VOICO
Zurück zum Blog
Compliance20. Mai 20267 Min Lesezeit

KI-Telefonassistent DSGVO-konform: Was du 2026 wirklich beachten musst

DSGVO und EU AI Act gleichzeitig: was ein Voice-AI-System in Deutschland erfüllen muss, welche Vertragslage wirklich gilt – und wo Hidden-Pitfalls lauern.

Von VOICO Editorial

Ein KI-Telefonassistent verarbeitet personenbezogene Daten – Telefonnummer, Stimme, Anliegen, oft sogar Kontaktdaten oder Fallakten. Damit fällt jede Voice-AI in den vollen Anwendungsbereich der DSGVO. Mit dem EU AI Act kommt 2026 eine zweite Compliance-Schicht dazu. Wer beides ignoriert, riskiert Bußgelder bis 7 % des Jahresumsatzes – und im schlimmsten Fall Betriebsverbot des Systems.

Die drei Mindest-Anforderungen, ohne die nichts geht

  • Hosting in der EU – idealerweise Deutschland. Drittstaat-Transfer in die USA ist nach Schrems II nur mit Standardvertragsklauseln plus zusätzlichen technischen Maßnahmen möglich.
  • AVV (Auftragsverarbeitungs­vertrag) nach Art. 28 DSGVO. Der muss vor der ersten Verarbeitung unterzeichnet sein – nicht erst nach dem Pilot.
  • Risiko-Klassifizierung nach EU AI Act. Reine Sekretariats-Voice-AI ist „begrenztes Risiko“ – Transparenzpflicht, Disclosure am Call-Anfang, Logging.

Was viele Anbieter verschweigen

Die meisten Voice-AI-Anbieter laufen technisch auf US-Hyperscalern. Die Sprach-Modelle (STT, TTS, LLM) sind oft direkt OpenAI- oder Anthropic-APIs aus den USA. Das ist nicht per se DSGVO-Verstoß, aber es bedeutet: jeder Anruf wird über die USA geroutet, dort verarbeitet, und du als Verantwortlicher trägst das Compliance-Risiko.

Pragma-Check

Frage den Anbieter konkret: Wo liegen die STT-, TTS- und LLM-Endpoints? Ist der Trunk in Deutschland oder wird er weitergeleitet? Gibt es einen AVV mit konkreten Subprozessoren-Liste? Wer keine klare Antwort hat, ist nicht ready.

EU AI Act – was im Februar 2026 in Kraft tritt

Seit Februar 2026 sind die Transparenzpflichten für GPAI-Systeme in Kraft. Für Voice-AI-Anwendungen bedeutet das konkret: der Anrufer muss erkennen können, dass er mit einem KI-System spricht. Best Practice ist eine Disclosure-Phrase in den ersten 5 Sekunden („Sie sprechen mit einem digitalen Assistenten von …“).

Logging-Pflichten

Jedes Gespräch muss vollständig dokumentiert und auf Anfrage der Aufsicht herausgegeben werden können. Das umfasst Transkript, Zeitstempel, Kontaktstamm­daten und das System-Prompt-Version, mit der das Modell zum Zeitpunkt des Calls lief.

Wie VOICO das löst

  • Hosting bei der Deutschen Telekom (OTC-Cloud), AVV liegt out-of-the-box vor.
  • Sprach-Modelle in EU-Endpoints – kein Drittstaat-Transfer.
  • EU AI Act Risiko-Klassifizierung dokumentiert pro Use Case.
  • Vollständiges Logging mit Audit-Trail; Export per Knopfdruck.

Wenn du gerade einen Voice-AI-Piloten startest oder einen Anbieter evaluierst, prüfe diese vier Punkte vorab. Wir helfen gerne mit einem Compliance-Check für deinen Use Case – DSGVO und EU AI Act gemeinsam.

Du willst Voice-AI in deinem Unternehmen testen?

In 15 Minuten klären wir deinen Use Case und zeigen, wie VOICO in deinem Setup live geht.

Erstgespräch buchen