Die 3 Kategorien von Daten, die geschützt werden müssen
1. Biometrische Sprachdaten
Die menschliche Stimme wird gemäß der DSGVO (Artikel 9) als biometrische Daten betrachtet. Ihre Verarbeitung erfordert eine ausdrückliche Zustimmung, die von der allgemeinen Zustimmung zum Anruf getrennt ist, und darf nur für spezifische Zwecke erfolgen.
2. Gesprächsinhalte (PII)
Alles, was während des Anrufs gesagt wird, ist persönliche Inhalte: Identität, Adresse, IBAN, Gesundheit, finanzielle Situation. Die Transkription muss verschlüsselt, der Zugang eingeschränkt und die Aufbewahrungsdauer minimal sein.
3. Metadaten
Zeitstempel, Dauer, Herkunft, Verhalten (Zögern, Pausen), Muster. Diese Daten sind ebenfalls reguliert, werden jedoch oft vergessen.
DSGVO-Checkliste: Was Ihr Dienstleister abhaken muss
Zustimmung
- ☐ Ausdrückliche Sprachzustimmung zu Beginn des Anrufs, mit standardisiertem Satz
- ☐ Aufzeichnung der Zustimmung getrennt vom Rest des Gesprächs
- ☐ Recht auf sofortigen Widerruf während des Anrufs auf einfache Anfrage
- ☐ Information über die KI-Natur des Gesprächspartners (algorithmische Transparenz, vgl. EU AI Act)
Hosting und Standort
- ☐ Server ausschließlich in der Europäischen Union
- ☐ Keine Unterauftragsvergabe außerhalb der EU ohne Standardvertragsklauseln (CCT)
- ☐ Physische Adresse der Rechenzentren im Vertrag dokumentiert
- ☐ Anti-CLOUD Act-Klauseln, wenn der Dienstleister eine US-Muttergesellschaft hat
Verschlüsselung
- ☐ Verschlüsselung während der Übertragung: mindestens TLS 1.3
- ☐ Verschlüsselung im Ruhezustand: AES-256
- ☐ Verschlüsselung der Backups
- ☐ Schlüsselrotation: dokumentiertes Verfahren
Aufbewahrung und Löschung
- ☐ Definierte Aufbewahrungsdauer je nach Zweck (in der Regel 3 bis 24 Monate)
- ☐ Automatische Löschung nach Ablauf der Dauer
- ☐ Recht auf Vergessenwerden im Selbstbedienungsmodus oder auf Anfrage innerhalb von 72 Stunden
- ☐ Datenportabilität im maschinenlesbaren Format
Governance
- ☐ Benannter DSB beim Dienstleister, direkt erreichbar
- ☐ Aktualisiertes und prüfbares Verzeichnis der Verarbeitungstätigkeiten
- ☐ Durchgeführte und geteilte Folgenabschätzung (AIPD)
- ☐ Verfahren zur Meldung von Verletzungen innerhalb von 72 Stunden
Der EU AI Act: Was sich 2025-2026 ändert
Die EU-Verordnung über KI (AI Act), die 2024 in Kraft trat, fügt spezifische Verpflichtungen für Sprach-KIs hinzu:
- Verpflichtende Transparenz: Der Gesprächspartner muss informiert werden, dass er mit einer KI spricht
- Technische Dokumentation: Systeme mit "hohem Risiko" (Gesundheit, Finanzen, HR) müssen detaillierte Dokumentationen bereitstellen
- Menschliche Überwachung: Automatische Entscheidungen, die Rechte betreffen, müssen menschliches Eingreifen ermöglichen
- Robustheitstests: Systeme müssen auf Verzerrungen und Fehler getestet werden
Die Nichteinhaltung des AI Act kann Geldstrafen von bis zu 35 Millionen Euro oder 7% des weltweiten Umsatzes nach sich ziehen, was mehr ist als bei der DSGVO.
Besondere Fälle nach Sektor
Gesundheit
Sprach-KIs, die Gesundheitsdaten verarbeiten, fallen unter Artikel 9 der DSGVO und müssen auf HDS-zertifizierten Infrastrukturen (Hosting von Gesundheitsdaten) in Frankreich gehostet werden.
Finanzen und Banken
Bankanrufe erfordern eine vollständige Protokollierung für die regulatorische Nachverfolgbarkeit (MiFID II, PSD2). Die KI muss einen vollständigen Export auf Anfrage der Aufsichtsbehörde ermöglichen.
Inkasso
Das Inkasso ist besonders sensibel, da es finanzielle Daten von in Schwierigkeiten befindlichen Personen verarbeitet. Die Sprachzustimmung muss durch eine schriftliche Mitteilung (E-Mail oder Brief) ergänzt werden. Siehe unseren Ansatz zum Inkasso.
Wie Vocalis AI die Konformität gewährleistet
Vocalis AI wurde von Anfang an entwickelt, um DSGVO- und AI Act-konform zu sein:
- Exklusives Hosting in Europa (Frankreich, Deutschland, Niederlande)
- AES-256-Verschlüsselung im Ruhezustand, TLS 1.3 während der Übertragung
- Aufgezeichnete und zeitgestempelte Sprachzustimmung
- Dedizierter DSB, 24/7 erreichbar für Anfragen zur Ausübung von Rechten
- Standard-AIPD auf Anfrage bereitgestellt
- Standard-CNIL-Erklärung zur Verfügung gestellt
- Jährliches Audit durch eine externe Firma
Benötigen Sie eine DSGVO-konforme Sprach-KI für Ihr Unternehmen? Buchen Sie ein kostenloses Audit und wir stellen Ihnen unsere Konformitätsdokumentation beim Termin zur Verfügung.