Datenschutz-Folgenabschätzung (DSFA)

1. Einleitung

Die vorliegende Datenschutz-Folgenabschätzung (DSFA) wird gemäß Art. 35 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) durchgeführt. Nach Art. 35 Abs. 3 lit. a DSGVO ist eine DSFA insbesondere dann erforderlich, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage automatisierter Verarbeitung — einschließlich Profiling — erfolgt, auf deren Basis Entscheidungen getroffen werden, die gegenüber den betroffenen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

HeyAnnika ist eine KI-gestützte Telefonassistentin für Immobilienmakler. Der Dienst wird betrieben von Nexum Systems, Arndt Bockhop (nachfolgend "Verantwortlicher"). HeyAnnika nimmt eingehende Telefonanrufe automatisiert entgegen, transkribiert Gespräche mittels Spracherkennung, generiert Zusammenfassungen über ein KI-Sprachmodell und führt eine automatisierte Lead-Bewertung (Lead-Scoring) durch. Die Verarbeitung umfasst Sprachdaten, Kontaktdaten sowie daraus abgeleitete Profile und erfüllt damit die Voraussetzungen des Art. 35 Abs. 3 lit. a DSGVO.

2. Beschreibung der Verarbeitungsvorgänge

Die Verarbeitung personenbezogener Daten erfolgt in folgenden Schritten:

2.1 Eingehende Anrufe (Inbound)

  1. Ein eingehender Anruf wird über Twilio an den Echtzeit-Kommunikationsserver (LiveKit) weitergeleitet.
  2. Die Sprachdaten werden in Echtzeit durch Deepgram (Speech-to-Text) transkribiert.
  3. Das Transkript wird an OpenAI (Large Language Model) übergeben, um eine kontextbezogene Antwort zu generieren.
  4. Die generierte Antwort wird durch ElevenLabs (Text-to-Speech) in Sprache umgewandelt und dem Anrufer wiedergegeben.
  5. Nach Abschluss des Gesprächs werden eine Zusammenfassung und ein automatisierter Lead-Score erstellt und in der PostgreSQL-Datenbank gespeichert.
  6. Sofern der Anrufer seine Einwilligung erteilt hat (Consent-Flag), wird eine Aufnahme des Gesprächs in einem S3-kompatiblen Objektspeicher abgelegt.

2.2 Ausgehende Anrufe (Outbound)

  1. Kontaktdaten des Anrufempfängers werden aus der Datenbank geladen.
  2. Eine KI-generierte Sprachnachricht wird über ElevenLabs (Text-to-Speech) erzeugt.
  3. Der Anruf wird über Twilio/LiveKit an die Zielnummer ausgeliefert.

2.3 SMS-Versand

Im Rahmen von Anrufen kann der Dienst SMS-Nachrichten über Twilio versenden, z.B. Anrufzusammenfassungen an den Makler oder Kontext bei Anrufweiterleitungen. Es werden Telefonnummer und SMS-Inhalt verarbeitet.

2.4 Mehrsprachigkeit

Bei aktiviertem Englisch-Support erkennt der Dienst automatisiert die Sprache des Anrufers (über Deepgram Multi-Language-Modus) und kann das Gespräch auf Englisch fortführen. Es werden keine zusätzlichen personenbezogenen Daten erhoben; die Spracherkennung basiert auf den ohnehin verarbeiteten Audiodaten.

2.5 Beteiligte Systeme und Auftragsverarbeiter

  • Twilio Inc. — Telefonie-Infrastruktur (SIP-Trunking)
  • LiveKit Inc. — Echtzeit-Kommunikationsserver
  • Deepgram Inc. — Spracherkennung (Speech-to-Text)
  • OpenAI Inc. — Sprachmodell (Large Language Model)
  • ElevenLabs Inc. — Sprachsynthese (Text-to-Speech)
  • Neon Inc. — Datenbank (Serverless PostgreSQL, EU-Region)
  • S3-kompatibler Objektspeicher — Gespraechsaufnahmen
  • Sentry (Functional Software Inc.) — Error-Tracking und Monitoring

Mit allen externen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt in der EU bzw. auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

3. Bewertung der Notwendigkeit und Verhältnismäßigkeit

3.1 Zweck der Verarbeitung

Die Verarbeitung dient der Sicherstellung einer 24/7-Erreichbarkeit für Immobilienmakler sowie der automatisierten Vorqualifizierung eingehender Anfragen. Ohne den Einsatz von KI waere eine vergleichbare Erreichbarkeit nur mit erheblichem personellem Aufwand realisierbar. Die Verarbeitung ist daher zur Erfüllung des Vertragszwecks erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

3.2 Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Es werden ausschließlich diejenigen personenbezogenen Daten verarbeitet, die für die Durchführung des Telefongesprächs und die anschließende Lead-Qualifizierung erforderlich sind. Sprachdaten werden in Echtzeit verarbeitet und nicht über den Verarbeitungszweck hinaus vorgehalten. Aufnahmen erfolgen nur nach ausdrücklicher Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a DSGVO).

3.3 Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Für alle Datenkategorien sind verbindliche Löschfristen implementiert, die durch einen automatisierten Cron-Job durchgesetzt werden:

  • Transkripte: 6 Monate nach Erstellung
  • Zusammenfassungen: 12 Monate nach Erstellung
  • Kontakte ohne Aktivität: 18 Monate nach letztem Kontakt
  • Gespraechsaufnahmen: 6 Monate nach Erstellung
  • Abrechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht gemäß § 257 HGB)

4. Risikobewertung

Die folgende Risikobewertung identifiziert die wesentlichen Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Abs. 7 lit. c DSGVO:

RisikoEintrittswahrscheinlichkeitSchwereBewertung
Unbefugter Zugriff auf Sprachdaten oder TranskripteGeringHochMittel
Zweckentfremdung der erhobenen DatenGeringHochMittel
Fehlerhafte Lead-Scores durch KI-HalluzinationenMittelMittelMittel
Unbeabsichtigte Weitergabe an unbefugte DritteGeringHochMittel
Verlust der Datenintegrität durch SystemausfallGeringMittelGering
Verarbeitung ohne gueltige Einwilligung (Aufnahmen)GeringHochMittel

5. Abhilfemaßnahmen

Zur Minderung der identifizierten Risiken wurden folgende technische und organisatorische Maßnahmen implementiert (Art. 32 DSGVO, Art. 25 DSGVO — Datenschutz durch Technikgestaltung):

5.1 KI-Offenlegungspflicht (EU AI Act Art. 50)

Zu Beginn jedes Gesprächs wird der Anrufer transparent darüber informiert, dass er mit einer KI-Assistentin spricht. Diese Offenlegung erfolgt automatisiert und kann vom Nutzer nicht deaktiviert werden. Damit wird den Anforderungen des Art. 50 der Verordnung (EU) 2024/1689 (EU AI Act) Rechnung getragen.

5.2 Einwilligung vor Aufnahme (Art. 6 Abs. 1 lit. a DSGVO)

Gespraechsaufnahmen werden ausschließlich nach ausdrücklicher Einwilligung des Anrufers angefertigt. Die Einwilligung wird im laufenden Gespräch eingeholt und als Consent-Flag in der Datenbank dokumentiert. Wird die Einwilligung nicht erteilt, erfolgt keine Aufnahme; die Echtzeitverarbeitung (Transkription und Zusammenfassung) bleibt hiervon unberuehrt.

5.3 Automatisiertes Löschkonzept (Art. 17 DSGVO)

Die unter Abschnitt 3.3 beschriebenen Löschfristen werden durch einen automatisierten Cron-Job durchgesetzt. Eine manuelle Intervention ist nicht erforderlich. Die Einhaltung der Löschfristen wird protokolliert und kann im Rahmen von Audits nachgewiesen werden.

5.4 Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

Sämtliche Datenübertragungen erfolgen TLS-verschlüsselt (mindestens TLS 1.2). Daten im Ruhezustand (at rest) werden durch die Verschlüsselungsmechanismen der eingesetzten Infrastrukturdienste geschuetzt.

5.5 Rollenbasierte Zugriffskontrolle

Jeder Immobilienmakler hat ausschließlich Zugriff auf die Daten seiner eigenen Anrufe und Kontakte. Die mandantenbasierte Datentrennung wird auf Datenbankebene durchgesetzt. Administrativer Zugriff ist auf den Verantwortlichen beschränkt und wird protokolliert.

5.6 Pseudonymisierung (Art. 25 Abs. 1 DSGVO)

Alle internen Datensätze werden über CUIDs (Collision-resistant Unique Identifiers) referenziert. Eine Zuordnung zu natürlichen Personen ist nur über die in der Datenbank gespeicherten Kontaktdaten möglich, die rollenbasiert geschuetzt sind.

5.7 Consent-Management

Der Einwilligungsstatus wird als dediziertes Consent-Flag in der Datenbank gespeichert und bei jeder verarbeitungsrelevanten Operation geprüft. Betroffene koennen ihre Einwilligung jederzeit widerrufen; der Widerruf führt zur unverzüglichen Löschung der betroffenen Aufnahmen.

6. Stellungnahme des Datenschutzbeauftragten

Nexum Systems UG ist gemäß Art. 37 Abs. 1 DSGVO derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Geschäftsführung übernimmt die datenschutzrechtliche Verantwortung und überprüft die vorliegende DSFA regelmäßig (mindestens jährlich) sowie bei wesentlichen Änderungen der Verarbeitungstätigkeiten.

7. Ergebnis und Maßnahmenplan

Die vorliegende DSFA kommt zu dem Ergebnis, dass die Verarbeitung personenbezogener Daten durch den Dienst HeyAnnika mit den implementierten technischen und organisatorischen Maßnahmen im Einklang mit den Anforderungen der DSGVO steht. Die identifizierten Risiken werden durch die in Abschnitt 5 beschriebenen Abhilfemaßnahmen auf ein akzeptables Niveau reduziert.

Zusammenfassung der zentralen Schutzmaßnahmen:

  • Transparente KI-Offenlegung zu Gesprächsbeginn (EU AI Act Art. 50)
  • Einwilligungsbasierte Gespraechsaufnahme mit Consent-Flag (Art. 6 Abs. 1 lit. a DSGVO)
  • Automatisierte Löschfristen für alle Datenkategorien (Art. 5 Abs. 1 lit. e, Art. 17 DSGVO)
  • TLS-Verschlüsselung für alle Datenübertragungen (Art. 32 DSGVO)
  • Mandantenbasierte Zugriffskontrolle auf Datenbankebene
  • Pseudonymisierung durch CUIDs (Art. 25 DSGVO)

Die DSFA wird mindestens jährlich sowie bei wesentlichen Änderungen der Verarbeitungsvorgänge überprüft und aktualisiert.

Stand: April 2026