Voice-KI, DSGVO und EU AI Act 2026.Was Compliance-Verantwortliche wissen müssen.

Wer einen KI-Telefonassistenten in den DACH-Markt einführt, kommt um zwei zentrale Regelwerke nicht herum: die Datenschutz-Grundverordnung (DSGVO) und seit dem 1. August 2024 zusätzlich den EU AI Act. Beide Regelwerke betreffen Voice-KI direkt — Telefon-Anrufe enthalten personenbezogene Daten, KI-basierte Voicebot- und Voice-Agent-Systeme unterliegen dem AI Act, und mit den ersten Voice-Klonungs-Funktionen kommen sogar biometrische Datenkategorien nach Art. 9 DSGVO ins Spiel.

Dieser Pillar ordnet die wichtigsten Compliance-Aspekte für KI-Telefonassistenten 2026 strukturiert ein: die fünf DSGVO-Grundprinzipien für Voicebot-Implementierungen, der EU AI Act mit seinen Anwendungs-Daten (zentral: 2. August 2026), AVV-Verträge nach Art. 28 DSGVO inklusive Subprozessoren-Listen, DSGVO-konforme Spracherkennung und LLM-Hosting, Sprachaufzeichnungs-Recht, vertiefte Compliance in regulierten Branchen (Anwaltskanzleien, Steuerberater, Versicherungen, KFZ-Sachverständige), Long-Tail-Compliance für weitere Mittelstand-Branchen (Hotels, Fitnessstudios, KFZ-Werkstätten, Handwerker, Onlineshops, Gastronomie und weitere) sowie Outbound-Compliance nach UWG § 7. Eine abschließende Checkliste fasst die Pflicht-Punkte für die DSGVO-konforme Voice-KI-Anbieter-Auswahl zusammen.

Voice-KI und DSGVO: die fünf Grundprinzipien

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten von EU-Bürgern — unabhängig vom Sitz des Voice-KI-Anbieters. Bei einem KI-Telefonassistent fallen typischerweise mehrere Kategorien personenbezogener Daten an: Sprachaufnahmen (sofern aktiviert), Transkripte, Anrufer-Stammdaten (Name, Telefonnummer, Anschrift), erfasste Geschäftsanliegen, Versicherungs-Vorgangsnummern und CRM-Einträge.

Grundprinzip 1 — Rechtmäßigkeit (Art. 6 DSGVO). Jede Datenverarbeitung braucht eine Rechtsgrundlage. Im KI-Telefonassistent-Kontext sind das in der Regel das berechtigte Interesse (Art. 6 Abs. 1 lit. f) bei der reinen Anrufannahme oder die Einwilligung (Art. 6 Abs. 1 lit. a) bei Aufnahmen und Outbound-Werbe-Anrufen. Bei Verträgen (Art. 6 Abs. 1 lit. b) ist die Datenverarbeitung zur Vertragsanbahnung erlaubt.

Grundprinzip 2 — Zweckbindung und Datenminimierung (Art. 5 DSGVO). Der KI-Telefonassistent darf nur die Daten erfassen, die für das konkrete Anliegen nötig sind. Eine Anwaltskanzlei darf zur Mandatsannahme Anschrift und Sachverhalt erfassen — nicht aber Gesundheitsdaten ohne konkreten Bezug. Datenminimierung ist im Voice-KI-Kontext besonders relevant, weil Audio-Streams technisch sehr viele Datenpunkte enthalten.

Grundprinzip 3 — Auftragsverarbeitung (Art. 28 DSGVO). Wer einen externen Voice-KI-Anbieter einsetzt, schließt eine AVV — einen Auftragsverarbeitungsvertrag. Details in H3-3.

Grundprinzip 4 — Transparenz und Informationspflicht (Art. 12-14 DSGVO). Der Anrufer muss über die Datenverarbeitung informiert werden. Bei einem KI-Telefonassistent bedeutet das: Hinweis zu Beginn des Gesprächs, dass mit einer KI gesprochen wird, plus Hinweise zur Aufnahme (falls aktiviert) und Verlinkung zur Datenschutzerklärung. Mit dem EU AI Act kommt diese Transparenzpflicht zusätzlich explizit unter Art. 50.

Grundprinzip 5 — Datenschutz-Folgenabschätzung (DPIA, Art. 35 DSGVO). Bei umfangreicher systematischer Beobachtung — etwa bei Voice-KI mit Outbound-Massen-Anrufen oder Voice-Klonung — ist eine Datenschutz-Folgenabschätzung Pflicht. Im Standardfall der Anrufannahme über einen KI-Telefonassistent ist die DPIA nicht zwingend, sollte aber bei einigen Branchen (regulierte Branchen, große Datenmengen) trotzdem erstellt werden.

Der EU AI Act: was sich bis und ab August 2026 ändert

Der EU AI Act ist seit dem 1. August 2024 in Kraft und wird stufenweise anwendbar. Für Voice-KI-Anbieter und -Anwender sind drei Termine zentral.

2. Februar 2025 — Verbotene KI-Praktiken und AI Literacy. Bestimmte KI-Anwendungen sind seit Februar 2025 EU-weit verboten — etwa Social Scoring und KI zur Emotionserkennung am Arbeitsplatz ohne Einwilligung. Voice-KI für klassische Anrufannahme ist nicht betroffen. Zusätzlich gilt seit Februar 2025 eine AI Literacy-Pflicht: Unternehmen müssen sicherstellen, dass Mitarbeiter, die mit KI arbeiten, grundlegende Kompetenzen mitbringen.

2. August 2025 — General-Purpose AI Models (GPAI). Anbieter von General-Purpose AI Models (etwa OpenAI, Anthropic, Google, Meta) unterliegen seit August 2025 erweiterten Transparenz- und Compliance-Pflichten — Risikomanagement-Systeme, Datenschutz-Folgenabschätzungen, EU-Marktüberwachungs-Pflichten.

2. August 2026 — Hauptverpflichtungen werden anwendbar. Das ist der zentrale Stichtag für Voice-KI-Anwender. Ab diesem Datum gelten die Pflichten für Hochrisiko-Systeme nach Annex III sowie die Transparenzpflichten nach Art. 50 — relevant für KI-Telefonassistenten und Voice-Agent-Implementierungen.

Risiko-Klassen im AI Act und Voice-KI. Der AI Act kategorisiert KI-Systeme in vier Risiko-Stufen: verboten (z.B. Social Scoring), hochriskant (Annex III/I, z.B. biometrische Identifikation, kritische Infrastrukturen), begrenztes Risiko (z.B. Chatbots, Voice-KI für Konversationen) und minimales Risiko. Klassische KI-Telefonassistenten und Voicebots fallen in der Regel unter „begrenztes Risiko" — mit der zentralen Pflicht aus Art. 50: Der Anrufer muss klar wissen, dass er mit einer KI spricht, nicht mit einem Menschen. Anbieter, die Voice-KI in Hochrisiko-Kontexten einsetzen — etwa biometrische Identifikation oder kritische Infrastruktur — fallen in die strengere Hochrisiko-Klasse mit umfangreichen Dokumentations- und Risikomanagement-Pflichten.

Was die Transparenzpflicht Art. 50 konkret bedeutet. Voice-KI-Anbieter müssen sicherstellen, dass die KI-Natur des Voicebots eindeutig kommuniziert wird — etwa durch einen einleitenden Hinweis zu Beginn des Anrufs („Sie sprechen mit einem digitalen Assistenten"). Hochwertige Plattformen wie Voicery bringen diese Hinweis-Logik automatisch mit, andere Anbieter erfordern manuelle Konfiguration. Wer einen Voice-Agent im Outbound-Modus einsetzt, hat zusätzlich die UWG-Vorgaben zu beachten (siehe H3-8).

AVV und Subprozessoren: Verträge richtig gestalten

Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Pflicht zwischen dem Unternehmen, das den KI-Telefonassistent einsetzt (Verantwortlicher), und dem Voice-KI-Anbieter (Auftragsverarbeiter).

Was die AVV regeln muss. Art. 28 Abs. 3 DSGVO listet zehn Mindest-Inhalte auf: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien personenbezogener Daten, Pflichten und Rechte des Verantwortlichen, technisch-organisatorische Maßnahmen (TOM), Subprozessoren-Regelung, Unterstützungspflichten, Vertraulichkeit der Mitarbeiter, Mitwirkung bei DSFA und Sicherheitsverletzungen, Löschungs- und Rückgabepflicht nach Vertragsende.

Subprozessoren-Transparenz. Voice-KI ist technisch eine Pipeline mit mehreren Komponenten — Speech-to-Text, Sprachmodell (LLM), Text-to-Speech, Telefonie-Layer. Jeder dieser Layer ist ein potenzieller Subprozessor. Die AVV muss alle Subprozessoren offenlegen und vor Wechsel informieren. Hochwertige DACH-Anbieter publizieren öffentliche Subprozessor-Listen — etwa welche STT-Engine (Gladia/Paris vs. Deepgram/San Francisco), welches LLM (OpenAI/Anthropic/Google/Meta) und welcher TTS-Anbieter (ElevenLabs etc.) eingesetzt werden.

TOM — Technisch-organisatorische Maßnahmen. Die AVV muss konkrete TOM beschreiben: Zugriffskontrolle, Verschlüsselung, Backup, Incident-Response, Audit-Recht. Anbieter mit ISO 27001, ISO 9001 zertifizierte Infrastruktur — wie etwa VoiceMind — bringen einen klar dokumentierten TOM-Katalog mit.

Standardvertragsklauseln (SCC) für Drittland-Transfers. Wenn die Voice-KI-Anbieter-Pipeline Daten in Länder außerhalb der EU verarbeitet — etwa US-STT (Deepgram), US-LLM (OpenAI) oder US-Hosting (Vapi, Retell, Bland) — sind zusätzlich Standardvertragsklauseln nach Art. 46 DSGVO nötig, plus Schrems II-Risikoabwägung. Für regulierte Branchen ist EU-Hosting daher der pragmatischere Weg.

AVV-Praxis im DACH-Voice-KI-Markt. Mittelständische Anbieter publizieren AVV-Vorlagen oft direkt zum Download. Bei Konzern-Implementierungen werden individualisierte AVV-Verträge verhandelt, häufig auf Basis der Standardvorlagen mit Branchen-Anpassungen.

DSGVO-konforme Spracherkennung, LLM und Hosting-Region

Die DSGVO-Konformität einer Voice-KI hängt entscheidend von der Hosting-Region jedes Pipeline-Layers ab. Drei kritische Komponenten:

Speech-to-Text (STT) — Hosting-Region. Die STT-Engine verarbeitet die Audio-Daten direkt. EU-gehostete STT-Anbieter sind für DSGVO-konforme Implementierungen klar im Vorteil:

- Gladia aus Paris — europäischer STT-Anbieter mit 100 % EU-Daten-Residency. Wird von Voicery genutzt und ist eine der wenigen STT-Optionen ohne Schrems II-Implikationen. - Deepgram aus San Francisco — US-Marktführer, sehr leistungsfähig, aber primäres Hosting in den USA. DSGVO-Konformität nur mit SCC + Schrems II-Risikoabwägung. - AssemblyAI, Speechmatics — weitere Anbieter mit EU-Optionen.

Large Language Model (LLM) — Hosting-Region. Die LLM-Layer-Konformität variiert nach Anbieter:

- OpenAI — bietet seit 2024 EU-Region (Frankfurt). Datenresidenz auf EU-Wunsch möglich. - Anthropic Claude — primäres Hosting in den USA, EU-Region in Aufbau. - Google Gemini — EU-Region verfügbar (Frankfurt, Belgien). - Meta Llama — Open-Source-Modell, oft selbst in EU-Region gehostet für maximale Datenkontrolle.

Text-to-Speech (TTS) — Hosting-Region. Auch TTS verarbeitet (synthetisiert) personenbezogenen Sprachoutput:

- ElevenLabs aus Großbritannien — DSGVO-konform mit entsprechender Konfiguration; UK ist nach EU-Adequacy-Decision aktuell DSGVO-anerkannt. - Microsoft Azure / Google Cloud TTS — EU-Region verfügbar.

Hosting-Region als Wettbewerbsvorteil im DACH-Markt 2026. Voice-KI-Anbieter with konsequentem EU-Hosting der gesamten Pipeline — STT, LLM und TTS — haben einen klaren Compliance-Vorteil für regulierte Branchen. DACH-Plattformen wie Voicery (München, Server in Deutschland, Gladia-STT aus Paris), Synthflow (Berlin), fonio (Österreich), Cognigy (Düsseldorf), Parloa (Berlin) und Onlim (Innsbruck) bauen ihre Compliance-Story konsequent auf EU-Hosting auf.

Sprachaufzeichnungen: Einwilligung, Speicherung und Löschung

Anrufaufzeichnungen sind eines der sensibelsten Datenschutz-Themen bei Voice-KI. Drei Regelungs-Bereiche sind kritisch.

Einwilligungs-Pflicht. Anrufe dürfen nur mit Einwilligung des Anrufers aufgezeichnet werden. Diese Einwilligung muss vor Aufnahme-Beginn klar kommuniziert sein — typischerweise als einleitender Hinweis: „Zur Qualitätssicherung kann dieses Gespräch aufgezeichnet werden. Wenn Sie der Aufzeichnung widersprechen möchten, sagen Sie bitte ‚Keine Aufnahme'." Der Anrufer muss eine echte Wahl haben — implizite Einwilligung durch reines Weiterführen des Anrufs ist umstritten.

Hinweistext-Konfiguration. Hochwertige Voice-KI-Plattformen passen die Begrüßung automatisch DSGVO-konform an, wenn Aufnahmen aktiviert sind. Voicery und Kaskoo etwa konfigurieren den Hinweistext automatisch, wenn die Aufnahme-Funktion aktiviert wird — eine manuelle Pflege des Begrüßungstexts ist nicht erforderlich.

Speicherfristen. Aufnahmen dürfen nur so lange gespeichert werden wie nötig (Art. 5 Abs. 1 lit. e DSGVO). Übliche Fristen: 30 bis 90 Tage für Qualitätssicherung, danach automatische Löschung. Bei rechtlich relevanten Anrufen (z.B. Vertragsabschlüsse, Schadenmeldungen) können längere Fristen begründet sein. Voice-KI-Plattformen bieten oft konfigurierbare Auto-Lösch-Fristen.

Biometrische Daten — Art. 9 DSGVO. Voice-Klonung und Stimm-Erkennung können biometrische Daten im Sinne von Art. 9 DSGVO sein, sobald die Stimme zur eindeutigen Identifikation einer natürlichen Person verwendet wird. Hier gelten strengere Anforderungen: ausdrückliche Einwilligung der betroffenen Person, klare Zweckbindung, besondere TOM. Die Stimmen-Klonung der Markenstimme des eigenen Geschäftsführers für den Voicebot ist davon nicht betroffen, weil keine Drittpersonen identifiziert werden.

Transkripte vs. Aufnahmen. Auch Transkripte (Text-Versionen der Gespräche) sind personenbezogene Daten — sie unterliegen denselben Datenschutz-Vorgaben für Speicher- und Lösch-Regeln wie Aufnahmen, sind aber weniger sensibel als Audio-Daten.

Compliance in regulierten Branchen: vertieft

Vier Branchen haben besonders strenge Compliance-Anforderungen, die über die DSGVO hinausgehen.

Anwaltskanzleien — § 203 StGB und anwaltliches Berufsgeheimnis. Anwälte unterliegen der Schweigepflicht nach § 203 StGB; ein Verstoß ist strafbewehrt. Für KI-Telefonassistenten in Anwaltskanzleien bedeutet das: Der Voice-KI-Anbieter ist Berufsgeheimnisträger-Hilfskraft im Sinne von § 203 Abs. 4 StGB — er muss explizit auf das Berufsgeheimnis verpflichtet werden. Die AVV muss zusätzlich die Mandatsgeheimnis-Wahrung dokumentieren. Praktisch heißt das: kein Drittland-Transfer (EU-Hosting Pflicht), strikte Zugriffskontrollen, kein Auto-Training des LLMs mit Anwalts-Daten. KI-Telefonassistenten für Anwaltskanzleien sind nur dann unbedenklich einsetzbar, wenn diese Voraussetzungen vertraglich klar geregelt sind.

Steuerberater — StBerG § 57 und Mandantengeheimnis. Steuerberater haben nach StBerG § 57 dieselbe Schweigepflicht-Logik wie Anwälte; § 203 StGB greift parallel. Für KI-Telefonassistenten für Steuerberater gelten dieselben Anforderungen wie für Anwaltskanzleien: EU-Hosting, AVV mit Berufsgeheimnis-Verpflichtung, kein LLM-Training mit Mandanten-Daten. In Steuerberater-Kanzleien wird Voice-KI typischerweise für Erstgespräch-Vorqualifizierung und Sachstandsanfragen eingesetzt — wenig sensible Datenflüsse, gut kontrollierbar.

Versicherungen und Versicherungsmakler — VAG und Schadens-DSGVO. Versicherungen unterliegen dem Versicherungsaufsichtsgesetz (VAG) und der Versicherungsaufsicht durch die BaFin. Für KI-Telefonassistenten für Versicherungen und Versicherungsmakler gilt: Schaden-Daten enthalten regelmäßig sensible Informationen (Gesundheitsdaten bei Personenschäden, Vermögensdaten bei Sachschäden) — strenge Datenminimierung ist Pflicht. Der Voicebot darf nur die für die Vorqualifizierung nötigen Daten erfassen, nicht spekulative Detail-Befragungen führen.

KFZ-Sachverständige — Geschädigten- und Versicherungs-Daten. KFZ-Sachverständigen-Büros verarbeiten in einem KI-Telefonassistent typischerweise Geschädigten-Stammdaten, Fahrzeugdaten (Kennzeichen, VIN), Versicherungs-Vorgangsnummern und Schadenhergänge. Die Branchenlösung Kaskoo bringt für KFZ-Sachverständige eine vorkonfigurierte DSGVO-konforme Aufnahme-Logik mit autoiXpert-Integration mit — inklusive automatischer DSGVO-Begrüßung bei aktivierter Audioaufnahme. Der AVV mit dem Voice-KI-Anbieter sollte zusätzlich Versicherungs-Drittpartei-Datenflüsse abdecken.

DSGVO-konforme KI-Telefonassistenten in weiteren Branchen

Über die vier strikt regulierten Branchen hinaus profitieren zehn weitere Mittelstand-Branchen von einem Voice-Agent — jeweils mit eigenen Compliance-Schwerpunkten.

Hotels und Beherbergungsbetriebe. KI-Telefonassistenten für Hotels verarbeiten Gästedaten, Buchungsdaten und Zahlungsinformationen. Compliance-Schwerpunkte: BMG (Bundesmeldegesetz) für Gastregistrierungen, DSGVO für allgemeine Buchungsdaten, sowie EU-Hosting für internationale Gäste-Daten. Ein KI-Telefonassistent für Hotels sollte mehrsprachige Begrüßung (Deutsch, Englisch, Französisch, Italienisch) DSGVO-konform abdecken und die Gästedaten nur im nötigen Umfang erfassen.

Hausverwaltungen. Voice-KI für Hausverwaltungen verarbeitet Mieterdaten, Schadenmeldungen und Vertrags-Stammdaten. Compliance-Schwerpunkte: Mieterdatenschutz nach BDSG-Spezifika und WEG (Wohnungseigentumsgesetz). Der Voicebot sollte Mieter-Anliegen-Kategorisierung mit Eskalation an die zuständige Hausverwaltung leisten, ohne überflüssige Datenerhebung.

Fitnessstudios. Ein KI-Telefonassistent für Fitnessstudios bedient Mitgliederbetreuung, Probetraining-Buchungen und Vertrags-Anfragen. Compliance-Schwerpunkte: Mitgliederdaten als personenbezogene Daten nach Art. 4 DSGVO, Vertragsdaten, Gesundheitsdaten nur bei explizitem Bezug (z.B. Trainings-Beratung). Voice-KI für Fitnessstudios sollte EU-gehostet sein und mit klarer Einwilligungs-Information bei optionalen Datenpunkten arbeiten.

KFZ-Werkstätten. Voice-KI für KFZ-Werkstätten verarbeitet Fahrzeugdaten, Kundendaten und Termin-Daten. Compliance-Schwerpunkte: Standard-Datenschutz, EU-Hosting, AVV mit Voice-KI-Anbieter. Ein KI-Telefonassistent für KFZ-Werkstätten ist deutlich weniger sensibel als bei KFZ-Sachverständigen, weil keine Versicherungs-Schadensdaten anfallen — die Anforderungen sind entsprechend leichter.

Handwerker. Ein KI-Telefonassistent für Handwerker übernimmt Notfall-Hotlines, Bereitschaftsdienst-Anrufannahme, Auftragserfassung und Terminvergabe. Compliance-Schwerpunkte: Standard-DSGVO, EU-Hosting, AVV. Da Voice-KI für Handwerker meist außerhalb der Bürozeiten zum Einsatz kommt, ist die DSGVO-konforme Aufnahme-Konfiguration besonders wichtig — Anrufer sollen wissen, dass sie mit einer KI sprechen, auch wenn nachts um 23 Uhr.

Friseure. Voice-KI für Friseure leistet Terminbuchung, Erinnerungen und Stylisten-Präferenzen. Compliance-Schwerpunkte: Standard-DSGVO, Termin- und Kundendaten, EU-Hosting. KI-Telefonassistenten für Friseure sind technisch einfach umsetzbar, weil die typischen Datenflüsse (Termin, Anliegen, Kontaktdaten) klar abgegrenzt sind.

Fahrschulen. Ein KI-Telefonassistent für Fahrschulen koordiniert Fahrstunden-Termine, Theorie-Slots und Vertrags-Anfragen. Compliance-Schwerpunkte: Schülerdaten, ggf. Daten zu Sehtest-Bescheinigungen oder ärztlichen Attesten (die nicht über den Voicebot erfasst werden sollten). Voice-KI für Fahrschulen sollte sich auf die Termin-Koordination beschränken und sensible Daten an menschliche Mitarbeiter eskalieren.

Reisebüros. Voice-KI für Reisebüros bedient Reservierungen, Stornos und Beratungsanfragen. Compliance-Schwerpunkte: PRG (Pauschalreisegesetz) für Pflichtinformationen, Buchungsdaten als personenbezogene Daten, ggf. Reisepassdaten (sensitive Datenkategorie). Ein Voice-Agent für Reisebüros sollte Passdaten oder Geburtsdaten nur an menschliche Mitarbeiter eskalieren, nicht im Voicebot-Flow erfassen.

Onlineshops. Voice-KI für Onlineshops übernimmt After-Sales, Retouren-Anfragen, Bestell-Status und Beratung. Compliance-Schwerpunkte: BDSG, Verbraucherdatenschutz, ggf. ePrivacy-Vorgaben bei Cross-Channel-Kommunikation (Voice + WhatsApp/SMS). KI-Telefonassistenten für Onlineshops sollten mit klarer Bestellnummern-Validierung arbeiten, um nicht versehentlich Daten an Drittpersonen herauszugeben.

Gastronomie. Ein KI-Telefonassistent für Gastronomie übernimmt Reservierungen, Bestellungen und Auskünfte zu Öffnungszeiten. Compliance-Schwerpunkte: Reservierungsdaten (Standard-DSGVO), Allergeninformationsverordnung bei spezifischen Allergie-Anfragen (über Voice-KI eher sensibel — Eskalation an Mitarbeiter empfehlenswert). Voice-KI für Gastronomie ist technisch unkompliziert, weil die typischen Anliegen klar abgegrenzt sind.

Outbound-Compliance: UWG § 7 und Werbeanrufe

Outbound-Voice-KI — also aktive Anrufe durch den Voicebot — unterliegt zusätzlich dem Gesetz gegen den unlauteren Wettbewerb (UWG) § 7.

Werbe-Anrufe ohne Einwilligung sind unzulässig. § 7 Abs. 2 Nr. 1 UWG verbietet Werbe-Anrufe gegenüber Verbrauchern ohne vorherige ausdrückliche Einwilligung. Das gilt für menschliche Telefonisten genauso wie für KI-basierte Outbound-Anrufe. Verstöße sind abmahnfähig und werden in der Praxis aggressiv verfolgt.

B2B vs. B2C. Bei B2B-Anrufen (also Anrufe gegenüber gewerblichen Adressaten) reicht eine mutmaßliche Einwilligung — also ein konkreter Sachzusammenhang, der erwarten lässt, dass der Adressat den Anruf akzeptiert. KI-Telefonassistent-Outbound für B2B-Lead-Qualifizierung nach vorheriger Geschäftsbeziehung ist in der Regel zulässig; reines Kalt-Akquise-Cold-Calling bleibt rechtlich riskant.

Sinnvolle Outbound-Anwendungsfälle. Terminerinnerungen, Zufriedenheits-Abfragen nach erfolgten Aufträgen, Vertrags-Verlängerungs-Outreach — alle drei haben in der Regel eine Einwilligung im Erstvertrag und sind unbedenklich. Nachfass-Kampagnen nach Erstanfragen sind möglich, sofern der Erstkontakt selbst freiwillig war (z.B. Webformular-Anfrage).

Transparenz-Hinweis bei Outbound. Bei Outbound-Anrufen über Voice-KI gilt zusätzlich Art. 50 AI Act: Der Angerufene muss zu Beginn klar wissen, dass er mit einer KI spricht.

Checkliste: Was ein DSGVO-konformer KI-Telefonassistent leisten muss

Zum Abschluss eine Auswahl-Checkliste mit zehn Pflicht-Punkten für die DSGVO-konforme Voice-KI-Anbieter-Auswahl. Wer alle Punkte abdecken kann, ist Compliance-seitig gut aufgestellt.

1. EU-Hosting für die gesamte Pipeline. STT, LLM, TTS und Telefonie-Layer in der EU. Idealerweise Deutschland oder zumindest EU-Staat. US-Komponenten erfordern SCC + Schrems II-Risikoabwägung.

2. AVV nach Art. 28 DSGVO vorhanden. Standardvorlage, alle zehn Mindest-Inhalte abgedeckt, individualisierbar bei Konzern-Implementierungen.

3. Transparente Subprozessor-Liste. Welche STT-Engine, welches LLM, welcher TTS-Anbieter, welcher Telefonie-Provider — alle Komponenten offengelegt, Wechsel-Informationspflicht geregelt.

4. ISO-Zertifizierungen. Anbieter mit ISO 27001, ISO 9001 zertifizierte Infrastruktur bringen einen dokumentierten TOM-Katalog mit. Für regulierte Branchen Standard-Erwartung.

5. DSGVO-konforme Aufnahme-Logik. Automatische Begrüßungs-Anpassung bei aktivierter Audioaufnahme, konfigurierbare Speicherfristen, dokumentierte Löschprozesse.

6. Art. 50 AI Act — Transparenzpflicht. Klarer KI-Hinweis zu Gesprächsbeginn. Anbieter sollten das automatisch konfigurieren, nicht erst manuell pflegen lassen — sowohl bei Voicebot-Konfigurationen für Inbound als auch bei Voice-Agent-Implementierungen für Outbound.

7. Datenminimierung im Voicebot-Flow. Nur die für das Anliegen nötigen Daten werden erfasst. Sensible Kategorien (Gesundheit, Religion, etc.) werden an Menschen eskaliert.

8. Kein LLM-Training mit Kundendaten. Standardvertrag-Klausel: Anrufer-Daten dürfen nicht zum Training der LLMs verwendet werden. Bei OpenAI etwa über entsprechende Enterprise-Konfiguration regelbar.

9. Branchen-Compliance-Erfahrung. Bei regulierten Branchen (Anwaltskanzleien, Steuerberater, Versicherungen) Anbieter mit dokumentierter Branchen-Erfahrung wählen — § 203 StGB-Verpflichtung, Berufsgeheimnis-Klauseln in der AVV. Hochrisiko-Implementierungen erfordern zusätzlich eine ausgewiesene Risikomanagement-Dokumentation.

10. Aktive AI Act-Pflicht-Erfüllung. Anbieter sollten dokumentieren, wie sie die ab 2. August 2026 anwendbaren AI Act-Pflichten umsetzen — Transparenzpflicht, Risikomanagement, AI Literacy-Materialien.

DSGVO und EU AI Act 2026 sind für KI-Telefonassistenten kein Hindernis, sondern ein klar definierter Rahmen, der bei sorgfältiger Anbieter-Auswahl gut handhabbar ist. Der entscheidende Schritt liegt in der Vorabklärung: Welche Daten werden verarbeitet, welche Pipeline-Komponenten haben EU-Hosting, welche AVV-Standardvorlagen liegen vor, welche Branchen-Spezifika (Schweigepflicht, VAG, BMG) sind betroffen. Wer diese Punkte vor der Anbieter-Auswahl strukturiert prüft, vermeidet später aufwendige Compliance-Nacharbeiten. Eine Vertiefung der Anbieter-Landschaft mit Hosting-Region pro Anbieter findet sich im Pillar Voice-KI-Anbieter, eine Übersicht der Anwendungsfälle pro Branche im Pillar Voice-KI-Anwendungsfälle.