VOICO
Back to blog
Compliance20 May 20267 min read

KI-Telefonassistent DSGVO-konform: Was du 2026 wirklich beachten musst

DSGVO und EU AI Act gleichzeitig: was ein Voice-AI-System in Deutschland erfüllen muss, welche Vertragslage wirklich gilt – und wo Hidden-Pitfalls lauern.

By VOICO Editorial

Ein KI-Telefonassistent verarbeitet personenbezogene Daten – Telefonnummer, Stimme, Anliegen, oft sogar Kontaktdaten oder Fallakten. Damit fällt jede Voice-AI in den vollen Anwendungsbereich der DSGVO. Mit dem EU AI Act kommt 2026 eine zweite Compliance-Schicht dazu. Wer beides ignoriert, riskiert Bußgelder bis 7 % des Jahresumsatzes – und im schlimmsten Fall Betriebsverbot des Systems.

Die drei Mindest-Anforderungen, ohne die nichts geht

  • Hosting in der EU – idealerweise Deutschland. Drittstaat-Transfer in die USA ist nach Schrems II nur mit Standardvertragsklauseln plus zusätzlichen technischen Maßnahmen möglich.
  • AVV (Auftragsverarbeitungs­vertrag) nach Art. 28 DSGVO. Der muss vor der ersten Verarbeitung unterzeichnet sein – nicht erst nach dem Pilot.
  • Risiko-Klassifizierung nach EU AI Act. Reine Sekretariats-Voice-AI ist „begrenztes Risiko“ – Transparenzpflicht, Disclosure am Call-Anfang, Logging.

Was viele Anbieter verschweigen

Die meisten Voice-AI-Anbieter laufen technisch auf US-Hyperscalern. Die Sprach-Modelle (STT, TTS, LLM) sind oft direkt OpenAI- oder Anthropic-APIs aus den USA. Das ist nicht per se DSGVO-Verstoß, aber es bedeutet: jeder Anruf wird über die USA geroutet, dort verarbeitet, und du als Verantwortlicher trägst das Compliance-Risiko.

Pragma-Check

Frage den Anbieter konkret: Wo liegen die STT-, TTS- und LLM-Endpoints? Ist der Trunk in Deutschland oder wird er weitergeleitet? Gibt es einen AVV mit konkreten Subprozessoren-Liste? Wer keine klare Antwort hat, ist nicht ready.

EU AI Act – was im Februar 2026 in Kraft tritt

Seit Februar 2026 sind die Transparenzpflichten für GPAI-Systeme in Kraft. Für Voice-AI-Anwendungen bedeutet das konkret: der Anrufer muss erkennen können, dass er mit einem KI-System spricht. Best Practice ist eine Disclosure-Phrase in den ersten 5 Sekunden („Sie sprechen mit einem digitalen Assistenten von …“).

Logging-Pflichten

Jedes Gespräch muss vollständig dokumentiert und auf Anfrage der Aufsicht herausgegeben werden können. Das umfasst Transkript, Zeitstempel, Kontaktstamm­daten und das System-Prompt-Version, mit der das Modell zum Zeitpunkt des Calls lief.

Wie VOICO das löst

  • Hosting bei der Deutschen Telekom (OTC-Cloud), AVV liegt out-of-the-box vor.
  • Sprach-Modelle in EU-Endpoints – kein Drittstaat-Transfer.
  • EU AI Act Risiko-Klassifizierung dokumentiert pro Use Case.
  • Vollständiges Logging mit Audit-Trail; Export per Knopfdruck.

Wenn du gerade einen Voice-AI-Piloten startest oder einen Anbieter evaluierst, prüfe diese vier Punkte vorab. Wir helfen gerne mit einem Compliance-Check für deinen Use Case – DSGVO und EU AI Act gemeinsam.

Want to test Voice AI in your business?

In 15 minutes we'll clarify your use case and show how VOICO goes live in your setup.

Book a demo