KI im Kundenservice: Wie schütze ich Kundendaten – und was muss ich bei DSGVO und EU AI Act beachten?
Die Power von KI-Tools wie ChatGPT, Gemini & Co. ist beeindruckend – besonders im Kundenservice. Ob beim Routing, der Übersetzung oder Zusammenfassung von E-Mails: Large Language Models (LLMs) können eine echte Arbeitsentlastung sein, Prozesse beschleunigen und sogar für bessere Kundenerlebnisse sorgen.
Welche Datenschutzfragen muss ich beim KI-Einsatz im Kundenservice wirklich klären?
Im Alltag bleibt der KI-Einsatz jedoch oft auf der Strecke.Warum? Weil Datenschutz, EU-KI-Verordnung und ethische Bedenken etliche Fragen aufwerfen.
Wie schützen wir die Daten unserer Kunden? Wie bewahren wir unser Firmenwissen?
Darf der Kundenservice mit KI arbeiten, wo doch Kunden häufig sensible Daten in E-Mails, Chats, Tickets kommunizieren?
Was sagen DSGVO und EU AI Act zum KI-Einsatz im Kundenservice?
Zwei zentrale Regelwerke bestimmen, wie Du KI rechtskonform einsetzen darfst:
-
DSGVO (Datenschutz-Grundverordnung): Regelt den Schutz personenbezogener Daten – typische Stichworte sind hier: Zweckbindung, Rechtsgrundlage, Datenminimierung. Bedeutet so viel wie, dass die Daten nur für den vorgesehenen Zweck und nur bei berechtigtem Interesse der Verarbeitung, z. B. aufgrund einer Geschäftsbeziehung der Beteiligten verwendet werden dürfen. Dazu kommt, dass sich die Datenverarbeitung auf ein notwendiges Minimum beschränken muss.
-
EU AI Act: Noch relativ frisch, aber mit klaren Pflichten für Unternehmen: Datenqualität prüfen (nicht der KI blind vertrauen), autonome KI-Nutzung offenlegen (Transparenzpflicht), Systeme verantwortungsvoll einsetzen.
Und nicht zu vergessen: Unternehmen müssen nicht nur sicherstellen, dass sie selbst, sondern auch die beauftragten Dienstleister die Vorschriften befolgen! Dies kann ein Problem bei US-Anbietern werden, die Datenschutz anders sehen als Europa.
Wie setze ich KI im Kundenservice rechtssicher ein?
Ganz einfach: mit einer Mischung aus technischer und rechtlicher Absicherung. Hier alle Tipps:
1. Wie erkenne ich, ob ein KI-Anbieter die DSGVO-Anforderungen erfüllt?
Setze auf Anbieter mit Sitz in der EU und klaren Datenschutz-Standards – wie z. B. INEXSO. Als deutsches Unternehmen betreiben wir unsere Software inkl. KI-Assistenten auf inländischen Servern. Der KI-Assistent verbindet sich über APIs mit den unterschiedlichsten LLM-Anbietern. INEXSO achtet darauf, dass deren Leistungen in europäischen Rechenzentren erbracht werden und damit der EU-Regulatorik unterliegen.
2. Wie verhindere ich, dass Kundendaten zum Training einer KI verwendet werden?
LLMs saugen alles auf, was Du ihnen gibst. Verhindere daher, dass Daten zum Training der KI genutzt werden. Entsprechende Verträge mit den LLMsregeln, wie lange übermittelte Daten vorgehalten und wofür sie genutzt werden dürfen.
3. Wie sichere ich mich über Auftragsverarbeitungsverträge ab
Auftragsverarbeitungsverträge (AV-Verträge) regeln mit dem jeweiligen KI-Dienstleister den Umgang mit personenbezogenen Daten. Anschriften, Konto- oder Kreditkartennummern sind im Kundenkontakt Teil des täglichen Mailverkehrs. Ein AV-Vertrag, wie von der DSGVO vorgesehen, regelt den Umgang mit genau solchen Daten – solange der Standort der Verarbeitung innerhalb der EU liegt.
4. Wie schütze ich personenbezogene Kundendaten, wenn ich KI zur E-Mail-Bearbeitung einsetze?
Mit dem Einsatz von KI in der automatisierten Mail-Beantwortung tut sich ein Spannungsfeld zwischen Kontextverständnis und Datenschutz auf. Wer hier ganz auf „Nummer Sicher“ gehen will, kann Kundenanfragen vor der Übermittlung an das generative LLM mittels einer lokalen KI pseudonymisieren.
Bei der Pseudonymisierung werden identifizierende Personenmerkmale (z. B. Name, E-Mail-Adresse, Kundennummer) durch Platzhalter ersetzt. Die Daten bleiben jedoch im Hintergrund durch einen Schlüssel rekonstruierbar. Pseudonymisierung schützt also personenbezogene Daten, ohne die Möglichkeit zu verlieren, Personen voneinander zu unterscheiden und konkrete Daten klar zuordnen zu können.
Beispielszenario:
Die folgende Mail erreicht den Kundenservice eines Reiseveranstalters. Die Bearbeitung soll durch KI unterstützt werden. Um Datenschutz und KI-Power zu vereinen, werden die Personendaten aus der Mail so pseudonymisiert, dass nun fiktive Namen und Adressen vorliegen:
| Originalmail | Pseudonymisierte Mail |
|
Moin, auf der Kreuzfahrt verletzte sich meine Frau Elke an der Duschtür. Die Wunde wurde durch den Bordarzt Dr. Michael Faust versorgt; jedoch trat eine Sepsis auf, wie durch unseren Hausarzt Dr. Meyer festgestellt wurde. Er machte dafür Dr. Faust verantwortlich. Mit freundlichen Grüßen |
Moin, auf der Kreuzfahrt verletzte sich meine Frau Sabine an der Duschtür. Die Wunde wurde durch den Bordarzt Dr. Thomas Leinemann versorgt; jedoch trat eine Sepsis auf, wie durch unseren Hausarzt Dr. Hansen festgestellt wurde. Er machte dafür Dr. Leinemann verantwortlich.
Mit freundlichen Grüßen |
Fiktives Beispiel der Pseudonymisierung von personenbezogenen Daten in einer Kundenmail.
In diesem Beispiel liegen der generativen KI alle wichtigen Informationen vor, um den Kontext zu verstehen und den Vorgang korrekt bearbeiten zu können, ohne dass sie personenbezogene Daten erheben kann.
Die Anonymisierung geht im Gegensatz zur Pseudonymisierung einen Schritt weiter. Hier werden definierte Daten gänzlich unkenntlich gemacht. Ein prominentes Beispiel sind IBAN, die mithilfe von Platzhaltern anonymisiert werden (DE12 3456 7890 1234 5678 00 -> DE12 **** **** **** 5678 00).
5. Wie sicher sind US-amerikanische Tools wie Outlook 365 oder Salesforce noch – und welche europäischen Alternativen gibt es?
Die zunehmende Rechtsunsicherheit unter Trump 2.0schürt Zweifel an der Datensicherheit von amerikanischen cloudbasierten LLM-Anbietern. Vor diesem Hintergrund erscheint die (Daten-)Sicherheit von US-Software wie z. B. Outlook365(Mailprogramm), Zendesk und Freshworks(Ticket-Helpdesk) oderSalesforce(CRM) ebenfalls fragwürdig. Europäische Alternativen oder lokale KI-Modelle (z. B. LLaMA) gewinnen an Bedeutung. Allerdings sollte angemerkt sein, dass lokale LLMs oft geringere generative Fähigkeitenhaben.Die o.g. Pseudonymisierung von Kundenanfragen VOR Übermittlung an amerikanische Cloud-LLM ist eine mögliche Option.
6. Wann brauche ich eine Datenschutz-Folgenabschätzung für KI?
Eine Datenschutz-Folgeabschätzung (kurz DSFA)ist eine schriftliche Prüfung, die Unternehmen vornehmen, um die Auswirkungen eines neuen Systems oder Verfahrens zu bewerten, bevor dieses eingeführt wird. Die DSFA hilft, geeignete Maßnahmen zur Bewältigung möglicher Risiken zu identifizieren und Compliance nachzuweisen.
Grundsätzlich kann man sich hier merken: Nur wenn die Datenverarbeitung ein sehr hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringen kann, z. B. bei automatisierter Entscheidungsfindung aufgrund von Personenmerkmalen, ist eine DSFA zwingend erforderlich.
Doch was bedeutet das für den Einsatz von KI im Kundenservice?
Wir haben ein paar konkrete Beispiele mitgebracht:
| DSFA nicht nötig | DSFA nötig |
| KI sortiert eingehende E-Mails nach Themen:
→ z. B. „Rechnung“, „Technischer Support“, „Beschwerde“. |
KI entscheidet, ob ein Kunde überhaupt eine Antwort bekommt oder wie schnell: |
|
KI-basierte Textvorschläge (z.B. Textbausteine) beim Beantworten von E-Mails: → Die KI hilft dem Support-Mitarbeiter beim Formulieren. |
KI analysiert den Ton oder Inhalt der Anfrage, um das Verhalten des Nutzers zu bewerten: |
Beispielszenarien für die Anwendung einer Datenschutz-Folgeabschätzung.
Kurz gefasst: DSFA ist bei KI-Unterstützung im Kundenservice in der Regel nicht erforderlich. Maßgeblich ist, ob automatisiert bewertet und entschieden wird – dann ist Profiling im Spiel und eine DSFA obligatorisch.
KI sicher im Kundenservice einsetzen: So sind Sie auf der sicheren Seite
Als Teamleiter:in im Kundenservice hast Du die Chance und Verantwortung, moderne Technologie sinnvoll und sicher einzusetzen. Mit der richtigen Strategie und rechtlichen Absicherung klappt auch bei Dir die KI-Implementierung. Schließlich wollen Deine Mitarbeitenden effizienter arbeiten – und Du nachts ruhig schlafen.
Quellen
- Julian Ivanov: KI & Datenschutz: Was du wirklich darfst und was nicht (Talk mit IT-Juristen zu KI-Nutzung)
- ComputerWeekly: Datenschutz: Was vor dem Einsatz von KI-Diensten zu tun ist
- Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit: Liste von Verarbeitungsvorgängen der DSK für den nicht-öffentlichen Bereich.
Weitere interessante Artikel
-
Touristik: Wenn das Postfach überläuft - Kommunikationsmanagement in Krisenzeiten
Die Inbox quillt über, die Hotline läuft heiß. Krisen, wie der aktuelle Iran-Krieg, stellen Touristiker immer wieder vor kommunikative Herausforderungen. Kunden erwarten schnelle Antworten und tausende Anfragen müssen kurzfristig bearbeitet werden. Seit 24 Jahren begleitet INEXSO Touristiker mit seiner E-Mail-Software durch genau solche Situationen. Was dabei wirklich den Unterschied macht, zeigen wir in diesem Artikel.
Weiter -
Neue KI-Features und starkes Kundenwachstum
Oldenburg, 18. März 2026 – Die inexso GmbH zieht eine positive Bilanz für das Jahr 2025. Mit bedeutenden Weiterentwicklungen ihrer E-Mail-Management-Software, der Gewinnung namhafter Neukunden und der Stärkung des Teams blickt das Unternehmen auf ein erfolgreiches Geschäftsjahr zurück.
Weiter
-
Reisemängel, Fristdruck, verärgerte Kunden – wie bearbeite ich Beschwerden professionell?
Der Urlaub ist vorbei. Die Koffer sind ausgepackt. Doch bei der Familienkreuzfahrt war nicht alles zur Zufriedenheit der Müllers: zuerst wurde die Kabine des Sohnes umgebucht, dann war der Pool defekt und schließlich gab es auch noch eine Hafensperrung in Malaga! Familie Müller möchte eine Entschädigung. – Eine Situation, die im Kundenservice von Touristikern täglich vorkommt. Und eine, die – falsch gehandhabt – schnell eskaliert.
Weiter