Für viele Unternehmen ist KI Telefonassistent DSGVO inzwischen keine abstrakte Suchanfrage mehr, sondern eine echte Go-live-Frage. Darf KI Anrufe annehmen? Reicht ein Hinweis? Brauche ich immer eine Einwilligung? Was ist mit Gesundheitsdaten, Kanzleiinhalten oder US-Servern? Und was ändert der EU AI Act wirklich?

Die ehrliche Antwort lautet: Ein KI Telefonassistent ist grundsätzlich erlaubt, aber nicht schrankenlos. Die Rechtslage ist weder so liberal, wie manche Sales-Seiten suggerieren, noch so restriktiv, wie manche Compliance-Abteilungen befürchten. Der Unterschied liegt im Setup.

Meist erlaubt Live-Verarbeitung für Rückruf, Terminwunsch oder Erstqualifizierung mit klarer Information und minimaler Speicherung.
Grauzone Volltranskripte, emotionale Analyse, US-Subprozessoren oder berechtigtes Interesse bei sensiblen Gesprächen.
Klar riskant Heimliche Aufzeichnung, unnötige Vollspeicherung, kein AVV, keine Transparenz und unklare Datenflüsse.

Ist ein KI Telefonassistent überhaupt erlaubt?

Ja. Weder die DSGVO noch der EU AI Act verbieten pauschal einen Telefonassistenten mit KI. Entscheidend ist vielmehr, ob die Verarbeitung auf einer tauglichen Rechtsgrundlage beruht, ob Anrufer transparent informiert werden und ob Zweck, Speicherlogik und Zugriffskontrolle sauber definiert sind. Die Grundlage dafür liefern vor allem Art. 4, 5, 6, 13, 28 und 44 DSGVO.

Auch der EU AI Act Telefonassistent macht nicht automatisch zum Hochrisiko-System. Aus der Struktur des AI Act folgt in der Praxis: Ein Kundenservice-Voicebot ist allein wegen der Interaktion mit Menschen typischerweise kein High-Risk-System, sondern fällt eher in den Transparenzbereich. Relevant ist hier vor allem Art. 50 AI Act, der für KI-Systeme mit direkter Interaktion mit natürlichen Personen eine Informationspflicht vorsieht.

Wichtig ist der Zeitpunkt: Nach den offiziellen FAQ der EU-Kommission gelten die meisten AI-Act-Pflichten für solche Transparenzregeln ab dem 2. August 2026. Das ist ein konkretes Datum, kein vages „irgendwann 2026“. Nachlesen lässt sich das in den FAQ der EU-Kommission zum AI Act.

Welche Daten ein KI Telefonassistent wirklich verarbeitet

Viele reden bei AI Telefonassistent Datenschutz nur über Telefonnummern. Das greift zu kurz. Ein Voicebot verarbeitet regelmäßig deutlich mehr:

Datenart Warum personenbezogen? Wo wird es heikel?
Telefonnummer, Name, Rückrufwunsch Direkter Personenbezug nach Art. 4 DSGVO Bei fehlender Rechtsgrundlage oder unnötig langer Speicherung
Gesprächsinhalte und Transkripte Anliegen, Kundendaten, Vertragsbezug, Beschwerdeinhalte Wenn Volltranskripte dauerhaft gespeichert oder intern weiterverteilt werden
Stimme und Audio Kann eine Person direkt oder indirekt identifizierbar machen Noch kritischer bei Aufnahme, Analyse oder Training
Emotion, Stress, Gesundheits- oder Falldetails Kann in besondere Kategorien oder sensible Kontexte kippen Arztpraxis, Kanzlei, Beschwerde-Eskalation, biometrische Nutzung

Gerade der Punkt Stimme wird oft falsch verstanden. Nicht jede Stimme ist automatisch ein besonders geschütztes Datum. Aber sobald Sprachdaten gezielt zur eindeutigen Identifizierung verarbeitet werden, bewegen Sie sich Richtung biometrischer Daten im Sinne von Art. 4 Nr. 14 DSGVO. Und sobald im Gespräch Gesundheitsdaten oder andere besonders sensible Inhalte fallen, greift zusätzlich Art. 9 DSGVO.

Die praktische Folge: Telefonnummern, Gesprächsinhalte und Stimmdaten sind keine Nebensache. Wer KI Telefonie rechtlich in Deutschland sauber bewerten will, muss genau diese Datentiefe prüfen.

Die 5 entscheidenden DSGVO-Voraussetzungen

  1. 1

    Rechtsgrundlage nach Art. 6 DSGVO

    Ohne Rechtsgrundlage ist die Diskussion sofort vorbei. In vielen Fällen kommen Vertragserfüllung oder berechtigtes Interesse in Betracht, etwa wenn ein Anrufer einen Termin vereinbaren, einen Rückruf erhalten oder eine einfache Serviceanfrage stellen will. Einwilligung ist wichtig, aber nicht immer die einzige Rechtsgrundlage.

    Praxisbeispiel: Eine Werkstatt lässt von der KI Namen, Nummer und Anliegen für einen Rückruf aufnehmen. Das kann anders zu bewerten sein als eine vollständige Aufzeichnung jedes Gesprächs zur Qualitätsanalyse.

  2. 2

    Transparenzpflicht und KI-Hinweis

    Anrufer müssen früh und verständlich erfahren, dass sie mit einem automatisierten System sprechen und wofür Daten verarbeitet werden. Das folgt schon aus Art. 13 DSGVO. Ab dem 2. August 2026 kommt für solche Systeme zusätzlich die AI-Act-Transparenz nach Art. 50 hinzu.

    Praxisbeispiel: „Sie sprechen mit unserem KI-Telefonassistenten. Wir erfassen Ihre Kontaktdaten und Ihr Anliegen zur Bearbeitung Ihres Anrufs.“ Wenn aufgezeichnet wird, muss genau das ebenfalls klar gesagt werden.

  3. 3

    Datenminimierung statt Audio-Archiv

    DSGVO KI Telefonie scheitert oft nicht an der Erhebung, sondern an der Sammelwut danach. Für viele Use Cases reichen strukturierte Felder wie Name, Telefonnummer, Zeitfenster und eine kurze Zusammenfassung. Ein dauerhaftes Volltranskript ist rechtlich deutlich anspruchsvoller.

    Praxisbeispiel: Eine Praxis braucht für eine Rückrufliste selten das gesamte Gespräch, sondern nur Name, Nummer und Grund des Anrufs.

  4. 4

    Sicherheit, Zugriff und Löschlogik

    Verschlüsselung, Rollenrechte, Protokollierung, kurze Speicherfristen und geregelte Löschung sind keine IT-Kosmetik. Sie gehören zur Rechtmäßigkeit dazu. In riskanteren Setups kann zusätzlich eine Datenschutz-Folgenabschätzung zu prüfen sein.

    Praxisbeispiel: Wenn Call-Transkripte unkontrolliert per Mail an mehrere Teams gehen oder monatelang im CRM liegen bleiben, ist das selten noch datensparsam.

  5. 5

    Auftragsverarbeitung und Drittland-Transfers

    Wenn der Anbieter Daten für Ihr Unternehmen verarbeitet, brauchen Sie in aller Regel einen AVV nach Art. 28 DSGVO. Sobald Subanbieter außerhalb der EU beteiligt sind, kommen zusätzlich die Regeln zu Drittlandübermittlungen nach Art. 44 ff. DSGVO ins Spiel.

    Praxisbeispiel: Ein Voicebot klingt datenschutzfreundlich, nutzt im Hintergrund aber mehrere US-Dienste ohne klar dokumentierte Transfergrundlage. Genau dort wird ein an sich gutes Tool zum Compliance-Risiko.

Die größten DSGVO-Fehler bei KI Telefonassistenten

Die größten Fehler sind selten juristische Exoten. Es sind Standardfehler, die im Live-Betrieb dauernd passieren:

Keine KI-Kennzeichnung

Der Anrufer denkt, er spricht mit einem Menschen. Das ist schon heute unfair und ab 2. August 2026 für viele Voicebot-Setups auch AI-Act-relevant.

Daten bleiben zu lange liegen

Audio, Transkripte und CRM-Notizen werden gesammelt, ohne echten Zweck und ohne klare Löschregel. Genau dort kippt Datenminimierung.

US-Server ohne saubere Schutzmechanik

Nicht jeder US-Bezug ist automatisch illegal. Aber ohne Transparenz, vertragliche Grundlage und Prüfung wird es unnötig riskant.

Einwilligung dort vergessen, wo sie wirklich zählt

Besonders bei Aufzeichnung, Trainingsnutzung oder sensiblen Daten wird aus „wird schon gehen“ schnell ein echter Verstoß.

Kein Human-Fallback

Rechtlich nicht in jedem Fall ausdrücklich vorgeschrieben, praktisch aber oft nötig, damit sensible oder eskalierte Fälle sauber landen.

Training mit Gesprächen ohne klare Freigabe

Viele Teams unterschätzen, wie heikel es ist, produktive Kundengespräche für Modellverbesserung weiterzuverwenden.

Die größte Grauzone: Muss der Anrufer zustimmen?

Genau hier wird Konkurrenz-Content oft schwach. Die einen sagen: immer Einwilligung. Die anderen sagen: nie nötig. Beides ist zu grob. Die richtige Antwort hängt an Art der Verarbeitung, Datentiefe und Zweck.

Häufig ohne Einwilligung darstellbar

Live-Verarbeitung für Terminwunsch, Rückruf oder Erstqualifizierung mit transparenter Information und minimaler Speicherung.

Echte Grauzone

Volltranskripte, Qualitätsauswertung, emotionale Analyse oder berechtigtes Interesse bei gemischt sensiblen Gesprächen.

Einwilligung oft nötig oder zwingend sauberer

Audioaufzeichnung, Trainingsnutzung, besondere Kategorien von Daten oder dauerhafte Speicherung kompletter Gespräche.

Die juristisch saubere Kurzform lautet: Je näher Sie an Aufnahme, Vollspeicherung und sensible Inhalte heranrücken, desto schwächer wird das bloße berechtigte Interesse. Für einfache organisatorische Abläufe kann eine andere Rechtsgrundlage tragfähig sein. Für heikle Inhalte ist Einwilligung oft der sicherere Weg.

Praxis gegen Theorie: Theoretisch lässt sich viel argumentieren. Praktisch gewinnt das Setup, das sauber begrenzt ist: keine Audioaufnahme per Default, keine unnötigen Volltranskripte, klare Ansage, klare Eskalation und keine Verarbeitung medizinischer oder juristischer Details durch die KI, wenn das nicht zwingend sauber abgesichert ist.

EU AI Act: Was sich ab dem 2. August 2026 ändert

Viele Artikel schreiben zum AI Act entweder Panik oder Belanglosigkeit. Relevant für einen normalen Kundenservice-Voicebot sind vor allem drei Punkte:

  • Klare KI-Kennzeichnung: Wer direkt mit Menschen interagiert, muss offenlegen, dass es sich um ein KI-System handelt, sofern das nicht offensichtlich ist. Das folgt aus Art. 50 AI Act.
  • Kein pauschales gesetzliches Recht auf menschlichen Kontakt: Art. 50 schafft Transparenz, aber kein allgemeines „Ich will sofort einen Menschen“ für jeden Voicebot. Ein Human-Fallback bleibt trotzdem oft die beste und sicherste Praxis.
  • Dokumentation bleibt vor allem DSGVO-getrieben: Für normale Voicebots kommt die wesentliche Dokumentationslast in der Praxis schon heute aus Rechenschaftspflicht, Verzeichnis, AVV, Löschkonzept und Transferprüfung. Der AI Act ersetzt diese Arbeit nicht.

Wichtig zur Einordnung: Wenn Anbieter behaupten, ab 2026 brauche jeder einfache Telefonbot plötzlich ein vollständiges High-Risk-Compliance-Programm, ist das regelmäßig überzogen. Für typische Kundenservice-Voicebots steht zuerst die Transparenzpflicht im Vordergrund. Anders kann es werden, wenn der Einsatzkontext selbst in regulierte Hochrisiko-Bereiche kippt.

Wann ein KI Telefonassistent zum DSGVO-Risiko wird

Nicht jede Branche ist gleich. Besonders schnell kippt ein Setup in sensible Bereiche, wenn der Assistent mehr macht als Terminlogik und Erstaufnahme.

Arztpraxis

Hier fallen schnell Gesundheitsdaten. Ein KI Telefonassistent sollte deshalb organisatorisch bleiben: Termin, Rezeptanfrage, Rückruf, Erreichbarkeit. Symptome, Diagnosen oder Verlaufsdetails gehören nicht in ein unklar begrenztes Voicebot-Gespräch.

Kanzlei

Auch rechtliche Anliegen sind oft vertraulich, individuell und eskalationsanfällig. Ein Voicebot kann Erstinformationen strukturieren, aber keine freie Falldarstellung ohne klare Leitplanken einsammeln, wenn Sie Vertraulichkeit und Datenminimierung ernst nehmen.

Falsche Speicherung

Das größte Risiko sitzt oft nicht im Telefonat, sondern dahinter: Volltranskripte wandern ins CRM, Audio landet in mehreren Tools, Mitarbeitende leiten Call-Zusammenfassungen unkontrolliert weiter. Genau dort wird aus einer formal akzeptablen Anrufannahme ein echtes Compliance-Problem.

So setzen Unternehmen KI-Telefonassistenten rechtssicher ein

Rechtssicher heißt nicht perfekt papierlastig. Rechtssicher heißt: sauber begrenzt, technisch kontrollierbar und organisatorisch dokumentiert.

  • EU- oder Deutschland-Hosting bevorzugen und Datenflüsse offenlegen lassen.
  • AVV abschließen und Subanbieter transparent prüfen.
  • Nur klare Use Cases live schalten: Termin, Rückruf, Erstqualifizierung, FAQ.
  • Audioaufnahme nicht als Default betrachten.
  • Transparente Ansage einbauen: KI, Zweck, Speicherlogik, Alternative.
  • Kurze Löschfristen, Rollenrechte und Logging sauber definieren.
  • Sensible Branchen bewusst enger begrenzen.
  • Human-Fallback für Eskalation, Beschwerden und Sonderfälle vorsehen.

Wenn das richtig umgesetzt wird, wird DSGVO nicht zum Bremsklotz, sondern zum Qualitätsfilter. Genau dort liegt auch der Unterschied zwischen Bastellösung und produktionsreifem System. Wenn eine Lösung wie Telfo EU-Hosting, AVV, transparente Kontrolle, klar begrenzte Use Cases und einfache Einrichtung zusammenbringt, sinkt nicht nur das rechtliche Risiko, sondern auch der operative Aufwand.

Rechtssicher wird ein Setup nicht durch ein Schlagwort

Rechtssicher wird es durch klare Datenflüsse, saubere Grenzen und ein System, das nicht mehr speichert als nötig. Genau dort lohnt sich ein kritischer Blick vor dem Go-live.

DSGVO-Setup mit Telfo ansehen

Fazit: DSGVO ist kein Hindernis – sondern ein Filter

Ein KI Telefonassistent wird nicht dadurch illegal, dass er Anrufe annimmt. Er wird zum Risiko, wenn Unternehmen zu viel speichern, zu wenig erklären oder sensible Gespräche ohne klare Grenzen automatisieren. Genau deshalb ist DSGVO kein Innovationsverbot, sondern ein Filter für saubere Systeme.

Schlecht umgesetzt bedeutet: Black Box, Vollspeicherung, kein AVV, kein Transparenzkonzept. Richtig umgesetzt bedeutet: klare Rechtsgrundlage, offene Information, knappe Datenerfassung, saubere Rollen und kontrollierbare Infrastruktur. Wer so arbeitet, gewinnt nicht nur Rechtssicherheit, sondern Vertrauen.

Quellenbasis

  • DSGVO auf EUR-LexMaßgeblich für personenbezogene Daten, Rechtsgrundlagen, Transparenz, AVV und Drittlandübermittlungen.
  • EU AI Act auf EUR-LexRelevant insbesondere für Transparenzpflichten bei KI-Systemen mit direkter Interaktion mit natürlichen Personen.
  • EU-Kommission: Navigating the AI ActHilfreich für Anwendungsbeginn und operative Einordnung der Pflichten, insbesondere zum Datum 2. August 2026.

Hinweis: Dieser Beitrag ist eine fachliche Einordnung und keine individuelle Rechtsberatung. Bei sensiblen Branchen, Audioaufzeichnung, Trainingsnutzung oder komplexen Drittland-Setups sollte der konkrete Einzelfall juristisch geprüft werden.

FAQ: Häufige Fragen zu KI Telefonassistent DSGVO

Ist ein KI Telefonassistent DSGVO-konform?

Ja, grundsätzlich schon. Entscheidend sind Rechtsgrundlage, Transparenz, Datenminimierung, Sicherheit, AVV und eine sinnvolle Begrenzung des Use Cases.

Muss ich sagen, dass KI eingesetzt wird?

Ja. Schon aus Fairness- und Transparenzgründen ist das wichtig. Spätestens ab dem 2. August 2026 ist die KI-Kennzeichnung für solche Interaktionssysteme auch nach Art. 50 AI Act besonders relevant.

Darf KI Gespräche speichern?

Nicht pauschal. Live-Verarbeitung für Termin- oder Rückruflogik ist etwas anderes als Audioaufzeichnung oder dauerhafte Volltranskripte. Je tiefer gespeichert wird, desto strenger werden die Anforderungen.

Brauche ich immer eine Einwilligung?

Nein. Für einfache organisatorische Verarbeitung kann je nach Fall eine andere Rechtsgrundlage tragen. Bei Aufzeichnung, Trainingsnutzung oder sensiblen Daten wird Einwilligung aber oft deutlich wichtiger oder nötig.

Was passiert bei einem Verstoß?

Möglich sind aufsichtsbehördliche Anordnungen, Löschpflichten, Bußgelder, Reputationsschäden und bei heimlicher Aufzeichnung weitere rechtliche Risiken außerhalb der DSGVO.

Ist ein Human-Fallback Pflicht?

Nicht als pauschale Voicebot-Regel in jedem Fall. In sensiblen, eskalativen oder fehleranfälligen Situationen ist ein menschlicher Ausweg aber oft der rechtlich und operativ deutlich bessere Standard.