Schließen
Bild:

Austin Distel / Unsplash

Themenschwerpunkt

KI, Audioaufzeichnung und Transkription im Kundenservice: Was nach KI-VO und DSGVO zu beachten ist

Künstliche Intelligenz hält Einzug in den Kundenservice – und das in rasantem Tempo. Anrufe werden automatisch transkribiert, Gesprächsinhalte ausgewertet, Stimmungen analysiert. Was technisch heute möglich ist, lässt sich in wenigen Klicks aktivieren. Was rechtlich erlaubt ist, ist hingegen deutlich komplexer. Wer KI-gestützte Tools im Customer Service einsetzen will, bewegt sich an der Schnittstelle von KI-Verordnung (KI-VO), Datenschutz-Grundverordnung (DSGVO) und Strafrecht. Drei Themenfelder verdienen dabei besondere Aufmerksamkeit: die Emotionserkennung, die Aufzeichnung von Gesprächen und die automatisierte Transkription.

Dieser Beitrag gibt einen Überblick über die aktuelle Rechtslage und zeigt, worauf Unternehmen achten sollten, bevor sie entsprechende Systeme produktiv nehmen.

1. Emotionserkennung: Bei Mitarbeitenden tabu, bei Kunden hochreguliert

Die Verlockung ist groß: KI-Systeme können heute aus der Stimme eines Gesprächspartners Rückschlüsse auf dessen Gefühlslage ziehen – Ärger, Frust, Zufriedenheit. Für Vertriebs- und Serviceabteilungen klingt das nach einem mächtigen Werkzeug. Doch der Gesetzgeber hat hier sehr klare Leitplanken gesetzt.

Verbot bei Beschäftigten

Die KI-Verordnung der EU stellt unmissverständlich fest: Emotionserkennung am Arbeitsplatz ist verboten (Art. 5 Abs. 1 lit. f KI-VO). Wenn ein Unternehmen also Gespräche zwischen den eigenen Service-Mitarbeitenden und Kunden mit KI aufzeichnet, transkribiert oder analysiert, muss jede Funktion zur Emotionserkennung deaktiviert sein. Dies gilt unabhängig davon, ob die Auswertung der Leistungsbeurteilung dienen soll oder „nur“ zu Schulungszwecken erfolgt.

Hochrisiko bei Kunden

Bei der Analyse der Emotionen anhand der Stimme (Biometrie) der Anrufer beziehungsweise Kunden ist die Einstufung ebenfalls streng: Sie gilt nach Anhang III Nr. 1 lit. c) KI-VO als Hochrisiko-KI. Damit greifen die umfangreichen Compliance-Anforderungen der Art. 8 ff. KI-Verordnung. Wer ein solches System lediglich als Betreiber nutzt, muss unter anderem sicherstellen:

  • Sicherstellung der Verwendung gemäß Betriebsanleitung durch geeignete TOMs (Art. 26 Abs. 1 KI-VO)
  • menschliche Aufsicht durch geeignete Personen und Unterstützung derselben (Art. 26 Abs. 2 KI-VO)
  • Sicherstellung, dass die Eingabedaten der Zweckbestimmung des Hochrisiko-KI‑Systems entsprechen und ausreichend repräsentativ sind, soweit die Eingabedaten der Kontrolle unterliegen (Art. 26 Abs. 4 KI-VO)
  • Überwachung des Betriebs und Meldung von Vorfällen (Art. 26 Abs. 5 KI-VO)
  • Aufbewahrung von Protokollen, die das Hochrisiko-System erzeugt (Art. 26 Abs. 6 KI-VO)
  • Information der betroffenen Arbeitnehmenden und der Arbeitnehmervertreter vor Einsatz am Arbeitsplatz (Art. 26 Abs. 7 KI-VO)
  • Verwendung von Informationen nach Art. 13 KI-VO für Datenschutz-Folgenabschätzung (DSFA), sofern diese nötig ist (Art. 26 Abs. 9 KI-VO)
  • Information der betroffenen Personen, wenn es um Entscheidungen geht (Art. 26 Abs. 11 KI-VO)
  • Zusammenarbeit mit Behörden (Art. 26 Abs. 12 KI-VO)

Schnell kann man aus der Rolle des Betreibers in die des Anbieters rutschen – mit noch weiterreichenden Pflichten. Das passiert beispielsweise, wenn ein bereits in Verkehr gebrachtes System unter eigenem Namen oder eigener Marke vertrieben wird, wenn die Zweckbestimmung so verändert wird, dass es zum Hochrisiko-System wird, oder wenn eine „wesentliche Veränderung“ vorgenommen wird. Dies könnte z.B. der Fall sein, wenn man ein vorhandenes Modell mit eigenen Daten trainiert.

Zusätzlich: DSGVO-Hürde

Da bei der Emotionsanalyse aus der Stimme biometrische Daten beziehungsweise Gesundheitsdaten im Sinne von Art. 9 DSGVO verarbeitet werden, lässt sich diese Verarbeitung nach allgemeiner Auffassung nicht auf das berechtigte Interesse stützen. Erforderlich ist eine vorherige, ausdrückliche Einwilligung der betroffenen Personen.

Kurz gesagt: Emotionen von Mitarbeitenden dürfen niemals analysiert werden. Bei Kunden ist es nur mit deren ausdrücklicher Einwilligung erlaubt – und auch dann gelten erhebliche Dokumentations- und Compliance-Pflichten aus der KI-Verordnung.

2. Aufzeichnung von Telefonaten: Zustimmung ist Pflicht

Der zweite Themenkomplex betrifft die klassische Gesprächsaufzeichnung. Auch hier gilt: Ohne Einwilligung läuft praktisch nichts.

Strafrechtliche Dimension

Schon vor jeder datenschutzrechtlichen Bewertung greift hier § 201 StGB, der die heimliche Aufzeichnung des nichtöffentlich gesprochenen Wortes unter Strafe stellt. Wer Gespräche ohne Zustimmung mitschneidet, riskiert nicht nur Bußgelder, sondern erfüllt unter Umständen einen Straftatbestand. Allerdings sind die strafrechtlichen Anforderungen an die Einwilligung weniger streng als im Datenschutz: Hier kann auch eine mutmaßliche oder konkludente Einwilligung ausreichen.

Datenschutzrechtliche Anforderungen

Datenschutzrechtlich liegt die Latte deutlich höher. Die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – hat hierzu eine klare Position formuliert:

„Die Aufzeichnung von Telefongesprächen ist datenschutzrechtlich in aller Regel nur mit Einwilligung auch des externen Gesprächspartners zulässig. Eine datenschutzrechtlich wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DS-GVO setzt voraus, dass der externe Gesprächspartner vor Beginn der beabsichtigten Aufzeichnung gefragt wird, ob er mit der Aufzeichnung einverstanden ist, und falls er einverstanden ist, gebeten wird, sein Einverständnis beispielsweise durch Aussprechen eines ‚Ja‘ oder durch eine aktive bestätigende Handlung (etwa durch das Betätigen einer Telefontaste) eindeutig zum Ausdruck zu bringen.“

Damit ist eine sogenannte Widerspruchslösung – bei der die Aufzeichnung automatisch startet und der Anrufer nur durch aktives Handeln (zum Beispiel ein lautes „Nein“) widersprechen kann – ausdrücklich nicht zulässig. Es ist die Einwilligung, die aktiv erklärt werden muss, nicht die Ablehnung.

Hinzu kommen die erweiterten Anforderungen aus Art. 7 DSGVO: Vor der Aufzeichnung sind dem Anrufenden (und gegebenenfalls auch den ebenfalls aufgezeichneten Mitarbeitenden) genaue Informationen über Umfang, Zweck und Speicherdauer zu geben.

Kurz gesagt: Strafrechtlich genügt unter Umständen eine konkludente Zustimmung, datenschutzrechtlich aber ist eine ausdrückliche, informierte und aktiv erklärte Einwilligung aller Beteiligten erforderlich. Eine reine Opt-out-Möglichkeit reicht nicht aus.

3. Transkription: Differenzierter, aber nicht freier

Vermehrt setzen Unternehmen Tools ein, die Gespräche automatisch in Text umwandeln, ohne dass eine Audioaufzeichnung im klassischen Sinne erfolgt. Rechtlich ist das ein Stück weit einfacher – aber keineswegs ein Freibrief.

Berechtigtes Interesse als Grundlage

Die automatisierte Transkription stellt eine Verarbeitung personenbezogener Daten dar, denn das gesprochene Wort wird technisch erfasst und in Textform überführt. Datenschutzrechtlich kann diese Verarbeitung grundsätzlich, aber in engen Grenzen auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden, so dass eine Einwilligung ist nicht notwendig wäre. Das gilt auch dann, wenn eine kurzzeitige Audioverarbeitung technisch notwendig ist und dabei die Stimme – und damit ein biometrisches Datum – verarbeitet wird.

Drei wichtige Einschränkungen

So weit, so gut. Allerdings gibt es drei entscheidende „Aber“:

Erstens: Echte Live-Mitschrift versus Pufferung. Eine reine „On-the-fly“-Transkription, bei der die Inhalte ausschließlich während des Gesprächs verarbeitet und das Audio nicht gespeichert wird, ist datenschutzrechtlich ohne Einwilligung möglich. Wird jedoch das Audiosignal in einem Umfang gepuffert, der über eine bloß flüchtige RAM-Verarbeitung hinausgeht, liegt eine Aufnahme vor – und damit ist man wieder bei den strengen Einwilligungsanforderungen aus Abschnitt 2.

Zweitens: Keine biometrische Identifikation oder Emotionsanalyse. Die Stimme darf im Rahmen der Transkription nicht dazu verwendet werden, den Sprecher zu identifizieren oder dessen Emotionen zu erkennen. Andernfalls greift Art. 9 DSGVO mit der Folge, dass eine ausdrückliche Einwilligung erforderlich wird.

Drittens: Eingriffsintensität der 1:1-Transkription. In der juristischen Diskussion wird teilweise vertreten, dass eine wortgetreue 1:1-Transkription in ihrer Eingriffstiefe einer Audioaufzeichnung gleichkommt. Folgt man dieser Auffassung, wäre auch hier eine Einwilligung erforderlich. Bislang gibt es zu dieser Frage keine abschließende höchstrichterliche Klärung – Unternehmen sollten dieses Risiko jedoch in ihre Bewertung einbeziehen.

Fazit: Saubere Konzepte vor dem Roll-out

Der Einsatz von KI im Kundenservice ist möglich – aber er erfordert eine sorgfältige rechtliche Vorbereitung. Wer Emotionserkennung einsetzen möchte, sollte sich klar machen, dass dies bei Mitarbeitenden ausgeschlossen ist und bei Kunden unter Verwendung von Biometrie den vollen Pflichtenkatalog für Hochrisiko-KI auslöst. Wer Gespräche aufzeichnet, kommt um eine ausdrückliche, vorab eingeholte Einwilligung nicht herum. Und auch die scheinbar harmlosere Transkription ist nur dann einwilligungsfrei, wenn das eingesetzte Tool tatsächlich keine Pufferung des Audiosignals vornimmt und keinerlei biometrische Auswertung erfolgt. Natürlich muss auch dann das berechtigte Interesse sorgfältig geprüft und eine Abwägung mit den Rechten der Betroffenen vorgenommen werden.

Vor dem Roll-out solcher Systeme empfiehlt sich daher dringend:

  • eine technische Prüfung des konkreten Tools (insbesondere: findet eine Zwischenspeicherung statt?),
  • die Erstellung eines Einwilligungs- und Informationskonzepts (Begrüßungsansage, Einwilligungs-Abfrage, Mitarbeiterinformation),
  • die Klärung der Rolle nach KI-Verordnung (Betreiber oder Anbieter?),
  • sowie die Einbindung des betrieblichen Datenschutzbeauftragten und – bei Beschäftigtenbezug – des Betriebsrats.

Wer diese Hausaufgaben macht, schafft die Grundlage dafür, KI im Kundenservice rechtskonform und gleichzeitig wirkungsvoll einzusetzen.

Wir unterstützen Sie gerne dabei, die Anforderungen nach DGSVO und KI-VO für Ihre KI-Services umzusetzen.

Hinweis: Dieser Beitrag gibt einen allgemeinen Überblick und ersetzt keine individuelle Rechtsberatung. Die Rechtsprechung und behördliche Auslegung zur KI-Verordnung entwickeln sich aktuell dynamisch weiter.

CS Infowerk GmbH
Fritz-Salm-Straße 1
68167 Mannheim

T: +49 621 307526 - 0
F: +49 621 307526 - 99

E: info@cs-infowerk.com
W: www.cs-infowerk.com

Datenschutz Impressum
Telefon +49 621 307 526 0 E-Mail info@cs-infowerk.com Aktuelle Themen Unser Blog

© 2026 CS Infowerk GmbH. Alle Rechte vorbehalten.