DSGVO + georgisches Gesetz über personenbezogene Daten für KI-Sprachagenten

Andrew Altair, Founder
DSGVO + georgisches Gesetz über personenbezogene Daten für KI-Sprachagenten
Arisa Chattasa / unsplash

KI-Sprachagenten sind in Georgien und der EU legal, wenn sie korrekt eingesetzt werden. In diesem Leitfaden werden die genauen Compliance-Anforderungen behandelt: Offenlegungsskripte, Einwilligungsabläufe, Datenaufbewahrung und Prüfprotokolle. Haftungsausschluss: Dies ist eine technische Anleitung, keine Rechtsberatung.

Drei Ebenen der Compliance

Jeder KI-Sprachagent, der georgische oder EU-Kunden bedient, muss Folgendes einhalten:

  1. Georgisches Gesetz zum Schutz personenbezogener Daten (2011, geändert 2024) , für georgische Staatsbürger und Einwohner
  2. EU-DSGVO + EU-KI-Gesetz (2024) , für EU-Kunden und jeglichen grenzüberschreitenden Datenfluss
  3. Branchenspezifische Regeln , Für Telekommunikation, Finanzen und Medizin gelten zusätzliche Anforderungen

KI-Offenlegungspflicht

Sowohl das georgische als auch das EU-Recht verlangen die Offenlegung der KI zu Beginn jeder Sprachinteraktion. Das Skript muss:

  • Machen Sie deutlich, dass der Anruf von der KI bearbeitet wird („Dieser Anruf wird von einem KI-Assistenten bearbeitet“).
  • Identifizieren Sie das Unternehmen, in dessen Namen die KI anruft
  • Seien Sie am Anfang des Anrufs, nicht in der Mitte
  • Seien Sie in der Sprache des Kunden

Beispiel für eine minimalkonforme Öffnung:

„Hallo, hier ruft [AI-Name] im Namen von [Unternehmen] an. Dieser Anruf wird von AI bearbeitet. Haben Sie einen Moment Zeit zum Sprechen?“

Unterlassene Offenlegung = potenzielle Geldstrafe + Rufschädigung.

Für jeden Anruf benötigen Sie eine Rechtsgrundlage. Häufige:

  • Einwilligung , explizites Opt-in (am besten für Marketing-/Verkaufsgespräche)
  • Berechtigtes Interesse , für den bestehenden Kundenservice (Bewertung durch Abwägungstest)
  • Vertragserfüllung , Erfüllung bestehender vertraglicher Verpflichtungen
  • Gesetzliche Verpflichtung , Inkasso hat seine eigenen Regeln

Für ausgehende Verkäufe: vorherige Zustimmung erforderlich. Insbesondere in der EU ist es riskant, unbestätigte Leads per Kaltakquise anzurufen.

Für Inbound: Die Zustimmung ist implizit, wenn der Kunde dies initiiert.

Offenlegung der Aufzeichnung

Wenn Sie Anrufe aufzeichnen (die meisten tun dies zur Qualitätssicherung):

  • Aufnahme in der Einleitung offenlegen: „Dieser Anruf kann aus Qualitätsgründen aufgezeichnet werden.“
  • Ermöglichen Sie dem Kunden, die Aufzeichnung zu deaktivieren
  • Speichern Sie Aufnahmen verschlüsselt im Ruhezustand
  • Haben Sie eine Aufbewahrungsrichtlinie (normalerweise 90 Tage, dann automatische Löschung)

Für georgische Kunden: Die explizite Einwilligung zur Aufzeichnung ist am sichersten. Für die EU: Berechtigtes Interesse kann die Aufnahme für die Qualität abdecken, aber dennoch offenlegen.

Datenaufbewahrung

Standard-Aufbewahrungsregeln:

  • Anrufaufzeichnungen: 90 Tage, sofern keine gesetzliche Aufbewahrungspflicht besteht
  • Anrufprotokolle: 1-2 Jahre für Analysen
  • Lead-Daten: solange legitimer Geschäftszweck (in der Regel 2, 3 Jahre inaktive Löschung)
  • PII (Telefon, E-Mail, Name): in Analytics pseudonymisiert, auf Wunsch gelöscht

Recht des Kunden auf Löschung: Sie müssen die Daten auf Verlangen innerhalb von 30 Tagen löschen. Dies ist eine strenge Anforderung gemäß DSGVO.

Datenresidenz

Für georgische Kunden:

  • Die Daten sollten idealerweise in Georgien oder der EU verbleiben (Georgien hat eine Angemessenheitsentscheidung mit der EU ausstehen)
  • In den USA gehostet (die meisten KI-Plattformen) ist legal, erfordert jedoch Standardvertragsklauseln (SCCs)

Für EU-Kunden:

  • Die Daten sollten in der EU/im EWR verbleiben oder SCCs vorhanden sein
  • Auswirkungen von Schrems II , Vorsicht bei US-Transfers

Vapi, Retell und OpenAI unterstützen alle das Hosting in der EU-Region im Rahmen von Enterprise-Plänen. Für KMU mit Standardplan ist US-Hosting + SCCs der praktische Weg.

Auswirkungen des EU-KI-Gesetzes

Das EU-KI-Gesetz (gültig ab 2025, 2026) klassifiziert KI-Sprachagenten als:

  • Begrenztes Risiko für allgemeine Kundeninteraktionen , KI-Offenlegung erforderlich
  • Hohes Risiko bei Verwendung bei Beschäftigungsüberprüfungen, Kreditwürdigkeitsprüfungen und biometrischen Ausweisen , zusätzliche Dokumentation erforderlich

Sprachagenten für Verkauf, Support und Buchung stellen ein begrenztes Risiko dar. Bereitstellung mit Offenlegung + Standarddokumentation.

DPA + Datenverarbeitungsvereinbarung des Anbieters

Bei Verwendung von Vapi, Retell, OpenAI, ElevenLabs:

  • Unterzeichnen Sie mit jedem eine Datenverarbeitungsvereinbarung (DPA).
  • Die meisten Anbieter verfügen über Standard-DPAs
  • Überprüfen Sie, ob SCCs vorhanden sind, wenn Daten in die USA fließen
  • Für HIPAA (US-Gesundheitswesen) ist ein Business Associate Agreement (BAA) erforderlich.

Audit-Trail-Anforderungen

Führen Sie Protokolle über:

  • Jeder Anruf mit Zeitstempel, Teilnehmern, Dauer
  • KI-Offenlegung erfolgt (ja/nein pro Anruf)
  • Gegebenenfalls wird die Einwilligung eingeholt
  • Aufnahmestatus
  • Datenzugriffsereignisse

Protokolle sollten manipulationssicher sein und zu Prüfzwecken mindestens ein Jahr lang aufbewahrt werden.

Gemeinsame Risikogebiete

  • Kaltakquise ohne Einwilligung , hohes Risiko in der EU, niedriger in den USA
  • Aufzeichnung ohne Offenlegung , in den meisten Gerichtsbarkeiten illegal
  • Daten werden ohne Standardvertragsklauseln in die USA versendet , Verstoß gegen die DSGVO
  • Kein Abmeldepfad für Kunden , muss immer eine menschliche Eskalation oder Abmeldung zulassen
  • Speichern von PHI in unverschlüsselten Trainingsprotokollen , ggf. HIPAA-Verstoß

Verwandt

FAQ

1. Kann ich eine in den USA gehostete KI verwenden, ohne gegen die DSGVO zu verstoßen?

Ja, mit Standardvertragsklauseln (SCCs) zwischen Ihnen und dem Anbieter. Die meisten Plattformen (Vapi, Retell, OpenAI) bieten Standard-SCCs.

2. Benötige ich eine ausdrückliche Zustimmung für eingehende Anrufe?

Nein, die Einwilligung ist für eingehende Anfragen implizit. Sie müssen die KI jedoch immer noch zu Beginn des Anrufs offenlegen.

3. What's the fine for non-compliance?

DSGVO bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. €, je nachdem, welcher Betrag höher ist. Georgisches Datenschutzgesetz bis zu 2.000 GEL pro Verstoß.

4. Brauche ich einen Datenschutzbeauftragten (DPO)?

Erforderlich, wenn Sie systematisch große Mengen personenbezogener Daten verarbeiten. Die meisten KMUs, die Sprachagenten einsetzen, benötigen keinen formellen Datenschutzbeauftragten, sollten aber eine bestimmte Person für Datenanfragen haben.