personen kreise 1920 450

Der KI-Konflikt - zwischen Effizienz und Verantwortung

Die Power von KI-Tools wie ChatGPT, Gemini & Co. ist beeindruckend – besonders im Kundenservice. Ob beim Routing, der Übersetzung oder Zusammenfassung von E-Mails: Large Language Models (LLMs) können eine echte Arbeitsentlastung sein, Prozesse beschleunigen und sogar für bessere Kundenerlebnisse sorgen.

Aktuelles Artikelbild Rechtliches KI2
Foto: Rechtliche Hürden bei KI kennen. - Carolin Krieger via Canva.

 

 

 

Das Daten-Dilemma

Im Alltag bleibt der KI-Einsatz jedoch oft auf der Strecke.Warum?Weil Datenschutz, EU-KI-Verordnung und ethische Bedenken etliche Fragen aufwerfen.

 

Wie schützen wir die Daten unserer Kunden? Wie bewahren wir unser Firmenwissen?

 

Darf der Kundenservice mit KI arbeiten, wo doch Kunden häufig sensible Daten in E-Mails, Chats, Tickets kommunizieren?

 

 

Was das Gesetz sagt – und warum Du es kennen solltest

Zwei zentrale Regelwerke bestimmen, wie Du KI rechtskonform einsetzen darfst:

  • DSGVO (Datenschutz-Grundverordnung): Regelt den Schutz personenbezogener Daten – typische Stichworte sind hier: Zweckbindung, Rechtsgrundlage, Datenminimierung. Bedeutet so viel wie, dass die Daten nur für den vorgesehenen Zweck und nur bei berechtigtem Interesse der Verarbeitung, z. B. aufgrund einer Geschäftsbeziehung der Beteiligten verwendet werden dürfen. Dazu kommt, dass sich die Datenverarbeitung auf ein notwendiges Minimum beschränken muss.

  • EU AI Act: Noch relativ frisch, aber mit klaren Pflichten für Unternehmen: Datenqualität prüfen (nicht der KI blind vertrauen), autonome KI-Nutzung offenlegen (Transparenz­pflicht), Systeme verantwortungsvoll einsetzen.

Und nicht zu vergessen: Unternehmen müssen nicht nur sicherstellen, dass sie selbst, sondern auch die beauftragten Dienstleister die Vorschriften befolgen! Dies kann ein Problem bei US-Anbietern werden, die Datenschutz anders sehen als Europa.

 Dein Handlungsspielraum: So schützt Du Kunden- und Firmendaten

1. Wähle Deine Softwarepartner mit Bedacht
Setze auf Anbieter mit Sitz in der EU und klaren Datenschutz-Standards – wie z. B. INEXSO. Als deutsches Unternehmen betreiben wir unsere Software inkl. KI-Assistenten auf inländischen Servern. Der KI-Assistent verbindet sich über APIs mit den unterschiedlichsten LLM-Anbietern. INEXSO achtet darauf, dass deren Leistungen in europäischen Rechenzentren erbracht werden und damit der EU-Regulatorik unterliegen.

2. Achte auf den Datenhunger der KI
LLMs saugen alles auf, was Du ihnen gibst. Verhindere daher, dass Daten zum Training der KI genutzt werden. Entsprechende Verträge mit den LLMsregeln, wie lange übermittelte Daten vorgehalten und wofür sie genutzt werden dürfen.

3. Sichere Dich über AV-Verträge ab
Auftragsverarbeitungsverträge (AV-Verträge) regeln mit dem jeweiligen KI-Dienstleister den Umgang mit personenbezogenen Daten. Anschriften, Konto- oder Kreditkartennummern sind im Kundenkontakt Teil des täglichen Mailverkehrs. Ein AV-Vertrag, wie von der DSGVO vorgesehen, regelt den Umgang mit genau solchen Daten – solange der Standort der Verarbeitung innerhalb der EU liegt.

4. Nutze Pseudonymisierung und Anonymisierung

Mit dem Einsatz von KI in der automatisierten Mail-Beantwortung tut sich ein Spannungsfeld zwischen Kontextverständnis und Datenschutz auf. Wer hier ganz auf „Nummer Sicher“ gehen will, kann Kundenanfragen vor der Übermittlung an das generative LLM mittels einer lokalen KI pseudonymisieren.

Bei der Pseudonymisierung werden identifizierende Personenmerkmale (z. B. Name, E-Mail-Adresse, Kundennummer) durch Platzhalter ersetzt. Die Daten bleiben jedoch im Hintergrund durch einen Schlüssel rekonstruierbar. Pseudonymisierung schützt also personenbezogene Daten, ohne die Möglichkeit zu verlieren, Personen voneinander zu unterscheiden und konkrete Daten klar zuordnen zu können.

Beispielszenario:

Die folgende Mail erreicht den Kundenservice eines Reiseveranstalters. Die Bearbeitung soll durch KI unterstützt werden. Um Datenschutz und KI-Power zu vereinen, werden die Personendaten aus der Mail so pseudonymisiert, dass nun fiktive Namen und Adressen vorliegen: 

Originalmail  Pseudonymisierte Mail

Moin,

auf der Kreuzfahrt verletzte sich meine Frau Elke an der Duschtür. Die Wunde wurde durch den Bordarzt Dr. Michael Faust versorgt; jedoch trat eine Sepsis auf, wie durch unseren Hausarzt Dr. Meyer festgestellt wurde. Er machte dafür Dr. Faust verantwortlich.

Wir haben die Angelegenheit daher durch unseren Anwalt Martin Steiner prüfen lassen – er empfiehlt uns, die Donau-Dampf-Flussreise AG auf Schadenersatz zu veranlagen.

Wie weit würden Sie uns ohne Rechtsweg entgegenkommen? Mein Vorschlag: 2.000 EUR. Dann lasse ich Herrn Steiner außen vor.

Mit freundlichen Grüßen
Julian Berger
Tel: 0176 12345678

 

Moin,

auf der Kreuzfahrt verletzte sich meine Frau Sabine an der Duschtür. Die Wunde wurde durch den Bordarzt Dr. Thomas Leinemann versorgt; jedoch trat eine Sepsis auf, wie durch unseren Hausarzt Dr. Hansen festgestellt wurde. Er machte dafür Dr. Leinemann verantwortlich.


Wir haben die Angelegenheit daher durch unseren Anwalt Ralf Sauer prüfen lassen – er empfiehlt uns, die Rainbow GmbH auf Schadenersatz zu veranlagen.

Wie weit würden Sie uns ohne Rechtsweg entgegenkommen? Mein Vorschlag: 2.000 EUR. Dann lasse ich Herrn Sauer außen vor.

Mit freundlichen Grüßen
Daniel Fuchs
Tel: 016087654321

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Fiktives Beispiel der Pseudonymisierung von personenbezogenen Daten in einer Kundenmail. 

 

In diesem Beispiel liegen der generativen KI alle wichtigen Informationen vor, um den Kontext zu verstehen und den Vorgang korrekt bearbeiten zu können, ohne dass sie personenbezogene Daten erheben kann.

Die Anonymisierung geht im Gegensatz zur Pseudonymisierung einen Schritt weiter. Hier werden definierte Daten gänzlich unkenntlich gemacht. Ein prominentes Beispiel sind IBAN, die mithilfe von Platzhaltern anonymisiert werden (DE12 3456 7890 1234 5678 00 -> DE12 **** **** **** 5678 00).

5. Behalte geopolitische Risiken im Blick
Die zunehmende Rechtsunsicherheit unter Trump 2.0schürt Zweifel an der Datensicherheit von amerikanischen cloudbasierten LLM-Anbietern. Vor diesem Hintergrund erscheint die (Daten-)Sicherheit von US-Software wie z. B. Outlook365(Mailprogramm), Zendesk und Freshworks(Ticket-Helpdesk) oderSalesforce(CRM) ebenfalls fragwürdig. Europäische Alternativen oder lokale KI-Modelle (z. B. LLaMA) gewinnen an Bedeutung. Allerdings sollte angemerkt sein, dass lokale LLMs oft geringere generative Fähigkeitenhaben. Die o.g. Pseudonymisierung von Kundenanfragen VOR Übermittlung an amerikanische Cloud-LLM ist eine mögliche Option.

6. Informiere Dich über die Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgeabschätzung (kurz DSFA) ist eine schriftliche Prüfung, die Unternehmen vornehmen, um die Auswirkungen eines neuen Systems oder Verfahrens zu bewerten, bevor dieses eingeführt wird. Die DSFA hilft, geeignete Maßnahmen zur Bewältigung möglicher Risiken zu identifizieren und Compliance nachzuweisen.

Grundsätzlich kann man sich hier merken: Nur wenn die Datenverarbeitung ein sehr hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringen kann, z. B. bei automatisierter Entscheidungsfindung aufgrund von Personenmerkmalen, ist eine DSFA zwingend erforderlich.

Doch was bedeutet das für den Einsatz von KI im Kundenservice?

Wir haben ein paar konkrete Beispiele mitgebracht: 

DSFA nicht nötig DSFA nötig
 KI sortiert eingehende E-Mails nach Themen:

→ z. B. „Rechnung“, „Technischer Support“, „Beschwerde“.
→ Dient nur der internen Organisation (Routing) → keine DSFA nötig

KI entscheidet, ob ein Kunde überhaupt eine Antwort bekommt oder wie schnell:
→ z. B. aufgrund der Einschätzung des „Werts“ der Person für das Unternehmen
Profiling + Entscheidungsautomatisierung → DSFA nötig!

 

 KI-basierte Textvorschläge (z.B. Textbausteine) beim Beantworten von 

E-Mails:

→ Die KI hilft dem Support-Mitarbeiter beim Formulieren.
→ Keine Bewertung des Kunden, keine automatische Entscheidung → keine DSFA nötig.

KI analysiert den Ton oder Inhalt der Anfrage, um das Verhalten des Nutzers zu bewerten:
→ z. B. wird analysiert, ob jemand „aggressiv“ oder „unkooperativ“ wirkt.
→ Automatisierte Bewertung der Person → DSFA erforderlich!

 

Beispielszenarien für die Anwendung einer Datenschutz-Folgeabschätzung.

 

Kurz gefasst: DSFA ist bei KI-Unterstützung im Kundenservice in der Regel nicht erforderlichMaßgeblich ist, ob automatisiert bewertet und entschieden wird – dann ist Profiling im Spiel und eine DSFA obligatorisch.

Fazit: Du brauchst keine Angst vor KI zu haben

Als Teamleiter:in im Kundenservice hast Du die Chance und Verantwortung, moderne Technologie sinnvoll und sicher einzusetzen. Mit der richtigen Strategie und rechtlichen Absicherung klappt auch bei Dir die KI-Implementierung. Schließlich wollen Deine Mitarbeitenden effizienter arbeiten und Du nachts ruhig schlafen.

 

 

Quellen