Die Implementierung intelligenter Chat– und Voicebots für digitale Kundenkommunikation ist längst kein „Nice-to-have“ mehr, sondern ein entscheidender Wettbewerbsvorteil. Doch damit kommt auch Verantwortung.

Gerade in Deutschland und der EU ist der Einsatz von Conversational AI untrennbar mit den strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) verbunden.

Viele Unternehmen zögern, den Schritt zu KI-Lösungen zu gehen, da die Komplexität der Rechtslage oft überfordernd scheint. Hinzu kommt der 2024 in Kraft getretene EU AI Act, der spezifische Transparenz- und Sicherheitsanforderungen für KI-Systeme, einschließlich Chatbots und Voicebots, eingeführt hat.

Dieser Artikel beleuchtet die rechtlichen Grundlagen und zeigt Ihnen die entscheidenden technischen und organisatorischen Maßnahmen (TOM), die Sie ergreifen müssen.

In den meisten Fällen, in denen Chat- oder Voicebots zum Einsatz kommen, werden unweigerlich personenbezogene Daten erfasst. Die DSGVO stellt hier für Unternehmen in der EU hohe Anforderungen an Transparenz, Zweckbindung und die Rechte der betroffenen Personen.

Ein DSGVO-konformes AI Agent Design sollte daher dem Grundsatz „Privacy by Design“ folgen. Dieser Grundsatz besagt, dass Datenschutzanforderungen bereits in die Architektur der Systeme fest integriert sind und nicht nachträglich hinzugefügt werden müssen.

Da viele Lösungen für Chatbots und Voicebots mittlerweile auf großen, US-basierten Large Language Models (LLMs) aufbauen, ist die mangelnde Kontrolle über die Datenverarbeitung und die oft intransparente Nutzung der Daten zu Trainingszwecken eine große Hürde.

Während die SIP-Connection also für die Audioverbindung sorgt, sind APIs (Application Programming Interfaces) die Datenschnittstellen. Über APIs verbindet sich der Bot in Echtzeit mit Ihren kritischen Backend-Systemen wie dem CRM oder ERP. Nennt ein Kunde beispielsweise seine Kundennummer, schickt der AI Agent diese via API an Ihr CRM, authentifiziert den Anrufer und kann ihn persönlich begrüßen.

Die Frage, ob Ihre Telefonanlage lokal bei Ihnen im Unternehmen (On-Premise) oder in der Cloud betrieben wird, beeinflusst dabei die Integrationsstrategie.

Für Unternehmen in Deutschland und der EU ist die Wahl des Hosting-Standortes ein kritischer Erfolgsfaktor für einen DSGVO-konformen AI Agent Betrieb. Viele globale Anbieter nutzen Server außerhalb der EU oder des Europäischen Wirtschaftsraums.

Dies erfordert im Kontext der DSGVO einen sogenannten Drittlandtransfer personenbezogener Daten, der seit dem „Schrems II“-Urteil und den damit verbundenen Anforderungen extrem schwierig und risikoreich ist.

Obwohl das EU-U.S. Data Privacy Framework eine Erleichterung gebracht hat, bleiben Standardvertragsklauseln und zusätzliche technische Schutzmaßnahmen (wie eine komplexe Ende-zu-Ende-Verschlüsselung) oft notwendig, inklusive der Durchführung eines Transfer Impact Assessment.

Die einfachste und sicherste Lösung, um solche komplexen rechtlichen Risiken zu umgehen, ist das Hosting in Deutschland oder im EWR. Deutsche Rechenzentren unterliegen automatisch den strengen deutschen Datenschutzbestimmungen und der DSGVO. Dies stellt die Einhaltung der europäischen Datenschutzstandards von vornherein sicher und erspart den aufwändigen Nachweis eines angemessenen Schutzniveaus bei Drittlandtransfers.

Darüber hinaus sind die technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO von entscheidender Bedeutung. Sie umfassen alle Schutzvorkehrungen, die ein angemessenes Schutzniveau gewährleisten müssen. Dazu zählen:

• Verschlüsselung
• Zugangskontrolle
• Pseudonymisierung/Anonymisierung
• Wiederherstellbarkeit

Durch die Kombination von Hosting im EWR mit umfassenden, dokumentierten TOM schaffen Sie die Grundlage für einen DSGVO-konformen Chatbot oder Voicebot und bieten einen klaren Wettbewerbsvorteil im Bereich Datenhoheit und Vertrauen.

Neben der DSGVO müssen Unternehmen, die KI-basierte Chatbots oder Voicebots einsetzen, auch die Anforderungen des EU AI Act berücksichtigen. Dieses Gesetz verfolgt einen risikobasierten Ansatz, der KI-Systeme in vier Kategorien unterteilt: inakzeptables Risiko (verboten), hohes Risiko, begrenztes Risiko und minimales Risiko. Die meisten Standard-AI-Agents fallen in die Kategorie begrenztes Risiko oder in bestimmten, sensiblen Anwendungsfällen als hohes Risiko.

Für AI Agents im Kundenservice oder zur Beantwortung von allgemeinen FAQs, die als begrenztes Risiko eingestuft werden, sieht der Chatbot EU AI Act vor allem Transparenzpflichten vor. Die wichtigste Pflicht ist hierbei die klare Information der Nutzer, dass sie mit einem KI-System interagieren und nicht mit einem menschlichen Mitarbeiter.

Ein Chatbot oder Voicebot könnte jedoch in die Kategorie hohes Risiko fallen, wenn er beispielsweise in sensiblen Bereichen eingesetzt wird (z. B. medizinische Beratung, Kreditwürdigkeitsprüfung oder Bewerbermanagement), da er potenziell erhebliche Auswirkungen auf die Grundrechte und die Sicherheit der Nutzer haben könnte.

Für solche Hochrisiko-Chatbots gelten deutlich strengere Anforderungen:

• Risikomanagement-System: Einrichtung und Dokumentation eines umfassenden Systems zur Risikobewertung und -minderung.
• Daten-Governance: Verwendung von hochwertigen, repräsentativen Trainingsdaten, um Diskriminierung oder Voreingenommenheit zu minimieren.
• Menschliche Aufsicht: Sicherstellung einer adäquaten Möglichkeit zur menschlichen Überwachung und Intervention.
• Dokumentation und Protokollierung: Detaillierte Aufzeichnungen über Funktionsweise, Zweckbestimmung und Leistung des Systems.

Unabhängig von der genauen Klassifizierung müssen Unternehmen proaktiv handeln und eine gründliche Risikobewertung für jeden Chatbot-Anwendungsfall durchführen. Die frühzeitige Implementierung der Transparenzpflichten und die Vorbereitung auf die strengeren Anforderungen für Hochrisiko-Systeme sind entscheidend, um die EU AI Act Compliance zu gewährleisten und langfristig rechtssicher zu agieren.

BOTfriends unterstützt Sie dabei, Ihren Chatbot DSGVO-konform und zugleich EU AI Act konform zu gestalten. Mit fundiertem Technologie-Know-how und Compliance-Wissen vereinen wir die Anforderungen beider Regelwerke in einer einzigen Governance-Strategie.

Sichern Sie sich den entscheidenden Wettbewerbsvorteil durch Vertrauen und Compliance. Nehmen Sie jetzt Kontakt mit unseren Experten auf, um eine individuelle DSGVO- und EU AI Act-konforme Chatbot-Strategie für Ihr Unternehmen zu entwickeln und das volle Potenzial von Conversational AI sicher auszuschöpfen.