DSGVO KI-Telefonie 2026: Was Unternehmen beachten müssen
KI-Telefonie boomt: Immer mehr Unternehmen setzen KI-Telefonassistenten ein, um Anrufe zu beantworten, Termine zu vereinbaren und Kundenanfragen automatisiert zu bearbeiten. Doch mit der Verarbeitung von Sprachdaten stellen sich zentrale Datenschutzfragen. Welche DSGVO-Anforderungen gelten speziell für KI-Telefonie? Was verlangt der EU AI Act? Und wie stellen Sie sicher, dass Ihr KI-Telefonassistent rechtssicher arbeitet?
Dieser umfassende Guide beantwortet alle Fragen rund um DSGVO-konforme KI-Telefonie in 2026 — mit konkreter Checkliste, Branchenhinweisen und praktischen Empfehlungen.
Warum DSGVO bei KI-Telefonie besonders wichtig ist
Telefonate enthalten personenbezogene Daten in besonders sensibler Form: Stimme, Name, Anliegen, teilweise Gesundheits- oder Finanzdaten. Im Gegensatz zu Text-Chatbots oder E-Mail-Automation verarbeitet KI-Telefonie biometrische Merkmale — die menschliche Stimme ist einzigartig und potenziell identifizierbar.
Das bedeutet: Für KI-Telefonie gelten strengere Datenschutzanforderungen als für viele andere KI-Anwendungen. Unternehmen, die hier Fehler machen, riskieren nicht nur Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes — sie riskieren auch das Vertrauen ihrer Kunden.
Wichtig zu wissen
Sprachdaten gelten nach Art. 9 DSGVO potenziell als biometrische Daten, wenn sie zur eindeutigen Identifizierung einer Person verarbeitet werden. Auch ohne biometrische Auswertung fallen Gesprächsinhalte unter den Schutz personenbezogener Daten nach Art. 4 DSGVO.
Rechtlicher Rahmen 2026: DSGVO und EU AI Act
DSGVO-Anforderungen an KI-Telefonie
Die DSGVO stellt konkrete Anforderungen an die Verarbeitung personenbezogener Daten durch KI-Telefonsysteme. Folgende Grundsätze sind besonders relevant:
Rechtsgrundlage (Art. 6 DSGVO)
Jede Verarbeitung von Sprachdaten braucht eine Rechtsgrundlage. Bei eingehenden Anrufen greift häufig die Vertragsanbahnung (Art. 6 Abs. 1 lit. b) oder das berechtigte Interesse (Art. 6 Abs. 1 lit. f). Bei Gesprächsaufzeichnungen ist in der Regel eine Einwilligung erforderlich.
Informationspflicht (Art. 13/14 DSGVO)
Anrufer müssen zu Beginn des Gesprächs darüber informiert werden, dass sie mit einem KI-System sprechen, welche Daten verarbeitet werden und zu welchem Zweck. Eine natürliche Ansage wie „Sie sprechen mit dem digitalen Assistenten der Firma Müller" erfüllt die Transparenzpflicht.
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
Der KI-Telefonassistent darf nur die Daten erfassen, die für den konkreten Zweck notwendig sind. Wenn ein Kunde anruft, um einen Termin zu buchen, braucht das System Name und Wunschtermin — nicht die vollständige Adresse oder das Geburtsdatum.
Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
Gesprächsdaten dürfen nicht länger gespeichert werden als für den Verarbeitungszweck erforderlich. Nach der Terminbuchung oder Zusammenfassung müssen Audiodaten gelöscht werden — es sei denn, gesetzliche Aufbewahrungspflichten greifen.
Auftragsverarbeitung (Art. 28 DSGVO)
Wenn ein externer KI-Anbieter Ihre Telefongespräche verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich. Ohne AVV ist der Einsatz ein DSGVO-Verstoß — unabhängig davon, wie gut die Technik funktioniert.
EU AI Act: Zusätzliche Anforderungen seit 2025
Der EU AI Act ist seit August 2024 in Kraft und wird schrittweise anwendbar. Für KI-Telefonie gelten ab 2025 konkrete Pflichten:
- Transparenzpflicht (Art. 50 AI Act): Personen, die mit einem KI-System interagieren, müssen darüber informiert werden. Bei KI-Telefonie bedeutet das: Der Anrufer muss wissen, dass er mit einer KI spricht.
- Risikokategorie „begrenztes Risiko": KI-Telefonassistenten für Kundenservice fallen in der Regel unter „begrenztes Risiko" — die Auflagen sind überschaubar, solange die Transparenzpflicht erfüllt wird.
- Dokumentationspflicht: Unternehmen müssen dokumentieren, welche KI-Systeme sie einsetzen, wofür und mit welchen Datenkategorien. Ein einfaches Verzeichnis reicht oft aus.
- Emotionserkennung verboten: Der AI Act verbietet Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Auch bei KI-Telefonie sollten Sie sicherstellen, dass keine Stimmungsanalyse ohne Einwilligung stattfindet.
Für die meisten KMUs, die einen KI-Telefonassistenten nutzen, sind die Auflagen des AI Act gut machbar — vorausgesetzt, der Anbieter hat die Compliance bereits eingebaut. Erfahren Sie mehr in unserem Leitfaden zu KI und DSGVO.
Die 10-Punkte-Checkliste: Ist Ihre KI-Telefonie DSGVO-konform?
Prüfen Sie diese zehn Punkte, bevor Sie einen KI-Telefonassistenten einsetzen oder Ihren bestehenden Anbieter bewerten:
Server-Standort: Wo werden Sprachdaten verarbeitet?
Anforderung: Datenverarbeitung in der EU oder in Ländern mit angemessenem Datenschutzniveau.
Sprachdaten sind besonders sensibel. Wenn Ihr KI-Telefonassistent Gespräche über US-Server verarbeitet, müssen Sie sicherstellen, dass das EU-US Data Privacy Framework eingehalten wird — und selbst dann bleiben rechtliche Unsicherheiten. Prüfen Sie:
- Wo befinden sich die Server des KI-Anbieters?
- Werden Sprachdaten in der EU verarbeitet und gespeichert?
- Findet ein Drittland-Transfer statt — und wenn ja, auf welcher Rechtsgrundlage?
Empfehlung: Wählen Sie einen Anbieter mit ausschließlich europäischen Rechenzentren. Das eliminiert die rechtliche Unsicherheit rund um internationale Datentransfers vollständig.
Sprachdaten und KI-Training: Werden Gespräche zum Modelltraining genutzt?
Anforderung: Kundendaten dürfen ohne explizite Einwilligung nicht für Modelltraining verwendet werden.
Manche KI-Plattformen verwenden Gesprächsdaten, um ihre Sprachmodelle zu verbessern. Das bedeutet: Die Stimme und das Anliegen Ihres Kunden fließen potenziell in das Training eines Modells ein, das auch anderen Unternehmen zur Verfügung steht.
Empfehlung: Stellen Sie vertraglich sicher, dass Gesprächsdaten nicht für Modelltraining genutzt werden. Seriöse Anbieter schließen das im AVV explizit aus.
Speicherdauer: Wie lange bleiben Gesprächsdaten gespeichert?
Anforderung: Daten müssen gelöscht werden, sobald der Verarbeitungszweck erfüllt ist.
Ein KI-Telefonassistent, der einen Termin bucht, braucht die Audiodaten nur bis zur erfolgreichen Verarbeitung. Danach gibt es keinen Rechtsgrund für die weitere Speicherung des Gesprächs.
Empfehlung: Achten Sie auf konfigurierbare Löschfristen. Ideal ist ein Zero Retention Mode, bei dem Audiodaten nach der Verarbeitung automatisch und unwiderruflich gelöscht werden.
Transparenz: Wird der Anrufer über die KI informiert?
Anforderung: Transparenzpflicht nach DSGVO und EU AI Act — Anrufer müssen wissen, dass sie mit einer KI interagieren.
Sowohl die DSGVO (Informationspflicht) als auch der EU AI Act (Art. 50) verlangen, dass Personen darüber informiert werden, wenn sie mit einem KI-System interagieren. Eine natürliche Formulierung zu Gesprächsbeginn erfüllt diese Anforderung.
Auftragsverarbeitungsvertrag (AVV): Liegt ein AVV vor?
Anforderung: Wenn ein externer Anbieter Kundengespräche verarbeitet, ist ein AVV nach Art. 28 DSGVO Pflicht.
Der AVV regelt, was der Anbieter mit den Sprachdaten tun darf, welche Sicherheitsmaßnahmen gelten und wie mit Unterauftragsverarbeitern umgegangen wird. Ohne AVV setzen Sie sich einem erheblichen Bußgeldrisiko aus.
Verschlüsselung: Ist die gesamte Kommunikationskette geschützt?
Anforderung: Technische Maßnahmen zum Schutz personenbezogener Daten (Art. 32 DSGVO).
Bei Telefongesprächen werden häufig sensible Informationen übermittelt. Die gesamte Kette — vom Anruf über die Sprachverarbeitung bis zur Datenspeicherung — muss durchgängig geschützt sein. Prüfen Sie:
- TLS/SSL-verschlüsselte Übertragung für alle Gespräche
- Verschlüsselte Speicherung (Encryption at Rest)
- Zugriffskontrollen und Authentifizierung
- Regelmäßige Sicherheitsaudits beim Anbieter
Betroffenenrechte: Können Kunden Auskunft und Löschung verlangen?
Anforderung: Betroffene haben das Recht auf Auskunft, Löschung, Berichtigung und Widerspruch.
Wenn ein Anrufer wissen möchte, welche Daten über ihn gespeichert sind, oder die Löschung verlangt, müssen Sie das umsetzen können. Ihr KI-Anbieter muss Ihnen die Werkzeuge dafür bereitstellen — idealerweise über ein Dashboard mit Export- und Löschfunktion.
Widerspruchsmöglichkeit: Kann der Anrufer einen menschlichen Ansprechpartner verlangen?
Betroffene haben das Recht, der automatisierten Verarbeitung zu widersprechen. Wenn ein Anrufer nicht mit einer KI sprechen möchte, muss eine Alternative bereitgestellt werden — etwa die Weiterleitung an einen menschlichen Mitarbeiter. Gute KI-Telefonassistenten bieten diese Option standardmäßig an.
Datenschutz-Folgenabschätzung (DSFA): Ist eine DSFA erforderlich?
Anforderung: Bei hohem Risiko für die Rechte und Freiheiten Betroffener ist eine DSFA nach Art. 35 DSGVO Pflicht.
Für KI-Telefonie in sensiblen Bereichen — etwa im Gesundheitswesen oder bei Anwaltskanzleien — ist eine DSFA in der Regel erforderlich. Sie dokumentiert die Risiken der Datenverarbeitung und die Maßnahmen zu deren Minimierung.
Dokumentation: Ist der KI-Einsatz vollständig dokumentiert?
Anforderung: DSGVO (Verarbeitungsverzeichnis) und AI Act (Dokumentationspflicht) verlangen eine lückenlose Dokumentation.
Dokumentieren Sie: Welches KI-System wird eingesetzt? Zu welchem Zweck? Welche Datenkategorien werden verarbeitet? Wer hat Zugriff? Wie lange werden Daten gespeichert? Ihr KI-Anbieter sollte Ihnen die nötigen Informationen für Ihr Verarbeitungsverzeichnis bereitstellen.
Branchen mit besonderen Anforderungen an KI-Telefonie
Die oben genannten Anforderungen gelten für jedes Unternehmen. Einige Branchen haben jedoch verschärfte Regelungen, die bei KI-Telefonie besonders relevant sind:
Gesundheitswesen: Arztpraxen und Kliniken
Patientendaten unterliegen der ärztlichen Schweigepflicht (§ 203 StGB) und dem besonderen Schutz nach Art. 9 DSGVO. Wenn ein Patient am Telefon Symptome schildert oder nach Laborergebnissen fragt, verarbeitet der KI-Telefonassistent Gesundheitsdaten — die höchste Schutzkategorie der DSGVO.
Anforderung: DSFA ist Pflicht. Zero Retention für Gesprächsinhalte empfohlen. Keine Datenweitergabe an Dritte. Ein KI-Telefonassistent für Arztpraxen muss diese Anforderungen ab dem ersten Anruf erfüllen.
Rechtsberatung: Anwaltskanzleien
Mandantenkommunikation unterliegt der anwaltlichen Schweigepflicht. Ein KI-System, das Anrufe einer Anwaltskanzlei entgegennimmt, darf unter keinen Umständen Gesprächsinhalte an Dritte weitergeben oder für KI-Training verwenden.
Anforderung: Ende-zu-Ende-Verschlüsselung, Zero Retention, keine Cloud-basierte Verarbeitung in Drittländern. Selbst die Zusammenfassung eines Mandantengesprächs darf nur auf sicheren, europäischen Servern verarbeitet werden.
Finanzdienstleistungen
Versicherungsmakler, Steuerberater und Finanzberater verarbeiten sensible Finanzdaten. Regulierungen wie MaRisk und BAIT stellen zusätzliche Anforderungen an die IT-Sicherheit bei der Verarbeitung von Kundendaten.
Anforderung: Auditierbare Datenverarbeitung, dokumentierte Sicherheitsmaßnahmen, AVV mit detaillierten technischen Standards. Regulierungsbehörden erwarten, dass Sie jederzeit nachweisen können, welche Daten wo und wie lange gespeichert werden.
Zero Retention Mode: Der Goldstandard für KI-Telefonie
Die sicherste Methode, Sprachdaten DSGVO-konform zu verarbeiten, ist der Zero Retention Mode: Gesprächsdaten existieren nur so lange, wie sie für die Verarbeitung benötigt werden — danach werden sie automatisch und unwiderruflich gelöscht.
Das Prinzip ist einfach: Der KI-Telefonassistent verarbeitet das Gespräch in Echtzeit, extrahiert die relevanten Informationen (z. B. Terminwunsch, Name, Anliegen) und löscht die Audiodaten unmittelbar nach der Verarbeitung. Was bleibt, ist nur die strukturierte Zusammenfassung — ohne Stimmdaten, ohne Audioaufzeichnung.
Vorteile des Zero Retention Mode
Keine Speicherung biometrischer Daten, minimales Risiko bei Datenpannen, vereinfachte DSGVO-Dokumentation, kein Löschkonzept für Audiodaten nötig, erhöhtes Kundenvertrauen.
Gerade in Branchen mit besonderem Schutzbedarf — Gesundheitswesen, Rechtsberatung, Finanzdienstleistungen — ist der Zero Retention Mode die empfohlene Konfiguration. Er geht über die DSGVO-Mindestanforderungen hinaus und bietet maximalen Schutz für Anruferdaten.
Häufige Fehler bei DSGVO und KI-Telefonie
Fehler 1: KI-Telefonassistent ohne AVV einsetzen
Das KI-System wird eingerichtet, ohne dass ein Auftragsverarbeitungsvertrag vorliegt. Das ist ein klarer DSGVO-Verstoß — unabhängig davon, wie gut das System technisch arbeitet. Der AVV muss vor der ersten Nutzung vorliegen.
Fehler 2: Gesprächsaufzeichnungen unbegrenzt speichern
Audiodaten „auf Vorrat" zu speichern ist kein Rechtsgrund. Definieren Sie klare Löschfristen oder nutzen Sie Zero Retention. Automatisierte Löschung ist sicherer als manuelle Prozesse.
Fehler 3: US-Anbieter ohne Prüfung des Datentransfers nutzen
Viele populäre KI-Tools verarbeiten Sprachdaten auf US-Servern. Auch das EU-US Data Privacy Framework bietet keine vollständige Rechtssicherheit. Prüfen Sie die Datenschutzoptionen oder wählen Sie einen europäischen Anbieter.
Fehler 4: Keine Transparenz gegenüber Anrufern
Der Anrufer erfährt nicht, dass er mit einer KI spricht. Das verstößt sowohl gegen die DSGVO-Informationspflicht als auch gegen Art. 50 des EU AI Acts. Eine kurze, natürliche Ansage zu Gesprächsbeginn genügt.
Fehler 5: Keine DSFA bei sensiblen Daten
In Arztpraxen, Kanzleien oder Finanzberatungen ist eine Datenschutz-Folgenabschätzung oft Pflicht. Ohne DSFA riskieren Sie Bußgelder — auch wenn die Technik selbst einwandfrei arbeitet.
Zusammenfassung: DSGVO-Anforderungen an KI-Telefonie
| Anforderung | Was Sie prüfen müssen | Empfohlene Lösung |
|---|---|---|
| Server-Standort | Wo werden Sprachdaten verarbeitet? | EU-Server, kein Drittland-Transfer |
| Modelltraining | Werden Gespräche für Training genutzt? | Vertraglicher Ausschluss im AVV |
| Speicherdauer | Wie lange bleiben Audiodaten gespeichert? | Zero Retention / automatische Löschung |
| Transparenz | Wird der Anrufer informiert? | KI-Hinweis zu Gesprächsbeginn |
| AVV | Liegt ein AVV nach Art. 28 vor? | Vor Vertragsabschluss einfordern |
| Verschlüsselung | Ist die Kommunikationskette geschützt? | TLS, Encryption at Rest, Zugriffskontrolle |
| Betroffenenrechte | Können Kunden Auskunft/Löschung verlangen? | Dashboard mit Export/Löschfunktion |
| Widerspruch | Gibt es eine Alternative zur KI? | Weiterleitung an menschlichen Mitarbeiter |
| DSFA | Sensible Daten (Gesundheit, Recht)? | DSFA vor Inbetriebnahme durchführen |
| Dokumentation | Ist der KI-Einsatz dokumentiert? | Verarbeitungsverzeichnis + AI-Act-Doku |
Häufige Fragen zu DSGVO und KI-Telefonie
Darf ein KI-Telefonassistent Gespräche aufzeichnen?
Ja, unter bestimmten Bedingungen. Die Aufzeichnung muss einen klaren Zweck haben, der Anrufer muss darüber informiert werden, und es muss eine Rechtsgrundlage vorliegen — in der Regel die Einwilligung des Anrufers. Ohne diese Voraussetzungen ist eine Aufzeichnung nicht zulässig. Mit dem Zero Retention Mode umgehen Sie das Problem: Audiodaten werden nach der Verarbeitung automatisch gelöscht.
Ist eine Einwilligung für jeden Anruf erforderlich?
Nicht unbedingt. Bei eingehenden Anrufen greift häufig die Vertragsanbahnung oder das berechtigte Interesse als Rechtsgrundlage. Eine explizite Einwilligung ist primär dann erforderlich, wenn Gespräche aufgezeichnet oder für andere Zwecke als die unmittelbare Bearbeitung des Anliegens verwendet werden sollen.
Was passiert bei einer Datenpanne mit Sprachdaten?
Eine Datenpanne mit Sprachdaten muss innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO). Wenn ein hohes Risiko für die Betroffenen besteht, müssen auch diese informiert werden. Mit Zero Retention minimieren Sie das Risiko erheblich: Wenn keine Audiodaten gespeichert sind, können sie auch nicht gestohlen werden.
Brauche ich eine DSFA für meinen KI-Telefonassistenten?
Das hängt von Ihrer Branche und der Art der verarbeiteten Daten ab. In Arztpraxen, Kanzleien und bei Finanzdienstleistern ist eine DSFA in der Regel erforderlich. Für einen KI-Telefonassistenten, der ausschließlich Terminanfragen bearbeitet, ist sie empfehlenswert, aber nicht immer Pflicht. Die Bundesbeauftragte für den Datenschutz bietet Orientierungshilfen.
Wie stelle ich sicher, dass mein Anbieter DSGVO-konform ist?
Nutzen Sie die 10-Punkte-Checkliste in diesem Artikel. Prüfen Sie insbesondere: EU-Server-Standort, kein Modelltraining mit Kundendaten, AVV vorhanden, Zero Retention verfügbar, Transparenz-Modus eingebaut. Seriöse Anbieter stellen alle nötigen Nachweise proaktiv zur Verfügung.
Fazit: DSGVO-konforme KI-Telefonie ist machbar — und ein Wettbewerbsvorteil
DSGVO-konforme KI-Telefonie ist keine Bürokratie-Hürde — sie ist ein Qualitätsmerkmal. Kunden vertrauen Unternehmen, die transparent mit ihren Daten umgehen. Gerade bei Telefonaten, wo sensible Informationen ausgetauscht werden, entscheidet der Datenschutz darüber, ob Anrufer einem KI-System vertrauen.
Die wichtigsten Punkte auf einen Blick:
- EU-Server sind Pflicht — Keine Kompromisse beim Standort der Sprachdatenverarbeitung
- Zero Retention ist der Goldstandard — Automatische Löschung von Audiodaten nach der Verarbeitung
- AVV vor dem ersten Anruf — Ohne Auftragsverarbeitungsvertrag kein DSGVO-konformer KI-Einsatz
- Transparenz schafft Vertrauen — Anrufer über den KI-Einsatz informieren (DSGVO + AI Act)
- DSFA bei sensiblen Branchen — Gesundheit, Recht, Finanzen erfordern zusätzliche Prüfung
- Der richtige Anbieter vereinfacht alles — DSGVO-Compliance sollte eingebaut sein, nicht nachgerüstet
Datenschutz und KI-Telefonie sind kein Widerspruch. Mit dem richtigen Anbieter nutzen Sie die Vorteile automatisierter Telefonie — ohne Kompromisse beim Schutz persönlicher Daten. Und Ihre Kunden danken es Ihnen: mit Vertrauen, Loyalität und der Bereitschaft, ihre Anliegen einem KI-Assistenten anzuvertrauen.
DSGVO-konforme KI-Telefonie kostenlos testen
Europäische Server, Zero Retention Mode, DSGVO by design. In 5 Minuten startklar.
Jetzt kostenlos testenWeitere Artikel
KI Callcenter Automatisierung: Der komplette Guide 2026
Wie KI Callcenter Automatisierung Kosten senkt und Servicequalität steigert. Praxisbeispiele und ROI-Zahlen.
KI Telefonassistent: Die Zukunft der Kundeninteraktion
Entdecken Sie, wie ein KI Telefonassistent die Kundenkommunikation revolutioniert.
Automatisierung Geschäftsprozesse: Software intelligent vernetzen
Vernetzen Sie PropStack, Flowfact, CRM & 500+ Business-Tools intelligent. 6.906% ROI durch KI-gesteuerte Prozess-Automatisierung.