DSGVO und KI-Telefonassistenten: Was Restaurantbetreiber wirklich beachten müssen

„Klingt interessant – aber ist das DSGVO-konform?“

Das ist die zweithäufigste Frage nach den Kosten, wenn Restaurantbetreiber von KI-Telefonassistenten hören. Und das ist völlig berechtigt: Wenn ein KI-System Telefongespräche mit Gästen entgegennimmt, werden personenbezogene Daten verarbeitet — Name, Telefonnummer, Buchungsdaten.

Die gute Nachricht: Ein KI-Telefonassistent kann vollständig DSGVO-konform betrieben werden. Die schlechte Nachricht: Nicht alle Anbieter halten das tatsächlich ein.

In diesem Artikel erklären wir, was DSGVO-Konformität bei KI-Telefonsystemen bedeutet, welche 7 Fragen Sie jedem Anbieter stellen sollten — und wie LENA von AJMEK Datenschutz konkret umsetzt.

Warum DSGVO bei KI-Telefonsystemen relevant ist

Ein KI-Telefonassistent verarbeitet bei jedem Anruf personenbezogene Daten:

  • Name des Gastes
  • Telefonnummer (falls sichtbar oder genannt)
  • Buchungsdetails (Datum, Uhrzeit, Personenzahl, Sonderwünsche)
  • Möglicherweise Gesprächsinhalte oder -aufzeichnungen

Personenbezogene Daten unterliegen der DSGVO (EU-Datenschutz-Grundverordnung). Als Restaurantbetreiber sind Sie für die datenschutzkonforme Verarbeitung dieser Daten verantwortlich — auch wenn Sie einen Dienstleister einsetzen.

Das bedeutet: Sie sind nicht nur Nutzer eines KI-Systems, sondern datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 DSGVO.

Die 7 Fragen, die Sie jedem KI-Anbieter stellen sollten

Bevor Sie einen KI-Telefonassistenten einsetzen, klären Sie diese Punkte:

Frage 1: Wo werden die Daten verarbeitet und gespeichert?

Was Sie erwarten: Server in Deutschland oder zumindest in der EU.

Anbieter, die Daten auf US-Servern verarbeiten, unterliegen dem US-Cloud Act — US-Behörden können unter bestimmten Umständen auf diese Daten zugreifen, ohne EU-Rechtsweg. Das ist für deutsche Betriebe ein erhebliches Compliance-Risiko.

LENA: Verarbeitung ausschließlich auf deutschen Servern.

Frage 2: Gibt es einen Auftragsverarbeitungsvertrag (AVV)?

Was Sie erwarten: Ja — immer. Ohne AVV ist der Einsatz eines Drittanbieters, der personenbezogene Daten verarbeitet, nicht DSGVO-konform.

Ein AVV (nach Art. 28 DSGVO) regelt, was der Anbieter mit Ihren Daten tun darf, welche technischen und organisatorischen Maßnahmen er einsetzt, und wie Datenpannen gemeldet werden.

LENA: AVV wird standardmäßig mit jedem Vertrag abgeschlossen.

Frage 3: Werden Gespräche aufgezeichnet – und wenn ja, wie lange?

Was Sie erwarten: Klare Antwort mit definierter Löschfrist.

Viele KI-Systeme zeichnen Gespräche auf, um ihre Modelle zu verbessern. Das ist nicht per se verboten — aber es muss transparent kommuniziert und zeitlich begrenzt sein. Aufzeichnungen ohne Einwilligung der Gäste und ohne klare Löschfristen sind problematisch.

Best Practice: Kurze Speicherfristen (max. 30 Tage für Qualitätssicherung), keine Weitergabe an Dritte.

Frage 4: Werden Daten für KI-Training genutzt?

Was Sie erwarten: Opt-out-Möglichkeit oder klare Verneinung.

Wenn Ihre Kundengespräche für das Training des KI-Modells genutzt werden, müssen Gäste darüber informiert werden. Prüfen Sie die AGBs des Anbieters genau.

Frage 5: Welche technischen und organisatorischen Maßnahmen (TOMs) bestehen?

Was Sie erwarten: Verschlüsselung (HTTPS/TLS), Zugangskontrollen, Datensparsamkeit.

TOMs sind die technischen Schutzmaßnahmen, die der Anbieter einsetzt, um Datenpannen zu verhindern. Seriöse Anbieter stellen ein TOM-Dokument auf Anfrage zur Verfügung.

Frage 6: Gibt es einen Datenschutzbeauftragten?

Was Sie erwarten: Ja — für Anbieter, die gewerblich personenbezogene Daten verarbeiten, ist ein DSB in Deutschland oft Pflicht (§ 38 BDSG).

Frage 7: Wie werden Datenpannen gemeldet?

Was Sie erwarten: 72-Stunden-Meldepflicht an zuständige Aufsichtsbehörde (Art. 33 DSGVO). Der Anbieter muss Sie unverzüglich informieren.

Was Sie als Restaurantbetreiber selbst tun müssen

DSGVO-Konformität ist keine reine Anbieterfrage — als Verantwortlicher tragen auch Sie Pflichten:

Datenschutzhinweis auf Ihrer Website aktualisieren

Wenn Ihr Restaurant einen KI-Telefonassistenten einsetzt, muss das in Ihrer Datenschutzerklärung erwähnt werden. Nennen Sie:

  • Den Anbieter und seinen Serverstandort
  • Die Art der verarbeiteten Daten (Buchungsdaten, ggf. Gesprächsinhalte)
  • Die Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
  • Die Speicherdauer

Praktischer Hinweis: Ihr Datenschutzanwalt oder ein Generator wie datenschutz.org kann helfen, die Passage zu formulieren.

Gäste informieren

Technisch gesehen sollten Gäste bei jedem Anruf kurz darüber informiert werden, dass ihr Gespräch von einem KI-System entgegengenommen wird. In der Praxis reicht oft eine kurze Ansage zu Beginn des Anrufs: „Sie sind mit LENA, dem digitalen Assistenten von [Restaurant-Name] verbunden.“

LENA macht das standardmäßig — Gäste wissen, mit wem sie sprechen.

Wie LENA Datenschutz konkret umsetzt

Für LENA von AJMEK gilt:

Kriterium LENA / AJMEK
Serverstandort Deutschland
Auftragsverarbeitungsvertrag Inklusive, kein Mehraufwand
Gesprächsaufzeichnung Keine dauerhafte Speicherung ohne Einwilligung
Datenweitergabe an Dritte Keine
Datenschutzbeauftragter Vorhanden
Datenpannen-Meldepflicht Innerhalb von 24h an Auftraggeber
Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung)

Detaillierte Informationen zu Datenschutz und dem AVV erhalten Sie auf Anfrage — schreiben Sie uns an: info@ajmek.it

Fazit: Datenschutz ist kein Hinderungsgrund — sondern eine Auswahlhilfe

KI-Telefonassistenten können vollständig DSGVO-konform betrieben werden. Die entscheidende Frage ist nicht ob, sondern von wem.

Achten Sie auf:

  • Serverstandort Deutschland oder EU
  • Vorhandenen AVV
  • Transparenz bei Gesprächsdaten
  • Klare Löschfristen

Anbieter, die diese Fragen offen und vollständig beantworten, sind DSGVO-seriös. Anbieter, die ausweichen oder verweisen, sind ein Risiko.

LENA wurde von Anfang an für den deutschen Markt und deutsche Datenschutzstandards entwickelt. Das ist kein Marketing — das ist die Grundlage unseres Geschäftsmodells.

Rechtlicher Hinweis: Dieser Artikel dient zur Information und ersetzt keine Rechtsberatung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert