Telekommunikation: AI Act, Data Act & DSGVO-Pflichten
Telekommunikationsanbieter (Netzbetreiber, Mobilfunk, Internetdienstanbieter) setzen KI ein für Netzoptimierung, Predictive Maintenance, Kundenservice/Chatbots, Betrugserkennung/Spam-Filter, Abrechnung. Nach dem AI Act meist MINIMALES oder BEGRENZTES Risiko — Netz-/Spam-/Betrugs-KI ist defensiv/infrastrukturell (keine AI-Act-Pflicht), Chatbots/Assistenz unterliegen Art. 50 Transparenz. Hochrisiko bei: hochrisiko-Betrieb als Kritis (KI als Sicherheitskomponente kritischer IT-Infrastruktur Anhang III Nr. 2), KI im Recruiting/HR (Anhang III Nr. 4). Überlagert: TK-Geheimnis (TKG § 88, § 90 — Inhaltsauswertung unter strengen Anforderungen), NIS2 (wichtige/kritische Einrichtungen, Risikomanagement Art. 21), DSA bei Plattform-Betrieb, DSGVO (Verbindungs-/Nutzungsdaten). Aufsichtlich: BNetzA (TK-Aufsicht DE), BSI (Cybersecurity), Datenschutz-Aufsichten, Marktüberwachung. Eine TK-KI-Compliance kombiniert AI Act + TKG + NIS2 + DSGVO.
Steve Baka
KI-Act-Anwendbarkeit
TK-Anbieter setzen KI ein für: (1) Netzoptimierung (Ressourcen-Allokation, Traffic-Management, Self-Organizing Networks) — meist minimal (infrastrukturell, nicht grundrechtsrelevant); (2) Predictive Maintenance (Ausfall-Prognose) — minimal; (3) Kundenservice/Chatbots/Voice-Assistenten — begrenzt (Art. 50 Transparenz bei KI-Interaktion); (4) Betrugserkennung/Spam-Filter/Spoofing-Abwehr — minimal (defensiv); (5) Abrechnung/Tarifierung — begrenzt/minimal; (6) HR-Recruiting/Personal-Management — hochriskant (Anhang III Nr. 4 bei personalbezogener KI). Hochrisiko bei KI als Sicherheitskomponente kritischer IT-Infrastruktur (Anhang III Nr. 2 — TK ist kritische Infrastruktur). Eine genaue Klassifizierung je Anwendung ist entscheidend — die meisten TK-KI-Anwendungen sind minimal/begrenzt.
Praxis: TK-Geheimnis, NIS2, DSGVO
Praktisch: (1) TK-Geheimnis (TKG § 88, § 90) — Inhaltsauswertung zur Spam-/Betrugs-Erkennung zulässig, aber unter strengen Anforderungen (Zweckbindung, keine inhaltliche Kenntnisnahme durch Personen, Löschpflicht, Datenschutz); (2) NIS2 — TK als wichtige/kritische Einrichtung (Art. 3 NIS2), Risikomanagement (Art. 21 — Cybersecurity, Lieferketten-Sicherheit), Meldepflichten (Art. 23 — 24 h Frühwarnung, 72 h voll), Kritis-Pflichten (BSI-Gesetz); (3) DSGVO — Verbindungsdaten, Standortdaten, Nutzungsdaten (personenbezogen), Auftragsverarbeitung bei Cloud-KI-Diensten, DSFA bei hochriskanter Verarbeitung; (4) DSA bei Plattform-Betrieb (z. B. Messenger, Cloud-Dienste); (5) CRA — Cybersecurity für TK-Software/Hardware. Aufsichtlich: BNetzA (TK-Aufsicht DE), BSI (Cybersecurity/NIS2), Datenschutz-Aufsichten (DSGVO), Marktüberwachung (AI Act), Bundesnetzagentur-Kooperation. Eine konsolidierte TK-KI-Compliance kombiniert AI Act + TKG + NIS2 + DSGVO + CRA.
Grenzen: TK-Geheimnis und Verkehrsdaten-Schutz
Die Grenze der TK-KI ist das TK-Geheimnis (TKG § 88, § 90). Inhaltsauswertung (Kommunikations-Inhalte) ist für Spam-/Betrugs-Erkennung zulässig, aber unter strengen Anforderungen: Zweckbindung (nur Filterung, keine sekundäre Auswertung), keine inhaltliche Kenntnisnahme durch Personen (automatisierte Verarbeitung, Schwärzung), Löschpflicht, Datenschutz-Dokumentation. Verkehrsdaten (Verbindungs-/Standortdaten) sind personenbezogen und besonders geschützt (TKG § 96, DSGVO) — automatisierte Auswertung braucht Rechtsgrundlage (Vertrag/Einwilligung/berechtigtes Interesse). Bestandsdaten (Kunden-/Vertragsdaten) für HR-/Marketing-KI unterliegen DSGVO. Berufsgeheimnisse (Anwalts-/Ärztegeheimnis) bei geschäftsmäßiger Kommunikation — besondere Schutzvorkehrungen. Eine verantwortungsvolle TK-KI respektiert das TK-Geheimnis, Verkehrsdatenschutz und das Fernmeldegeheimnis — cybersecurity-defensive KI ist legitim, aber keine flächendeckende Überwachung.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. KI-Politik und Beratung in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Welche Risikostufe hat TK-KI?
Meist minimal/begrenzt (Netz-/Spam-/Betrugs-KI defensiv, Chatbots Art. 50). Hochrisiko bei KI als Sicherheitskomponente Kritis (Anhang III Nr. 2) oder HR-Recruiting (Nr. 4).
Was sagt das TK-Geheimnis?
TKG § 88/§ 90: Inhaltsauswertung für Spam-/Betrugs-Erkennung zulässig, aber unter strengen Anforderungen (Zweckbindung, keine Kenntnisnahme durch Personen, Löschpflicht). Plus DSGVO für Verkehrs-/Bestandsdaten.
Welche Überlagerung gilt?
NIS2 (Kritis, Risikomanagement Art. 21, Meldepflicht 24 h), TKG, DSGVO, CRA, DSA bei Plattform. BNetzA, BSI, Datenschutz-Aufsichten, Marktüberwachung.
KI-Compliance für Telekommunikation?
Wenn du im Sektor Telekommunikation KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.