DSGVO-konforme KI-Telefonie für Handwerksbetriebe

Der Datenschutz-Reflex: Erst abwinken, dann einführen

Wenn deutsche Handwerker das erste Mal von KI-Telefonie hören, kommt oft derselbe Satz: „Das ist doch bestimmt nicht DSGVO-konform." Das ist der Reflex einer Branche, die von Bußgeldern und Mahnungen gebrannt ist.

Die gute Nachricht: Die Skepsis ist berechtigt — aber technisch unbegründet. DSGVO-konforme KI-Telefonie für Handwerksbetriebe ist nicht nur möglich, sondern etablierte Praxis. Man muss nur wissen, worauf man achtet.

Dieser Artikel liefert die vollständige Roadmap: rechtliche Grundlagen, praktische Umsetzung, Anbieter-Checkliste. Ohne Juristendeutsch, aber mit genügend Details, dass Sie die Entscheidung gegenüber Datenschutzbeauftragten und Kunden rechtfertigen können.

Die drei Säulen DSGVO-konformer KI-Telefonie

Wenn Sie nur drei Dinge aus diesem Artikel mitnehmen, dann diese:

1. EU-Hosting mit klaren Verträgen — Ihre Kundendaten dürfen die EU nicht ungeschützt verlassen
2. Transparenzpflicht — Der Anrufer muss wissen, dass er mit KI spricht — Art. 13/14 DSGVO und EU AI Act
3. Keine heimliche Audio-Aufzeichnung — §201 StGB verbietet Mitschnitte ohne Einwilligung aller Gesprächsteilnehmer

Wenn ein Anbieter diese drei Punkte sauber umsetzt, ist der Grundstein gelegt. Der Rest sind Feinheiten.

Säule 1: Wo werden die Daten verarbeitet?

Die wichtigste Frage nach dem Schrems-II-Urteil: Wo landen die Gesprächsdaten?

Seit 2020 ist klar: Personenbezogene Daten dürfen nicht in die USA transferiert werden, ohne dass besondere Schutzmaßnahmen getroffen werden. Standardvertragsklauseln allein reichen nicht mehr. Das gilt erst recht für sensible Daten wie Gespräche.

Was ein seriöser Anbieter bietet:

• Server in Deutschland oder EU (Frankfurt, Amsterdam, Dublin sind typische Regionen)
• Verschlüsselte Datenbanken (at rest und in transit)
• Keine Subprocessoren außerhalb der EU für Kerndaten
• Nachweis über Zertifizierungen (ISO 27001, C5)

Bei BureauFlow konkret: BureauFlow nutzt eine verschlüsselte PostgreSQL-Datenbank in der EU (Neon, Region Frankfurt). Gesprächsdaten verlassen die EU nicht. Das Hosting-Infrastruktur ist in Europa, die verantwortliche Gesellschaft ist eine deutsche GmbH (Bureao Flow GmbH, Trier, HRB 47025).

Säule 2: Transparenz — der Kunde muss es wissen

Das ist die einfachste Pflicht, wird aber oft unterschätzt. Der Anrufer muss wissen, dass er mit einer KI spricht. Nicht erst auf Nachfrage. Nicht versteckt in der Datenschutzerklärung. Sondern direkt am Anfang des Gesprächs.

Wie das in der Praxis aussieht:

„Guten Tag, hier ist der digitale Assistent von Elektro Schmidt. Wie kann ich Ihnen helfen?"

Das reicht. Wichtig ist nur, dass das Wort „digital" oder „virtuell" oder „KI" vorkommt. Der Anrufer muss verstehen: Ich spreche gerade nicht mit einem Menschen.

Was Sie NICHT tun müssen:

• Seitenlange Datenschutzerklärung vorlesen
• Um explizite Einwilligung zur KI-Nutzung bitten
• Dem Anrufer eine Alternative zur KI anbieten (außer er legt auf — was er darf)

Rechtsgrundlage:

• Art. 13/14 DSGVO (Informationspflicht)
• EU AI Act Art. 50 (Transparenzpflicht bei KI-Interaktion)

Säule 3: Audio-Aufnahmen — die rote Linie

Hier wird es ernst. §201 StGB stellt das heimliche Aufnehmen eines Telefonats unter Strafe. Bis zu drei Jahre Freiheitsstrafe, wenn ein Klempner ein Kundengespräch ohne Einwilligung mitschneidet.

Die Regel ist absolut: Ohne Einwilligung aller Gesprächsteilnehmer keine Audio-Aufzeichnung.

Das bedeutet aber nicht, dass KI-Telefonie unmöglich ist. Es gibt drei technische Ansätze:

1. Audio-Aufzeichnung (nur mit Einwilligung)

Das Gespräch wird als Tondatei gespeichert. Geht nur, wenn der Anrufer am Anfang zustimmt. Das bremst das Kundenerlebnis aus — und führt zu Ablehnungen.

2. Echtzeit-Transkription (DSGVO-konform)

Das Gespräch wird in Echtzeit in Text umgewandelt. Die Audio-Daten werden nicht gespeichert. Rechtlich fällt das nicht unter §201 StGB, weil keine Tonaufzeichnung entsteht. Die Datenverarbeitung basiert auf Art. 6 Abs. 1 lit. b (Vertragsanbahnung) oder lit. f (berechtigtes Interesse).

3. Zusammenfassung ohne Wortlaut

Die KI hört zu, versteht das Anliegen und erstellt eine strukturierte Zusammenfassung. Weder Audio noch Wortlaut werden gespeichert — nur der Kerninhalt.

Bei BureauFlow konkret: Wir nutzen Echtzeit-Transkription mit sofortiger Löschung der Audio-Daten. Nur die Textzusammenfassung des Gesprächs wird gespeichert. §201 StGB ist damit nicht berührt.

Der Auftragsverarbeitungsvertrag (AVV) — nicht verhandelbar

Wenn Sie einen KI-Telefonassistenten nutzen, verarbeitet der Anbieter in Ihrem Auftrag personenbezogene Daten. Das ist Auftragsverarbeitung nach Art. 28 DSGVO — und dafür braucht es einen schriftlichen Vertrag, den AVV.

Was im AVV stehen muss:

• Gegenstand und Dauer der Verarbeitung
• Zweck und Kategorien der Daten
• Kategorien der betroffenen Personen
• Rechte und Pflichten des Verantwortlichen (Sie)
• Technische und organisatorische Maßnahmen (TOMs)
• Unterauftragsverarbeiter

Praxistipp: Fragen Sie den Anbieter vor Vertragsschluss nach dem AVV. Seriöse Anbieter stellen ihn proaktiv bereit oder haben ihn als PDF auf der Website.

Ohne AVV darf ein Handwerksbetrieb den Dienst nicht nutzen. Punkt. Die Konsequenz bei Kontrolle: Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.

Datenminimierung — nur erfassen, was wirklich gebraucht wird

Die DSGVO kennt den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c): Es dürfen nur die Daten verarbeitet werden, die für den Zweck notwendig sind.

Für einen KI-Telefonassistenten im Handwerk bedeutet das:

Darf verarbeitet werden:

• Telefonnummer des Anrufers
• Name (wenn selbst genannt)
• Anliegen des Kunden
• Adresse (wenn für den Auftrag relevant)
• Terminwünsche

Darf NICHT verarbeitet werden:

• Gesundheitsdaten (Art. 9 DSGVO — besondere Kategorien)
• Finanzielle Details über das Geschäftsnotwendige hinaus
• Politische oder religiöse Ansichten
• Daten Dritter ohne deren Kenntnis

Das Löschkonzept — die vergessene Pflicht

Art. 17 DSGVO gibt jedem Kunden das „Recht auf Vergessenwerden". Das heißt: Wenn ein Kunde die Löschung seiner Daten verlangt, müssen Sie liefern können.

Was Sie brauchen:

• Eine klare Aufbewahrungsfrist (z.B. 2 Jahre nach letztem Kontakt)
• Automatische Löschung nach Ablauf der Frist
• Manuelles Löschen auf Anfrage
• Protokollierung der Löschungen

Steuerrechtliche Aufbewahrungsfristen (bis zu 10 Jahre für Rechnungen) haben Vorrang — aber Gesprächsprotokolle fallen meist nicht darunter.

Die Anbieter-Checkliste

Bevor Sie einen KI-Telefonassistenten einführen, prüfen Sie diese Punkte:

• Server in Deutschland oder der EU
• Verschlüsselte Speicherung (at rest und in transit)
• Auftragsverarbeitungsvertrag (AVV) verfügbar
• Transparente KI-Kennung am Gesprächsbeginn
• Keine dauerhafte Audio-Aufzeichnung ohne Einwilligung
• Klares Löschkonzept mit definierten Fristen
• Kein Verkauf oder Weitergabe der Daten an Dritte
• Keine Nutzung der Daten für fremdes KI-Training
• Impressum mit deutscher oder EU-Firmenadresse
• Deutschsprachiger Support und Ansprechpartner

Wenn alle Punkte erfüllt sind, sind Sie auf der rechtssicheren Seite.

Der EU AI Act — was noch kommt

Seit 2024 ist der EU AI Act in Kraft. Er klassifiziert KI-Systeme in vier Risikostufen. Telefonassistenten fallen in der Regel unter geringes Risiko — die Hauptpflicht ist die Transparenzkennung.

Für Handwerker ändert sich praktisch nichts, solange Ihr Anbieter die Transparenzpflicht ohnehin erfüllt. Hochrisiko-KI (z.B. in der Medizin oder bei Behörden) hat strengere Regeln, die für Handwerksbetriebe nicht relevant sind.

Was tun, wenn ein Kunde sich beschwert?

Seltener Fall, aber möglich: Ein Kunde ruft an und beschwert sich, dass er nicht wusste, dass er mit einer KI gesprochen hat.

Ihre Reaktion:

1. Entschuldigen Sie sich für die Unklarheit
2. Erklären Sie, dass die Transparenzpflicht eingehalten wurde (die KI stellt sich am Anfang vor)
3. Bieten Sie an, das Gespräch zu wiederholen — diesmal mit einem menschlichen Mitarbeiter
4. Dokumentieren Sie die Beschwerde

In 99 Prozent der Fälle ist das Thema damit erledigt. Wichtig ist, dass Ihr Anbieter das Transkript vorlegen kann, um zu beweisen, dass die KI-Kennung korrekt erfolgte.

BureauFlow: DSGVO by Design

BureauFlow wurde speziell für den deutschen Markt entwickelt — mit DSGVO-Konformität als Grundanforderung, nicht als nachträgliche Anpassung.

• EU-Hosting — Daten in Frankfurt (Neon, verschlüsselt)
• Deutsche Gesellschaft — Bureao Flow GmbH, Trier, HRB 47025
• Keine Audio-Speicherung — Echtzeit-Transkription, Audio wird sofort verworfen
• Transparente KI-Kennung — Standard bei jeder Begrüßung
• AVV auf Anfrage — PDF per E-Mail
• Klares Löschkonzept — Daten können jederzeit gelöscht werden
• Deutschsprachiger Support — Direkt per E-Mail erreichbar

Fazit: DSGVO ist kein Gegner, sondern ein Standard

Viele Handwerker sehen die DSGVO als Hindernis. Das ist sie nicht. Sie ist ein Qualitätsstandard, der schlampige Anbieter aussortiert. Wer die drei Säulen (EU-Hosting, Transparenz, keine heimliche Aufzeichnung) erfüllt und einen sauberen AVV hat, arbeitet rechtssicher.

Die Alternative — gar keinen KI-Telefonassistenten nutzen und stattdessen jeden Tag Anrufe verlieren — ist für einen Handwerksbetrieb oft das größere Risiko. Verlorene Aufträge kommen nicht zurück.

BureauFlow kostenlos testen — 15 Anrufe pro Monat, DSGVO-konform, AVV auf Anfrage: Jetzt registrieren

---

Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten Fragen wenden Sie sich an Ihren Datenschutzbeauftragten oder Rechtsanwalt. BureauFlow ist der KI-Telefonassistent für deutsche Handwerksbetriebe. Entwickelt und betrieben von der Bureao Flow GmbH, Trier, HRB 47025.