Transkription im Kundenservice: Zwischen Effizienz und Datenschutz

Sprach-zu-Text-Systeme halten Einzug in den Kundenservice, doch ihr Einsatz ist rechtlich alles andere als trivial. Unternehmen, die Gespräche aufzeichnen und automatisiert transkribieren lassen, bewegen sich im Spannungsfeld zwischen Digitalisierung und Datenschutz. Dabei sind die Regeln der Datenschutz-Grundverordnung (DSGVO), des Telekommunikations-Digitaldienstegesetzes (TDDDG) sowie die Persönlichkeitsrechte der Mitarbeitenden zu berücksichtigen.

Transkription ist ein wertvolles Tool zur Qualitätssicherung und Dokumentation – aber nur, wenn sie auf einer sauberen rechtlichen Grundlage erfolgt. Für uns als Anbieter cloudbasierter Telefonielösungen ist es entscheidend, dass Kunden hier nicht in eine rechtliche Grauzone geraten.

Einwilligung ist Pflicht – und kein Selbstläufer

Bei der Transkription werden personenbezogene Daten von Kunden und Mitarbeitenden verarbeitet. „Damit ist eine klare Rechtsgrundlage erforderlich, und im Regelfall kommt hier nur die Einwilligungserklärung, wie sie die DSGVO vorsieht, in Betracht“, erklärt Datenschutzexperte Daniel Voigtländer. Wichtig sei, dass die Einwilligung freiwillig und nachweisbar erteilt wird. Das bedeutet konkret:

• Der Gesprächspartner muss vorab über die Aufzeichnung und Transkription, den Zweck (z. B. Qualitätssicherung), die Speicherdauer und den Einsatz eines Auftragsverarbeiters (z. B. eines KI-Dienstes) informiert werden.
• Es muss eine Alternative ohne Transkription angeboten werden.
• Die Zustimmung muss aktiv erfolgen – bloßes Schweigen reicht nicht.
• Die Einwilligung muss dokumentiert werden, etwa durch Aufzeichnung des Zustimmungsteils.
• Und: Die Einwilligung muss jederzeit widerrufbar sein.

EU-Dienstleister bevorzugt

Ein oft unterschätzter Aspekt ist die Frage: Wer transkribiert? Viele KI-Dienste zur Spracherkennung und -verarbeitung sitzen außerhalb der EU, beispielsweise in den USA. Für DSGVO-konforme Prozesse ist ein europäischer Anbieter die sicherere Wahl. Firmen müssen mit dem KI-Dienst zudem einen Auftragsverarbeitungsvertrag (AVV) abschließen. „Nicht nur die Technik muss stimmen, sondern auch der Datenschutz – gerade bei sensiblen Kundendaten“, so Voigtländer. Er sieht in externen Dienstleistern ohne AVV ein erhebliches Risiko.

Stephan Krüger von Softwareanbieter jtel wiederum betreut Kunden wie Verlage und Versicherungen, die erhebliches Anrufaufkommen verzeichnen. Er weist darauf hin, dass einige Kunden Transkript-Software lokal hosten. Um eben nicht personenbezogen Daten auf amerikanischen Servern speichern zu müssen.

Fernmeldegeheimnis nicht vergessen

Zusätzlich zur DSGVO spielt das TDDDG eine Rolle. Gemäß Paragraph drei unterliegt jede Kommunikation – auch die Information, dass jemand an einem Gespräch beteiligt ist – dem Fernmeldegeheimnis. Auch hier kann die Einwilligung ein entscheidender rechtlicher Faktor sein. Die Rechtslage ist eindeutig: Eine Verarbeitung oder Weitergabe der Gesprächsinhalte ist nur zulässig, wenn eine gesetzliche Grundlage besteht.

Krüger wiederum hat beobachtet, dass Firmen die Transkript- und KI-Anwendungen inzwischen teils über ihre Allgemeinen Geschäftsbedingungen (AGB) regeln. Verkürzt gesagt willigt jeder Anrufer ein, dass seine Daten aufgezeichnet, verschriftlicht und per künstlicher Intelligenz verarbeitet bzw. ausgewertet werden. Ob das rechtlich zulässig ist und vor Gericht standhält, ist zumindest fraglich.

Mitarbeitende: Schutz notwendig

Auch die Rechte der Mitarbeitenden dürfen nicht übersehen werden. Denn ihre personenbezogenen Daten werden bei der Transkription verarbeitet. Eine Einwilligung im Beschäftigtenverhältnis einzuholen, ist jedoch problematisch. Sie gilt nicht als freiwillig, da ein Machtgefälle besteht.

„In diesem Fall kann das berechtigte Interesse nach Artikel sechs der DSGVO als Grundlage dienen“, sagt Voigtländer. Etwa zur Sicherstellung der Servicequalität. Wichtig sei, dass Unternehmen ihre Mitarbeitenden umfassend informieren – idealerweise durch eine Richtlinie und eine spezielle Datenschutzinformation.

Eigener KI-Server

Klug ist es, einen eigenen KI-Server zu installieren. Denn personensensible Daten sollten nicht in ChatGPT landen. Faustregel: Sobald Unternehmen mehrere Anwendungsfälle haben und KI nicht nur vereinzelt nutzen, etwa um sich E-Mails formulieren zu lassen, ist ein eigener KI-Server unvermeidlich – gehostet in Deutschland.

Die Transkription von Kundengesprächen kann ein wertvolles Instrument sein – vor allem in der Dokumentation wie beispielsweise in einem CRM-System, Analyse und Qualitätssicherung. Doch ohne eine klare rechtliche Grundlage ist sie riskant. Berater sollten deshalb mit Augenmaß vorgehen, alle Beteiligten informieren und technische sowie organisatorische Maßnahmen ergreifen, um Datenschutz und Compliance sicherzustellen.

So gelingt die Transkription

• Einwilligung einholen: Vor jeder Transkription müssen alle Gesprächspartner aktiv und nachweisbar zustimmen – inklusive Informationen über Zweck, Speicherdauer und eingesetzte Systeme.
• EU-Dienstleister bevorzugen: Nach Möglichkeit Transkriptionsdienste in der EU nutzen und einen Auftragsverarbeitungsvertrag (AVV) abschließen.
• Mitarbeitende informieren: Das Team über den Einsatz von Transkription aufklären – idealerweise durch interne Richtlinien und Datenschutzinfos.
• Technische Sicherheit gewährleisten: Cloud-Dienste außerhalb der EU vermeiden und bei regelmäßigem KI-Einsatz einen eigenen, datenschutzkonformen Server erwägen.
• Fernmeldegeheimnis beachten: Zusätzlich zur DSGVO auch das TDDDG prüfen – die Einwilligung muss ausdrücklich den Kommunikationsvorgang abdecken.

Über den Autor: Felix Pflüger ist Geschäftsführer von Peoplefone Deutschland. Er berät Unternehmen – darunter viele Versicherungsbüros – bei der digitalen Transformation ihrer Telefonie- und Kommunikationsstrukturen.