Die Nachfrage nach KI-basierten Sprachassistenten und Kommunikationslösungen steigt rasant – doch während viele Anbieter mit „eigener KI“ werben, läuft die technische Verarbeitung oft über fremde Plattformen. Dieses White-Label-Modell birgt datenschutzrechtliche Risiken, wie das Beispiel der Berliner Firma HalloPetra GmbH zeigt.

Das Start-up bietet eine digitale Sprachassistentin für Handwerksbetriebe an, die Anrufe entgegennimmt, Kundengespräche führt und Termine koordiniert. Auf der Website wirbt das Unternehmen mit einer eigenen KI-Lösung – technisch jedoch basiert der Dienst auf der Plattform VAPI, einem Drittanbieter, der die KI- und Sprachverarbeitung im Hintergrund bereitstellt. Nach außen tritt das Unternehmen als Entwickler einer „deutschen KI-Lösung“ auf. Das könnte den Gründern Jonas Südfels und Jan Hendric Martens als vorsätzlicher Täuschung bis hin zu Betrug – vor Gericht ausgelegt werden.
Technisch basiert der Dienst von Hallo Petra auf einer US-amerikanischen Plattform, die als White-Label-System bereitgestellt wird.
Das bedeutet: Sprachaufnahmen, Telefonnummern und Gesprächsprotokolle werden über Server in den Vereinigten Staaten verarbeitet – außerhalb des Schutzbereichs der europäischen Datenschutz-Grundverordnung (DSGVO). Diesen Umstand kennen nun auch die Datenschutzbehörden und laut Insidern werden bereits erste Klagen vorbereitet. Ob Gaerte Sanitärtechnik – Nils Stümke, die Tischlerei Fricke – Fabian Fricke oder Patrick Lohmar weiterhin öffentlich mit dem illegalen Einsatz einer Telefon-KI werben werden, die gegen die DSGVO verstößt ist fraglich.

Fehlende Angaben zu Datenverarbeitern

In der Datenschutzerklärung auf hallopetra.de finden sich zwar Hinweise auf Tracking-Dienste wie Google Tag Manager oder Meta Pixel. Diese beziehen sich lediglich auf die Homepage. Die Stimme der KI ist von ElevenLabs. Auch dort ist die Hallo Petra GmbH lediglich „Nutzer“. Ein Sprecher von Elevenlabs teilt uns schriftlich mit „Es gibt keine gesonderte Daten-Vereinbarung mit Hallo Petra, derzeit werden die Daten, die auf das Konto des Unternehmens gehen über unsere US-Server geleitet. Das Unternehmen hat uns nicht nach einer gesonderten Datenverarbeitung angefragt.“

Hallo Petra zeigt Erfahrungen von ahnungslosen Handwerkern, die auf den Dienst vertraut haben und sich nun Strafen im mittleren fünfstelligen Bereich gegenübersehen. Das schädigt die gesamte Branche.
Doch Angaben zu jenen Dienstleistern, die die eigentliche Datenverarbeitung übernehmen – etwa Hosting-, Cloud- oder KI-Anbieter – fehlen und das nicht ohne Grund.

Nach Einschätzung von Datenschutzexperten ist das ein klarer Mangel:
„Sobald personenbezogene Daten über Dritte verarbeitet werden, muss der Verantwortliche diese Empfänger oder zumindest deren Kategorien offenlegen“, erklärt ein Berliner Datenschutzrechtler, der regelmäßig Unternehmen im KI-Bereich berät.
Das schreibe Art. 13 Abs. 1 lit. e DSGVO ausdrücklich vor. Dagegen verstößt Hallo Petra GmbH offenkundig und Handwerker werden es nun vor Gericht ausbaden müssen.

Outsourcing ohne Offenlegung

Gerade bei White-Label-Modellen ist die Versuchung groß, technische Abhängigkeiten zu verschweigen.
Der Markenanbieter tritt nach außen als Entwickler auf, während im Hintergrund eine Drittplattform Sprachdaten analysiert, speichert und übermittelt.
Für Handwerker ist kaum nachvollziehbar, wer tatsächlich Zugriff auf ihre Kommunikationsdaten hat und wo diese verarbeitet werden.

Juristen warnen, dass Markenanbieter in solchen Fällen dennoch voll haftbar bleiben.
Denn wer sich eines Auftragsverarbeiters bedient, muss nach Art. 28 DSGVO einen Vertrag über die Datenverarbeitung abschließen und den Dienstleister in der Datenschutzerklärung benennen.
Andernfalls gilt der Anbieter als Verantwortlicher – auch für fremde Systeme.

Strukturelles Problem im KI-Markt

Der Fall HalloPetra steht stellvertretend für eine wachsende Zahl kleiner und mittlerer Unternehmen, die KI-Services „einkaufen“ und unter eigenem Namen vertreiben.
Das ermöglicht einen schnellen Markteintritt, birgt aber erhebliche rechtliche Risiken.
„Viele Unternehmen unterschätzen, dass mit der Markenführung auch die volle datenschutzrechtliche Verantwortung einhergeht“, sagt ein Datenschutzbeauftragter eines Berliner SaaS-Anbieters.

Branchenexperten beobachten, dass die Datenschutzaufsichtsbehörden zunehmend ein Auge auf solche White-Label-Strukturen werfen – vor allem, wenn sensible Kommunikations- oder Kundendaten betroffen sind.

Der Trend zu White-Label-KI zeigt, wie schwierig es für kleinere Anbieter ist, technologische Innovation und rechtliche Compliance zu vereinen.
Für Handwerker oder Kunden von Hallo Petra bedeutet das: Auch wenn eine KI „deutsch“ klingt und ein vertrautes Markenlogo trägt, liegen die Datenströme häufig in fremden Händen. Und dadurch Risiken Firmen hohe Datenschutzstrafen.
Und für Unternehmen gilt: Wer KI unter eigenem Namen anbietet oder die Kunden wie Jonas Südfels und Jan Hendric Martens offen belügt, trägt auch die volle Verantwortung – technisch, organisatorisch und rechtlich. Der größte Witz der beiden ist: „Wir haben eine KI entwickelt…“. In Wahrheit haben Sie US-Dienste genutzt, die in der Form nicht DSGVO-konform sind genutzt und den Handwerkern ein Märchen erzählt.

*Gastbeitrag von L.S EverKI