Warum Datenschutz bei KI-Betreuung besonders wichtig ist
Wenn eine Künstliche Intelligenz regelmäßig mit Ihrer Mutter oder Ihrem Vater telefoniert, entstehen dabei hochsensible Daten: Gesundheitszustand, emotionale Verfassung, Alltagsgewohnheiten, familiäre Verhältnisse. Es sind Informationen, die das Innerste eines Menschen berühren — und die besonderen Schutz verdienen.
Deutschland hat eine einzigartige Beziehung zum Datenschutz. Seit dem Volkszählungsurteil des Bundesverfassungsgerichts von 1983, das das Recht auf informationelle Selbstbestimmung als Grundrecht etablierte, ist Datenschutz hier mehr als eine rechtliche Pflicht — er ist Teil unserer demokratischen Kultur. Für Familien, die KI-gestützte Betreuungsangebote für ihre älteren Angehörigen in Betracht ziehen, ist die Frage nach dem Datenschutz daher nicht nur berechtigt, sondern unverzichtbar.
Dieser Leitfaden erklärt, welche datenschutzrechtlichen Anforderungen bei KI-Betreuungslösungen gelten, worauf Sie als Familie achten sollten und wie Sie einen vertrauenswürdigen Anbieter erkennen.
Die DSGVO als Schutzschild: Grundlagen für Familien
Die Datenschutz-Grundverordnung (DSGVO), seit Mai 2018 in Kraft, bildet das rechtliche Fundament für den Umgang mit personenbezogenen Daten in der gesamten EU. Ergänzt wird sie in Deutschland durch das Bundesdatenschutzgesetz (BDSG), das in einigen Bereichen strengere Regelungen vorsieht.
Für KI-Betreuungslösungen sind insbesondere drei Artikel der DSGVO von zentraler Bedeutung:
Artikel 6: Rechtmäßigkeit der Verarbeitung
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Bei KI-Betreuungsdiensten kommt in der Regel die Einwilligung (Art. 6 Abs. 1 lit. a) oder die Vertragserfüllung (Art. 6 Abs. 1 lit. b) in Frage. Wichtig: Die Einwilligung muss freiwillig, informiert, unmissverständlich und für einen bestimmten Zweck erteilt werden. Ein pauschales „Ich stimme allem zu" reicht nicht aus.
Artikel 9: Besondere Kategorien personenbezogener Daten
Gesundheitsdaten gehören zu den besonders schützenswerten Datenkategorien. Wenn eine KI-Betreuungslösung Informationen über den Gesundheitszustand, die Stimmung oder das psychische Wohlbefinden erfasst — und das tun die meisten —, gelten verschärfte Anforderungen. Die Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung vor oder ein anderer eng definierter Ausnahmetatbestand greift.
Artikel 25: Datenschutz durch Technikgestaltung (Privacy by Design)
Anbieter müssen den Datenschutz von Anfang an in ihre Systeme einbauen — nicht nachträglich als Flickwerk. Das bedeutet: Datenminimierung, Pseudonymisierung, Verschlüsselung und strenge Zugriffskontrollen sind keine optionalen Extras, sondern Pflicht.
Welche Daten werden bei KI-Betreuung tatsächlich erfasst?
Transparenz beginnt beim Wissen. Wenn Sie einen KI-Betreuungsdienst für Ihren Angehörigen nutzen, sollten Sie verstehen, welche Datentypen anfallen können:
Stammdaten
- Name, Adresse, Geburtsdatum
- Telefonnummer und ggf. E-Mail-Adresse
- Kontaktdaten von Angehörigen oder Betreuungspersonen
- Vertragsdaten und Zahlungsinformationen
Gesprächsdaten
- Gesprächsinhalte (Transkripte oder Zusammenfassungen)
- Stimmungsanalysen und emotionale Einschätzungen
- Gesprächsdauer und -häufigkeit
- Themen und Interessengebiete
Abgeleitete Daten
- Veränderungen im Sprachverhalten oder in der Stimmung
- Muster bei der Tagesgestaltung
- Hinweise auf gesundheitliche Veränderungen
- Soziale Kontaktfrequenz und Einsamkeitsindikatoren
Besonders die abgeleiteten Daten verdienen Aufmerksamkeit: Eine KI, die aus Gesprächsmustern Rückschlüsse auf den kognitiven Zustand zieht, verarbeitet faktisch Gesundheitsdaten — auch wenn niemand explizit „Ich habe Schmerzen" gesagt hat.
Wie werden die Daten gespeichert und geschützt?
Die technischen und organisatorischen Maßnahmen (TOMs) eines Anbieters entscheiden darüber, ob Ihre Daten tatsächlich sicher sind — oder nur auf dem Papier.
Serverstandort und Datenhoheit
Für deutsche Familien ist der Serverstandort ein entscheidendes Kriterium. Daten, die auf Servern innerhalb der EU — idealerweise in Deutschland — gespeichert werden, unterliegen dem vollen Schutz der DSGVO. Werden Daten in Drittländer (etwa die USA) übertragen, müssen zusätzliche Garantien vorliegen, zum Beispiel Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission.
Verschlüsselung
Seriöse Anbieter verschlüsseln Daten sowohl bei der Übertragung (TLS/SSL) als auch bei der Speicherung (AES-256 oder vergleichbar). Fragen Sie gezielt nach: Werden Gesprächsinhalte verschlüsselt gespeichert? Wer hat Zugriff auf die Entschlüsselungsschlüssel?
Zugriffskontrollen
Das Prinzip der geringsten Berechtigung (Least Privilege) bedeutet: Nur wer bestimmte Daten für seine Arbeit braucht, darf darauf zugreifen. Ein Entwickler, der den Algorithmus verbessert, braucht keine echten Gesprächsinhalte — anonymisierte oder synthetische Daten reichen aus.
Aufbewahrungsfristen
Die DSGVO verlangt, dass Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Fragen Sie: Wie lange werden Gesprächsdaten aufbewahrt? Werden sie nach Vertragsende gelöscht? Gibt es automatische Löschfristen?
Einwilligung und Geschäftsfähigkeit: Eine besondere Herausforderung
Bei der KI-Betreuung älterer Menschen stellt sich eine heikle Frage: Wer gibt die Einwilligung?
Grundsätzlich muss die betroffene Person — also die Seniorin oder der Senior — selbst einwilligen. Das setzt voraus, dass sie die Tragweite der Einwilligung verstehen kann. Bei Menschen mit kognitiven Einschränkungen kann dies fraglich sein.
Rechtliche Absicherung
- Vorsorgevollmacht: Wenn eine Vorsorgevollmacht vorliegt, die auch den Bereich „Datenverarbeitung" oder „Gesundheitsangelegenheiten" abdeckt, kann die bevollmächtigte Person die Einwilligung erteilen.
- Rechtliche Betreuung: Bei gerichtlich bestellter Betreuung entscheidet der Betreuer im Rahmen seines Aufgabenkreises.
- Transparenz: Unabhängig davon, wer einwilligt — die betreute Person muss so weit wie möglich informiert und einbezogen werden.
Rechte der betroffenen Person: Was Ihre Angehörigen (und Sie) verlangen dürfen
Die DSGVO gibt betroffenen Personen umfangreiche Rechte. Bei KI-Betreuungslösungen sind besonders relevant:
Auskunftsrecht (Art. 15)
Sie dürfen jederzeit erfahren, welche Daten über Ihren Angehörigen gespeichert sind, zu welchem Zweck sie verarbeitet werden und an wen sie weitergegeben wurden. Ein seriöser Anbieter stellt diese Informationen in verständlicher Form bereit — nicht in juristischem Kauderwelsch.
Recht auf Berichtigung (Art. 16)
Falsche Daten müssen korrigiert werden. Wenn die KI etwa eine falsche Stimmungsanalyse gespeichert hat oder veraltete Interessenprofile verwendet, können Sie die Berichtigung verlangen.
Recht auf Löschung (Art. 17)
Das „Recht auf Vergessenwerden" ermöglicht es, die Löschung aller personenbezogenen Daten zu verlangen — zum Beispiel bei Vertragsende oder wenn die Einwilligung widerrufen wird.
Recht auf Datenübertragbarkeit (Art. 20)
Wenn Sie den Anbieter wechseln möchten, haben Sie das Recht, die Daten in einem gängigen, maschinenlesbaren Format mitzunehmen.
Widerspruchsrecht und automatisierte Entscheidungen (Art. 21, 22)
Besonders wichtig bei KI: Wenn Entscheidungen ausschließlich auf automatisierter Verarbeitung beruhen und erhebliche Auswirkungen haben, besteht ein Recht auf menschliche Überprüfung. Stuft die KI etwa die Stimmung Ihres Angehörigen als „besorgniserregend" ein und löst automatisch eine Benachrichtigung aus, muss es die Möglichkeit geben, diese Einschätzung zu überprüfen.
Deutschlands besondere Datenschutzkultur: Warum es hier strenger ist
Wer die deutsche Datenschutzsensibilität verstehen will, muss die Geschichte kennen. Das Volkszählungsurteil von 1983 war ein Wendepunkt: Das Bundesverfassungsgericht entschied, dass die geplante Volkszählung in ihrer damaligen Form verfassungswidrig sei, und begründete das Grundrecht auf informationelle Selbstbestimmung. Dieses Urteil prägt das deutsche Datenschutzverständnis bis heute.
Die Erfahrungen mit zwei totalitären Überwachungsstaaten — dem NS-Regime und der DDR-Staatssicherheit — haben ein tiefes Misstrauen gegenüber unkontrollierter Datensammlung verankert. In kaum einem anderen Land wird so leidenschaftlich über Datenschutz diskutiert wie in Deutschland.
Für KI-Betreuungsanbieter bedeutet das: Die deutschen Datenschutzaufsichtsbehörden — 17 an der Zahl, eine für den Bund und 16 für die Länder — schauen besonders genau hin. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat in mehreren Stellungnahmen klargemacht, dass KI-Systeme im Gesundheitsbereich besonderer Aufsicht bedürfen.
Checkliste: Woran Sie einen DSGVO-konformen KI-Betreuungsanbieter erkennen
Nutzen Sie diese Checkliste, wenn Sie KI-Betreuungslösungen für Ihre Angehörigen vergleichen:
✓ Transparenz und Information
- ☐ Verständliche Datenschutzerklärung in deutscher Sprache
- ☐ Klare Auflistung aller erhobenen Datentypen
- ☐ Eindeutige Angabe der Rechtsgrundlage für die Verarbeitung
- ☐ Benennung eines Datenschutzbeauftragten mit Kontaktdaten
- ☐ Informationen über eingesetzte Unterauftragsverarbeiter
✓ Technische Sicherheit
- ☐ Serverstandort in der EU, idealerweise in Deutschland
- ☐ Verschlüsselung bei Übertragung und Speicherung
- ☐ Regelmäßige Sicherheitsaudits und Penetrationstests
- ☐ Zugriffskontrollen nach dem Least-Privilege-Prinzip
- ☐ Protokollierung aller Datenzugriffe
✓ Einwilligung und Kontrolle
- ☐ Granulare Einwilligungsmöglichkeiten (nicht nur „alles oder nichts")
- ☐ Einfacher Widerruf der Einwilligung jederzeit möglich
- ☐ Klare Regelung für Personen mit eingeschränkter Geschäftsfähigkeit
- ☐ Einbeziehung der betreuten Person in den Einwilligungsprozess
✓ Betroffenenrechte
- ☐ Einfacher Prozess für Auskunftsersuchen
- ☐ Löschung auf Anfrage innerhalb von 30 Tagen
- ☐ Datenexport in maschinenlesbarem Format
- ☐ Möglichkeit zur menschlichen Überprüfung automatisierter Entscheidungen
✓ Organisatorische Maßnahmen
- ☐ Dokumentierte Datenschutz-Folgenabschätzung (DSFA)
- ☐ Regelmäßige Mitarbeiterschulungen zum Datenschutz
- ☐ Verfahren für Datenschutzvorfälle (Breach Notification)
- ☐ Aufbewahrungsfristen und automatische Löschkonzepte
KI und die EU-KI-Verordnung: Was zusätzlich kommt
Neben der DSGVO müssen KI-Betreuungsanbieter künftig auch die EU-KI-Verordnung (AI Act) beachten, die stufenweise ab 2024 in Kraft tritt. KI-Systeme, die mit vulnerablen Gruppen — darunter ältere Menschen — interagieren, könnten als Hochrisiko-KI eingestuft werden.
Das bedeutet zusätzliche Anforderungen:
- Risikomanagement: Systematische Identifikation und Minimierung von Risiken
- Datenqualität: Trainings- und Testdaten müssen dokumentiert und auf Verzerrungen geprüft werden
- Transparenz: Nutzer müssen wissen, dass sie mit einer KI interagieren
- Menschliche Aufsicht: Menschen müssen die Möglichkeit haben, das System zu überwachen und einzugreifen
- Dokumentation: Umfassende technische Dokumentation und Aufzeichnungspflichten
Worauf Sie im Gespräch mit Anbietern achten sollten
Wenn Sie mit einem KI-Betreuungsanbieter sprechen, stellen Sie diese konkreten Fragen:
- „Wo werden die Daten meiner Mutter/meines Vaters gespeichert?" — Die Antwort sollte ein konkreter Standort in der EU sein, keine Ausweichformulierung.
- „Wer hat Zugriff auf die Gesprächsinhalte?" — Idealerweise: nur automatisierte Systeme für die Analyse, kein routinemäßiger menschlicher Zugriff auf Gesprächsinhalte.
- „Wie kann ich die Löschung aller Daten veranlassen?" — Der Prozess sollte einfach sein und innerhalb von 30 Tagen abgeschlossen werden.
- „Gibt es eine Datenschutz-Folgenabschätzung, die ich einsehen kann?" — Ein seriöser Anbieter wird dies bejahen oder zumindest eine Zusammenfassung bereitstellen.
- „Was passiert mit den Daten, wenn Sie als Unternehmen aufhören zu existieren?" — Es sollte ein Konzept für die sichere Datenlöschung oder -übergabe geben.
Wie SilverFriend den Datenschutz umsetzt
Bei SilverFriend verstehen wir, dass Vertrauen die Grundlage jeder Betreuungsbeziehung ist — auch einer technologiegestützten. Deshalb haben wir Datenschutz nicht nachträglich hinzugefügt, sondern von Anfang an in unsere Architektur eingebaut:
- Serverstandort Deutschland: Alle Daten werden auf Servern in der EU verarbeitet und gespeichert.
- Ende-zu-Ende-Verschlüsselung: Gesprächsinhalte sind während der Übertragung und Speicherung verschlüsselt.
- Datenminimierung: Wir erheben nur die Daten, die für den Betreuungszweck tatsächlich benötigt werden.
- Transparente Einwilligung: Unser Einwilligungsprozess ist verständlich formuliert und berücksichtigt die besondere Situation älterer Menschen.
- Familientransparenz: Angehörige erhalten auf Wunsch regelmäßige Zusammenfassungen — mit dem Einverständnis der betreuten Person.
- Einfache Datenkontrolle: Auskunft, Löschung und Datenexport sind unkompliziert möglich.
Wir glauben: Guter Datenschutz und gute Betreuung sind kein Widerspruch — sie gehören zusammen. Wenn Sie mehr darüber erfahren möchten, wie SilverFriend den Datenschutz konkret umsetzt, sprechen Sie uns an. Wir beantworten jede Frage — ausführlich und in verständlicher Sprache.
Fazit: Datenschutz als Vertrauensgrundlage
Die Entscheidung, eine KI-Betreuungslösung für einen älteren Angehörigen zu nutzen, ist eine Vertrauensentscheidung. Dieses Vertrauen muss verdient werden — durch Transparenz, technische Sicherheit und die konsequente Achtung der Persönlichkeitsrechte.
Deutschland bietet mit der DSGVO, dem BDSG und einer aufmerksamen Datenschutzaufsicht einen der strengsten Datenschutzrahmen weltweit. Nutzen Sie dieses Schutzniveau aktiv: Fragen Sie nach, vergleichen Sie, fordern Sie Transparenz ein. Ihre Angehörigen verdienen nicht nur gute Betreuung — sie verdienen sichere Betreuung.
Denn am Ende geht es bei Datenschutz nicht um Paragraphen und Verordnungen. Es geht darum, die Würde und Selbstbestimmung derjenigen zu schützen, die uns am Herzen liegen.