Direkt zum Inhalt

Pillar · DSGVO und EU AI Act für Voice-Agents

Was DSGVO und EU AI Act für Voice-Agents wirklich verlangen.

Beim Betrieb eines KI-Telefonassistenten greifen vor allem zwei Regelwerke: die DSGVO (mit AVV, Sub-Processor-Ketten und ggf. Drittland-Transfer-Mechanismen) und der EU AI Act mit der Transparenz-Pflicht nach Art. 50 ab 02.08.2026.

Diese Seite erklärt, was rechtlich Pflicht ist, was Best Practice und wo häufige Missverständnisse liegen — mit Verweis auf Gesetzestext und Quellen.

Definition

Rechtsrahmen für Voice-Agents im DACH-Raum

Kombination aus DSGVO (Datenverarbeitung, Auftragsverarbeitung, Drittland-Transfer), EU AI Act (Transparenz, ggf. Hochrisiko-Klassifikation), TKG/TTDSG (Telekommunikations-Vertraulichkeit, Aufzeichnungen) und nationalem Recht (BDSG, DDG, Branchenrecht wie BO Ärzte).

Wer ist verantwortlich, wer verarbeitet?

Eine klare Rollen-Trennung ist die Voraussetzung für alle weiteren Schritte.

Die DSGVO unterscheidet zwei Hauptrollen:

  • Verantwortlicher (Controller): Der Betrieb, der den Voice-Agent einsetzt — also Hotel, Verwaltung, Kanzlei. Trifft die Zweck-Entscheidung.
  • Auftragsverarbeiter (Processor): Der Voice-Anbieter (z. B. Podschi). Verarbeitet im Auftrag und nach Weisung.

Hinter dem Auftragsverarbeiter stehen meist mehrere Unter-Auftragsverarbeiter (Sub-Processors): die Voice-AI- Plattform (VAPI), das Sprach-Modell (OpenAI), die Sprach-Synthese (ElevenLabs), das Hosting (AWS, Vercel), die Workflow-Layer (n8n). Jeder dieser Bausteine muss im AVV benannt und vom Verantwortlichen autorisiert sein.

Was muss in den AVV?

Art. 28 DSGVO listet die Pflichtbestandteile auf — verkürzt und übersetzt.

  1. Gegenstand und Dauer: Welche Verarbeitung, für welchen Zeitraum.
  2. Art und Zweck: Z. B. „Entgegennahme und Verarbeitung eingehender Telefonate zur Reservierungs-Annahme“.
  3. Art der Daten und Betroffenen-Kreise: Z. B. Anrufer- Nummer, Sprach-Inhalte, E-Mail-Adresse bei Rückfrage.
  4. Weisungsbefugnis: Verantwortlicher kann Verarbeitung anweisen und beenden.
  5. Vertraulichkeit: Mitarbeiter des Verarbeiters sind schriftlich verpflichtet.
  6. Technisch-organisatorische Maßnahmen (TOM): Verschlüsselung, Zugriffs-Konzept, Audit-Logs, Backup, Recovery.
  7. Sub-Processor-Regelung: Liste, Vorab-Information, Widerspruchs-Recht.
  8. Unterstützungs-Pflichten: Bei Anfragen Betroffener, bei DSFA, bei Datenschutz-Vorfällen.
  9. Löschung oder Rückgabe nach Auftragsende.
  10. Audit- und Kontroll-Rechte des Verantwortlichen.

Diese Liste ist eine verkürzte Übersicht — der vollständige Pflichtenkatalog steht in Art. 28 DSGVO und umfasst zusätzlich u. a. die Pflicht zur dokumentierten Weisung (auch für Drittland-Transfers) sowie die Pflicht des Auftragsverarbeiters, auf möglicherweise rechtswidrige Weisungen hinzuweisen. Podschi liefert für jeden Pilot eine AVV-Vorlage mit, die diese Punkte abbildet — siehe Datenschutzerklärung für die aktuelle Sub-Processor-Liste.

Drittland-Transfer in die USA — ein eigenes Thema.

Schrems II hat die Rahmenbedingungen verschärft. Drei Mechanismen stehen heute zur Verfügung.

Wenn personenbezogene Daten an Anbieter außerhalb des EWR fließen (z. B. OpenAI in den USA), braucht es einen der folgenden Mechanismen:

  • Angemessenheitsbeschluss: Für die USA aktuell nur über das EU-US Data Privacy Framework (DPF) — gilt nur für zertifizierte Empfänger. Status regelmäßig prüfen.
  • Standardvertragsklauseln (SCCs): EU-Mustertext (Durchführungsbeschluss 2021/914), der zusätzlich zu den vertraglichen Pflichten greift. Praktischer Standard bei nicht-DPF-zertifizierten US- Anbietern.
  • Binding Corporate Rules (BCRs): Konzern-interne Regeln, relevant nur bei Konzern-Strukturen.

In SCC-Konstellationen (also wenn der Transfer auf Standardvertragsklauseln statt auf einem Angemessenheitsbeschluss beruht) gehört eine Transfer Impact Assessment (TIA) zur Dokumentation — also eine schriftliche Bewertung, ob im Empfänger-Land trotzdem ein im Wesentlichen gleichwertiges Schutzniveau erreicht wird. Für DPF-zertifizierte US-Empfänger entfällt das, weil der Transfer dann über den Angemessenheitsbeschluss läuft. Den DPF-Status des konkreten Anbieters muss man im Data Privacy Framework prüfen.

EU AI Act Art. 50 — was ändert sich am 02.08.2026?

Ab diesem Tag gilt die Transparenz-Pflicht für KI-Systeme, die direkt mit Menschen interagieren.

Art. 50 der Verordnung (EU) 2024/1689 verpflichtet Anbieter und Betreiber von KI-Systemen, mit denen natürliche Personen direkt interagieren, zu einem expliziten Hinweis: Die Person muss erkennen können, dass sie mit einer KI spricht — sofern das nicht aus den Umständen offensichtlich ist.

Für Voice-Agents bedeutet das in der Praxis: Ein klar wahrnehmbarer Hinweis zu Gesprächsbeginn. Beispiel-Formulierung: „Guten Tag, hier ist der digitale Assistent von [Betriebsname]. Wie kann ich Ihnen helfen?“

Wer fällt in welche Rolle?

  • Anbieter (Provider): Wer das KI-System entwickelt und in Verkehr bringt (z. B. Podschi für die fertige Vorlage).
  • Betreiber (Deployer): Wer das System im eigenen Namen in Betrieb nimmt (z. B. das Hotel, das den Voice-Agent für eingehende Reservierungen nutzt).

Art. 50 Abs. 1 adressiert die Transparenz-Pflicht zunächst an Anbieter, die das System so gestalten müssen, dass die KI-Interaktion erkennbar ist. In der Praxis ist das eine geteilte Verantwortung: Der Anbieter liefert den technischen Baustein, der Betreiber stellt sicher, dass der Hinweis im echten Einsatz tatsächlich ausgesprochen wird. Podschi liefert den Hinweis-Baustein als Bestandteil der Produktiv-Vorlage; die Aktivierung im Live-Betrieb verantwortet der Kunde.

Compliance-Checkliste vor dem Go-Live.

Acht Punkte, die Sie als Verantwortlicher abhaken sollten.

  1. AVV nach Art. 28 DSGVO unterzeichnet, Sub-Processor-Liste ist Anhang.
  2. Transfer Impact Assessment für jeden US-Sub-Processor dokumentiert.
  3. Informationspflicht nach Art. 13 DSGVO in der Datenschutzerklärung des Betriebs ergänzt — inklusive Voice-Agent-Hinweis.
  4. Lösch- und Aufbewahrungs-Konzept für Transkripte und ggf. Audio-Aufzeichnungen festgelegt.
  5. Art. 50 EU AI Act: Transparenz-Hinweis zu Gesprächsbeginn implementiert.
  6. Eskalations-Konzept für nicht beantwortbare Anliegen dokumentiert.
  7. Mitarbeiter-Schulung zu Umgang mit dem Voice-Agent und Datenschutz-Vorfällen abgeschlossen.
  8. Datenschutz-Folgenabschätzung (DSFA) bei sensitiven Use-Cases erstellt.

Eckdaten

Die wichtigsten Rechts-Eckpunkte auf einen Blick.

DSGVO AVV-Pflicht

Art. 28 DSGVO

Drittland-Mechanismus USA

SCCs oder DPF

AI Act Art. 50

anwendbar ab 02.08.2026

DSFA-Schwelle

Art. 35 DSGVO (hohes Risiko)

Aufzeichnungs-Grundlage

§ 201 StGB, Einwilligung beider Seiten

Lösch-Pflicht nach Auftragsende

Art. 28 Abs. 3 lit. g

Häufige Fragen

Antworten auf einen Blick.

Ist ein KI-Telefonassistent automatisch DSGVO-konform?

Nein. „DSGVO-konform“ ist immer das Ergebnis der Betreiber-seitigen Umsetzung: AVV nach Art. 28 mit dem Anbieter, dokumentierte Sub-Processors, Informationspflicht nach Art. 13 gegenüber Anrufern, Lösch- und Aufbewahrungs-Konzept, Betroffenenrechte. Der Anbieter liefert die Vorlagen — die Verantwortung bleibt beim Betreiber.

Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt. Bei Voice-Agents in sensitiven Kontexten (Gesundheit, Recht, Bonität) typischerweise ja. In klassischer Hotellerie- und Verwaltungs-Telefonie meist nicht zwingend, aber empfohlen.

Wann gilt Art. 50 EU AI Act und was muss ich tun?

Die Transparenz-Pflichten nach Art. 50 sind ab 02.08.2026 anwendbar. Anrufer müssen darüber informiert werden, dass sie mit einem KI-System interagieren — sofern das nicht offensichtlich ist. Üblich ist ein klarer Hinweis zu Gesprächsbeginn („Sie sprechen mit einem digitalen Assistenten“).

Was passiert mit Anrufaufzeichnungen?

Das Aufzeichnen des gesprochenen Worts ohne Einwilligung ist nach § 201 StGB strafbar; zusätzlich gilt die Telekommunikations-Vertraulichkeit (TDDDG). Viele Betriebe entscheiden sich bewusst gegen Audio-Aufzeichnungen und arbeiten nur mit Transkripten plus klaren Lösch-Fristen — das vereinfacht die Compliance erheblich.

Müssen meine US-Anbieter (OpenAI, ElevenLabs, VAPI) gewechselt werden?

Nein, nicht zwingend. Drittland-Transfers in die USA sind mit Standardvertragsklauseln (SCCs) und ggf. Data Privacy Framework rechtlich möglich. Eine dokumentierte Transfer Impact Assessment (TIA) gehört dazu. Eine EU-only-Architektur ist technisch baubar, kostet aber Latenz und Qualität.

Wer haftet, wenn etwas schief geht?

Im Außenverhältnis haftet der Verantwortliche (also der Hotelier, Verwalter, Kanzlei-Inhaber) gegenüber Betroffenen. Im Innenverhältnis kann er den Auftragsverarbeiter (Voice-Anbieter) bei Verschulden in Regress nehmen. Genau deshalb ist ein sauberer AVV mit klaren Pflichten existenziell.

Ist dieser Beitrag eine Rechtsberatung?

Nein. Dieser Beitrag ist eine allgemeine, redaktionelle Orientierung zu den technischen und organisatorischen Anforderungen an Voice-Agents und ersetzt keine Rechtsberatung im Einzelfall (keine Rechtsdienstleistung im Sinne des RDG). Für die verbindliche Bewertung Ihrer konkreten Situation ziehen Sie bitte Ihre Rechtsabteilung, eine Kanzlei oder die zuständige Aufsichtsbehörde bzw. Kammer hinzu.

Verwandt

Weiterlesen.

Pilot ansehen