Transkription von Kundengesprächen: Wo Datenschutz zur Stolperfalle wird

Die automatische Verschriftlichung (Transkription) von Kundengesprächen soll Dokumentation und Qualitätssicherung verbessern. Doch der Einsatz ist rechtlich komplex. Unternehmen bewegen sich im Spannungsfeld zwischen Digitalisierung und Datenschutz – mit Fallstricken bei DSGVO, Telekommunikations-Digitaldienstegesetz (TDDDG) und Persönlichkeitsrechten.

„Transkription ist ein wertvolles Tool zur Qualitätssicherung und Dokumentation – aber nur, wenn sie auf einer sauberen rechtlichen Grundlage erfolgt“, sagt Felix Pflüger, Geschäftsführer von Peoplefone Deutschland.

Bei der Transkription werden personenbezogene Daten von Kunden und Mitarbeitenden verarbeitet. „Damit ist eine klare Rechtsgrundlage erforderlich, und im Regelfall kommt hier nur die Einwilligungserklärung, wie sie die DSGVO vorsieht, in Betracht“, erklärt Datenschutzexperte Daniel Voigtländer. Die Anforderungen sind konkret: Der Gesprächspartner muss vorab über Aufzeichnung, Transkription, Zweck, Speicherdauer und eingesetzte Dienstleister informiert werden. Eine Alternative ohne Transkription muss angeboten werden. Die Zustimmung muss aktiv erfolgen und jederzeit widerrufbar sein. Bloßes Schweigen reicht nicht.

Ein oft unterschätzter Aspekt: Wer transkribiert? Viele KI-Dienste zur Spracherkennung sitzen außerhalb der EU. Für DSGVO-konforme Prozesse ist ein europäischer Anbieter die sicherere Wahl. Stephan Krüger vom Softwareanbieter jtel betreut Kunden wie Verlage und Versicherungen mit erheblichem Anrufaufkommen. Er weist darauf hin, dass einige seiner Kunden Transkript-Software lokal hosten, um personenbezogene Daten nicht auf amerikanischen Servern speichern zu müssen.

Zusätzlich zur DSGVO spielt das TDDDG eine Rolle. Gemäß Paragraf drei unterliegt jede Kommunikation dem Fernmeldegeheimnis – auch die Information, dass jemand an einem Gespräch beteiligt ist. Eine Verarbeitung oder Weitergabe der Gesprächsinhalte ist nur mit gesetzlicher Grundlage zulässig.

Krüger hat beobachtet, dass Firmen Transkript- und KI-Anwendungen inzwischen teils über ihre Allgemeinen Geschäftsbedingungen regeln. Verkürzt gesagt willigt jeder Anrufer ein, dass seine Daten aufgezeichnet, verschriftlicht und per KI ausgewertet werden. „Ob das rechtlich zulässig ist und vor Gericht standhält, ist zumindest fraglich“, so Pflüger.

Auch die Rechte der Mitarbeitenden dürfen nicht übersehen werden. Ihre personenbezogenen Daten werden bei der Transkription verarbeitet. Eine Einwilligung im Beschäftigtenverhältnis gilt jedoch nicht als freiwillig, da ein Machtgefälle besteht. „In diesem Fall kann das berechtigte Interesse nach Artikel sechs der DSGVO als Grundlage dienen“, sagt Voigtländer. Etwa zur Sicherstellung der Servicequalität. Unternehmen müssen ihre Mitarbeitenden umfassend informieren – idealerweise durch eine Richtlinie und spezielle Datenschutzinformation.

Felix Pflüger hält es für notwendig, einen eigenen KI-Server zu installieren. „Personensensible Daten sollten nicht in ChatGPT landen“, so der Peoplefone-Geschäftsführer. Als Faustregel empfiehlt er: Sobald Betriebe mehrere Anwendungsfälle haben und KI nicht nur vereinzelt nutzen, ist ein eigener KI-Server unvermeidlich – gehostet in Deutschland.