DSGVO und AI-Voice-Agenten: was Restaurants in der EU wissen müssen
Ein AI-Telefonagent nimmt Stimme auf, erkennt Bestellungen und verbindet sich mit dem POS. Jeder dieser Schritte ist ein personenbezogenes Datum nach DSGVO. Hier ist, was Sie geregelt haben müssen, bevor der erste Anruf über das AI-System läuft — und warum EU-Hosting nicht nur Marketing ist.
Andreas Juric ist Gründer der Stari Vuk AI Agency und baut seit 2023 Voice-AI-Systeme für Restaurants in HR und DACH.
Was die DSGVO bei AI-Anrufen als personenbezogenes Datum ansieht
Die Stimme ist laut Europäischem Datenschutzausschuss (EDSA) ein biometrisches Datum, sobald sie zur Identifizierung einer Person verwendet wird. Selbst wenn Sie sie nicht zur Identifizierung nutzen, sind Audioaufnahme und Transkript personenbezogene Daten, weil sie mit einer Telefonnummer verknüpft werden. Sobald der AI-Agent abhebt, verarbeiten Sie personenbezogene Daten und brauchen eine Rechtsgrundlage.
Für die meisten Restaurants ist das die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) — der Gast ruft an, um zu bestellen, und die Verarbeitung ist nötig, um die Bestellung zu erfüllen. Für Marketing oder Verhaltensanalysen braucht es zusätzlich eine Einwilligung.
Warum EU-Hosting kein Marketing, sondern Notwendigkeit ist
Wenn das AI-Modell Audio oder Transkripte an Server außerhalb der EU sendet (z. B. in die USA), geraten Sie automatisch in die Drittlandübermittlung. Die DSGVO verlangt dafür Standardvertragsklauseln, eine Transfer Impact Assessment und Information an den Gast. Die wenigsten Restaurants haben Zeit oder Ressourcen dafür.
Deshalb nutzt Restoran.team ausschließlich EU-Hosting (Deutschland, Niederlande, Kroatien), EU-Modellanbieter und EU-Transkription. Die Daten verlassen die EU zu keinem Zeitpunkt. Das spart Anwälten Monate Arbeit und gibt dem Gast ein sicheres Gefühl, wenn er fragt 'wohin gehen meine Daten'.
Speicherdauer — wie lange dürfen Sie Aufnahmen behalten
Art. 5 Abs. 1 lit. e DSGVO fordert, dass Daten nur so lange gespeichert werden, wie es nötig ist. Für Telefonbestellungen heißt das lang genug, um die Bestellung auszuliefern und eventuelle Beschwerden zu klären — typisch 30 bis 90 Tage. Danach werden Aufnahmen und Transkripte automatisch gelöscht.
Ausnahme sind buchhalterische Aufzeichnungen (Betrag, Datum, MwSt.), die in Deutschland bis zu 10 Jahre aufbewahrt werden müssen. Das sind aber keine Sprachdaten — nur Transaktionsdaten, die Sie ohnehin im POS hätten.
Transparenz gegenüber dem Gast
Beim ersten Anruf muss der AI-Agent klar sagen, dass es sich um einen automatisierten Agenten handelt. Das ist Pflicht nach dem EU AI Act, der 2024 in Kraft getreten ist. Zu verschleiern, dass am anderen Ende ein AI sitzt, ist strafbar und verliert das Vertrauen des Gastes, sobald er es merkt.
Zweitens die Datenschutzinformation — der Gast muss Zugriff auf die Datenschutzerklärung haben, Auskunft über Speicherdauer, Empfänger und Löschrecht. Restoran.team generiert automatisch die Richtlinien für jeden Kunden und verlinkt sie in der Kommunikation.
DSFA — wann ist eine Datenschutz-Folgenabschätzung nötig
Eine DSFA ist vorgeschrieben, wenn die Verarbeitung ein hohes Risiko für die Rechte der Betroffenen bergen kann. Für einen normalen Telefonagenten im Restaurant ist das meist nicht der Fall — minimale Verarbeitung, klarer Zweck, Daten bleiben in der EU.
Eine DSFA wird nötig, wenn Sie biometrische Identifizierung machen (z. B. Stammgäste an der Stimme erkennen), Profiling fürs Marketing oder Verarbeitung im großen Maßstab. Für eine Pizzeria mit 200 Anrufen täglich nicht. Für eine Kette mit tausend Standorten und CRM-Profiling schon.
Häufig gestellte Fragen
Muss ich für AI-Anrufaufnahmen eine Einwilligung einholen?
Nicht zwingend. Für die Auftragserfüllung ist die Rechtsgrundlage der Vertrag, nicht die Einwilligung. Eine Einwilligung brauchen Sie nur, wenn Sie Aufnahmen für Marketing, Analytics oder eigenes Modelltraining über den Bestellzweck hinaus nutzen.
Was, wenn ein Gast die Löschung seiner Daten verlangt?
Nach Art. 17 DSGVO haben Sie 30 Tage Zeit. Restoran.team hat ein automatisches Tool, das per Telefonnummer alle zugehörigen Aufnahmen und Transkripte mit einem Klick löscht.
Darf der AI einen Stammgast am Namen erkennen und begrüßen?
Nur wenn dieser Gast eine Bestellhistorie in Ihrem POS hat und Sie eine Rechtsgrundlage fürs CRM. Sonst ist es Profiling und verlangt Einwilligung sowie DSFA.
Was ist mit Kindern, die eine Pizza bestellen?
Die DSGVO setzt die Altersgrenze für digitale Dienste auf 16 (in DE). In der Praxis selten ein Problem, weil die Verarbeitung auf die Bestellabwicklung beschränkt ist. Beim Marketing an Jüngere ist aber Vorsicht geboten.
Brauche ich wegen des AI-Agenten einen Datenschutzbeauftragten (DSB)?
Meist nicht. Ein DSB ist für große Verarbeitungen oder sensible Kategorien Pflicht. Kleine und mittlere Restaurants brauchen keinen, eine Kontaktperson für Datenschutz ist aber empfohlen.
Wer ist Verantwortlicher — wir oder Restoran.team?
Sie sind Verantwortlicher (Controller), Restoran.team ist Auftragsverarbeiter. Es wird ein Auftragsverarbeitungsvertrag (AVV) unterzeichnet, der alle Pflichten regelt — das ist Standard im Paket.
Restoran.team — INDI Monika Kunstek · Drašković 3 A-D, 42220 Novi Marof, Kroatien · VAT: HR66987567542