KI-gestützte E-Mail-Klassifikation im Kundenservice: Risikoklasse und Pflichten im EU-KI-Recht
KI-gestützte E-Mail-Klassifikation (Routings, Spam-Filter, thematische Zuordnung an Fachabteilungen) im Kundenservice ist nach dem AI Act KI mit MINIMALEM RISIKO — keine Konformitätsbewertung, keine CE, keine AI-Act-Pflicht. Die Anwendung fällt in den breiten Kreis der minimal-risk-KI. Überlagert: DSGVO (personenbezogene E-Mail-Inhalte, Auftragsverarbeitung mit KI-Anbieter, Zweckbindung, Löschkonzept), Telekommunikationsgeheimnis (TKG § 88 — bei E-Mail-Verkehr), Berufsgeheimnisse bei sensiblen Inhalten (Anwalts-/Ärzte-/Steuergeheimnis). Eine Grenze zum Hochrisiko entsteht, wenn die Klassifikation in grundrechtsrelevante Entscheidungen einfließt (z. B. Beschwerde-Score, der Kunden sperrt). Praktisch: klare Zweckbindung (Klassifikation, keine Bewertung der Person) und DSGVO-konforme Verarbeitung.
Steve Baka
Minimales Risiko — keine AI-Act-Pflicht
E-Mail-Klassifikation im Kundenservice ist minimal riskant. Beispiele: automatische Weiterleitung an Fachabteilung nach Thema, Spam-/Phishing-Filterung, Priorisierung nach Dringlichkeit, Auswertung des Sentiments zur Routing-Verbesserung. Keine Konformitätsbewertung, keine CE, keine AI-Act-Pflicht — die Anwendung gehört zum breiten Kreis der minimal-risk-KI. Der AI Act regelt nur minimale Transparenzpflichten, wenn überhaupt (Art. 50 meist nicht einschlägig, da keine direkte Nutzerinteraktion als KI). Die Grenze zum Hochrisiko entsteht nur bei Einbettung in grundrechtsrelevante Entscheidungen (Kundensperrung, Bonitätsableitung).
Grenze: Hochrisiko bei Entscheideinbettung
Die Grenze zum Hochrisiko wird überschritten, wenn die Klassifikation in grundrechtsrelevante Entscheidungen einfließt: Beschwerde-/Konflikt-Scoring, das Kunden sperrt/einstuft; automatische Bonitätsableitung aus E-Mail-Inhalten; KI-gestützte Versicherungsfälle-Ablehnung; Leistungsversagung auf Basis von Textanalyse. In diesen Fällen greift Anhang III Nr. 5 (wesentliche Dienstleistungen) oder Nr. 4 (Personal), mit dem vollständigen Art. 8–15-Pflichtenbündel spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026). Eine saubere Zweckbindung („nur Klassifikation/Routing, keine Bewertung der Person") und die klare Verhinderung sekundärer Verwendungen (Scoring aus Routing-Daten) schützen vor der Einstufung. Architektonische Trennung von Klassifikation und Bewertung ist ratsam.
Schnittstellen: DSGVO, TK-Geheimnis, Berufsgeheimnisse
Überlagert wird die E-Mail-Klassifikation durch: DSGVO — personenbezogene E-Mail-Inhalte (Absender, Betreff, Inhalt), Auftragsverarbeitung mit KI-Anbieter (Art. 28), Zweckbindung (nur Routing, keine sekundäre Bewertung), Löschkonzept, ggf. DSFA bei großvolumiger Verarbeitung. Telekommunikationsgeheimnis (TKG § 88, § 90) — bei geschäftsmäßiger E-Mail-Verarbeitung, strenge Anforderungen an Inhaltsauswertung. Berufsgeheimnisse — Anwaltsgeheimnis (§ 203 StGB), ärztliche Schweigepflicht, Steuergeheimnis (§ 30 AO); bei Verarbeitung sensibler Inhalte braucht es besondere Schutzvorkehrungen (z. B. Ausschluss von KI-Verarbeitung vertraulicher Anwalts-Kommunikation). Praktisch: transparente Zweckklärung, Zugriffsrechte, Protokollierung der Klassifikation (nicht des Inhalts), Auftragsverarbeitungsvertrag, DSGVO-konforme Datenminimierung.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Welche Risikostufe hat E-Mail-Klassifikation?
Minimal (keine AI-Act-Pflicht). Hochriskant nur bei Einbettung in grundrechtsrelevante Entscheidungen (Kundensperrung, Bonitätsableitung) — Anhang III Nr. 5/4.
Greift das TK-Geheimnis?
Ja bei geschäftsmäßiger E-Mail-Verarbeitung (TKG § 88, § 90). Strenge Anforderungen an Inhaltsauswertung. DSGVO kumulativ (personenbezogene Inhalte, Auftragsverarbeitung).
Was gilt bei Anwalts-/Ärzte-Mails?
Berufsgeheimnisse (§ 203 StGB Anwaltsgeheimnis, ärztliche Schweigepflicht, § 30 AO Steuergeheimnis). Besondere Schutzvorkehrungen, ggf. Ausschluss der KI-Verarbeitung vertraulicher Kommunikation.
Rechtskonforme Umsetzung für KI-gestützte E-Mail-Klassifikation im Kundenservice?
Wenn du KI-gestützte E-Mail-Klassifikation im Kundenservice rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.