Datenschutz in der Praxis: Was Tourist-Informationen konkret beachten müssen
Auftragsverarbeitung, Einwilligungspflichten, Löschfristen, EU AI Act — was TI-Leitungen und DMO-Geschäftsführer prüfen müssen, bevor KI-Telefonie live geht. Ohne Juristendeutsch.
Dieser Artikel dient der allgemeinen Orientierung und ersetzt keine rechtliche Beratung. Für verbindliche Einschätzungen wenden Sie sich an Ihren Datenschutzbeauftragten oder eine Anwaltskanzlei.
Das Grundproblem: Wer ist eigentlich verantwortlich?
Wenn Ihre Tourist-Information einen KI-Telefonassistenten einsetzt, entstehen datenschutzrechtliche Verarbeitungsvorgänge: Rufnummern werden erfasst, Gespräche transkribiert, Metadaten gespeichert. Die entscheidende Frage ist: Wer trägt die datenschutzrechtliche Verantwortung dafür?
Die Antwort ist eindeutig: Sie als Tourist-Information oder DMO. Sie sind der Verantwortliche im Sinne der DSGVO (Art. 4 Nr. 7), weil Sie über den Zweck und die Mittel der Verarbeitung bestimmen. Newcall ist Auftragsverarbeiter — tätig ausschließlich auf Ihre Weisung.
- Bestimmt Zweck und Mittel der Verarbeitung
- Ist Ansprechpartner für Anrufende bei Betroffenenrechten
- Muss Rechtsgrundlage für die Verarbeitung sicherstellen
- Muss Anrufende informieren (Transparenzhinweis)
- Trägt datenschutzrechtliche Verantwortung
- Verarbeitet Daten ausschließlich auf Weisung
- Schließt AVV nach Art. 28 DSGVO ab
- Technische und organisatorische Maßnahmen
- Meldet Datenschutzverletzungen innerhalb 48h
- Löscht Daten nach Ende des Vertrags
Was Sie konkret tun müssen
1. AVV abschließen
Ohne Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO darf Newcall keine Daten für Sie verarbeiten — und Sie dürfen Newcall nicht einsetzen. Der AVV regelt Zweck, Dauer, Art der Daten, Weisungsrecht, Subunternehmer und Löschfristen. Newcall stellt den AVV bereit; er wird bei Vertragsabschluss standardmäßig einbezogen.
2. Rechtsgrundlage bestimmen
Für die Verarbeitung von Anruferdaten brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen zwei in Frage:
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Die Sicherstellung der Erreichbarkeit außerhalb der Öffnungszeiten und die Effizienzsteigerung des Gästeservices sind gut argumentierbare berechtigte Interessen. Eine Interessenabwägung sollte dokumentiert werden.
- Einwilligung (Art. 6 Abs. 1 lit. a): Wenn zu Beginn des Gesprächs auf die KI hingewiesen wird und der Anrufende das Gespräch fortsetzt, kann dies als konkludente Einwilligung gewertet werden. Sicherer ist eine explizite Einwilligungsgestaltung (z. B. „Drücken Sie 1, um fortzufahren").
Für Gesprächsaufzeichnungen (nicht nur Transkriptionen) ist eine explizite Einwilligung der Anrufenden dringend empfohlen.
3. Transparenzhinweis sicherstellen
Art. 13 DSGVO und der EU AI Act verlangen, dass Anrufende wissen, dass sie mit einem KI-System sprechen. Newcall implementiert standardmäßig eine Ansage zu Beginn des Gesprächs. Sie müssen prüfen, dass diese Ansage vorhanden und korrekt ist.
Empfohlene Formulierung: „Sie werden von einem KI-gestützten Assistenten bedient. Ihre Anfrage wird aufgezeichnet und automatisch verarbeitet. Für persönliche Beratung sagen Sie ‚Mitarbeiter'."
4. Datenschutzhinweis auf der Website ergänzen
Ihre Datenschutzerklärung auf der Website muss den KI-Telefonassistenten als Verarbeitungsvorgang aufführen: Welche Daten, welcher Zweck, welche Rechtsgrundlage, welche Speicherdauer, an wen weitergegeben. Newcall stellt entsprechende Textbausteine bereit.
5. Verarbeitungsverzeichnis aktualisieren
Wenn Sie ein Verzeichnis von Verarbeitungstätigkeiten führen (ab 250 Mitarbeitenden Pflicht, für kleinere Organisationen empfohlen), ist die KI-Telefonie als neue Verarbeitungstätigkeit einzutragen.
6. Internen Datenschutzbeauftragten informieren
Wenn Ihre Organisation einen Datenschutzbeauftragten (DSB) hat — was bei Kommunen und öffentlichen Einrichtungen häufig der Fall ist — sollte dieser frühzeitig eingebunden werden. Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist bei KI-Telefonie in der Regel nicht verpflichtend, kann aber intern sinnvoll sein.
EU AI Act: Was TIs konkret betrifft
Der EU AI Act ist seit 2024 in Kraft und wird schrittweise angewendet. KI-Telefonassistenten für touristische Anfragen fallen in die Kategorie „begrenztes Risiko" — nicht in die kritische Hochrisiko-Kategorie. Das bedeutet:
- Keine Registrierungspflicht im EU AI Act-Register
- Keine Zertifizierungspflicht für den Betreiber (Sie)
- Hauptpflicht: Transparenz — Anrufende müssen wissen, dass sie mit KI sprechen
- Recht auf menschliche Überprüfung muss gewährleistet sein (warm handoff)
Die praktische Checkliste
- AVV abschließen — mit Newcall gemäß Art. 28 DSGVO (standardmäßig bei Vertragsabschluss)
- Rechtsgrundlage festlegen — berechtigtes Interesse dokumentieren oder Einwilligungsgestaltung klären
- Transparenzansage prüfen — Newcall implementiert diese standardmäßig, Sie bestätigen die Formulierung
- Datenschutzerklärung aktualisieren — KI-Telefonie als Verarbeitungsvorgang aufnehmen
- Verarbeitungsverzeichnis aktualisieren — neue Verarbeitungstätigkeit eintragen
- Internen DSB informieren — sofern vorhanden, frühzeitig einbinden
- Löschfristen festlegen — im AVV mit Newcall abgestimmt, Standard 90 Tage
Newcall stellt im Onboarding alle nötigen Dokumente bereit: AVV, DSGVO-Textbausteine für Ihre Datenschutzerklärung, Hinweisansagen-Formulierungen und auf Anfrage eine vollständige Compliance-Dokumentation für interne Genehmigungsprozesse.
Weitere Artikel
Alle Unterlagen auf Anfrage.
AVV, Datenschutz-Textbausteine und Compliance-Dokumentation für interne Entscheidungsprozesse.