FAQ Datenschutz

sipgate AI Agents fallen in der Regel unter die Kategorie „begrenztes Risiko" gemäß Art. 50 der KI-Verordnung. Für Systeme dieser Kategorie gelten primär Transparenzpflichten. Die KI-Verordnung stuft Systeme zur direkten Interaktion mit natürlichen Personen (wie Voice Agents) als transparenzpflichtig ein, nicht jedoch als Hochrisiko-System. Der AI Act ist seit 1. August 2024 in Kraft, die Transparenzpflichten nach Art. 50 gelten ab 2. August 2026.

Ja, nach Art. 50 Abs. 1 AI Act müssen Anbieter von KI-Systemen, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, diese so konzipieren, dass die Personen informiert werden, dass sie mit einem KI-System interagieren. Der Hinweis muss klar, eindeutig und transparent erfolgen, spätestens bei der ersten Interaktion. Eine Ausnahme besteht nur, wenn dies aus dem Kontext offensichtlich ist. sipgate stellt standardmäßig sicher, dass der AI Agent zu Beginn jedes Gesprächs einen vorformulierten Hinweis (Begrüßungstext) ausgibt, der die KI-gestützte Natur des Dialogs eindeutig offenlegt. Dieser Hinweis ist technisch fest im Gesprächsstart verankert und kann nicht übersprungen werden. Der Hinweis ist unabhängig von der Spracheinstellung im angegebenen Wortlaut wiederzugeben und erfüllt die Anforderungen an Barrierefreiheit.

Verstöße gegen die Transparenzpflichten nach Art. 50 AI Act können gemäß Art. 99 Abs. 4 AI Act mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes des Unternehmens geahndet werden (je nachdem, welcher Betrag höher ist). Die Bußgelder werden durch nationale Aufsichtsbehörden verhängt. Zu beachten ist, dass die Verantwortung für die Einhaltung der Transparenzpflichten beim Betreiber des KI-Systems liegt (Kunde), während sipgate als Anbieter des KI-Systems die technischen Voraussetzungen bereitstellt.

Die Verarbeitung von Gesprächsdaten kann etwa auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) erfolgen, je nach konkretem Einsatzszenario. Bei Inbound-Calls im Kundenservice kann die Verarbeitung zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sein.

Die menschliche Stimme kann als biometrisches Datum im Sinne von Art. 4 Nr. 14 und Art. 9 DSGVO eingestuft werden, wenn sie mit speziellen technischen Verfahren zur eindeutigen Identifizierung einer Person verarbeitet wird. Entscheidend ist der Zweck der Verarbeitung: Wird die Stimme lediglich zur Spracherkennung und Gesprächsführung genutzt (ohne biometrische Identifikation), liegt kein Fall des Art. 9 DSGVO vor. sipgate AI Agents nutzen Stimmdaten ausschließlich zur Gesprächsverarbeitung, nicht zur biometrischen Identifikation. Eine explizite Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO ist daher nicht zwingend erforderlich.

Nein. sipgate nutzt Kundendaten nicht für das Training von KI-Modellen oder Machine Learning. Dies ist vertraglich mit allen KI-Dienstleistern (insbesondere OpenAI) ausgeschlossen. Die Daten werden ausschließlich zur Bereitstellung der beauftragten Services genutzt und nach Abschluss der Verarbeitung gelöscht oder anonymisiert. Diese Regelung ist Teil der technisch-organisatorischen Maßnahmen und im AVV dokumentiert.

Eine Freistellung durch sipgate ist nicht vorgesehen, da der Kunde als Verantwortlicher grundsätzlich für die rechtskonforme Nutzung des AI Agents verantwortlich ist. Dies entspricht der gesetzlichen Rollenverteilung nach DSGVO und AI Act. sipgate verpflichtet sich jedoch, die technischen und organisatorischen Voraussetzungen für eine rechtskonforme Nutzung bereitzustellen und den Kunden bei der Einhaltung seiner Pflichten im Rahmen der Regelungen der AVV zu unterstützen. Die bereitgestellten System sind grundsätzlich so aufgebaut, dass sie DSGVO-konform genutzt werden können: (1) In unserem Auftragsverarbeitungsvertrag (AVV) sind die Details zur Datenverarbeitung geregelt. Mit unseren Vorleistern und Partnern bestehen entsprechende Vereinbarungen, die eine rechtskonforme Datenverarbeitung sicherstellen. (2) Wir weisen zudem darauf hin, dass der Assistent zu Beginn jedes Gesprächs eindeutig darauf hinweist bzw. darauf hinweisen kann, dass es sich um eine KI handelt (Weitere Informationen finden Sie in unserer Datenschutzerklärung sowie im Auftragsverarbeitungsvertrag) Für Fälle, in denen ein Verstoß auf Fehler oder Pflichtverletzungen von sipgate zurückzuführen ist, haftet sipgate nach den vertraglichen Haftungsregelungen.

Die Haftung richtet sich nach der Rollenverteilung zwischen Verantwortlichem und Auftragsverarbeiter: Der Kunde als Betreiber des AI Agents ist Verantwortlicher im Sinne der DSGVO und des AI Act und damit grundsätzlich für die rechtskonforme Nutzung verantwortlich. Dies umfasst insbesondere die Einhaltung der Transparenzpflichten, die rechtmäßige Datenverarbeitung und die Sicherstellung, dass der AI Agent seinem Einsatzzweck angemessen konfiguriert ist. sipgate haftet als Auftragsverarbeiter für Pflichtverletzungen im Rahmen der Auftragsverarbeitung (Art. 82 DSGVO).