KI-Telefonassistent und DSGVO: Was Unternehmen beachten müssen [2026]
KI-Telefonassistenten revolutionieren die Unternehmenskommunikation: Sie nehmen Anrufe entgegen, qualifizieren Leads, buchen Termine und beantworten Kundenfragen - rund um die Uhr. Doch wer personenbezogene Daten am Telefon verarbeitet, muss die DSGVO einhalten. Und bei KI-Telefonie gibt es besondere Herausforderungen.
Dieser Leitfaden erklärt, welche datenschutzrechtlichen Anforderungen für KI-Telefonassistenten gelten, welche Fallstricke es gibt und wie Sie Ihr Unternehmen rechtskonform aufstellen. Am Ende finden Sie eine praxistaugliche 10-Punkte-Checkliste.
Warum DSGVO bei KI-Telefonie besonders wichtig ist
Ein KI-Telefonassistent verarbeitet bei jedem Anruf eine Vielzahl personenbezogener Daten:
- Stimme und Sprachmuster des Anrufers
- Telefonnummer (oft mit Klarnamen verknüpft)
- Gesprächsinhalte - vom Namen über Adressen bis zu Gesundheitsdaten
- Metadaten wie Anrufzeitpunkt, Dauer und Häufigkeit
- Transkripte der Gespräche
Hinzu kommt: Die Stimme einer Person ist ein biometrisches Datum im Sinne von Art. 9 DSGVO, sobald sie zur eindeutigen Identifizierung verwendet wird. Selbst wenn Sie keine Stimmbiometrie einsetzen, entstehen bei der Spracherkennung (Speech-to-Text) Transkripte, die personenbezogene Daten enthalten.
Das Risiko ist real: Datenschutzbehörden in Deutschland und der EU haben KI-Anwendungen verstärkt im Fokus. Bußgelder nach Art. 83 DSGVO können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.
Die relevanten Rechtsgrundlagen
Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung
Für den Einsatz eines KI-Telefonassistenten brauchen Sie eine Rechtsgrundlage. In der Praxis kommen drei Varianten infrage:
| Rechtsgrundlage | Anwendungsfall | Voraussetzung |
|---|---|---|
| Art. 6 Abs. 1 lit. b - Vertragserfüllung | Bestehende Kunden rufen an, um einen Vertrag zu erfüllen (Terminbuchung, Bestellstatus) | Direkter Bezug zum Vertragsverhältnis |
| Art. 6 Abs. 1 lit. f - Berechtigtes Interesse | Erstanrufer, Lead-Qualifizierung, allgemeine Anfragen | Interessenabwägung dokumentieren, Widerspruchsrecht sicherstellen |
| Art. 6 Abs. 1 lit. a - Einwilligung | Aufzeichnung des Gesprächs, Nutzung für KI-Training | Freiwillig, informiert, widerrufbar |
Praxistipp: Für die meisten Geschäftsszenarien reicht das berechtigte Interesse (lit. f). Dokumentieren Sie aber immer eine saubere Interessenabwägung.
Art. 13 DSGVO: Informationspflichten
Anrufer müssen wissen, dass sie mit einer KI sprechen und wie ihre Daten verarbeitet werden. Das ist in der Praxis eine der größten Herausforderungen, denn am Telefon können Sie keinen langen Datenschutzhinweis vorlesen.
Mindestinformationen zu Gesprächsbeginn:
- Dass der Anrufer mit einem KI-System spricht
- Name des Verantwortlichen (Ihr Unternehmen)
- Zweck der Datenverarbeitung
- Hinweis auf weiterführende Informationen (Website, Datenschutzerklärung)
Beispielansage:
"Willkommen bei [Firma]. Sie sprechen mit unserem KI-Telefonassistenten. Dieses Gespräch wird zur Bearbeitung Ihres Anliegens verarbeitet. Weitere Informationen zum Datenschutz finden Sie unter [firma].de/datenschutz. Wie kann ich Ihnen helfen?"
Art. 22 DSGVO: Automatisierte Einzelentscheidungen
Wenn Ihr KI-Telefonassistent Entscheidungen trifft, die rechtliche Wirkung haben oder den Anrufer erheblich beeinträchtigen, greift Art. 22 DSGVO. Das betrifft etwa:
- Automatische Ablehnung von Anfragen
- Kreditwürdigkeitsprüfungen am Telefon
- Einstufung in Risikoklassen
Empfehlung: Stellen Sie sicher, dass der Anrufer jederzeit einen menschlichen Ansprechpartner verlangen kann. So umgehen Sie die strengen Anforderungen von Art. 22.
Auftragsverarbeitungsvertrag (AVV)
Wenn Sie einen externen KI-Telefonservice nutzen, handelt es sich in der Regel um eine Auftragsverarbeitung nach Art. 28 DSGVO. Das bedeutet: Sie brauchen einen AVV.
Was muss der AVV regeln?
| Regelungsbereich | Inhalt |
|---|---|
| Gegenstand und Dauer | Welche Daten werden wie lange verarbeitet? |
| Art und Zweck | Entgegennahme von Anrufen, Transkription, Weiterleitung |
| Art der Daten | Stimmdaten, Telefonnummern, Gesprächsinhalte, Metadaten |
| Betroffene Personen | Anrufer, Kunden, Interessenten |
| Unterauftragnehmer | STT-Provider (z. B. Deepgram, Whisper), LLM-Anbieter, TTS-Provider |
| Technisch-organisatorische Maßnahmen | Verschlüsselung, Zugriffskontrollen, Löschkonzepte |
| Weisungsbefugnis | Der Verantwortliche bestimmt, was mit den Daten passiert |
Unterauftragnehmer im Blick behalten
Ein KI-Telefonassistent nutzt typischerweise mehrere Dienste:
- Speech-to-Text (STT): Deepgram, Google Speech, Azure Speech, Whisper
- Large Language Model (LLM): OpenAI, Anthropic, Mistral, eigene Modelle
- Text-to-Speech (TTS): ElevenLabs, Azure TTS, Google TTS
- Telefonie-Infrastruktur: Twilio, Vonage, sipgate
Für jeden Unterauftragnehmer muss im AVV geregelt sein, welche Daten übermittelt werden und welche Garantien bestehen.
EU-Serverstandort: Pflicht oder Kür?
Die Rechtslage
Die DSGVO verbietet die Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Datenschutzniveau nicht grundsätzlich - aber sie stellt hohe Anforderungen:
- EU/EWR: Kein Problem, freier Datenverkehr
- Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework): Übermittlung möglich, aber politisch umstritten
- Standardvertragsklauseln (SCCs): Zusätzliche Garantien und Transfer Impact Assessment nötig
Praxisempfehlung
Für KI-Telefonie empfehlen wir dringend EU-Serverstandorte:
- Sprachdaten sind besonders sensibel - sie enthalten biometrische Informationen
- Latenz: EU-Server bedeuten geringere Latenz bei Echtzeitgesprächen
- Rechtssicherheit: Kein Risiko durch sich ändernde Angemessenheitsbeschlüsse
- Kundenvertrauen: "Daten bleiben in Deutschland/EU" ist ein Verkaufsargument
Gute Nachrichten: Viele Anbieter bieten inzwischen EU-Hosting an - von Azure und AWS in Frankfurt bis hin zu spezialisierten EU-Anbietern wie Hetzner oder OVH.
Informationspflichten: Den Anrufer richtig informieren
Am Telefon
Die Herausforderung: Am Telefon haben Sie nur wenige Sekunden, bevor der Anrufer genervt auflegt. Trotzdem müssen Sie informieren.
Best Practices:
- Kurze Ansage zu Beginn: KI-Hinweis + Verweis auf Website
- Opt-out-Möglichkeit: "Drücken Sie 1, um mit einem Mitarbeiter zu sprechen"
- Keine versteckte Aufzeichnung: Wenn das Gespräch gespeichert wird, vorher informieren
In der Datenschutzerklärung
Ihre Datenschutzerklärung auf der Website muss einen eigenen Abschnitt zum KI-Telefonassistenten enthalten:
- Welche Daten werden verarbeitet?
- Rechtsgrundlage der Verarbeitung
- Welche KI-Dienste werden eingesetzt?
- Wo werden die Daten gespeichert?
- Wie lange werden die Daten gespeichert?
- Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)
EU AI Act - zusätzliche Transparenzpflicht
Seit dem EU AI Act (in Kraft seit 2024, gestaffelte Anwendung) gilt: Nutzer müssen informiert werden, dass sie mit einem KI-System interagieren. Das ist für KI-Telefonassistenten besonders relevant und deckt sich mit der DSGVO-Informationspflicht.
Speicherfristen und Löschkonzepte
Grundsatz: Datensparsamkeit
Speichern Sie nur, was Sie brauchen, und nur so lange wie nötig.
| Datenart | Empfohlene Speicherfrist | Begründung |
|---|---|---|
| Gesprächsaufzeichnung (Audio) | Sofort nach Transkription löschen | Nur für STT-Prozess nötig |
| Transkript | 30-90 Tage | Für Nachbearbeitung und Qualitätssicherung |
| Zusammenfassung/Ergebnis | Gemäß Geschäftszweck | z. B. Termin im Kalender, Lead im CRM |
| Metadaten | 6-12 Monate | Für Reporting und Optimierung |
| KI-Trainingsdaten | Nur mit Einwilligung | Art. 6 Abs. 1 lit. a DSGVO |
Automatische Löschung einrichten
Verlassen Sie sich nicht auf manuelle Löschung. Implementieren Sie:
- Automatische Löschjobs für Audio-Dateien nach STT-Verarbeitung
- Retention Policies in Ihrem CRM/Ticketsystem
- Regelmäßige Audits der gespeicherten Daten
- Löschprotokolle als Nachweis der Compliance
Die 10-Punkte-Checkliste für DSGVO-konforme KI-Telefonie
Nutzen Sie diese Checkliste, um Ihren KI-Telefonassistenten datenschutzkonform einzusetzen:
1. Rechtsgrundlage dokumentieren
Halten Sie schriftlich fest, auf welcher Rechtsgrundlage (Art. 6 DSGVO) Sie die Daten verarbeiten. Bei berechtigtem Interesse: Interessenabwägung durchführen.
2. Datenschutz-Folgenabschätzung (DSFA) prüfen
Bei systematischer Überwachung oder Verarbeitung besonderer Datenkategorien ist eine DSFA nach Art. 35 DSGVO Pflicht. KI-Telefonie kann darunter fallen.
3. AVV mit dem Anbieter abschließen
Prüfen Sie, ob Ihr KI-Telefonie-Anbieter einen DSGVO-konformen AVV anbietet. Achten Sie auf Unterauftragnehmer.
4. EU-Serverstandort sicherstellen
Stellen Sie sicher, dass Sprachdaten auf EU-Servern verarbeitet werden. Prüfen Sie auch die Unterauftragnehmer.
5. Transparenz am Telefon herstellen
Informieren Sie Anrufer zu Beginn des Gesprächs, dass sie mit einer KI sprechen und wo sie weitere Datenschutzinformationen finden.
6. Opt-out ermöglichen
Bieten Sie Anrufern die Möglichkeit, mit einem menschlichen Mitarbeiter zu sprechen.
7. Datenschutzerklärung aktualisieren
Ergänzen Sie Ihre Datenschutzerklärung um einen Abschnitt zum KI-Telefonassistenten.
8. Löschkonzept implementieren
Definieren Sie Speicherfristen für Audio, Transkripte, Zusammenfassungen und Metadaten. Richten Sie automatische Löschung ein.
9. Technische Sicherheit gewährleisten
Verschlüsselung der Übertragung (TLS), Zugriffskontrollen, Logging und regelmäßige Sicherheitsprüfungen.
10. Verzeichnis der Verarbeitungstätigkeiten aktualisieren
Nehmen Sie den KI-Telefonassistenten in Ihr Verarbeitungsverzeichnis (Art. 30 DSGVO) auf.
Häufige Fehler und wie Sie sie vermeiden
Fehler 1: Keine KI-Kennzeichnung
Problem: Anrufer wissen nicht, dass sie mit einer KI sprechen. Lösung: Klare Ansage zu Gesprächsbeginn. Ab 2025 auch durch den EU AI Act verpflichtend.
Fehler 2: Audio-Dateien unbegrenzt speichern
Problem: Aufgezeichnete Gespräche liegen monatelang auf Servern. Lösung: Audio sofort nach Transkription löschen. Nur Transkripte mit definierten Fristen speichern.
Fehler 3: US-Provider ohne Absicherung nutzen
Problem: Sprachdaten werden an US-Server gesendet, ohne Standardvertragsklauseln oder Angemessenheitsbeschluss. Lösung: EU-Provider bevorzugen oder zumindest Data Privacy Framework und SCCs sicherstellen.
Fehler 4: Kein Opt-out anbieten
Problem: Anrufer können nicht zu einem Menschen wechseln. Lösung: Immer eine Weiterleitung zu einem menschlichen Mitarbeiter ermöglichen.
Fehler 5: Datenschutzerklärung nicht aktualisiert
Problem: KI-Telefonie wird eingesetzt, aber in der Datenschutzerklärung nicht erwähnt. Lösung: Eigenen Abschnitt ergänzen mit allen relevanten Informationen.
Fazit: DSGVO-Konformität als Wettbewerbsvorteil
DSGVO-konforme KI-Telefonie ist kein Hexenwerk - aber sie erfordert sorgfältige Planung. Unternehmen, die Datenschutz von Anfang an mitdenken, profitieren mehrfach:
- Rechtssicherheit: Kein Bußgeldrisiko, keine Abmahnungen
- Kundenvertrauen: Transparenter Umgang mit Daten schafft Vertrauen
- Wettbewerbsvorteil: "Made in Germany / DSGVO-konform" ist ein echtes Verkaufsargument
- Zukunftssicherheit: Wer heute sauber aufstellt, ist auch für den EU AI Act gerüstet
Der Schlüssel liegt in der Kombination aus rechtlicher Sorgfalt und technischer Exzellenz. Wählen Sie einen KI-Telefonassistenten, der DSGVO-Konformität nicht als Hindernis, sondern als Qualitätsmerkmal versteht.
Weiterführende Ressourcen:
- Erfahren Sie mehr über unsere KI-Telefonlösung mit EU-Serverstandort
- Lesen Sie, wie Prozessautomatisierung Ihren gesamten Workflow optimiert
Sie haben Fragen zur DSGVO-konformen Implementierung eines KI-Telefonassistenten? Wir beraten Sie gerne - von der Rechtsgrundlage bis zur technischen Umsetzung.