Zurück zum Blog
AI Act Voice Agents – Compliance-Leitfaden für KMU 2025
AI ActComplianceRegulierung3. Januar 20266 Min.

AI Act Voice Agents – Compliance-Leitfaden für KMU 2025

Der EU AI Act ist am 1. August 2024 in Kraft getreten und gilt als weltweit erstes umfassendes KI-Regulierungswerk. Für kleine und mittlere Unternehmen, die KI-gestützte Telefoniesysteme einsetzen oder planen, stellen sich drängende Fragen: Welche Pflichten entstehen? Was ist verboten? Und wie bleibst du auf der sicheren Seite, ohne dein Projekt zu gefährden? Dieser Leitfaden gibt konkrete Antworten.

Einordnung von Voice Agents im EU AI Act

Der AI Act klassifiziert KI-Systeme nach Risikoklassen: unannehmbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Voice Agents wie jene, die im Kundensupport oder der Terminvergabe eingesetzt werden, fallen in der Regel in die Kategorie begrenztes Risiko – sofern keine sensiblen Entscheidungen wie Kreditvergabe oder biometrische Identifikation automatisiert werden.

Was „begrenztes Risiko" konkret bedeutet

Systeme mit begrenztem Risiko unterliegen vor allem Transparenzpflichten. Das bedeutet: Dein KI-Voice-Agent muss den Anrufenden zu Beginn des Gesprächs klar und verständlich mitteilen, dass er mit einem KI-System spricht. Diese Information darf nicht im Kleingedruckten versteckt werden. Eine typisch konforme Begrüßung lautet etwa: „Guten Tag, Sie sprechen mit dem automatisierten Assistenten von [Unternehmensname]. Wie kann ich Ihnen helfen?"

Laut einer Studie des Bitkom (2024) wissen 67 % der deutschen Verbraucherinnen und Verbraucher nicht, dass sie bei bestimmten Servicegesprächen mit einer KI interagieren. Der AI Act setzt hier einen klaren Riegel vor: Bewusste Täuschung ist untersagt.

Abgrenzung zu Hochrisiko-Systemen

Ein Voice Agent wird zum Hochrisikosystem, wenn er:

  • Personalentscheidungen trifft oder vorbereitet (z. B. Bewerberscreening per Telefon)
  • Kreditwürdigkeitsprüfungen durchführt
  • Im Bereich kritischer Infrastruktur (Energie, Wasserversorgung) eingesetzt wird
  • Bildungszugang oder Strafverfolgung beeinflusst

Für die überwiegende Mehrheit der DACH-KMU, die Voice Agents für Terminbuchungen, FAQ-Beantwortung oder Anrufweiterleitung nutzen, trifft keine dieser Kategorien zu.

Verbotene Praktiken – Was absolut ausgeschlossen ist

Der AI Act benennt in Artikel 5 Praktiken, die vollständig verboten sind. Für Voice Agents relevant sind insbesondere:

  • Subliminal Manipulation: Techniken, die Nutzende unbewusst zu Entscheidungen bewegen, die ihren Interessen schaden
  • Ausnutzung von Vulnerabilität: Gezieltes Ansprechen von Schwächen älterer, minderjähriger oder psychisch beeinträchtigter Personen
  • Social Scoring: Bewertung von Personen anhand ihres Verhaltens in nicht zusammenhängenden Lebensbereichen
  • Biometrische Echtzeitüberwachung im öffentlichen Raum

Diese Verbote gelten unabhängig von der Risikoklasse und treten bereits seit dem 2. Februar 2025 in Kraft.

Transparenzpflichten im Detail

Pflicht zur KI-Kennzeichnung

Ab dem 2. August 2026 müssen alle in der EU betriebenen KI-Systeme mit begrenztem Risiko die Transparenzanforderungen erfüllen. Für Voice Agents bedeutet das konkret:

  1. Offenlegung zu Gesprächsbeginn: Der Nutzer muss vor der inhaltlichen Interaktion wissen, dass er mit einer KI spricht.
  2. Verständliche Sprache: Die Offenlegung muss in der Sprache des Nutzers erfolgen – für DACH-Märkte also auf Deutsch.
  3. Keine Verwirrung durch Anthropomorphisierung: Der Agent darf menschliche Namen tragen, muss aber dennoch als KI kenntlich sein.

DSGVO-Schnittstelle

Der AI Act und die DSGVO überschneiden sich erheblich, wenn Voice Agents Gespräche aufzeichnen oder verarbeiten. Dabei gilt:

  • Rechtsgrundlage für Aufnahmen: Eine Aufzeichnung des Gesprächs bedarf einer expliziten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder einer anderen Rechtsgrundlage.
  • Zweckbindung: Gesprächsdaten dürfen nur für den angegebenen Zweck verarbeitet werden.
  • Löschfristen: Unternehmen müssen definieren, wie lange Gesprächsdaten gespeichert werden.
  • Datensparsamkeit: Nur die zur Aufgabenerfüllung notwendigen Daten dürfen erhoben werden.

Praktisch bedeutet das: Ein Voice Agent, der Termine bucht, darf Name und Terminwunsch erfassen, aber nicht anlasslos nach Gesundheitsdaten oder finanzieller Situation fragen.

Human Oversight – Anforderungen an die menschliche Aufsicht

Auch bei Systemen mit begrenztem Risiko empfiehlt der AI Act, Mechanismen zur menschlichen Aufsicht vorzusehen. Für Voice Agents in KMU heißt das:

  • Eskalationspfad: Jedes Gespräch muss auf Wunsch des Nutzers zu einem menschlichen Mitarbeiter weitergeleitet werden können.
  • Monitoring: Regelmäßige Überprüfung, ob der Agent die ihm zugedachten Aufgaben korrekt erfüllt.
  • Korrekturfähigkeit: Fehlerhafte Antworten oder Fehlfunktionen müssen schnell identifiziert und behoben werden können.

Ein robustes System beinhaltet mindestens eine wöchentliche Überprüfung der Gesprächsprotokolle auf Ausreißer und ein klares Verfahren zur Aktualisierung des Agenten bei neuen Informationen.

Compliance-Checkliste für KMU

Die folgende Checkliste hilft dir, den Überblick zu behalten:

Transparenz

  • KI-Offenlegung zu Gesprächsbeginn implementiert
  • Offenlegungstext in verständlichem Deutsch formuliert
  • Keine irreführenden Angaben über die Natur des Systems

DSGVO

  • Datenschutzerklärung um KI-Telefonie erweitert
  • Rechtsgrundlage für Gesprächsverarbeitung dokumentiert
  • Löschfristen für Gesprächsdaten festgelegt
  • Auftragsverarbeitungsvertrag mit KI-Anbieter abgeschlossen (Art. 28 DSGVO)

Human Oversight

  • Eskalationspfad zu menschlichem Mitarbeiter eingerichtet
  • Monitoring-Prozess für Gesprächsqualität definiert
  • Zuständige Person für KI-Aufsicht benannt

Verbotene Praktiken

  • Kein Einsatz für Hochrisiko-Anwendungen ohne entsprechende Konformitätsbewertung
  • Keine manipulativen Dialogmuster implementiert

Zeitplan für die KMU-Compliance

Der AI Act sieht gestaffelte Fristen vor:

FristInkrafttretenInhalt
2. Februar 2025In KraftVerbote unannehmbarer Risikosysteme
2. August 2025In KraftRegeln für General-Purpose-AI-Modelle
2. August 2026BevorstehendTransparenzpflichten für begrenzte Risikosysteme
2. August 2027BevorstehendRegeln für bestimmte Hochrisikosysteme

Für die meisten KMU ist der 2. August 2026 der entscheidende Stichtag. Bis dahin sollten alle Transparenzanforderungen implementiert sein.

Praktische Schritte für anicall.io-Nutzer

Wenn du anicall.io für deine Telefoniekommunikation nutzt, empfehlen wir folgende Schritte:

Schritt 1: Systemkatalogisierung (Jetzt)

Dokumentiere, in welchen Prozessen du Voice Agents einsetzt und welche Daten dabei verarbeitet werden. Diese Dokumentation ist die Grundlage jeder Compliance-Maßnahme.

Schritt 2: Transparenz-Audit (Q1 2025)

Überprüfe deine aktuellen Begrüßungstexte und Gesprächsflows. Stelle sicher, dass die KI-Natur des Agenten unmissverständlich kommuniziert wird.

Schritt 3: DSGVO-Abstimmung (Q1–Q2 2025)

Ergänze deine Datenschutzerklärung und stelle sicher, dass ein Auftragsverarbeitungsvertrag mit anicall.io vorliegt.

Schritt 4: Human-Oversight-Prozesse (Q2 2025)

Implementiere einen klar definierten Eskalationspfad und benenne eine verantwortliche Person für die KI-Aufsicht.

Schritt 5: Abschließendes Compliance-Review (Q3 2025)

Führe vor dem Stichtag im August 2026 ein abschließendes Review durch – idealerweise mit rechtlicher Unterstützung.

Fazit: Compliance als Wettbewerbsvorteil

Der EU AI Act mag zunächst wie eine bürokratische Hürde wirken. Tatsächlich schafft er jedoch Vertrauen – und Vertrauen ist die Grundlage jeder erfolgreichen Kundenbeziehung. KMU, die früh auf transparente KI-Telefonie setzen und compliant agieren, positionieren sich als verantwortungsvolle Partner ihrer Kunden. In einer Zeit, in der 78 % der deutschen Verbraucher laut Bitkom-Studie (2024) dem Datenschutz höchste Priorität einräumen, ist das kein Nice-to-have, sondern ein strategischer Vorteil.


Jetzt starten

Du möchtest sicherstellen, dass dein Voice-Agent-Einsatz von Anfang an AI-Act-konform ist? Unsere Experten begleiten dich durch den gesamten Compliance-Prozess – von der Systemeinrichtung bis zur DSGVO-konformen Datenhaltung.

Jetzt kostenlose Beratung sichern →