Lange Wartezeiten in Kundenhotlines gehören gerade in den Hauptgeschäftszeiten zum Alltag. Unternehmen suchen daher zunehmend nach Möglichkeiten, den Kundenservice zu entlasten. Eine Menüsteuerung zur Anruferidentifikation und zielgerichteten internen Weiterleitung sind längst Standard. Doch auch Künstliche Intelligenz (KI) ist in der Kundenkommunikation längst auf dem Vormarsch. Dabei gehen die Funktionalitäten mittlerweile so weit, dass ein KI-gestützter Voice Bot (also ein Bot, der anhand künstlicher Intelligenz Gesprochenes erkennt und auch darauf antworten kann) eigenständig Anrufe entgegennimmt und Anfragen bearbeitet. Das natürlich nur, wenn alles datenschutzkonform ist, oder?
Funktionalität und Anbieter der KI
Zunächst ist zu klären, wie der einzusetzende KI-gestützte Voice Bot funktioniert, auf Grundlage welcher Daten die KI trainiert wurde und wie die neu zugeführten Daten verwendet werden. Bei letzterem Punkt ist zu klären, ob die durch Einsatz der KI erhobenen Daten an diese zurückfließen und für das weitere Training genutzt werden. Ist dies der Fall, wäre der Einsatz der durch einen Dienstleister bereitgestellten KI, äußerst kritisch. Die datenschutzrechtlichen Transparenzpflichten wären dann kaum zu erfüllen, weil die Weiterverwendung der Daten nicht nachvollzogen werden kann. Außerdem wäre die stattfindende Datenweitergabe an den KI-Anbieter nur auf Grundlage einer Einwilligung der Anrufenden zulässig, die individuell eingeholt werden muss.
Wird die KI eines Dienstleisters genutzt, sind die Regelungen zur Auftragsverarbeitung zu beachten. Hat der Dienstleister seinen Sitz in einem datenschutzrechtlichen Drittland, ist außerdem zu prüfen, ob die Datenübermittlung dorthin datenschutzkonform erfolgen kann.
Rechtsgrundlage
Rechtsgrundlage für die Bearbeitung von Anfragen im Kundenservice ist in der Regel entweder Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (Wahrnehmung berechtigter Interessen; das berechtigte Interesse besteht darin, Kunden- und Interessentenanfragen schnell, effektiv und zielgerichtet zu beantworten). Diese Rechtsgrundlagen können grundsätzlich auch bei der Nutzung eines Voice Bots greifen. Bei der Wahrnehmung berechtigter Interessen als Rechtsgrundlage ist jedoch zu beachten, dass ein entgegenstehendes schutzwürdiges Interesse der betroffenen Personen, dass ihre Daten nicht durch eine KI verarbeitet werden, als besonders hoch zu gewichten ist. In diesem Fall scheidet Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage aus. Dann muss auf die Einwilligung zurückgegriffen werden.
Aufzeichnung und Transkription
Auch die Aufzeichnung/Transkription (d.h. die Umwandlung in Text), erfordert eine Einwilligung. Aufzeichnung und Transkription sind häufig Voraussetzung für die Funktionalität des Voice Bot und auch für die Kontrolle, ob dieser korrekt funktioniert, erforderlich. Ein Einwilligungserfordernis bei der Aufzeichnung von Anrufen nimmt beispielsweise der Sächsische Datenschutz- und Transparenzbeauftragte in seinem Tätigkeitsbericht von 2022, S. 99 f. an. Neben datenschutzrechtlichen Belangen ist zudem § 201 StGB zu beachten, der es unter Strafe stellt das „nichtöffentlich gesprochene Wort“, also privaten Unterhaltungen und Telefonate, aufzunehmen.
Einholen der Einwilligung
Ist eine Einwilligung obligatorisch, stellt sich die Frage, wie dies am Telefon erfolgen kann. Die Anrufenden müssen zunächst eindeutig über den Sachverhalt aufgeklärt werden, um die Tragweite ihrer Einwilligung zu erkennen. Nur so ist eine informierte Einwilligung möglich. Dies kann über eine kurze Zusammenfassung mit einer Telefonansage erfolgen. Anrufer sollten dann die Möglichkeit haben, weitergehende Informationen zu erhalten. Dazu kann auf die Ausführungen auf der Unternehmens-Webseite, auf der die Informationen hinterlegt sind, verwiesen werden. Der Link sollte kurz, gut merkbar und in der Ansage genannt werden. Noch besser ist es, die Informationen über die Menüsteuerung des Anrufes verfügbar zu machen: „Für eine gesprochene Version der Informationen zum Datenschutz drücken Sie bitte die eins.“
Die Einwilligung an sich wird dann bestenfalls über eine Interaktion eingeholt („Wenn Sie mit der beschriebenen Datenverarbeitung und Aufzeichnung/Transkription des Gesprächs einverstanden sind, drücken Sie bitte die zwei“). Es dürfte auch vertretbar sein, eine konkludente Einwilligung einzuholen („Wenn Sie mit der beschriebenen Datenverarbeitung und Aufzeichnung des Gesprächs einverstanden sind, bleiben Sie in der Leitung. Andernfalls legen Sie bitte auf.“) Im Falle der konkludenten Einwilligung ist eine alternative, ebenso effektive Kontaktmöglichkeit anzubieten, auf die während des Telefonates hingewiesen wird.
Automatisierte Entscheidungsfindung
Bei der Entscheidung darüber, welche Funktionalitäten der Voice Bot umsetzen soll, ist auch das Verbot der automatisierten Entscheidungsfindung gemäß Art. 22 DSGVO zu beachten. Entscheidet der Voice Bot etwa selbstständig darüber, ob mit dem Anrufer ein Vertrag abgeschlossen wird, wäre dies unzulässig, bzw. bedürfte ebenfalls einer Einwilligung.
Ob die Voraussetzungen einer automatisierten Entscheidungsfindung vorliegen, muss immer individuell, je nach Funktionsumfang des Voice Bots, geprüft werden.
Datenschutz-Folgenabschätzung
Individuell ist auch die Erforderlichkeit einer Datenschutz-Folgenabschätzung (DSFA) zu bewerten. Eine solche ist immer erforderlich, wenn eine Datenverarbeitung voraussichtlich ein großes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Die Nutzung von KI ist grundsätzlich ein großes Argument für die Erforderlichkeit einer DSFA. Insbesondere, wenn die Kundendaten auch zum Training der KI genutzt oder besondere Kategorien personenbezogener Daten, etwa Gesundheitsdaten, verarbeitet werden, ist von einem hohen bzw. erhöhtem Risiko auszugehen und eine DSFA durchzuführen.
Fazit
Beim Einsatz eines KI-gestützten Voice Bots sind immer die datenschutzrechtlichen Aspekte zu beachten. Wird der Datenschutz direkt in der Konzeptionsphase mitgedacht und bei der Entscheidungsfindung berücksichtigt, ist es möglich, Voice Bots datenschutzkonform im Kundenservice einzubinden.