSGVO-Sicht?
Beide sind personenbezogene Daten und unterliegen der DSGVO. Transkriptionen können jedoch leichter strukturiert und maschinell durchsucht werden, was das Risiko einer unbefugten Nutzung erhöht. Löschfristen für Audioaufzeichnungen sollten deshalb kürzer sein als für Transkriptionen, die aktiv zur Bearbeitung genutzt werden.
Verwandte Artikel
Bereit, keinen Anruf mehr zu verpassen?
Starten Sie kostenlos und erleben Sie, wie telefon.ki Ihren Arbeitsalltag verändert. Keine Kreditkarte, keine Mindestlaufzeit.