Viele Makler und Vertriebe stehen gerade an derselben Stelle: Der Voice-Agent ist im Prinzip einsatzbereit, das Skript ist abgestimmt, der Use Case mit dem Vertrieb abgenommen. Trotzdem verzögert sich der Pilot um Wochen. Mal hängt der Datenschutzbeauftragte beim AVV, mal will die Geschäftsführung ein juristisches Gutachten zur Einwilligung, mal blockiert ein interner Stakeholder die Aufzeichnung "wegen DSGVO". In den meisten Fällen sind die diskutierten Punkte berechtigt, aber falsch priorisiert. Vor dem ersten Anruf braucht es weniger juristische Tiefe als ein klar geordnetes Set an Pflichtpunkten, das du in einer Sitzung mit Datenschutz und Compliance abräumen kannst.
Zwei verbreitete Missverständnisse
Bevor du die Pflichtpunkte angehst, lohnt ein Blick auf die zwei Annahmen, die in der Praxis am häufigsten den Pilot blockieren.
Die erste: "Jede KI-Telefonie braucht eine ausdrückliche Einwilligung." Das stimmt so nicht. Wenn der Anruf einer bestehenden vertraglichen Beziehung oder einer aktiven Anfrage des Kunden folgt, etwa einem Lead-Formular mit Rückruf-Wunsch, stützt sich die Verarbeitung in der Regel auf Art. 6 Abs. 1 lit. b oder lit. f DSGVO, nicht auf eine Einwilligung. Eine separate Einwilligung wird erst dort relevant, wo der Anruf werblich ist oder über den ursprünglichen Anlass hinausgeht.
Die zweite: "Aufzeichnungen sind pauschal verboten." Auch das stimmt nicht. Aufzeichnungen sind zulässig, wenn Zweck, Rechtsgrundlage und Speicherfrist sauber definiert sind und der Gesprächspartner darüber informiert wurde. Was nicht funktioniert, ist eine pauschale Dauer-Aufzeichnung "für später" ohne klar benannten Zweck.
Diese beiden Missverständnisse kosten in der Praxis die meiste Zeit. Wer sie früh ausräumt, entlastet die Diskussion um die wirklich offenen Punkte und vermeidet, dass dieselbe Schleife in jeder zweiten Statusrunde wiederkommt.
Auftragsverarbeitung ist der eigentliche Pflichtpunkt
Wenn dein Voice-Agent von einem Dienstleister betrieben wird, egal ob auf Sprachmodell-, Telefonie- oder Plattform-Ebene, verarbeitet dieser Dienstleister personenbezogene Daten in deinem Auftrag. Das löst eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO aus. Ohne sauberen AVV läuft der Pilot rechtlich nicht.
Drei Punkte, die du im AVV explizit prüfen solltest:
- Wer ist verantwortliche Stelle, wer Auftragsverarbeiter, wer Sub-Auftragsverarbeiter, und wo sitzt jeder davon?
- Welche Daten werden verarbeitet, in welchem Format, für welche Dauer, mit welchem Zugriffsschutz?
- Findet eine Verarbeitung außerhalb der EU statt, und wenn ja, auf Basis welcher Garantien (etwa Standardvertragsklauseln plus Transfer-Impact-Assessment)?
Gerade der dritte Punkt wird bei generativer KI oft übersehen. Sprachmodell-Anbieter haben häufig Sub-Auftragsverarbeiter in den USA. Das ist nicht per se ein Showstopper, muss aber dokumentiert und bewertet sein. Wenn dein Datenschutzbeauftragter hier eine klare Antwort bekommt, fällt ein großer Teil der internen Diskussion weg.
Hilfreich ist außerdem, frühzeitig zu klären, welche Daten gar nicht erst zum Sprachmodell-Anbieter fließen müssen. Vertragsnummern, Geburtsdaten oder Diagnosen lassen sich an vielen Stellen maskieren, bevor das Modell sie zu sehen bekommt. Wer im Pilot bereits zwei oder drei solcher Maskierungs-Regeln umgesetzt hat, kommt im Audit-Gespräch mit deutlich weniger Aufwand durch.
Transparenz im Gespräch ist Pflicht, nicht Stil
Der Kunde muss am Anfang des Gesprächs wissen, dass er mit einem KI-System spricht. Das ist nicht nur eine Frage des guten Tons, sondern folgt aus den Informationspflichten nach Art. 13 DSGVO und wird durch den EU AI Act für interaktive KI-Systeme zusätzlich bekräftigt.
In der Praxis reicht ein kurzer, klar formulierter Eröffnungssatz, der drei Dinge transportiert:
- dass ein automatisierter Assistent anruft,
- in wessen Auftrag er anruft, also dein Maklerbüro oder dein Vertrieb,
- dass der Anruf einer konkreten Bearbeitung oder Qualifizierung dient.
Ergänzend gehört in deinen Datenschutzhinweis auf der Website ein eigener Absatz zur KI-Telefonie: Zweck, Rechtsgrundlage, Empfänger, Speicherdauer, Widerspruchsmöglichkeit. Wenn dieser Absatz fehlt, wird die Aufsichtsbehörde im Streitfall genau dort zuerst hinschauen.
Operativ unterschätzt wird der Punkt, dass der Hinweis tatsächlich beim Kunden ankommen muss. Bei Outbound-Anrufen reicht es nicht, dass der Datenschutzhinweis irgendwo im Footer der Website steht. Der Eröffnungssatz im Anruf trägt diese Pflicht, und er muss so formuliert sein, dass der Kunde Zeit hat, ihn aufzunehmen, bevor das eigentliche Gespräch beginnt. Wer hier in der ersten Sekunde direkt in den Bedarf einsteigt, baut sich ein unnötiges Risiko ein.
Aufzeichnungen sind erlaubt, aber nicht beliebig
Aufzeichnungen sind das Thema mit dem größten Erklärungsbedarf, weil intern oft zwei Dinge vermischt werden: die Audio-Aufzeichnung des Gesprächs und das Transkript beziehungsweise die strukturierte Gesprächszusammenfassung.
Für die meisten Maklerprozesse reicht die strukturierte Zusammenfassung. Anliegen, Rahmenbedingungen, offene Punkte, nächste Schritte. Diese ist juristisch wesentlich unkritischer als ein vollständiges Audio, weil sie weniger Daten enthält und einen klaren Zweck hat. Wenn du Audio brauchst, etwa für Qualitätssicherung, Coaching oder Schadensbearbeitung, lohnt sich diese Disziplin:
- den Zweck eng definieren,
- eine kurze Speicherfrist setzen, oft reichen 30 bis 90 Tage,
- den Zugriff auf wenige Rollen begrenzen,
- den Löschprozess automatisieren statt manuell vorzusehen.
Eine pauschale Speicherfrist von einem Jahr ohne konkreten Zweck lässt sich gegenüber jeder Aufsichtsbehörde schwer rechtfertigen. Lieber kurz, eng und nachvollziehbar als pauschal und großzügig.
Eine zweite Frage, die intern oft diskutiert wird: Wer hat eigentlich Zugriff auf die Aufzeichnungen? Wenn jeder Vertriebsmitarbeiter jedes Gespräch nachhören kann, ist das aus Datenschutzsicht kaum zu halten. In der Praxis bewährt sich ein Modell mit zwei Rollen: eine Auswertungsrolle, die aggregierte Statistiken und stichprobenartige Gespräche sieht, und eine Coaching-Rolle mit anlassbezogenem Zugriff auf einzelne Aufzeichnungen. Wer das schon im Pilot sauber trennt, muss später keine Berechtigungsstruktur nachziehen.
Was vor dem Pilot wirklich geklärt sein muss
Wenn du die obigen Punkte sortierst, bleibt ein kompaktes Set, das du gemeinsam mit Datenschutz und Compliance in einer fokussierten Sitzung abräumen kannst. Die folgende Gegenüberstellung zeigt, was viele Pilotprojekte vorher schleifen lassen und was tatsächlich vor dem ersten Echtanruf stehen muss.
| Häufig unterschätzt | Tatsächlich erforderlich |
|---|---|
| Diskussion über Einwilligung vor jedem Anwendungsfall | Saubere Trennung: Anschluss an bestehende Anfrage oder werblicher Outbound |
| AVV als Formalie am Ende | AVV inklusive Sub-Auftragsverarbeiter und Drittlandtransfer vor dem Pilot |
| Ein-Satz-Hinweis in den AGB | Eigener Abschnitt zur KI-Telefonie im Datenschutzhinweis |
| Aufzeichnung "wird vom Anbieter geregelt" | Eigener Zweck, eigene Frist, eigenes Löschkonzept im internen Verzeichnis |
| Datenschutzbeauftragten erst bei Beanstandungen einbinden | Datenschutzbeauftragten in der Vorbereitung einbinden, nicht in der Eskalation |
Diese fünf Punkte lassen sich in einer einzigen Sitzung abräumen, vorausgesetzt du gehst mit dieser Struktur hinein und nicht mit einer offenen Liste an Bedenken.
Im internen Prozess gehört außerdem ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten, ein definierter Rollen-Set (wer hört mit, wer transkribiert, wer löscht) und ein Audit-Trail, der zeigt, welcher Anruf wann mit welcher Konfiguration gelaufen ist. Das ist kein Overhead, sondern die einzige Grundlage, auf der du gegenüber Aufsicht, Auditor oder Vertriebspartner ruhig argumentieren kannst.
Ein Punkt, den viele Maklerbetriebe erst spät auf dem Schirm haben: Auch der Versicherer hinter den vermittelten Verträgen hat ein berechtigtes Interesse, zu wissen, wie der Erstkontakt zustande gekommen ist. Wer den Voice-Agent in einem strukturierten Prozess dokumentiert, kann bei Bestandsaktionen oder Audits sauber Auskunft geben, statt die Diskussion jedes Mal neu zu führen.
Fazit
KI-Telefonie scheitert selten an der DSGVO selbst. Sie scheitert an unsortierten Diskussionen, in denen Einwilligung, Aufzeichnung und Auftragsverarbeitung durcheinanderlaufen. Wer vorab AVV, Transparenzhinweis und Löschkonzept klar trennt, kommt schnell zu einem Pilot, der rechtlich trägt und operativ wirkt. Das ist nicht der spannendste Teil eines KI-Projekts, aber der Teil, an dem sich entscheidet, ob der Voice-Agent jemals den ersten Echtanruf macht und ob er ihn auch im zweiten Quartal noch macht.