Zurück zum Blog
KI Telefonie DSGVO konform: Rechtssicherer Einsatz von Voice Agents
DSGVODatenschutzCompliance7. Januar 20266 Min.

KI Telefonie DSGVO konform: Rechtssicherer Einsatz von Voice Agents

KI Voice Agents bieten enorme Effizienzgewinne – doch bevor ein Unternehmen sie einsetzt, stellt sich die entscheidende Frage: Ist das rechtssicher? In Deutschland und der gesamten DACH-Region ist das Datenschutzrecht besonders streng. Die DSGVO gilt uneingeschränkt, das BDSG ergänzt sie auf nationaler Ebene, und branchenspezifische Regelungen wie das ärztliche Berufsgeheimnis oder die anwaltliche Schweigepflicht kommen hinzu. Dieser Artikel zeigt, was Unternehmen konkret beachten müssen und wie ein DSGVO-konformer Einsatz von KI Telefonie gelingt.

Rechtliche Grundlagen: Was die DSGVO für KI-Telefonie bedeutet

Personenbezogene Daten in Telefongesprächen

Jedes Telefongespräch mit einer identifizierten oder identifizierbaren Person enthält personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Das umfasst:

  • Name und Kontaktdaten des Anrufers
  • Gesprächsinhalte (Anliegen, Beschwerden, Bestellungen)
  • Metadaten (Anrufzeitpunkt, Dauer, Rufnummer)
  • Bei Sprachaufzeichnung: die Stimme selbst (biometrisches Datum nach Art. 9 DSGVO, wenn zur Identifikation genutzt)

Die Verarbeitung dieser Daten bedarf einer Rechtsgrundlage gemäß Art. 6 DSGVO. Für die meisten geschäftlichen Telefonanwendungen greift Art. 6 Abs. 1 lit. b (Vertragserfüllung) oder lit. f (berechtigtes Interesse). Für Aufzeichnungen und weitergehende Analysen ist in der Regel eine explizite Einwilligung (lit. a) oder eine klare Interessenabwägung erforderlich.

Transparenzpflichten – Kunden müssen informiert werden

Art. 13 DSGVO verpflichtet zur Information der betroffenen Person zum Zeitpunkt der Datenerhebung. Bei KI-Telefonie bedeutet das konkret:

  • Anrufer müssen zu Beginn des Gesprächs darauf hingewiesen werden, dass ein KI-System das Gespräch führt
  • Bei Aufzeichnungen muss explizit darauf hingewiesen werden, dass das Gespräch aufgezeichnet wird
  • Zweck der Aufzeichnung und Verarbeitungsdauer müssen mitgeteilt werden

Die Formulierung kann pragmatisch sein: „Sie werden jetzt mit unserem digitalen Assistenten verbunden. Das Gespräch kann zu Qualitätssicherungszwecken aufgezeichnet werden. Weitere Informationen finden Sie unter [Datenschutzerklärung]."

Achtung: Das Schweigen des Anrufers nach dem Hinweis gilt rechtlich nicht als Einwilligung in die Aufzeichnung. Hierfür ist eine aktive Bestätigung erforderlich (z. B. „Drücken Sie 1 für Einverständnis mit der Aufzeichnung").

Aufzeichnungspflichten und Aufzeichnungsverbote

Wann darf aufgezeichnet werden?

Die Aufzeichnung von Telefongesprächen ist in Deutschland nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes) und dem TKG grundsätzlich nur mit Einwilligung aller Gesprächsteilnehmer zulässig. Für geschäftliche Zwecke gilt:

  • Mit ausdrücklicher Einwilligung des Anrufers: immer zulässig
  • Für Qualitätssicherung und Training: zulässig mit entsprechender Information und Opt-out-Möglichkeit
  • Zur Erfüllung gesetzlicher Dokumentationspflichten: zulässig (z. B. im Finanzbereich nach WpHG § 83)

Wichtig: In Österreich und der Schweiz gelten teils abweichende Regelungen. In Österreich ist Gesprächsaufzeichnung im B2B-Kontext unter einfachen Voraussetzungen möglich; in der Schweiz ist das revidierte DSG zu beachten.

Alternativen zur Vollaufzeichnung

Wenn die Einholung einer Einwilligung zu aufwendig erscheint oder die Konversionsrate durch den Hinweis leidet, gibt es Alternativen:

  • Transkription ohne Audiodatei: Das Gespräch wird transkribiert, die Audiodatei sofort gelöscht. Weniger datenschutzsensibel, da keine Stimme gespeichert wird.
  • Anonymisierung nach Transkription: Namen und andere Identifikatoren werden aus dem Transkript entfernt, sodass keine Personenbeziehbarkeit mehr besteht.
  • Aggregierte Auswertungen: Sentiment- und Topic-Analysen ohne Personenbezug.

Auftragsverarbeitungsvertrag (AVV) – die vertragliche Pflicht

Wann ist ein AVV erforderlich?

Immer dann, wenn ein externer Dienstleister im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen. Beim Einsatz eines KI Voice Agent-Anbieters ist das zwingend.

Ein rechtssicherer AVV muss enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Regelungen zu Subauftragsverarbeitern (z. B. Spracherkennungsanbieter)
  • Weisungsgebundenheit des Auftragsverarbeiters
  • Löschungs- und Rückgabepflichten nach Vertragsende

Subauftragsverarbeiter – die versteckte Compliance-Falle

Viele KI Voice Agent-Lösungen nutzen ihrerseits externe Dienstleister für Spracherkennung, TTS (Text-to-Speech) oder Datenverarbeitung. Diese Subauftragsverarbeiter müssen im AVV benannt werden, und der Auftragsverarbeiter muss sicherstellen, dass auch sie DSGVO-konform handeln.

Achten Sie darauf, ob der Anbieter Subauftragsverarbeiter außerhalb der EU nutzt. Bei US-amerikanischen Diensten (z. B. bestimmte Cloud-Dienste) ist ein Standardvertragsklauseln-Transfer (SCCs) erforderlich.

EU-Serverstandorte – kein Nice-to-have, sondern Pflicht

Warum EU-Hosting entscheidend ist

Die DSGVO schreibt nicht generell EU-Hosting vor, aber Datentransfers in Drittstaaten ohne angemessenes Schutzniveau (außerhalb der EU/EWR) sind nach Art. 44 ff. DSGVO nur unter strengen Bedingungen zulässig. In der Praxis ist EU-Hosting der mit Abstand sicherste Weg.

Für sensible Branchen wie Gesundheit, Recht und Steuerberatung empfehlen Datenschutzbehörden (und teilweise verlangen sie) explizit, dass keine personenbezogenen Daten aus Mandanten- oder Patientengesprächen die EU verlassen.

Seriosöse KI-Telefonie-Anbieter für den DACH-Markt betreiben ihre Infrastruktur ausschließlich in EU-Rechenzentren – vorzugsweise in Deutschland, um auch den strengeren Anforderungen des BDSG zu entsprechen.

Datensparsamkeit – nur erfassen, was notwendig ist

Art. 5 Abs. 1 lit. c DSGVO (Datensparsamkeit/Datenminimierung) verlangt, dass nur jene Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Für KI Voice Agents bedeutet das:

  • Kein dauerhaftes Speichern von Audiodateien, wenn Transkripte ausreichen
  • Automatische Löschfristen für alle Gesprächsdaten (typisch: 30–90 Tage)
  • Zweckbindung: Daten aus Servicegesprächen nicht für Marketingzwecke nutzen, ohne neue Rechtsgrundlage

Branchenspezifische Besonderheiten

Gesundheitswesen (Arztpraxen, Psychotherapeuten, Apotheken)

Gespräche mit Patienten enthalten höchstwahrscheinlich Gesundheitsdaten – eine besondere Kategorie nach Art. 9 DSGVO. Die Verarbeitung ist nur unter strengen Voraussetzungen zulässig, insbesondere mit expliziter Einwilligung oder zur Erfüllung der Behandlungsvertragspflichten.

Für Arztpraxen gilt zusätzlich das ärztliche Berufsgeheimnis (§ 203 StGB). Der KI-Anbieter gilt als „mitwissende Person" und muss entsprechend vertraglich eingebunden werden.

Empfehlung: In Arztpraxen sollten KI Voice Agents ausschließlich für administrative Zwecke eingesetzt werden (Terminbuchung, allgemeine Informationen) – nicht für klinische Erstgespräche oder Triage.

Rechts- und Steuerberatung

Die anwaltliche Verschwiegenheitspflicht (§ 43a BRAO) und die Verschwiegenheitspflicht von Steuerberatern (§ 57 StBerG) erstrecken sich auf alle im Kanzleibetrieb tätigen Personen – und auf eingesetzte technische Hilfsmittel. Mandantengespräche via KI Voice Agent müssen daher höchsten Datenschutzstandards genügen.

Empfehlung: Für Mandantengespräche ausschließlich Anbieter mit zertifizierter DSGVO-Konformität, deutschem Serverstandort und schriftlichem Nachweis der TOMs einsetzen.

DSGVO-Compliance-Checkliste für KI Voice Agents

  • AVV mit dem KI-Anbieter abgeschlossen
  • Alle Subauftragsverarbeiter im AVV benannt
  • Serverstandorte ausschließlich in der EU
  • Technische und organisatorische Maßnahmen (TOMs) dokumentiert
  • Transparenzhinweis am Gesprächsbeginn implementiert
  • Einwilligung zur Aufzeichnung aktiv eingeholt (falls Aufzeichnung gewünscht)
  • Automatische Löschfristen konfiguriert
  • Datenschutzerklärung auf der Website aktualisiert (KI-Einsatz erwähnt)
  • Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisiert
  • Betroffenenrechte sichergestellt (Auskunft, Löschung, Widerspruch)
  • Mitarbeiter geschult über DSGVO-konforme Nutzung
  • Branchenspezifische Sonderregelungen geprüft

Jetzt starten

anicall.io bietet DSGVO-konforme KI Voice Agents mit ausschließlichem EU-Serverstandort, vollständigem AVV und professioneller Datenschutzdokumentation. Im kostenlosen Beratungsgespräch prüfen wir gemeinsam, wie ein rechtssicherer Einsatz in Ihrem Unternehmen aussieht.

Jetzt kostenlose Beratung sichern →