DSGVO und KI am Telefon: Was wirklich zu beachten ist

Wenn ein KI-Assistent Anrufe entgegennimmt, verarbeitet er personenbezogene Daten. Das macht ihn zu einem Auftragsverarbeiter im Sinne der DSGVO — und löst konkrete Pflichten beim einsetzenden Unternehmen aus. Dieser Artikel erklärt, worauf du achten musst, ohne dass du juristisch werden musst.

Disclaimer: Dieser Artikel ersetzt keine Rechtsberatung. Bei komplexen Fällen oder speziellen Branchen (Gesundheitswesen, Rechtsanwälte, etc.) lass dir einen passenden Auftragsverarbeitungsvertrag von einer Anwältin oder einem Anwalt prüfen.

Was die DSGVO bei KI-Telefonie verlangt

Vier Pflichten sind zentral:

1. Rechtsgrundlage. Du brauchst eine gültige Grundlage für die Verarbeitung. Bei Kundenanrufen ist das in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) oder lit. f (berechtigtes Interesse an Geschäftsabwicklung). Eine Einwilligung ist meistens NICHT nötig, weil der Anrufer aktiv anruft.
2. Auftragsverarbeitungsvertrag (AVV). Mit dem KI-Anbieter musst du einen AVV abschließen (Art. 28 DSGVO). Der Anbieter ist Auftragsverarbeiter, du bleibst Verantwortlicher. Ein seriöser Anbieter stellt den AVV-Entwurf zur Verfügung.
3. Datenschutzerklärung anpassen. In der Datenschutzerklärung deiner Webseite (und idealerweise in einer Telefon-Ansage am Anfang) musst du transparent machen, dass Anrufe von einer KI bearbeitet werden, welcher Anbieter dahintersteht und wo die Daten verarbeitet werden.
4. Auflisten im Verarbeitungsverzeichnis. Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. Der KI-Telefonassistent kommt da rein: Zweck, Datenkategorien (Telefonnummer, Audio, Transkript, Anliegen), Empfänger, Löschfristen.

Muss ich den Anrufer informieren, dass er mit einer KI spricht?

Ab August 2026 ist die Antwort eindeutig: Ja. Der EU AI Act (Artikel 50) verpflichtet ab diesem Zeitpunkt zur klaren Kennzeichnung von KI-Systemen, mit denen Menschen direkt interagieren. Schon heute ist das aber Best Practice — und Studien zeigen, dass die Akzeptanz höher ist, wenn der Assistent von sich aus sagt, was er ist. „Hallo, ich bin Cara, die KI-Telefonassistentin von …" wirkt vertrauensbildend, nicht abschreckend.

Wo sollten die Daten gespeichert sein?

EU-Hosting ist für deutsche und österreichische Unternehmen praktisch Pflicht. Der Grund: Beim Transfer in Drittländer (USA, etc.) brauchst du eine Rechtsgrundlage nach Kapitel V DSGVO. Der EU-US Data Privacy Framework existiert zwar wieder, aber:

• Er ist juristisch angreifbar und wurde schon zweimal vom EuGH gekippt.
• Manche Branchen (Gesundheit, öffentlicher Sektor) haben strengere Anforderungen.
• Sobald der Anbieter sagt „wir hosten in der EU", entfällt das ganze Thema.

Fazit: Lieber gleich einen Anbieter mit EU-Servern wählen, statt sich auf den Data Privacy Framework zu verlassen.

Wie lange dürfen Aufzeichnungen gespeichert werden?

Die Faustregel: nur so lange, wie es für den Zweck nötig ist. In der Praxis:

• Anliegen-Daten (Name, Telefonnummer, Beschreibung des Anliegens) bis zur Erledigung plus übliche Aufbewahrungsfristen (z.B. 7 Jahre für Geschäftsbelege, falls es um eine Bestellung ging).
• Transkripte deutlich kürzer — meistens 30–90 Tage. Sie sind nur für die direkte Nachbearbeitung relevant und müssen nicht ewig liegen.
• Audio-Aufnahmen nur wenn nötig (Qualitätssicherung, juristische Beweissicherung) und kurz — 30 Tage ist gängig. Bei Telaro kannst du Audio-Aufnahmen komplett deaktivieren.

Was musst du in deiner Datenschutzerklärung ergänzen?

Ein Absatz reicht, der die folgenden Punkte abdeckt:

Wir setzen für die Annahme eingehender Telefonanrufe einen KI-gestützten Telefonassistenten des Anbieters [Name + Sitz] ein. Bei einem Anruf werden die Telefonnummer (sofern nicht unterdrückt), der Audio-Stream, das Transkript des Gesprächs und das gemeldete Anliegen verarbeitet. Die Verarbeitung findet auf Servern innerhalb der EU statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an effizienter Kundenkommunikation). Transkripte werden nach 60 Tagen automatisch gelöscht; bearbeitete Anliegen werden so lange gespeichert, wie es für die Geschäftsabwicklung notwendig ist.

Passe die konkreten Werte (Anbieter, Speicherdauer, Audio ja/nein) an deine Konfiguration an.

Auskunfts- und Löschungsanfragen

Anrufer können ihre DSGVO-Rechte (Auskunft Art. 15, Löschung Art. 17 etc.) gegen dich geltend machen — du bist der Verantwortliche. Stelle sicher, dass dein KI-Anbieter dir ermöglicht:

• Aufzeichnungen zu einer bestimmten Telefonnummer auf Anfrage zu finden
• Diese Aufzeichnungen vollständig zu löschen
• Eine Datenauskunft maschinenlesbar zu exportieren (CSV, JSON)

Wenn dein Anbieter das nicht im Self-Service-Dashboard kann und du jedes Mal eine Mail schreiben musst, wird die DSGVO-Compliance in der Praxis teuer.

Branchen-Spezialfälle

Gesundheitswesen: Bei Arztpraxen, Therapeuten, Apotheken kommt §203 StGB (Verletzung von Privatgeheimnissen) dazu. Der KI-Anbieter muss dann nach §203 Abs. 3 ausdrücklich „mit besonderer Sorgfalt" eingebunden werden — der AVV muss das explizit regeln. Audio-Aufzeichnungen sind hier sehr heikel; meist verzichtet man darauf. Konkrete Umsetzung haben wir im Artikel KI-Telefonservice für Arztpraxen beschrieben.

Rechtsanwälte: Anwaltsgeheimnis (§43a BRAO) verlangt zusätzliche Sorgfalt. EU-Hosting + AVV reicht hier, aber die Berufskammer empfiehlt teils zusätzliche Maßnahmen.

Öffentlicher Sektor: Gemeinden und Behörden brauchen oft eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO), bevor ein KI-System eingesetzt wird. Hier lohnt sich ein Vorgespräch mit der zuständigen Datenschutzbehörde.

Zusammenfassung

Die DSGVO ist beim Einsatz von KI-Telefonassistenten kein K.O.-Kriterium, sondern eine Checkliste. Wenn du auf EU-Hosting, einen schriftlichen AVV, eine angepasste Datenschutzerklärung und eine sinnvolle Speicherdauer achtest, bist du auf der sicheren Seite. Die meisten Verstöße passieren nicht, weil die Technik problematisch ist — sondern weil das Unternehmen die formalen Pflichten übersieht.