Zurück zum Blog
Voice Agent Datenschutz – Rechtssichere KI-Telefonie 2025
DatenschutzDSGVOVoice Agent30. Oktober 20258 Min.

Voice Agent Datenschutz – Rechtssichere KI-Telefonie 2025

KI-gestützte Voice Agents beantworten Anrufe, buchen Termine und qualifizieren Leads – rund um die Uhr, ohne Pause. Doch bevor ein Unternehmen die Technologie produktiv schaltet, steht eine entscheidende Frage im Raum: Ist der Einsatz rechtssicher? Gerade in Deutschland und Österreich ist das Datenschutzrecht besonders streng ausgelegt. Wer hier Fehler macht, riskiert Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Dieser Leitfaden gibt Ihnen das vollständige Datenschutz-Framework für Voice Agents – von der Informationspflicht nach Art. 13 DSGVO bis zur Löschkonzeption.


Warum Voice Agents datenschutzrechtlich besonders relevant sind

Ein Voice Agent verarbeitet Sprachdaten in Echtzeit. Schon das allein ist datenschutzrechtlich brisant, denn Stimmen sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Kommt eine Aufzeichnung hinzu, wird aus dem flüchtigen Gespräch ein dauerhaft gespeichertes Dokument. Und sobald Stimmmuster zur Identifizierung einer Person verwendet werden – auch unbewusst – bewegen Sie sich im Bereich biometrischer Daten nach Art. 9 DSGVO, der besonders geschützten Kategorie.

Hinzu kommt: Voice Agents arbeiten häufig mit Cloud-Diensten aus dem Nicht-EU-Ausland. Die Sprachdaten verlassen dabei potenziell den Europäischen Wirtschaftsraum – ein weiterer Risikofaktor, der eigene Regelungen erfordert.


Informationspflichten nach Art. 13 DSGVO

Sobald Sie personenbezogene Daten erheben – und das geschieht bereits beim Entgegennehmen eines Anrufs – müssen Sie die anrufende Person informieren. Bei einem menschlichen Mitarbeiter am Telefon ist das im Zweifel konkludent erfüllt. Bei einem Voice Agent müssen Sie es aktiv sicherstellen.

Was muss der Voice Agent zu Beginn des Gesprächs kommunizieren?

Nach Art. 13 DSGVO sind folgende Angaben erforderlich:

  • Name und Kontaktdaten des Verantwortlichen (Ihr Unternehmen)
  • Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden oder gesetzlich vorgeschrieben)
  • Zweck und Rechtsgrundlage der Verarbeitung (z. B. Vertragserfüllung nach Art. 6 Abs. 1 lit. b, berechtigtes Interesse nach lit. f, oder Einwilligung nach lit. a)
  • Empfänger oder Kategorien von Empfängern (z. B. CRM-Anbieter, Telefonie-Dienstleister)
  • Absicht zur Drittlandübermittlung (sofern Daten außerhalb des EWR verarbeitet werden)
  • Speicherdauer oder Kriterien für die Festlegung der Dauer
  • Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit)
  • Beschwerderecht bei der Aufsichtsbehörde

Praxis-Tipp: Viele Unternehmen integrieren eine kurze Sprechtext-Passage zu Beginn jedes Anrufs, die auf die vollständige Datenschutzerklärung auf der Website verweist. Das ist datenschutzrechtlich zulässig, solange der Verweis klar und auffindbar ist.


Einwilligung und Aufzeichnungshinweis

Die Frage, ob Sie Telefongespräche aufzeichnen dürfen, richtet sich in Deutschland primär nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes) und § 3 TKG. Ohne ausdrückliche Einwilligung aller Gesprächsteilnehmer ist eine Aufzeichnung grundsätzlich unzulässig.

Anforderungen an eine wirksame Einwilligung

Eine Einwilligung für die Aufzeichnung muss:

  1. Freiwillig erteilt werden – keine Kopplung an die Dienstleistung, wenn die Aufzeichnung nicht zwingend notwendig ist
  2. Informiert sein – der Anrufer muss wissen, was aufgezeichnet wird und wozu
  3. Eindeutig sein – kein Schweigen, kein vorausgefülltes Kontrollkästchen
  4. Widerrufbar sein – der Anrufer muss die Aufzeichnung jederzeit stoppen können (z. B. durch Drücken einer Taste)

In der Praxis empfiehlt sich folgendes Muster: Der Voice Agent informiert zu Beginn über die Aufzeichnung und nennt den Zweck (z. B. Qualitätssicherung, Trainingsdaten). Anschließend wird eine aktive Bestätigung erbeten: "Wenn Sie mit der Aufzeichnung einverstanden sind, sagen Sie bitte 'Ja' oder drücken Sie die 1."

Wichtig: Die Einwilligung selbst muss protokolliert werden – Datum, Uhrzeit, Rufnummer und der Inhalt der Einwilligung.


Biometrische Daten: Der unterschätzte Risikofaktor

Wenn ein Voice Agent Stimmmerkmale nutzt, um eine Person zu identifizieren oder zu authentifizieren – etwa um einen bestehenden Kunden wiederzuerkennen –, handelt es sich um biometrische Daten nach Art. 9 Abs. 1 DSGVO. Diese genießen besonderen Schutz.

Die Verarbeitung ist grundsätzlich verboten, sofern keine der Ausnahmen des Art. 9 Abs. 2 DSGVO greift. Relevant sind vor allem:

  • Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a) – hohe Anforderungen, Schriftform empfohlen
  • Erhebliche öffentliche Interessen (Art. 9 Abs. 2 lit. g) – für KMU kaum einschlägig

Für die meisten Unternehmensanwendungen bedeutet das: Voice Agents dürfen keine Stimmerkennung zur Identifizierung von Personen einsetzen, ohne eine ausdrückliche Einwilligung einzuholen. Wer rein auf Sprachsteuerung (Intent-Erkennung) setzt, ohne Stimmen zu speichern oder zuzuordnen, bewegt sich außerhalb des biometrischen Risikobereichs.


Auftragsverarbeitungsvertrag (AVV)

Jeder externe Dienstleister, der im Auftrag Ihres Unternehmens personenbezogene Daten verarbeitet, ist ein Auftragsverarbeiter nach Art. 28 DSGVO. Das betrifft:

  • Den Voice-Agent-Anbieter (z. B. anicall)
  • Den Cloud-Telefonanbieter (SIP-Trunk)
  • Den Spracherkennungsanbieter (ASR/TTS)
  • Den CRM-Anbieter, falls Daten automatisch übertragen werden

Mit jedem dieser Dienstleister müssen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen, der die Anforderungen des Art. 28 Abs. 3 DSGVO erfüllt. Dieser muss mindestens regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Weisungsgebundenheit des Auftragsverarbeiters
  • Vertraulichkeitsverpflichtungen
  • Technische und organisatorische Maßnahmen (TOM)
  • Unterauftragsverarbeiter-Regelung
  • Unterstützungspflichten bei Betroffenenrechten und Datenschutzverletzungen
  • Löschung oder Rückgabe nach Vertragsende
  • Audit-Rechte

Unterauftragsverarbeiter-Liste

Professionelle Voice-Agent-Anbieter stellen eine vollständige Liste ihrer Unterauftragsverarbeiter zur Verfügung. Prüfen Sie, ob diese Liste aktuell ist und ob Sie über Änderungen informiert werden. Verlangen Sie das als vertragliche Pflicht im AVV.


Datenspeicherung und Löschfristen

Die DSGVO verbietet es, Daten länger zu speichern als notwendig (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e). Für Voice Agents müssen Sie ein Löschkonzept erstellen, das folgende Kategorien umfasst:

DatenkategorieEmpfohlene AufbewahrungsdauerRechtsgrundlage
Anrufprotokolle (Metadaten)90 TageBerechtigtes Interesse
Aufzeichnungen zu Qualitätssicherung30–60 TageEinwilligung
Transkripte mit KundendatenBis Vertragsende + 3 JahreVertragserfüllung / gesetzl. Aufbewahrung
Beschwerdekorrespondenz3 JahreGesetzliche Aufbewahrungspflicht
Rechnungsrelevante Daten10 Jahre§ 147 AO

Stellen Sie sicher, dass Ihr Voice-Agent-Anbieter automatisierte Löschroutinen anbietet oder Sie über manuelle Löschverfahren verfügen.


Betroffenenrechte und deren Umsetzung

Anrufende Personen haben umfangreiche Rechte nach der DSGVO:

  • Auskunftsrecht (Art. 15): Welche Daten wurden gespeichert?
  • Berichtigungsrecht (Art. 16): Fehlerhafte Daten korrigieren
  • Recht auf Löschung (Art. 17): "Vergessen werden"
  • Recht auf Einschränkung (Art. 18): Verarbeitung einschränken
  • Widerspruchsrecht (Art. 21): Gegen Verarbeitung auf Basis berechtigter Interessen
  • Datenübertragbarkeit (Art. 20): Daten in maschinenlesbarem Format herausgeben

Sie müssen sicherstellen, dass diese Rechte innerhalb von einem Monat (verlängerbar auf drei Monate bei Komplexität) erfüllt werden können. Das setzt voraus, dass Sie wissen, wo alle Daten eines Anrufers gespeichert sind – im Voice-Agent-System, im CRM, im Anrufprotokoll.


Drittlandübermittlungen

Viele KI-Sprachdienste werden auf Servern in den USA oder anderen Drittländern verarbeitet. Nach dem Ende des Privacy Shield und dem Schrems-II-Urteil des EuGH (2020) sind solche Übermittlungen nur unter strengen Auflagen zulässig.

Zulässige Mechanismen für Drittlandübermittlungen:

  1. Angemessenheitsbeschluss der EU-Kommission (z. B. für UK, Japan, Kanada)
  2. Standardvertragsklauseln (SCC) nach dem Durchführungsbeschluss 2021/914
  3. Binding Corporate Rules (BCR) – für Konzerne
  4. Ausnahmen nach Art. 49 DSGVO – nur in Einzelfällen, nicht als Dauerregelung

Für US-Anbieter greift seit 2023 das EU-US Data Privacy Framework (DPF). Prüfen Sie, ob Ihr Anbieter dort zertifiziert ist. Selbst wenn ja, sollten SCC als zusätzliche Absicherung vereinbart werden.


Sektorspezifische Anforderungen

Arztpraxen und Gesundheitswesen

Gesundheitsdaten sind nach Art. 9 DSGVO besonders schützenswert. Wenn ein Voice Agent Symptome erfasst, Diagnosen entgegennimmt oder Rezeptanfragen bearbeitet, verarbeitet er Gesundheitsdaten. Zusätzlich gilt:

  • Schweigepflicht nach § 203 StGB – Ärzte dürfen Patientendaten nur an weisungsgebundene Mitarbeiter weitergeben; ein externer Voice-Agent-Anbieter muss vertraglich in diesen Kreis einbezogen werden
  • Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO ist in der Regel erforderlich
  • Technische Sicherheitsanforderungen sind erhöht – Ende-zu-Ende-Verschlüsselung ist Pflicht

Rechtsanwaltskanzleien

Anwälte unterliegen der berufsrechtlichen Verschwiegenheitspflicht nach § 43a BRAO. Mandantendaten dürfen grundsätzlich nicht ohne Einwilligung an Dritte weitergegeben werden. Ein Voice Agent, der Mandantenanliegen entgegennimmt, muss daher:

  • Auf einer vollständig in der EU gehosteten Infrastruktur betrieben werden
  • Den AVV nach anwaltsspezifischen Anforderungen gestalten
  • Keine Mandanteninhalte an Drittanbieter-KI-Systeme übertragen, die zu Trainingszwecken verwendet werden

DSGVO-Compliance-Checkliste für Voice Agents

Nutzen Sie diese Checkliste zur Selbstprüfung, bevor Sie Ihren Voice Agent in Betrieb nehmen:

  • Datenschutzerklärung enthält Hinweis auf Voice Agent und KI-Verarbeitung
  • Informationspflicht nach Art. 13 DSGVO im Gesprächseinstieg umgesetzt
  • Aufzeichnungshinweis mit aktiver Einwilligung implementiert
  • AVV mit allen Auftragsverarbeitern abgeschlossen
  • Unterauftragsverarbeiter-Liste dokumentiert und geprüft
  • Drittlandübermittlungen rechtlich abgesichert (SCC, DPF)
  • Löschkonzept erstellt und technisch umgesetzt
  • Verfahrensverzeichnis nach Art. 30 DSGVO aktualisiert
  • Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO geprüft (bei biometrischer Verarbeitung obligatorisch)
  • Prozesse für Betroffenenrechte definiert (Fristen, Verantwortlichkeiten)
  • Schulung der internen Mitarbeiter zum Umgang mit Voice-Agent-Daten
  • Sektorspezifische Anforderungen (Gesundheit, Recht) geprüft und umgesetzt

Dokumentationsempfehlungen

Das Rechenschaftsprinzip (Art. 5 Abs. 2 DSGVO) verlangt, dass Sie Ihre Compliance nachweisen können. Halten Sie folgende Dokumente bereit:

  • Datenschutzerklärung mit Voice-Agent-spezifischen Passagen
  • Gesprächseinstiegs-Skript mit Datenschutzhinweis (versioniert und datiert)
  • Einwilligungsprotokoll für Aufzeichnungen
  • AVV mit jedem Dienstleister
  • Unterauftragsverarbeiter-Liste (mit Datum der letzten Prüfung)
  • Technische und organisatorische Maßnahmen (TOM)
  • Löschkonzept mit konkreten Fristen
  • Verfahrensverzeichnis nach Art. 30 DSGVO
  • DSFA (sofern erforderlich)

Fazit

Der datenschutzkonforme Betrieb eines Voice Agents ist kein unlösbares Problem – er erfordert jedoch sorgfältige Vorbereitung und die richtige Wahl des Anbieters. Wer diese Grundlagen legt, kann die Technologie rechtsicher einsetzen und gleichzeitig das Vertrauen seiner Kunden stärken. Datenschutz ist dabei kein Hindernis, sondern ein Wettbewerbsvorteil: Kunden, die wissen, dass ihre Daten sicher sind, telefonieren lieber mit Ihrem System.

Bereit, einen DSGVO-konformen Voice Agent einzuführen? Unsere Experten begleiten Sie von der rechtlichen Prüfung bis zum produktiven Betrieb.

Jetzt kostenlose Beratung vereinbaren