Hilfestellung zur Datenschutzfolgenabschätzung DSFA
Änderungshistorie (2 Einträge)
- 05.05.2026 Neuer Abschnitt zum Einsatz des LoyJoy Phonebots mit Risikobeschreibung, Risikominimierungsmaßnahmen und Risiko-Maßnahmen-Tabelle hinzugefügt.
- 24.02.2026 Erstveröffentlichung der DSFA-Hilfestellung.
Dieses Dokument dient dem Kunden (Verantwortlicher im Sinne der DSGVO) als Grundlage zur Durchführung einer eigenen Datenschutzfolgenabschätzung bei der Einführung der LoyJoy Plattform. LoyJoy (Auftragsverarbeiter) stellt hierfür transparent alle relevanten Informationen zur technischen Architektur, Datenverarbeitung und Risikominimierung zur Verfügung.
1. Systemarchitektur und Hosting
Infrastruktur: Die Kern-Plattform von LoyJoy wird ausschließlich auf Servern in der EU gehostet.
Serverstandort: Das Hosting erfolgt ausschließlich an Standorten innerhalb der Europäischen Union (EU). Es findet kein Transfer der Kern-Datenbanken in unsichere Drittstaaten statt.
Datensicherheit: Alle Daten werden sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) nach aktuellen Branchenstandards verschlüsselt. Weitere Details hierzu finden sich in unseren Technischen und Organisatorischen Maßnahmen (TOMs).
2. Einsatz von Künstlicher Intelligenz (LLMs) & Sub-Dienstleistern
LoyJoy setzt für die intelligente Dialogführung modernste KI-Modelle ein (unter anderem über Microsoft Azure OpenAI, Mistral, Nebius).
Vertraglicher Ausschluss von KI-Training: Dies ist ein zentraler Baustein unserer Datenschutzstrategie. Es ist vertraglich strikt ausgeschlossen, dass die Eingabedaten (Prompts) der Endnutzer genutzt werden, um die zugrundeliegenden KI-Basis-Modelle (z. B. von OpenAI) weiterzutrainieren oder zu verbessern.
Zweckbindung: Die Datenübermittlung an die KI-Schnittstellen erfolgt ausschließlich in Echtzeit zur Generierung der jeweiligen Chat-Antwort (Zweckerfüllung).
3. Risikominimierung bei offenen Texteingaben
Beim Einsatz von Chatbots mit Freitextfeldern besteht grundsätzlich das Risiko, dass Nutzer unaufgefordert sensible Daten (z. B. Gesundheitsdaten nach Art. 9 DSGVO, Kontodaten) eingeben. LoyJoy begegnet diesem Risiko primär durch organisatorische und konzeptionelle Maßnahmen:
Dialogführung: Der Chatbot wird so konzipiert, dass er gezielt nur die für den Prozess notwendigen Daten abfragt (Prinzip der Datenminimierung).
Nutzerführung: Kunden wird empfohlen, im Chat-UI oder vor Start des Chats einen kurzen, gut sichtbaren Hinweis zu platzieren, dass Nutzer keine sensiblen personenbezogenen Daten in das Freitextfeld eingeben sollen.
4. Datenlebenszyklus und Betroffenenrechte (Art. 17 DSGVO)
Standardmäßige Speicherfristen: Zur Umsetzung des Prinzips der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) werden Chat-Protokolle bei LoyJoy standardmäßig nach 30 Tagen automatisiert gelöscht oder vollständig anonymisiert. Sitzungsdaten sind zudem flexibel konfigurierbar (z. B. 30 Minuten bis 14 Tage).
Umsetzung von Löschbegehren: Macht ein Endnutzer vor Ablauf dieser 30 Tage sein Recht auf Löschung (Art. 17 DSGVO) geltend, unterstützt LoyJoy den Kunden bei der Umsetzung. Sofern personenbezogene Daten in der Datenbank erfasst wurden (z. B. bei einer Registrierung oder Lead-Erfassung), dient die E-Mail-Adresse als eindeutiger Schlüssel. Anhand dieser Kennung können die entsprechenden Chat-Protokolle des Nutzers im Backend manuell recherchiert und zielgerichtet gelöscht werden.
5. Zusammenfassende Risikobewertung
Durch das EU-basierte, verschlüsselte Hosting, den strikten Ausschluss des KI-Modelltrainings mit Nutzerdaten und die sehr kurzen, automatisierten Löschfristen (30 Tage) sind die technischen und organisatorischen Schutzmaßnahmen bei LoyJoy auf einem sehr hohen Niveau. Das Risiko für die Rechte und Freiheiten natürlicher Personen wird bei bestimmungsgemäßem Einsatz der Plattform maßgeblich minimiert.
6. Einsatz des LoyJoy Phonebots
Beim Einsatz des LoyJoy Phonebots können Anrufer mit einem KI-gestützten Telefonassistenten interagieren. Spracheingaben werden in Echtzeit verarbeitet, um den Gesprächsinhalt zu erfassen, Antworten zu generieren und den Dialog zu steuern. Der Audiostream wird durch LoyJoy nicht dauerhaft gespeichert. Transkripte werden als Chat-Nachrichten in der bestehenden Konversationsdatenbank gespeichert. Gesprächsaufzeichnungen werden ebenfalls in der Konversationsdatenbank gespeichert. Die Standard-Löschfrist beträgt 30 Tage.
Zusätzliche Risiken gegenüber textbasierten Chat-Prozessen können insbesondere entstehen durch die Verarbeitung von Sprachdaten, die mögliche Erkennbarkeit der Stimme, die Natürlichkeit synthetischer Sprachausgabe, unbeabsichtigte Nennung sensibler Daten durch Anrufer, mögliche Fehlinterpretationen gesprochener Eingaben, Gesprächsaufzeichnungen sowie die Erwartung des Anrufers, mit einem Menschen zu sprechen.
Zur Risikominimierung stellt LoyJoy technische und organisatorische Funktionen bereit, insbesondere einen konfigurierbaren Hinweis zu Beginn des Gesprächs, dass der Anrufer mit einem KI-System interagiert, die Speicherung von Transkripten und Aufzeichnungen mit konfigurierbaren Löschfristen, verschlüsselte Übertragung, verschlüsselte Speicherung gespeicherter Konversationsdaten, rollenbasierte Zugriffskontrollen, Protokollierung relevanter Zugriffe im LoyJoy Manager und die Möglichkeit zur fachlichen Kontrolle des Prozess- und Antwortverhaltens durch den Auftraggeber.
Der Auftraggeber sollte insbesondere prüfen, ob der konkrete Einsatzbereich sensible Daten erwarten lässt, welche Rechtsgrundlage für Telefonie, Transkription und Gesprächsaufzeichnung einschlägig ist, ob eine menschliche Übergabe angeboten werden muss und ob zusätzliche Hinweise oder Einwilligungen gegenüber Anrufern erforderlich sind.
| Risiko | Bewertung | Mögliche Maßnahmen |
|---|---|---|
| Anrufer erkennt nicht, dass er mit KI spricht | Erhöht bei natürlicher Stimme | Klare Begrüßung mit KI-Hinweis spätestens zu Beginn der Interaktion |
| Unbeabsichtigte Nennung sensibler Daten | Erhöht bei offenen Sprachdialogen | Prozessdesign, kurze Hinweise, Vermeidung unnötiger Freitextabfragen, Löschfristen |
| Verarbeitung der Stimme / Audioaufzeichnung | Erhöht bei Telefonie mit Gesprächsaufzeichnung | Keine dauerhafte Speicherung des Audiostreams, kurze Löschfrist, Zugriffsbeschränkung |
| Fehlinterpretation gesprochener Eingaben | Mittel | Rückfragen, Bestätigung kritischer Angaben, Eskalation an menschliche Bearbeitung |
| Fehlende Zweckbindung | Mittel | Mandantenspezifische Konfiguration, dokumentierter Prozesszweck, keine Nutzung zum Modelltraining |