DSGVO + georgisches Gesetz über personenbezogene Daten für KI-Sprachagenten

KI-Sprachagenten sind in Georgien und der EU legal, wenn sie korrekt eingesetzt werden. In diesem Leitfaden werden die genauen Compliance-Anforderungen behandelt: Offenlegungsskripte, Einwilligungsabläufe, Datenaufbewahrung und Prüfprotokolle. Haftungsausschluss: Dies ist eine technische Anleitung, keine Rechtsberatung.
Drei Ebenen der Compliance
Jeder KI-Sprachagent, der georgische oder EU-Kunden bedient, muss Folgendes einhalten:
- Georgisches Gesetz zum Schutz personenbezogener Daten (2011, geändert 2024) , für georgische Staatsbürger und Einwohner
- EU-DSGVO + EU-KI-Gesetz (2024) , für EU-Kunden und jeglichen grenzüberschreitenden Datenfluss
- Branchenspezifische Regeln , Für Telekommunikation, Finanzen und Medizin gelten zusätzliche Anforderungen
KI-Offenlegungspflicht
Sowohl das georgische als auch das EU-Recht verlangen die Offenlegung der KI zu Beginn jeder Sprachinteraktion. Das Skript muss:
- Machen Sie deutlich, dass der Anruf von der KI bearbeitet wird („Dieser Anruf wird von einem KI-Assistenten bearbeitet“).
- Identifizieren Sie das Unternehmen, in dessen Namen die KI anruft
- Seien Sie am Anfang des Anrufs, nicht in der Mitte
- Seien Sie in der Sprache des Kunden
Beispiel für eine minimalkonforme Öffnung:
„Hallo, hier ruft [AI-Name] im Namen von [Unternehmen] an. Dieser Anruf wird von AI bearbeitet. Haben Sie einen Moment Zeit zum Sprechen?“
Unterlassene Offenlegung = potenzielle Geldstrafe + Rufschädigung.
Einwilligungssammlung
Für jeden Anruf benötigen Sie eine Rechtsgrundlage. Häufige:
- Einwilligung , explizites Opt-in (am besten für Marketing-/Verkaufsgespräche)
- Berechtigtes Interesse , für den bestehenden Kundenservice (Bewertung durch Abwägungstest)
- Vertragserfüllung , Erfüllung bestehender vertraglicher Verpflichtungen
- Gesetzliche Verpflichtung , Inkasso hat seine eigenen Regeln
Für ausgehende Verkäufe: vorherige Zustimmung erforderlich. Insbesondere in der EU ist es riskant, unbestätigte Leads per Kaltakquise anzurufen.
Für Inbound: Die Zustimmung ist implizit, wenn der Kunde dies initiiert.
Offenlegung der Aufzeichnung
Wenn Sie Anrufe aufzeichnen (die meisten tun dies zur Qualitätssicherung):
- Aufnahme in der Einleitung offenlegen: „Dieser Anruf kann aus Qualitätsgründen aufgezeichnet werden.“
- Ermöglichen Sie dem Kunden, die Aufzeichnung zu deaktivieren
- Speichern Sie Aufnahmen verschlüsselt im Ruhezustand
- Haben Sie eine Aufbewahrungsrichtlinie (normalerweise 90 Tage, dann automatische Löschung)
Für georgische Kunden: Die explizite Einwilligung zur Aufzeichnung ist am sichersten. Für die EU: Berechtigtes Interesse kann die Aufnahme für die Qualität abdecken, aber dennoch offenlegen.
Datenaufbewahrung
Standard-Aufbewahrungsregeln:
- Anrufaufzeichnungen: 90 Tage, sofern keine gesetzliche Aufbewahrungspflicht besteht
- Anrufprotokolle: 1-2 Jahre für Analysen
- Lead-Daten: solange legitimer Geschäftszweck (in der Regel 2, 3 Jahre inaktive Löschung)
- PII (Telefon, E-Mail, Name): in Analytics pseudonymisiert, auf Wunsch gelöscht
Recht des Kunden auf Löschung: Sie müssen die Daten auf Verlangen innerhalb von 30 Tagen löschen. Dies ist eine strenge Anforderung gemäß DSGVO.
Datenresidenz
Für georgische Kunden:
- Die Daten sollten idealerweise in Georgien oder der EU verbleiben (Georgien hat eine Angemessenheitsentscheidung mit der EU ausstehen)
- In den USA gehostet (die meisten KI-Plattformen) ist legal, erfordert jedoch Standardvertragsklauseln (SCCs)
Für EU-Kunden:
- Die Daten sollten in der EU/im EWR verbleiben oder SCCs vorhanden sein
- Auswirkungen von Schrems II , Vorsicht bei US-Transfers
Vapi, Retell und OpenAI unterstützen alle das Hosting in der EU-Region im Rahmen von Enterprise-Plänen. Für KMU mit Standardplan ist US-Hosting + SCCs der praktische Weg.
Auswirkungen des EU-KI-Gesetzes
Das EU-KI-Gesetz (gültig ab 2025, 2026) klassifiziert KI-Sprachagenten als:
- Begrenztes Risiko für allgemeine Kundeninteraktionen , KI-Offenlegung erforderlich
- Hohes Risiko bei Verwendung bei Beschäftigungsüberprüfungen, Kreditwürdigkeitsprüfungen und biometrischen Ausweisen , zusätzliche Dokumentation erforderlich
Sprachagenten für Verkauf, Support und Buchung stellen ein begrenztes Risiko dar. Bereitstellung mit Offenlegung + Standarddokumentation.
DPA + Datenverarbeitungsvereinbarung des Anbieters
Bei Verwendung von Vapi, Retell, OpenAI, ElevenLabs:
- Unterzeichnen Sie mit jedem eine Datenverarbeitungsvereinbarung (DPA).
- Die meisten Anbieter verfügen über Standard-DPAs
- Überprüfen Sie, ob SCCs vorhanden sind, wenn Daten in die USA fließen
- Für HIPAA (US-Gesundheitswesen) ist ein Business Associate Agreement (BAA) erforderlich.
Audit-Trail-Anforderungen
Führen Sie Protokolle über:
- Jeder Anruf mit Zeitstempel, Teilnehmern, Dauer
- KI-Offenlegung erfolgt (ja/nein pro Anruf)
- Gegebenenfalls wird die Einwilligung eingeholt
- Aufnahmestatus
- Datenzugriffsereignisse
Protokolle sollten manipulationssicher sein und zu Prüfzwecken mindestens ein Jahr lang aufbewahrt werden.
Gemeinsame Risikogebiete
- Kaltakquise ohne Einwilligung , hohes Risiko in der EU, niedriger in den USA
- Aufzeichnung ohne Offenlegung , in den meisten Gerichtsbarkeiten illegal
- Daten werden ohne Standardvertragsklauseln in die USA versendet , Verstoß gegen die DSGVO
- Kein Abmeldepfad für Kunden , muss immer eine menschliche Eskalation oder Abmeldung zulassen
- Speichern von PHI in unverschlüsselten Trainingsprotokollen , ggf. HIPAA-Verstoß