DSGVO und KI-Telefonie: Was Unternehmen 2026 wissen müssen

Q: Reicht ein AVV mit dem KI-Anbieter aus?

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Pflicht, reicht allein aber nicht. Sie brauchen zusätzlich: Verarbeitungsverzeichnis, Datenschutzfolgenabschätzung bei hohem Risiko, technische und organisatorische Maßnahmen (TOMs) und eine klare Löschstrategie.

1. Warum DSGVO bei KI-Telefonie besonders wichtig ist

Wenn ein KI-Telefonagent ein Gespräch führt, verarbeitet er Sprachdaten in Echtzeit. Er hört die Stimme des Anrufers, transkribiert gesprochene Worte, extrahiert Namen, Anliegen und Kontaktdaten. All das sind personenbezogene Daten im Sinne der DSGVO — teilweise sogar biometrische Daten, wenn Stimmprofile erstellt werden.

Das unterscheidet KI-Telefonie grundlegend von einem Chatbot auf der Website. Am Telefon können Sie nicht einfach einen Cookie-Banner einblenden. Der Anrufer kann keine AGB anklicken. Und anders als bei einer E-Mail gibt es kein schriftliches Opt-in. Die Einwilligung muss mündlich erfolgen — oder Sie brauchen eine andere Rechtsgrundlage.

Warum Sprachdaten besonders sensibel sind

Eine Stimme kann einer Person zugeordnet werden, Emotionen transportieren und im Kontext eines Gesprächs Gesundheitsdaten, finanzielle Informationen oder andere besondere Kategorien personenbezogener Daten offenbaren. Die niederländische Datenschutzbehörde warnt bereits vor Emotionserkennung durch KI im Kundenservice.

Für Branchen mit Berufsgeheimnis — Steuerberater (§ 203 StGB), Rechtsanwälte, Ärzte — verschärft sich die Lage zusätzlich. Hier gelten neben der DSGVO auch berufsrechtliche Verschwiegenheitspflichten, die bei der Auswahl eines KI-Anbieters berücksichtigt werden müssen.

2. Drei Rechtsrahmen, die gleichzeitig gelten

Wer KI-Telefonagenten im Unternehmen einsetzt, muss nicht nur die DSGVO beachten. Es gelten drei Regelwerke parallel — und sie überschneiden sich an kritischen Stellen.

DSGVO

Seit Mai 2018

Regelt die Verarbeitung personenbezogener Daten: Rechtsgrundlage, Zweckbindung, Speicherbegrenzung, Betroffenenrechte, Auftragsverarbeitung (AVV).

EU AI Act

Stufenweise ab 2025

Reguliert KI-Systeme nach Risikostufen. Transparenzpflicht, Risikomanagement, Dokumentation. Teile seit Februar 2025 bindend, Hauptregeln ab August 2026.

TKG / ePrivacy

Laufend

Telekommunikationsgesetz und ePrivacy-Richtlinie: Vertraulichkeit der Kommunikation, Aufzeichnungsverbote, Informationspflichten bei automatisierten Anrufen.

Die Überschneidung dieser drei Rahmenwerke bedeutet in der Praxis: Sie brauchen nicht nur einen Auftragsverarbeitungsvertrag (DSGVO), sondern auch eine Transparenz-Ansage (AI Act) und die Einhaltung telekommunikationsrechtlicher Vorgaben zur Gesprächsaufzeichnung. Ein Verstoß gegen eines der drei Regelwerke kann Bußgelder nach sich ziehen — bei der DSGVO bis zu 4% des Jahresumsatzes.

3. EU AI Act Timeline: Was ab August 2026 gilt

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er tritt stufenweise in Kraft — und die für KI-Telefonie relevantesten Fristen stehen 2026 an.

EU AI Act — Zeitplan

Feb 2025

Verbotene KI-Praktiken

Social Scoring, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, manipulative KI-Techniken — verboten seit 2. Februar 2025.

Aug 2025

GPAI-Regeln (General Purpose AI)

Regeln für Anbieter allgemeiner KI-Modelle wie GPT, Claude, Gemini. Transparenzpflichten für Modellkarten und Trainingsdaten.

Aug 2026

Transparenzpflicht + Hochrisiko-Regeln

KI-Systeme, die mit Menschen interagieren, müssen sich als KI zu erkennen geben. Hochrisiko-KI-Systeme brauchen Risikomanagement, Dokumentation und menschliche Aufsicht.

Aug 2027

Vollständige Durchsetzung

Alle Regeln des AI Acts gelten und werden durchgesetzt. Eingebettete KI in Produkten und weitere Hochrisiko-Kategorien.

Was heißt das für KI-Telefonagenten konkret? Ab August 2026 muss jeder KI-Agent, der einen Anruf entgegennimmt, den Anrufer darüber informieren, dass er mit einem KI-System spricht. Das ist keine optionale Best Practice — es wird gesetzliche Pflicht.

Zusätzlich ordnet der AI Act KI-Systeme in vier Risikostufen ein: minimal, limitiert, hoch und unakzeptabel. Ein Standard-Telefonagent, der Termine bucht und Anliegen aufnimmt, fällt typischerweise in die Kategorie "limitiertes Risiko" — hier gelten vor allem Transparenzpflichten. Sobald der Agent jedoch Entscheidungen trifft, die Personen wesentlich betreffen (z.B. Kreditwürdigkeitsprüfung am Telefon), kann er in die Hochrisiko-Kategorie rutschen.

AI Literacy: Pflicht für alle Unternehmen

Artikel 4 des EU AI Act verpflichtet alle Unternehmen — auch KMU — dazu, ausreichende KI-Kompetenz bei Mitarbeitern sicherzustellen, die mit KI-Systemen arbeiten. Das betrifft auch die Mitarbeiter, die einen KI-Telefonagenten überwachen oder dessen Ergebnisse weiterverarbeiten.

DSGVO-konforme KI-Telefonie — live erleben

Wir zeigen Ihnen in 20 Minuten, wie ein Voice Agent funktioniert, der alle drei Rechtsrahmen erfüllt.

Kostenlose Demo buchen

4. DSGVO-Checkliste für KI-Telefonagenten (10 Punkte)

Die folgende Checkliste deckt die zentralen DSGVO-Anforderungen ab, die Sie bei der Einführung eines KI-Telefonagenten prüfen müssen. Sie basiert auf Art. 5, 6, 13, 15-17, 25, 28, 30 und 35 DSGVO.

Auftragsverarbeitungsvertrag (AVV)

Schließen Sie mit Ihrem KI-Anbieter einen AVV nach Art. 28 DSGVO ab. Der Vertrag muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen und die Pflichten des Auftragsverarbeiters regeln.

Rechtsgrundlage festlegen

Bestimmen Sie die Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b) bei Bestandskunden, berechtigtes Interesse (lit. f) bei allgemeiner Entgegennahme, oder ausdrückliche Einwilligung (lit. a) bei Gesprächsaufzeichnung und Training.

Serverstandort prüfen

Stellen Sie sicher, dass alle Sprachdaten in der EU verarbeitet werden. Drittlandtransfers (z.B. USA) erfordern zusätzliche Schutzmaßnahmen. Für regulierte Branchen empfiehlt sich ein Standort in Deutschland.

Transparenzpflicht umsetzen

Informieren Sie Anrufer zu Beginn des Gesprächs, dass sie mit einem KI-System sprechen. Ab August 2026 ist dies durch den EU AI Act verpflichtend. Seriöse Anbieter implementieren das bereits jetzt.

Informationspflichten erfüllen (Art. 13/14)

Halten Sie in Ihrer Datenschutzerklärung fest: Wer verarbeitet Daten, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange, und welche Rechte die Betroffenen haben. Verweisen Sie am Telefon auf die Online-Datenschutzerklärung.

Auskunftsrecht sicherstellen (Art. 15)

Betroffene können Auskunft über ihre gespeicherten Daten verlangen. Richten Sie einen Prozess ein, über den Anrufer erfahren können, welche Daten der KI-Agent zu ihrer Person gespeichert hat.

Löschkonzept definieren (Art. 17)

Legen Sie fest, wann Gesprächsdaten, Transkripte und abgeleitete Daten gelöscht werden. Faustregel: So kurz wie möglich. Transkripte für die Anliegenbearbeitung sollten nach Abschluss des Vorgangs gelöscht werden.

Verarbeitungsverzeichnis führen (Art. 30)

Dokumentieren Sie die KI-Telefonie als Verarbeitungstätigkeit in Ihrem Verzeichnis: Verantwortlicher, Zweck, Kategorien betroffener Personen, Datenarten, Empfänger, Löschfristen, TOMs.

Datenschutzfolgenabschätzung prüfen (Art. 35)

Bei hohem Risiko für die Rechte der Betroffenen ist eine DSFA Pflicht. Das gilt insbesondere, wenn der KI-Agent sensible Daten verarbeitet (Gesundheit, Finanzen) oder systematisch Gespräche analysiert.

Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung der Sprachdaten in Transit und at Rest, Zugriffskontrollen, Protokollierung, regelmäßige Sicherheitsaudits. Privacy by Design: Nur die Daten verarbeiten, die für den Zweck nötig sind.

5. Was seriöse Anbieter anders machen

Der Markt für KI-Telefonagenten wächst schnell. 85% der Customer-Service-Leiter testen oder pilotieren laut Gartner bereits Conversational AI. Aber nicht jeder Anbieter nimmt Datenschutz gleich ernst. Achten Sie auf diese Unterscheidungsmerkmale:

Seriöser Anbieter

Server in Deutschland (z.B. Hetzner Falkenstein/Nürnberg)
AVV standardmäßig inklusive, nicht auf Anfrage
Transparenz-Ansage ab Tag 1 implementiert
Klares Löschkonzept mit definierten Fristen
Keine Nutzung von Gesprächsdaten für eigenes Modelltraining
Dokumentation der TOMs verfügbar
Berät proaktiv zu EU AI Act Compliance

Warnsignale

Ausschließlich US-Cloud (AWS us-east, Google US, Azure US)
AVV nur auf explizite Nachfrage
Keine Transparenz-Ansage vorgesehen
Unklare oder fehlende Löschfristen
Gesprächsdaten werden für Modelltraining genutzt
Keine Auskunft über Sub-Auftragsverarbeiter
EU AI Act wird nicht thematisiert

Bei Stimmwerk laufen alle Daten über Hetzner-Server in Deutschland. Der AVV ist standardmäßig Bestandteil jedes Vertrags. Unsere Voice Agents identifizieren sich von Beginn an als KI-Assistenten — nicht weil wir es müssen (die Pflicht greift erst im August 2026), sondern weil Transparenz Vertrauen schafft.

Besonders wichtig für Branchen mit Berufsgeheimnis: Fragen Sie Ihren Anbieter explizit nach Sub-Auftragsverarbeitern. Wenn Sprachdaten zur Transkription an einen Drittanbieter weitergeleitet werden (z.B. einen Speech-to-Text-Dienst), muss auch dieser in der EU hosten und vertraglich eingebunden sein.

6. Häufige Fehler und wie Sie sie vermeiden

Fehler 1: Keine Transparenz-Ansage

Der KI-Agent gibt sich als Mensch aus oder verschweigt seinen KI-Status. Das verstößt ab August 2026 gegen den EU AI Act und untergräbt das Vertrauen der Anrufer.

Lösung: Standardmäßig eine Begrüßung implementieren, die den KI-Status offenlegt. Beispiel: "Guten Tag, Sie sprechen mit dem KI-Assistenten der Firma Müller. Wie kann ich Ihnen helfen?"

Fehler 2: Gesprächsaufzeichnung ohne Einwilligung

Viele KI-Systeme zeichnen Gespräche auf, um die Qualität zu verbessern oder Transkripte zu erstellen. Ohne vorherige, informierte Einwilligung des Anrufers ist das ein DSGVO-Verstoß.

Lösung: Aufzeichnung nur mit explizitem Opt-in. Der Agent fragt zu Beginn: "Darf ich das Gespräch zu Qualitätszwecken aufzeichnen?" Bei "Nein" wird nicht aufgezeichnet — der Service funktioniert trotzdem.

Fehler 3: Kein Löschkonzept

Gesprächsdaten und Transkripte werden unbefristet gespeichert. Ohne definierte Löschfristen verstoßen Sie gegen den DSGVO-Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e).

Lösung: Automatische Löschung von Transkripten nach Abschluss des Vorgangs (z.B. 30 Tage). Audio-Rohdaten sofort nach Transkription löschen, wenn kein separater Zweck besteht.

Fehler 4: US-Cloud ohne Schutzmaßnahmen

Sprachdaten werden auf US-Servern verarbeitet, ohne dass zusätzliche Schutzmaßnahmen implementiert sind. Trotz EU-US Data Privacy Framework bleiben Risiken durch FISA 702.

Lösung: EU-Server als Standard. Wenn US-Dienste unvermeidbar sind: Transfer Impact Assessment durchführen, Verschlüsselung sicherstellen, in der DSFA dokumentieren.

Fehler 5: Datenschutzerklärung nicht aktualisiert

Der KI-Agent ist live, aber die Datenschutzerklärung auf der Website erwähnt KI-Telefonie mit keinem Wort. Das verstößt gegen die Informationspflichten (Art. 13/14 DSGVO).

Lösung: Datenschutzerklärung vor Go-Live aktualisieren. Eigener Abschnitt: "KI-gestützte Telefonassistenz" — mit Zweck, Rechtsgrundlage, Speicherdauer, Anbieter und Betroffenenrechten.

7. Häufige Fragen (FAQ)

Brauche ich eine Einwilligung, wenn ein KI-Agent Anrufe entgegennimmt?

Nein, für die reine Entgegennahme und Bearbeitung des Anliegens reicht in der Regel das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder die Vertragserfüllung (lit. b). Eine Einwilligung wird erst nötig, wenn Gespräche aufgezeichnet oder für Trainingszwecke verwendet werden.

Darf ein KI-Telefonagent Gespräche aufzeichnen?

Nur mit ausdrücklicher, vorheriger Einwilligung des Anrufers. Der Agent muss zu Beginn des Gesprächs darauf hinweisen und die Zustimmung dokumentieren. Ohne Einwilligung dürfen keine Audio-Aufnahmen erstellt werden. Echtzeit-Transkription ohne Speicherung ist unter Umständen ohne Einwilligung möglich, sollte aber im Einzelfall geprüft werden.

Was ändert sich durch den EU AI Act ab August 2026?

Ab August 2026 müssen KI-Systeme, die mit Menschen interagieren, sich als KI zu erkennen geben (Transparenzpflicht). Hochrisiko-KI-Systeme unterliegen zusätzlichen Anforderungen wie Risikomanagement, technischer Dokumentation und menschlicher Aufsicht. Artikel 4 (AI Literacy) verpflichtet zudem alle Unternehmen, KI-Kompetenz bei ihren Mitarbeitern sicherzustellen.

Reicht ein AVV mit dem KI-Anbieter aus?

Ein AVV nach Art. 28 DSGVO ist Pflicht, reicht allein aber nicht. Sie brauchen zusätzlich: ein aktuelles Verarbeitungsverzeichnis, eine Datenschutzfolgenabschätzung bei hohem Risiko, dokumentierte TOMs und eine klare Löschstrategie. Vergessen Sie nicht, auch Sub-Auftragsverarbeiter (z.B. Speech-to-Text-Dienste) vertraglich einzubinden.

Können wir US-Cloud-Dienste für KI-Telefonie nutzen?

Rechtlich ist das seit dem EU-US Data Privacy Framework möglich, birgt aber Risiken. US-Behörden haben unter FISA 702 weitreichende Zugriffsmöglichkeiten. Für sensible Branchen (Steuerberatung, Gesundheit, Recht) empfehlen wir ausschließlich EU-Server — idealerweise in Deutschland. Eine Transfer Impact Assessment ist in jedem Fall ratsam.

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Artikel 4 (AI Literacy) gilt für alle Unternehmen, unabhängig von der Größe. Mikro- und Kleinunternehmen erhalten proportionale Erleichterungen bei der Dokumentation, aber die Kernpflichten — Transparenz, Verbot bestimmter Praktiken — gelten ohne Ausnahme. Wer einen KI-Telefonagenten einsetzt, muss compliant sein, egal ob Einzelunternehmer oder Konzern.

Quellen

1. Europäische Kommission: AI Act — Shaping Europe's digital future. digital-strategy.ec.europa.eu
2. Telnyx: EU AI Act — Compliance Essentials for Voice AI in Europe. telnyx.com
3. Speechmatics: Your Essential 2026 Guide to Voice AI Compliance. speechmatics.com
4. TechGDPR: Data Protection Digest — AI-Generated Voice and Visuals' Potential to Violate Rights (Juli 2025). techgdpr.com
5. ki-agentur.com: EU AI Act 2026 — What Your Business Needs to Do Right Now. ki-agentur.com
6. Gartner (Dez. 2024): 85% of Customer Service Leaders Will Explore Conversational GenAI in 2025. gartner.com