Beim Einsatz von Voicebots ist der verantwortungsvolle Umgang mit personenbezogenen Daten wichtig. Werden Daten unrechtmäßig verarbeitet und sogar entwendet, können hohe Bußgelder drohen. Nur wenn Datenschutzaspekte von Anfang an mitgedacht werden, können Vertrauen und Rechtssicherheit bestmöglich gewährleistet werden.
Wir geben Ihnen eine Übersicht über die wichtigsten rechtlichen Bestimmungen. Wir weisen aber darauf, dass dieser Artikel keine Rechtsberatung darstellt. Es ist gut möglich, dass sich nach der Erstellung des Artikel Gesetze oder Verordnungen geändert haben. Auch können wir Fehler, trotz sorgfältigem Recherchieren, nicht ausschließen. Bei konkreten rechtlichen Fragen zum Einsatz von Voicebots oder zur datenschutzkonformen Gestaltung Ihrer Systeme, wenden Sie sich bitte an eine qualifizierte Rechtsanwaltskanzlei mit den Schwerpunkten Datenschutz- oder IT-Recht.
Die DSGVO bildet den zentralen Rechtsrahmen zur Verarbeitung personenbezogener Daten in der Europäischen Union. Jede Nutzung eines Voicebots, der personenbezogene Sprachdaten verarbeitet, fällt grundsätzlich unter ihre Vorgaben.
Wichtige Grundsätze sind unter anderem:
In Deutschland regelt das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, früher TTDSG) Besonderheiten bei der Verarbeitung von Kommunikations- und Telefondaten. Wer Voicebots in Kontexten einsetzt, die als Telekommunikationsdienst gelten, muss auch diese Bestimmungen beachten.
Kurz gesagt regelt das TDDDG den Datenschutz in der elektronischen Kommunikation. Konkret dort, wo Kommunikationsinhalte oder -metadaten über Telekommunikationsnetze übertragen werden. Da Voicebots in der Regel über klassische Telefonleitungen bzw. VoIP oder SIP-Verbindungen erreichbar sind, fallen sie genau in diesen Bereich, da sie Sprachkommunikation empfangen und verarbeiten.
Das Gesetz ergänzt letztlich die DSGVO und regelt die Vertraulichkeit der Kommunikation selbst im Gegensatz zur DSGVO, die vor allem die Verarbeitung personenbezogener Daten regelt.
Bei Voicebots, insbesondere wenn sie KI- oder maschinelles Lernen verwenden, können zusätzliche Anforderungen aus der neuen KI-Verordnung relevant werden. Das betrifft insbesondere die Punkte Transparenz, Nachvollziehbarkeit sowie die Risikoklassifizierung von KI-Systemen.
Wichtig zu wissen ist, dass Voicebots grundsätzlich als KI-Systeme gelten, da sie mit Sprachverarbeitung (NLP) arbeitet, um menschenähnliche Inhalte, Vorhersagen oder Entscheidungen zu erzeugen. Da ein Voicebot Sprache versteht, interpretiert und reagiert, fällt er typischerweise unter diese Definition.
Gemäß AI Act werden Voicebots in der Regel als KI-Systeme mit begrenztrem Risiko geführt. Das bedeutet, dass ihr Einsatz grundsätzlich erlaubt ist, aber Transparenzpflichten unterliegt. Eine Einschränkung gibt es jedoch: Sie dürfen im Rahmen der KI-Verordnung bzw. des AI-Acts keine Voicebots einsetzen, die menschliches Verhalten manipulieren oder Schwächen ausnutzen.
Unter Umständen können Voicebots, die im Bereich der kritischen Infrastruktur (Gesundheitswesen, Staat und Verwaltung, Finanz- und Versicherungswesen) eingesetzt werden auch KI-Systeme mit hohem Risiko sein. Ob dies der Fall ist, hängt stark davon ab, für was der Voicebot genutzt wird. Werden ausschließlich reine und allgemeine Auskünfte oder kleinere Verwaltungsaufgaben (z.B. Terminkoordination) eingesetzt, dürfte die Wahrscheinlichkeit als Hochrisiko KI-System zu gelten, eher gering sein.
Eine hohe Wahrscheinlichkeit hätte man, wenn z.B. ein Krankenhaus oder eine Arztpraxis konkrete Gesundheitsdaten wie Symptome oder Medikationen von einem Voicebot erfragen lässt und diese Informationen an ein Patientenverwaltungssystem weiterleitet. Nach Anhang III des AI Acts werden solche Systeme als Hochrisiko-Systeme definiert, da sie zur Beurteilung, Diagnose oder Behandlung von Patienten beitragen. In diesem Fall sind strenge Konformitätspflichten zu erfüllen, die sich unter anderem auf Dokumentation, Nachvollziehbarkeit und Qualitätssicherung auswirken.
Tipp: Achten Sie dringend darauf, dass ihr Voicebot-Anbieter die entsprechenden Konformitätsbewertungen und Dokumentationen bereitstellt. Als Nutzer von Hochrisiko-Systemen tragen Sie die Sorgfalt beim Einsatz sowie die Transparenz gegenüber Betroffenen.
Für einen datenschutzkonformen Betrieb eines Voicebots sind folgende Maßnahmen empfehlenswert:
Willkommen bei Firma xyz GmbH. Sie sprechen mit unserem Sprachassistenten. Dieses Gespräch wird zur Bearbeitung Ihres Anliegens verarbeitet. Weitere Informationen zum Datenschutz finden Sie unter www.firmaxyz.de/datenschutz.
Sprachdaten können deutlich mehr beinhalten als nur Worte. Hierzu zählen vor allem paraverbale Kommunikationsformen wie Tonfall, Pausen, Sprechtempo, Lautstärke sowie bestimmte Stimmmuster. Diese können Rückschlüsse auf Emotionen, Gesundheitszustand oder Identitäten zulassen.
Die Auswertung solcher stimmungssensiblen Daten würde ausreichen, um so genannte Sentimentanalysen bzw. Gefühlsanalysen (Emotionserkennung) durchzuführen. Sie sind zwar zunächst nicht grundsätzlich verboten. Allerdings entscheidet der Einsatzzweck darüber, ob sie etwas derartiges einsetzen können. Wenn Sie einen Voicebot z.B. so einsetzen, dass er die Emotionen eines Anrufers erkennt und der Voicebot sein Verhalten entsprechend ändert, um z.B. ein Produkt zu verkaufen oder weitere sensible Informationen zu erfragen, könnte mit hoher Wahrscheinlichkeit eine verbotene Praktik nach dem EU AI Act vorliegen.
Konsultieren Sie bitte einen Rechtsanwalt oder eine Rechtsanwältin, insofern Sie sich unsicher sind, ob ihr Vorhaben rechtssicher ist. Bei der Vielzahl an Anwendungsmöglichkeiten, Anbietern und Verarbeitungszwecke ist es kaum möglich, eine allgemeine Antwort abzuleiten.