KI-Telefonassistent & DSGVO: Was ist erlaubt? (2026)
Rund 30 % aller Anrufe bei kleinen Dienstleistungsunternehmen bleiben unbeantwortet – während einer Behandlung, im Außendienst, abends, am Wochenende. Jeder dieser verpassten Anrufe kostet im Schnitt 80 bis 150 € entgangenen Umsatz, und oft wandert der Kunde direkt zum Wettbewerber, der ans Telefon geht. Ein KI-Telefonassistent fängt genau diese Anrufe auf. Trotzdem zögern viele Inhaber – aus einer sehr konkreten Sorge: „Ist das mit der DSGVO überhaupt erlaubt? Und drohen mir Bußgelder, wenn ich das falsch mache?”
Die kurze Antwort vorweg: Ja. Ein KI-Telefonassistent ist in Deutschland, Österreich und der Schweiz grundsätzlich DSGVO-konform und erlaubt. Es kommt nicht darauf an, ob Sie ihn einsetzen, sondern wie – also auf die Rechtsgrundlage, die Transparenz gegenüber dem Anrufer, das Hosting und die Einwilligung bei einer Aufzeichnung.
Das Wichtigste in Kürze
- Rechtsgrundlage: Ein KI-Telefonassistent verarbeitet personenbezogene Daten zulässig auf Basis von Art. 6 DSGVO – meist Vertragsanbahnung (lit. b) oder berechtigtes Interesse (lit. f).
- KI-Kennzeichnung: Sie müssen den Anrufer informieren, dass er mit einer KI spricht – das verlangt der EU AI Act (Art. 50), dessen Transparenzpflichten ab dem 02.08.2026 gelten.
- Auftragsverarbeitungsvertrag (AVV): Mit dem Anbieter ist ein AVV nach Art. 28 DSGVO Pflicht – ohne ihn ist der Einsatz formal rechtswidrig.
- EU-Hosting: Werden die Daten ausschließlich innerhalb der EU verarbeitet, entfällt die gesamte Drittland-Problematik.
- Einwilligung: Eine aktive Einwilligung brauchen Sie nur, wenn Sie das Gespräch dauerhaft aufzeichnen oder transkribieren – nicht für das reine Verstehen des Anliegens.
- Keine Vollautomatik bei Verträgen: Der Assistent darf keine bindende Einzelentscheidung mit rechtlicher Wirkung allein treffen (Art. 22 DSGVO).
Wichtiger Hinweis: Dieser Artikel ist eine fundierte rechtliche Orientierung, ersetzt aber keine Rechtsberatung im Einzelfall. Im Zweifel ziehen Sie Ihren Datenschutzbeauftragten (DSB) oder einen Fachanwalt hinzu.
Dieser Beitrag liefert mehr als Theorie: kopierbare Ansage-Bausteine für den Gesprächsbeginn, eine Go-live-Checkliste in acht Schritten und einen neutralen Prüfkatalog, mit dem Sie jeden Anbieter bewerten können. Wenn Sie zunächst die Grundlagen nachlesen möchten, finden Sie diese im Pillar-Artikel Was ist ein KI-Telefonassistent?. Und wer es lieber direkt ausprobiert: Sie können kostenlos einen Agenten erstellen und EU-konform testen.
Ist ein KI-Telefonassistent DSGVO-konform? Die kurze und die lange Antwort
Ja, ein KI-Telefonassistent verarbeitet personenbezogene Daten – Stimme, Name, Anliegen, Rufnummer – DSGVO-konform, sofern eine Rechtsgrundlage besteht, der Anrufer transparent informiert wird, ein Auftragsverarbeitungsvertrag vorliegt und die Daten datensparsam sowie innerhalb der EU verarbeitet werden.
Das ist die lange Antwort in einem Satz. Dahinter steckt ein wichtiges Missverständnis, das oft für Verunsicherung sorgt: „DSGVO-konform” ist keine Eigenschaft der Software an sich, sondern das Ergebnis Ihrer Umsetzung plus des Anbieter-Setups. Ein und dasselbe Werkzeug kann konform oder nicht-konform betrieben werden – je nachdem, wo es hostet, ob ein AVV existiert und wie Sie die Einwilligung handhaben. Es gibt also kein Siegel, das ein Produkt für immer „rechtssicher” macht.
Wann ist bei KI-Systemen die DSGVO zu berücksichtigen?
Sobald personenbezogene Daten verarbeitet werden. Bei einem KI-Telefonassistenten ist das praktisch immer der Fall, denn schon die Rufnummer und das gesprochene Anliegen sind personenbezogen. Daran ändert auch der Umstand nichts, dass die Verarbeitung „automatisiert” durch eine KI erfolgt – die Schwelle ist dieselbe wie bei jeder anderen Datenverarbeitung.
Entscheidend ist die Rollenverteilung: Sie, das einsetzende Unternehmen, sind der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Der KI-Anbieter handelt in Ihrem Auftrag und ist damit Auftragsverarbeiter. Aus dieser Konstellation folgt die Pflicht zum AVV, auf die wir später im Detail eingehen.
Den Rest dieses Artikels können Sie als Landkarte lesen. Wir arbeiten vier Stellschrauben ab, an denen sich Konformität entscheidet: die Rechtsgrundlage, die Transparenz (inklusive KI-Kennzeichnung nach AI Act), die Aufzeichnung und Einwilligung sowie Hosting und Drittlandtransfer. Hinzu kommen Checklisten, Branchen-Spezialfälle und der DACH-Überblick. Wie ein Anbieter das technisch absichert, lesen Sie auf der Produktseite Sicherheit.
Auf welcher Rechtsgrundlage darf ein KI-Telefonassistent Daten verarbeiten? (Art. 6 DSGVO)
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Für den KI-Telefonassistenten im Empfang sind drei davon einschlägig:
- Vertragserfüllung und -anbahnung (Art. 6 Abs. 1 lit. b): Der Klassiker für eingehende Anfragen. Wenn ein Anrufer einen Termin buchen oder ein Angebot anfordern möchte, ist die Datenverarbeitung zur Anbahnung oder Erfüllung des Vertrags zulässig.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Greift für die generelle Erreichbarkeit und Servicequalität – etwa wenn der Assistent allgemeine Rückrufe annimmt. Hier ist eine Interessenabwägung nötig, die Sie dokumentieren sollten.
- Einwilligung (Art. 6 Abs. 1 lit. a): Zwingend für die Aufzeichnung oder Transkription eines Gesprächs sowie für Marketing-Anrufe nach außen.
Eine grobe Zuordnung hilft in der Praxis:
| Anwendungsfall | Passende Rechtsgrundlage | Stolperfalle |
|---|---|---|
| Inbound-Terminbuchung | lit. b (Vertragsanbahnung) | Nur die wirklich nötigen Daten erfassen |
| Allgemeine Rückrufannahme | lit. f (berechtigtes Interesse) | Interessenabwägung dokumentieren |
| Gesprächsmitschnitt / Transkript | lit. a (Einwilligung) | Einwilligung muss vor der Aufnahme erfolgen |
| Marketing-Outbound | lit. a + UWG | Eigenes, strengeres Thema |
Sonderfall besondere Kategorien (Art. 9 DSGVO): Manchmal fallen besonders schützenswerte Daten an – etwa Gesundheitsdaten in einer Arztpraxis oder Hinweise auf Religion oder Gewerkschaftszugehörigkeit. Dann reicht eine Rechtsgrundlage nach Art. 6 nicht aus, es muss zusätzlich ein Ausnahmetatbestand des Art. 9 Abs. 2 vorliegen (etwa eine ausdrückliche Einwilligung). Mehr dazu im Branchen-Abschnitt.
Ist die Stimme ein biometrisches Datum?
Hier wird oft mehr Angst geschürt als nötig. Eine Stimmaufnahme ist nicht automatisch ein biometrisches Datum nach Art. 4 Nr. 14 DSGVO. Erst die gezielte technische Verarbeitung zur eindeutigen Identifizierung einer Person – also ein Stimmprofil oder eine Sprecher-Authentifizierung – macht die Stimme zu einem Datum der besonderen Kategorie nach Art. 9.
Das reine Verstehen des Anliegens, bei dem gesprochene Sprache in Text umgewandelt wird, ohne den Sprecher identifizieren zu wollen, löst Art. 9 in der Regel nicht aus. Daraus folgt eine klare Praxis-Empfehlung: Wer keine Stimmprofile und keine Sprecher-Authentifizierung einsetzt, braucht für die Sprachverarbeitung als solche keine Art.-9-Einwilligung. Eine Einwilligung kann dennoch für die Aufzeichnung nötig sein – das ist aber ein anderer Grund (dazu gleich).
Welche Rechtsgrundlage Sie auch wählen: Sie müssen sie dokumentieren können. Die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO verlangt diesen Nachweis – mehr dazu im Dokumentations-Abschnitt.
Muss ich den Anrufer informieren, dass er mit einer KI spricht? (EU AI Act Art. 50 & Art. 13 DSGVO)
Ja. Sie müssen den Anrufer zu Gesprächsbeginn klar und unübersehbar darüber informieren, dass er mit einem KI-System spricht. Das ergibt sich aus der Transparenzpflicht des EU AI Act (Art. 50, anwendbar ab dem 02.08.2026) und ergänzend aus den Informationspflichten der Art. 13 und 14 DSGVO.
Was verlangt Art. 50 konkret? Die KI-Interaktion muss für eine natürliche Person erkennbar sein – der Anrufer soll nicht im Unklaren darüber bleiben, dass am anderen Ende kein Mensch sitzt. Außerdem ist eine künstlich erzeugte, synthetische Stimme zu kennzeichnen. Damit beantwortet sich auch die häufige Suchfrage „Wie erkenne ich eine KI am Telefon?”: Sie erkennen sie daran, dass ein seriöser Anbieter sich von sich aus als KI zu erkennen gibt.
Kein Grund zur Panik vor dem „Hochrisiko”-Schreckgespenst: Ein gewöhnlicher KI-Telefonassistent für Empfang und Terminbuchung ist nach dem EU AI Act in der Regel kein Hochrisiko-System. Es gilt „nur” die Transparenzpflicht, nicht das schwere Hochrisiko-Regime mit Konformitätsbewertung und CE-ähnlichen Auflagen. Anbieter, die mit Hochrisiko-Drohungen Angst schüren, überzeichnen die Rechtslage.
Über die KI-Kennzeichnung hinaus muss der Anrufer auf die Datenverarbeitung hingewiesen werden. Am Telefon lösen Sie das mit einer Kurzansage, die auf die Datenschutzerklärung Ihrer Website verweist – die vollständigen Informationen müssen ja nicht am Telefon vorgelesen werden.
Eng damit verbunden ist das Recht, jederzeit mit einem Menschen zu sprechen. Seriöse Lösungen bieten einen Human-Fallback an: Der Anrufer kann jederzeit „mit einem Mitarbeiter sprechen”. Das ist nicht nur gute Praxis, sondern stützt auch die Anforderungen aus Art. 22 DSGVO (siehe Dokumentations-Abschnitt).
Plattformen wie Hanc.AI sind ausdrücklich auf den EU AI Act Art. 50 ausgelegt und geben sich zu Gesprächsbeginn als KI zu erkennen. Wie das technisch und organisatorisch umgesetzt wird, beschreibt die Produktseite Sicherheit. Ein erster kopierbarer Baustein: „Guten Tag, hier ist der digitale Assistent von [Firma]. Ich bin eine KI und helfe Ihnen gern weiter.” Die vollständigen Vorlagen folgen weiter unten.
Aufzeichnung, Transkription & Einwilligung: ab wann wird es heikel?
Hier liegt der sensibelste Punkt – und zugleich der, an dem die meisten Fehler passieren. Entscheidend ist eine Unterscheidung: Live-Verarbeitung (die KI versteht das Anliegen und reagiert, ohne dauerhaft Audio zu speichern) ist datenschutzrechtlich deutlich leichter zu rechtfertigen als eine dauerhafte Tonaufzeichnung oder ein Volltranskript. Letztere brauchen in der Regel eine aktive Einwilligung.
Eine Ampel macht die Lage greifbar:
| Stufe | Was passiert | Bewertung |
|---|---|---|
| 🟢 Grün | Live-Verstehen, strukturierte Notiz oder Zusammenfassung mit Rechtsgrundlage | Zulässig, geringes Risiko |
| 🟡 Gelb | Speicherung eines vollständigen Transkripts | Einwilligung empfohlen |
| 🔴 Rot | Heimliche Tonaufnahme ohne Hinweis | Unzulässig, ggf. strafbar |
§ 201 StGB – das oft übersehene Strafrecht: Das heimliche Aufzeichnen des nicht-öffentlich gesprochenen Wortes ist eine Straftat. Das betrifft auch das stille Mitschneiden eines Telefonats und kann nach verbreiteter Auffassung sogar reine Transkripte erfassen. Die Konsequenz ist eindeutig: Eine Aufzeichnung erfolgt niemals ohne vorherigen Hinweis und Einwilligung.
Für die Einwilligung am Telefon gibt es drei Mechaniken:
- DTMF-Tastendruck: „Für die Aufzeichnung drücken Sie bitte die 2.” Der Tastendruck lässt sich technisch protokollieren.
- Mündliches „Ja”: Eine klare Frage, eine klare Antwort – aufgezeichnet und protokollierbar.
- Konkludent: „Bleiben Sie in der Leitung.” – die rechtlich schwächste Variante.
An dieser Stelle gehen die Meinungen in der Fachliteratur auseinander: Manche halten das bloße „In-der-Leitung-bleiben” für vertretbar, andere für unzureichend. Unsere klare Empfehlung: Verlassen Sie sich nicht auf die konkludente Einwilligung. Sie ist umstritten und nicht revisionssicher. Die sichere Standardeinstellung ist eine aktive Bestätigung – ein mündliches „Ja” oder ein DTMF-Tastendruck, der sich zudem protokollieren lässt.
Die beste Strategie ist ohnehin, das Risiko gar nicht erst entstehen zu lassen. Der Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) legt nahe, statt eines vollständigen Audio-Archivs nur eine strukturierte Zusammenfassung oder Notiz zu speichern. Das reduziert Risiko und Einwilligungsbedarf zugleich.
Ein Hinweis zur Abgrenzung: Ausgehende Werbeanrufe (Outbound-Marketing) sind ein eigenes, strengeres Thema mit zusätzlichen Anforderungen aus UWG und DSGVO. Dieser Beitrag behandelt den Empfangs-Einsatz – also eingehende Anrufe.
Kopierbare Ansage- & Einwilligungs-Skripte für den Gesprächsbeginn
Die folgenden Bausteine können Sie übernehmen und an Ihren Fall anpassen. Sie schließen genau die Lücke, die rein juristische Ratgeber lassen: konkrete, einsetzbare Formulierungen.
Baustein 1 – Begrüßung mit KI-Kennzeichnung (ohne Aufzeichnung) Einsetzbar, wenn nur live verarbeitet wird:
„Guten Tag, hier ist der digitale Assistent von [Firma]. Ich bin eine KI und helfe Ihnen gern bei Ihrem Anliegen. Wie kann ich Sie unterstützen?”
Baustein 2 – Begrüßung mit DSGVO-Hinweis (Art. 13) Mit Verweis auf die Datenschutzerklärung (dabei steht „[Firma].de/datenschutz” als Platzhalter für Ihre eigene Kunden-Domain):
„Guten Tag, hier spricht der KI-Assistent von [Firma]. Ihre Angaben verarbeiten wir, um Ihr Anliegen zu bearbeiten. Weitere Informationen zum Datenschutz finden Sie auf unserer Website unter [Firma].de/datenschutz.”
Baustein 3 – Aktive Einwilligung zur Aufzeichnung (mündlich)
„Damit wir Ihr Anliegen genau bearbeiten können, möchten wir dieses Gespräch aufzeichnen. Sind Sie damit einverstanden? Bitte antworten Sie mit Ja oder Nein.” Bei „Nein”: „Selbstverständlich. Wir zeichnen nicht auf und ich notiere nur das Nötigste. Wie kann ich Ihnen helfen?”
Baustein 4 – Einwilligung per DTMF-Tastendruck
„Wenn Sie mit der Aufzeichnung dieses Gesprächs einverstanden sind, drücken Sie bitte die 2. Wenn Sie nicht möchten, drücken Sie keine Taste – dann führen wir das Gespräch ohne Aufzeichnung.” (Der Tastendruck wird mit Zeitstempel protokolliert.)
Baustein 5 – Human-Fallback
„Sie können jederzeit mit einem Mitarbeiter sprechen – sagen Sie einfach ‚Mitarbeiter’, und ich verbinde Sie weiter.”
Drei branchenspezifische Komplett-Begrüßungen als Vorlage:
- Arztpraxis: „Guten Tag, hier ist der digitale Assistent der Praxis [Name]. Ich bin eine KI und helfe Ihnen bei Terminen und allgemeinen Fragen. Bitte teilen Sie mir keine sensiblen Gesundheitsdaten mit – diese besprechen Sie persönlich mit dem Praxisteam.”
- Kanzlei: „Guten Tag, Sie sprechen mit dem KI-Assistenten der Kanzlei [Name]. Ich nehme Ihr Anliegen vertraulich auf und leite es an die zuständige Person weiter. Möchten Sie einen Rückruf oder einen Termin vereinbaren?”
- Handwerk: „Guten Tag, hier ist der digitale Assistent von [Betrieb]. Ich bin eine KI und nehme Ihre Anfrage gern auf – für einen Rückruf oder einen Vor-Ort-Termin. Worum geht es?”
Ein Praxis-Hinweis: Bei mehrsprachigem Betrieb müssen Ansage und Einwilligung in der Sprache des Anrufers erfolgen, sonst ist die Einwilligung nicht informiert. Lösungen mit Sprachwechsel im Gespräch und vielen Sprachen erleichtern das erheblich. Welche Rollen sich wie konfigurieren lassen, sehen Sie unter Agenten-Rollen.
Und noch einmal der Disclaimer: Diese Skripte sind Vorlagen. Passen Sie sie an Ihren konkreten Fall an und stimmen Sie sie mit Ihrem Datenschutzbeauftragten ab.
Auftragsverarbeitungsvertrag (AVV) & EU-Hosting: der Anbieter als Datenschutz-Risiko
Sobald ein externer KI-Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet, müssen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen. Ohne AVV ist der Einsatz formal rechtswidrig – unabhängig davon, wie sauber alles andere geregelt ist.
Was muss im AVV stehen? Mindestens:
- Gegenstand und Zweck der Verarbeitung
- Weisungsbindung des Auftragsverarbeiters
- Vertraulichkeitsverpflichtung
- technische und organisatorische Maßnahmen (TOM)
- Regelung zu Sub-Prozessoren
- Löschung oder Rückgabe der Daten nach Vertragsende
Sub-Prozessoren transparent machen: Ein KI-Telefonassistent besteht selten aus einem einzigen Dienst. Telefonie, Sprachmodell und Hosting können bei verschiedenen Unter-Dienstleistern liegen. Seriöse Anbieter legen offen, welche das sind und wo sie sitzen. Das ist besonders kritisch, wenn ein US-amerikanischer Modell-Anbieter im Spiel ist.
Der einfachste sichere Weg ist EU-Hosting. Werden die Daten ausschließlich innerhalb der EU verarbeitet, entfällt die gesamte Drittland-Problematik. Sie müssen sich dann weder mit Standardvertragsklauseln noch mit Transfer Impact Assessments beschäftigen.
Wenn ein Anbieter doch in die USA überträgt, brauchen Sie eine Transfergrundlage: entweder das EU-U.S. Data Privacy Framework (in Kraft seit Juli 2023) oder Standardvertragsklauseln (SCC) plus ein Transfer Impact Assessment (TIA). Ohne eine dieser Grundlagen ist der Transfer im Sinne der Schrems-II-Rechtsprechung angreifbar.
Eine Frage, die in keiner Anbieter-Prüfung fehlen darf: Werden meine Gesprächsdaten zum Training der KI-Modelle genutzt? Konforme Anbieter schließen das vertraglich aus.
Als Positiv-Muster: Hanc.AI wird von der Good Point GmbH (FN 618845t, Wien) betrieben – verifizierbar auf firmenbuch.at. Das Hosting läuft auf Microsoft Azure EU (Region West Europe), und es werden keine Daten aus der EU übertragen. Damit entfällt die Drittland-Frage, ein AVV liegt vor, und die Konformität mit DSGVO, österreichischem DSG und schweizerischem revDSG ist gegeben. Die technischen Sicherheitsmerkmale dahinter beschreibt die Seite zur Sicherheit, und welche Systeme sich anbinden lassen, finden Sie unter Integrationen.
Datensparsamkeit, Löschfristen & Sicherheitsmaßnahmen technisch umgesetzt
Datenschutz ist nicht nur Vertragswerk, sondern auch Technik und Voreinstellung.
Datenminimierung (Art. 5 Abs. 1 lit. c): Erfassen Sie nur, was für den Zweck erforderlich ist – Rufnummer und Anliegen ja, ein unnötiges Audio-Archiv nein. Wo möglich, helfen Pseudonymisierung und das automatische Schwärzen sensibler Angaben.
Löschkonzept und Löschfristen: Legen Sie definierte Aufbewahrungsfristen für Gesprächs- und Kontaktdaten fest und setzen Sie diese automatisiert durch, etwa durch eine automatische Löschung nach einer festgelegten Anzahl von Tagen. Die konkrete Frist hängt vom Zweck und der Branche ab – ein bloßer Rückrufwunsch braucht keine monatelange Speicherung, während aus Aufträgen entstandene Geschäftsunterlagen eigenen handels- und steuerrechtlichen Fristen unterliegen.
Konkrete technische Maßnahmen, an denen Sie einen seriösen Anbieter erkennen:
- Verschlüsselung der gespeicherten Daten (z. B. AES-256)
- Verschlüsselung der Übertragung (z. B. TLS 1.3)
- Zugriffskontrollen und Rollenkonzepte
- automatische Lösch-Jobs
- gegebenenfalls ein SOC-2-Nachweis
Speicher-Voreinstellung „Zusammenfassung statt Audio”: Eine strukturierte Gesprächsnotiz statt eines Rohaudios reduziert Datenmenge, Risiko und Einwilligungsbedarf gleichzeitig. Das ist die beste Voreinstellung.
Prüfen Sie außerdem die Standardeinstellungen: Ist die Aufzeichnung ab Werk an oder aus? Privacy by Default (Art. 25 DSGVO) verlangt die datensparsame Voreinstellung – also Aufzeichnung standardmäßig aus. Diese Merkmale fließen direkt in den Prüfkatalog im nächsten Abschnitt ein.
Welche KI-Systeme sind DSGVO-konform? Checkliste für die Anbieterwahl
DSGVO-konform sind jene KI-Telefonassistenten, die EU-gehostet sind, einen AVV bereitstellen, datensparsam voreingestellt sind und die Gesprächsdaten nicht fürs Modelltraining nutzen. Vendor-Seiten loben sich allerdings gern selbst. Was fehlt, ist ein neutrales Raster. Hier ist es – abhakbar für jeden Anbieter:
- Serverstandort EU/Deutschland?
- Werden Daten aus der EU übertragen oder US-Sub-Prozessoren eingesetzt?
- AVV nach Art. 28 verfügbar und unterschriftsbereit?
- Sub-Prozessoren offengelegt (Telefonie, Sprachmodell, Hosting)?
- Werden Daten zum Modelltraining genutzt – ja oder nein?
- Aufzeichnung standardmäßig aus (Privacy by Default)?
- Löschfristen konfigurierbar?
- KI-Kennzeichnung nach Art. 50 unterstützt?
- Human-Fallback möglich?
- Verschlüsselung und Zertifikate nachgewiesen?
- Anbieter rechtlich greifbar (EU-Sitz, im Register verifizierbar)?
Maßgeblich ist also, dass diese Punkte erfüllt sind – nicht das Buzzword auf der Landingpage entscheidet, sondern Hosting, AVV, Voreinstellungen und der vertragliche Ausschluss des Trainings.
Rote Flaggen, bei denen Sie vorsichtig sein sollten:
- kein AVV angeboten
- Hosting nur in den USA ohne Transfergrundlage
- Aufzeichnung ab Werk aktiviert
- keine Auskunft zum Modelltraining
- Anbieter nicht rechtlich greifbar
Als Referenzzeile (ohne Preisangabe): Hanc.AI – EU-Hosting auf Azure West Europe, keine EU-Datenübertragung, AVV vorhanden, EU AI Act Art. 50 unterstützt, Betreiber im Firmenbuch verifizierbar. Die Details lesen Sie auf der Sicherheitsseite. Für die eigentliche Kaufentscheidung lohnt zusätzlich ein Blick auf Funktionen und Preise.
Go-live-Checkliste: KI-Telefonassistent in 8 Schritten DSGVO-konform einführen
Eine konkrete Roadmap mit Verantwortlichkeiten – damit aus „erlaubt” auch „umgesetzt” wird:
- Anwendungsfall und Rechtsgrundlage festlegen (Art. 6). Verantwortlich: Geschäftsführung / DSB.
- Anbieter nach Prüfkatalog auswählen und AVV abschließen (Art. 28).
- Begrüßungs- und Einwilligungs-Skript aufsetzen – aus den obigen Vorlagen, mit KI-Kennzeichnung (Art. 50).
- Datensparsame Einstellungen aktivieren – Zusammenfassung statt Audio, Aufzeichnung nur mit Einwilligung, Löschfristen setzen.
- Datenschutzerklärung ergänzen – die KI-Telefonie auf der Website aufnehmen und in der Ansage darauf verweisen.
- Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisieren und prüfen, ob eine DSFA nötig ist (siehe nächster Abschnitt).
- Betroffenenrechte-Prozess einrichten – Auskunft, Löschung und Widerruf umsetzbar machen, Einwilligungs-Logging aktivieren.
- Mitarbeiter informieren, Human-Fallback testen, live gehen – und iterativ nachjustieren.
Der technische Teil ist dabei der schnellste: Mit einer Lösung ohne Programmierung ist der Assistent in 60 Sekunden eingerichtet. Die eigentliche Sorgfalt liegt im Datenschutz-Setup, nicht in der Technik. Wenn Sie das ausprobieren möchten, können Sie kostenlos einen Agenten erstellen – ohne Kreditkarte. Die zugehörigen Funktionen finden Sie unter Produkt-Funktionen, und Ihre eigene Datenschutz-Grundlage liefert die Seite Datenschutz.
Dokumentations- & Nachweispflichten: DSFA, VVT und revisionssicheres Einwilligungs-Logging
Die DSGVO verlangt nicht nur Konformität, sondern auch deren Nachweis. Die Rechenschaftspflicht (Art. 5 Abs. 2) bedeutet: Sie müssen belegen können, dass alles korrekt läuft – gewählte Rechtsgrundlage, AVV, Einwilligungen und Löschkonzept gehören dokumentiert.
Verzeichnis von Verarbeitungstätigkeiten (VVT, Art. 30): Nehmen Sie die KI-Telefonie als eigene Verarbeitungstätigkeit auf. Hinein gehören Zweck, betroffene Datenkategorien, Empfänger und Löschfristen.
Datenschutz-Folgenabschätzung (DSFA, Art. 35): Hier hilft eine nüchterne Einordnung. Ein einfacher Empfangs-Assistent ohne Profiling und ohne Biometrie löst meist keine DSFA-Pflicht aus. Anders kann es liegen, wenn Sie eine Sentiment-Analyse, Stimmprofile oder eine sehr hohe Reichweite einsetzen – dann kann eine DSFA und unter Umständen eine Vorabkonsultation der Aufsichtsbehörde (Art. 36) erforderlich werden.
DSB-Pflicht (§ 38 BDSG): In Deutschland ist ein Datenschutzbeauftragter unter bestimmten Schwellen zu benennen. In Österreich und der Schweiz gelten abweichende Regeln. Im Zweifel klären Sie das mit fachkundiger Beratung.
Revisionssicheres Einwilligungs-Logging: Damit eine Einwilligung später nachweisbar ist (Art. 7 Abs. 1), sollten Sie protokollieren: Zeitstempel, den Wortlaut der Einwilligungsabfrage, die Antwort (Ja oder DTMF-Tastendruck) und eine Gesprächs-ID.
Betroffenenrechte konkret umsetzbar machen:
- Auskunft inklusive einer Kopie einer etwaigen Aufnahme (Art. 15)
- Berichtigung falsch transkribierter Namen (Art. 16)
- Löschung (Art. 17)
- Datenportabilität, etwa als JSON oder CSV (Art. 20)
- Widerruf der Einwilligung – auch noch während des Gesprächs (Art. 7 Abs. 3)
- Widerspruch bei berechtigtem Interesse (Art. 21)
Art. 22 DSGVO – keine reine Automatik bei bindenden Entscheidungen: Ein KI-Assistent darf keine ausschließlich automatisierte Einzelentscheidung mit rechtlicher Wirkung treffen. Er sollte also zum Beispiel keinen verbindlichen Vertrag eigenständig final abschließen. Der Human-Fallback und eine finale menschliche Freigabe sichern das ab. Wie Sie diese Prozesse dokumentieren, unterstützt auch die Seite Datenschutz.
Bußgelder & Strafen: Was kostet ein DSGVO-Verstoß wirklich?
Konkrete Zahlen statt vager Drohungen:
Der DSGVO-Bußgeldrahmen reicht für schwere Verstöße bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für formale Verstöße, etwa einen fehlenden AVV, gilt ein Rahmen von bis zu 10 Mio. € oder 2 %.
Hinzu kommt die strafrechtliche Ebene: Die heimliche Tonaufzeichnung ist nach § 201 StGB eine Straftat und kann mit Freiheits- oder Geldstrafe geahndet werden. Das trifft die handelnde natürliche Person, nicht nur das Unternehmen.
Realistisch eingeordnet – und ohne Alarmismus: Die existenzbedrohenden Maximalbeträge zielen auf Konzerne. Für ein kleines Unternehmen sind in der Praxis Abmahnungen, Anordnungen der Aufsichtsbehörde, Schadensersatzansprüche (Art. 82) und der Reputationsschaden relevanter. Das Risiko ist real, aber es ist vollständig vermeidbar.
Die häufigsten vermeidbaren Fehler, die zu Verfahren führen: fehlender AVV, heimliche Aufzeichnung, fehlende KI-Kennzeichnung, ungeklärter US-Datentransfer und eine fehlende Datenschutzerklärung. Mit der Go-live-Checkliste oben ist dieses Risiko in wenigen Stunden Arbeit beherrschbar – Konformität ist Aufwand, kein Hindernis.
Branchen-Spezialfälle: Arztpraxis, Kanzlei, Finanzdienstleister & Beschäftigtendaten
Je nach Branche kommen besondere Anforderungen hinzu.
Arztpraxis: Gesundheitsdaten sind besondere Kategorien nach Art. 9 DSGVO, dazu kommt die ärztliche Schweigepflicht. Datensparsamkeit ist hier besonders wichtig. Der Assistent darf Anliegen aufnehmen und Termine buchen, sollte aber sensible Diagnosedaten möglichst gar nicht erst erfassen. Mehr zu diesem Einsatz lesen Sie unter Arztpraxis und im Beitrag KI-Telefonassistent für die Arztpraxis.
Kanzlei und Steuerberatung: Hier gelten die berufliche Verschwiegenheit und § 203 StGB (Verletzung von Privatgeheimnissen). Der Anbieter muss als Berufsgeheimnis-Gehilfe sauber per AVV eingebunden und EU-gehostet sein. Mandatsdaten gehören nicht ins Drittland. Details unter Anwalt und Steuerberater.
Finanzdienstleister: Ein Sonderfall mit umgekehrtem Vorzeichen. Die MiFID-II-Pflichtaufzeichnung kann bestimmte Beratungs- und Ordergespräche zur Aufzeichnung verpflichten. Hier kollidiert nicht der Datenschutz mit der Aufzeichnung – die Aufzeichnung ist gesetzlich gefordert. Das ist ein anderer Rechtsrahmen, den Sie sauber abgrenzen sollten.
Handwerk: Meist unkritisch. Auftragsanbahnung (lit. b) und Rückrufannahme sind die Standardfälle, die Hürde ist gering – ein gutes Einstiegs-Szenario. Mehr unter Handwerk.
Beschäftigtendatenschutz: Setzen Sie mitarbeiterbezogene Rollen ein – etwa eine interne Assistenz für HR-Anliegen –, wird § 26 BDSG relevant. Informieren Sie Ihre Mitarbeiter über den KI-Einsatz und beachten Sie gegebenenfalls die Mitbestimmung des Betriebsrats. Welche Rollen verfügbar sind, zeigt die Seite Agenten-Rollen.
Schließlich ein Hinweis über die DSGVO hinaus: Für Telekommunikation und den Zugriff auf Endeinrichtungen kann zusätzlich das TDDDG (früher TTDSG) einschlägig sein. Das sollte man kennen, ohne das Thema zu überfrachten.
DACH-Überblick: Was in Österreich (DSG) und der Schweiz (revDSG) zusätzlich gilt
Die DSGVO ist nur ein Teil des Bildes – DACH ist breiter.
Österreich: Es gilt die DSGVO unmittelbar, ergänzt durch das österreichische Datenschutzgesetz (DSG). Aufsichtsbehörde ist die Datenschutzbehörde (DSB). Ein strafrechtlicher Schutz vor heimlichen Aufnahmen besteht analog. KI-Kennzeichnung und AVV gelten gleichermaßen.
Schweiz: Die Schweiz ist kein EU-Mitglied. Hier gilt das revidierte Datenschutzgesetz (revDSG), in Kraft seit dem 01.09.2023. Die Prinzipien ähneln der DSGVO – Transparenz, Verhältnismäßigkeit, Regelung der Auftragsbearbeitung –, doch die Begriffe sind eigene, und die hohen DSGVO-Bußgeldrahmen gelten nicht. Aus EU-Sicht ist der Datentransfer in die Schweiz durch einen Angemessenheitsbeschluss abgesichert.
Die praktische Konsequenz ist erfreulich einfach: Wer EU-gehostet und DSGVO-konform aufgestellt ist, erfüllt in der Regel auch das österreichische DSG und liegt für das schweizerische revDSG auf der sicheren Seite. Ein gemeinsamer Standard deckt damit den gesamten DACH-Raum ab. Hanc.AI ist explizit auf DSGVO, österreichisches DSG und schweizerisches revDSG ausgelegt – ein Setup für die ganze Region.
Zum EU AI Act: Er gilt unmittelbar EU-weit, also auch in Österreich. Die Schweiz orientiert sich daran, ist aber nicht direkt gebunden – Transparenz gegenüber dem Anrufer bleibt dort dennoch Best Practice.
Häufige Fragen
Ist ein KI-Telefonassistent DSGVO-konform? Ja, bei korrekter Umsetzung. Erforderlich sind eine Rechtsgrundlage nach Art. 6 DSGVO, Transparenz gegenüber dem Anrufer, ein Auftragsverarbeitungsvertrag, EU-Hosting sowie eine Einwilligung, falls das Gespräch aufgezeichnet wird. Die Konformität ergibt sich aus Ihrer Umsetzung, nicht aus einem Produktsiegel.
Muss ich den Anrufer informieren, dass er mit einer KI spricht? Ja. Der EU AI Act (Art. 50, anwendbar ab dem 02.08.2026) und die Art. 13 und 14 DSGVO verlangen einen klaren, unübersehbaren Hinweis zu Gesprächsbeginn. Eine kurze Begrüßung, in der sich der Assistent als KI zu erkennen gibt, erfüllt diese Pflicht.
Wann ist bei KI-Systemen die DSGVO zu berücksichtigen? Sobald personenbezogene Daten verarbeitet werden. Bei einem Telefonassistenten ist das praktisch immer der Fall, da bereits die Rufnummer und das gesprochene Anliegen personenbezogen sind. Dass die Verarbeitung automatisiert erfolgt, ändert an dieser Schwelle nichts.
Welche KI-Systeme sind DSGVO-konform? Jene mit EU-Hosting, einem verfügbaren AVV, datensparsamen Voreinstellungen und ohne Nutzung der Gesprächsdaten für das Modelltraining. Maßgeblich ist der Prüfkatalog in diesem Artikel – nicht das Marketing-Versprechen auf der Landingpage.
Darf ich Telefongespräche mit der KI aufzeichnen? Nur mit vorheriger Einwilligung des Anrufers. Eine heimliche Aufzeichnung ist nach § 201 StGB strafbar. Sicherer und meist ausreichend ist es, statt eines vollständigen Mitschnitts nur eine strukturierte Zusammenfassung zu speichern.
Ist die Stimme ein biometrisches Datum? Nicht automatisch. Erst die gezielte Verarbeitung zur eindeutigen Identifizierung – etwa ein Stimmprofil oder eine Sprecher-Authentifizierung – macht die Stimme zu einem Datum der besonderen Kategorie nach Art. 9 DSGVO. Reines Verstehen des Anliegens löst Art. 9 in der Regel nicht aus.
Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)? Ein einfacher Empfangs-Assistent ohne Profiling und Biometrie meist nicht. Bei Sentiment-Analyse, Stimmprofilen oder sehr hoher Reichweite kann eine DSFA nach Art. 35 DSGVO erforderlich werden – im Zweifel mit dem DSB klären.
Sind US-Anbieter erlaubt? Nur mit einer Transfergrundlage – dem EU-U.S. Data Privacy Framework oder Standardvertragsklauseln plus Transfer Impact Assessment. Der einfachere und sicherere Weg ist ein Anbieter mit reinem EU-Hosting, bei dem die Drittland-Frage gar nicht erst entsteht.
Fazit: DSGVO-konform telefonieren ist eine Frage der Umsetzung, nicht des Ob
Ein KI-Telefonassistent ist in ganz DACH erlaubt und machbar. Entscheidend sind sechs Dinge: eine saubere Rechtsgrundlage nach Art. 6, Transparenz inklusive KI-Kennzeichnung nach Art. 50, ein Auftragsverarbeitungsvertrag, EU-Hosting, eine Einwilligung bei Aufzeichnung und konsequente Datensparsamkeit. Mit der Go-live-Checkliste und dem Anbieter-Prüfkatalog stellen Sie Konformität in überschaubarer Zeit her.
Wenn Sie es selbst sehen möchten: Sie können kostenlos einen Agenten erstellen und einen EU-gehosteten Anbieter ohne Kreditkarte testen. Konkrete Preisdetails finden Sie auf der Seite Preise.
Ein letzter Hinweis: Dieser Artikel ersetzt keine Rechtsberatung im Einzelfall. Im Zweifel beziehen Sie Ihren Datenschutzbeauftragten oder einen Fachanwalt ein. Als Orientierung, wie ein im Firmenbuch verifizierbarer, EU-gehosteter Anbieter aussieht, dient das Beispiel Hanc.AI der Good Point GmbH aus Wien (FN 618845t).
Verwandte Artikel
- Was ist ein KI-Telefonassistent? – der Grundlagen-Artikel für den Einstieg ins Thema.
- Was kostet ein KI-Telefonassistent? – Kosten und Tarife mit konkreten Zahlen.
- Lohnt sich ein KI-Telefonassistent für kleine Unternehmen? – Einordnung für KMU.
- KI-Telefonassistent für die Arztpraxis – Branchen-Vertiefung für gesundheitsbezogene Daten.
- KI im Kundenservice rund um die Uhr – Erreichbarkeit ohne Nachtschicht.