Ja, ein KI-Telefonassistent lässt sich DSGVO-konform betreiben. Voraussetzungen sind eine tragfähige Rechtsgrundlage nach Art. 6 DSGVO und ein Auftragsverarbeitungsvertrag nach Art. 28 mit dem Anbieter. Dazu kommen die Information der Anrufer nach Art. 13 sowie ein Hosting-Standort, der Datenübermittlungen rechtlich absichert. Wer diese Punkte dokumentiert, erfüllt die zentralen Pflichten.
Hinweis: Diese Seite informiert sachlich über die Rechtslage und ersetzt keine Rechtsberatung im Einzelfall.
Inhaltsverzeichnis
- Welche Daten bei KI-Telefonie anfallen
- Rechtsgrundlagen für den KI-Telefonassistenten nach Art. 6 DSGVO
- Auftragsverarbeitung nach Art. 28 und die AVV-Pflicht
- Der Unterschied zwischen Transkription und Aufzeichnung
- Informationspflichten nach Art. 13 und 14
- Die Hosting-Frage bei EU und Drittland
- Betroffenenrechte in der Praxis
- Die AVV-Checkliste mit acht Punkten
- Zusammenspiel mit dem EU AI Act
- Häufige Fragen
Welche Daten bei KI-Telefonie anfallen
Ein KI-Telefonassistent nimmt Anrufe an, führt ein Gespräch und erstellt eine Zusammenfassung. Dabei entstehen drei Datenschichten, die datenschutzrechtlich getrennt zu betrachten sind.
Die erste Schicht ist das Audiosignal. Die Stimme des Anrufers wird für die Spracherkennung verarbeitet, je nach System nur flüchtig im Arbeitsspeicher oder als gespeicherte Datei. Die zweite Schicht ist das Transkript, also die Verschriftlichung des Gesprächs samt Namen, Anliegen und Rückrufnummer. Die dritte Schicht sind Metadaten wie Rufnummer und Uhrzeit sowie die Gesprächsdauer.
Alle drei Schichten enthalten personenbezogene Daten im Sinne des Art. 4 DSGVO, denn die Rufnummer macht den Anrufer identifizierbar. Nennt ein Anrufer Beschwerden oder Diagnosen, entstehen Gesundheitsdaten nach Art. 9 DSGVO mit erhöhten Anforderungen. Für Praxen kommt die berufliche Schweigepflicht hinzu; wie das zusammenpasst, zeigt die Seite zum KI-Telefonassistenten für die Arztpraxis.
Rechtsgrundlagen für den KI-Telefonassistenten nach Art. 6 DSGVO
Jede Verarbeitung braucht eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO. Für die KI-Telefonannahme kommen in der Praxis drei Optionen in Betracht, die je nach Anrufergruppe greifen.
Ruft ein Kunde an, um einen Termin zu buchen oder eine Bestellung zu klären, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO. Die Norm erfasst die Erfüllung eines Vertrags und ausdrücklich auch vorvertragliche Maßnahmen, also die Anfrage eines Interessenten vor dem ersten Auftrag.
Für alle übrigen Anrufe trägt regelmäßig das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Das Interesse an telefonischer Erreichbarkeit und geordneter Anliegenaufnahme ist legitim; die Abwägung gegen die Interessen der Anrufer fällt umso leichter aus, je sparsamer das System speichert und je klarer die Ansage informiert. Diese Abwägung gehört dokumentiert.
Die Einwilligung nach lit. a bleibt die Ausnahme für Fälle, in denen keine andere Grundlage trägt, etwa bei einer optionalen Tonaufzeichnung. Der Volltext des Art. 6 DSGVO listet alle sechs Tatbestände.

Auftragsverarbeitung nach Art. 28 und die AVV-Pflicht
Der Anbieter des KI-Telefonassistenten verarbeitet Anruferdaten im Auftrag des Betriebs. Damit ist er Auftragsverarbeiter, der Betrieb bleibt Verantwortlicher. Art. 28 DSGVO verlangt für dieses Verhältnis einen Vertrag, den Auftragsverarbeitungsvertrag, kurz AVV.
Art. 28 Abs. 1 DSGVO erlaubt nur Auftragsverarbeiter, die hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten. Der Vertrag muss nach Abs. 3 unter anderem regeln, dass der Anbieter nur auf dokumentierte Weisung verarbeitet, sein Personal zur Vertraulichkeit verpflichtet und Unterauftragnehmer nur mit Genehmigung einsetzt. Nach Abs. 9 genügt ein elektronisches Format; ein Klick-AVV im Kundenkonto ist zulässig.
Fehlt der AVV, ist das ein eigenständiger Verstoß, der nach Art. 83 Abs. 4 DSGVO mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden kann. Seriöse Anbieter stellen den AVV daher ungefragt bereit.
Der Unterschied zwischen Transkription und Aufzeichnung
KI-Telefonie wird oft mit Gesprächsaufzeichnung gleichgesetzt. Rechtlich liegt dazwischen eine wichtige Grenze. § 201 StGB stellt unter Strafe, wer unbefugt das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt; der Rahmen reicht bis zu drei Jahren Freiheitsstrafe oder Geldstrafe. Ein Telefonat ist ein solches nichtöffentliches Gespräch. Eine Tonaufzeichnung braucht deshalb die Einwilligung aller Beteiligten.

Informationspflichten nach Art. 13 und 14
Art. 13 DSGVO verpflichtet den Verantwortlichen, die betroffene Person zum Zeitpunkt der Erhebung zu informieren. Beim Anruf heißt das: Die Information gehört an den Gesprächsbeginn, nicht erst auf die Website. Pflichtangaben sind unter anderem der Verantwortliche, die Zwecke samt Rechtsgrundlage, Empfänger sowie die Betroffenenrechte und die Speicherdauer.
Am Telefon lässt sich dieser Katalog nicht vollständig vortragen, ohne Anrufer zu verlieren. Praktikabel ist ein Schichtmodell: Die Ansage nennt das Wesentliche, die Datenschutzerklärung liefert den Rest. Eine bewährte Formulierung: „Sie sprechen mit dem digitalen Assistenten von CallButler. Ihre Angaben werden verschriftlicht und dem Team per E-Mail übermittelt. Details finden Sie in der Datenschutzerklärung auf unserer Website."
Die Datenschutzerklärung erhält einen eigenen Abschnitt zur KI-Telefonannahme mit allen Angaben aus Art. 13 Abs. 1 und 2, einschließlich des eingesetzten Anbieters als Empfängerkategorie. Art. 14 DSGVO greift ergänzend, wenn Daten nicht beim Betroffenen selbst erhoben werden, etwa wenn ein Anrufer Namen dritter Personen hinterlässt.
Die Hosting-Frage bei EU und Drittland
Wo der Anbieter Sprachmodelle und Speicher betreibt, entscheidet über den rechtlichen Aufwand. Bleiben alle Verarbeitungsschritte in der EU oder im EWR, gelten die normalen DSGVO-Regeln ohne Zusatzprüfung. Das ist der einfachste und am leichtesten dokumentierbare Fall.
Für die Anbieterauswahl ergeben sich daraus konkrete Fragen: Wo laufen Spracherkennung und Sprachmodell? Wo liegen Transkripte und Zusammenfassungen? Welche Subunternehmer sind beteiligt und in welchem Land? Ein Anbieter, der diese Fragen präzise beantwortet, erspart dem Betrieb die aufwendige Einzelfallprüfung.
Betroffenenrechte in der Praxis
Anrufer behalten alle Rechte der DSGVO. Nach Art. 15 können sie Auskunft verlangen, welche Daten zu ihnen gespeichert sind, einschließlich einer Kopie; dazu zählt auch das Transkript ihres Anrufs. Nach Art. 17 können sie die Löschung verlangen, sofern keine Aufbewahrungspflicht entgegensteht.
Der Betrieb als Verantwortlicher muss solche Anfragen beantworten, der Anbieter muss ihn dabei nach Art. 28 Abs. 3 unterstützen. Praktisch heißt das: Es braucht einen Weg, ein einzelnes Transkript im System zu finden, zu exportieren und zu löschen. Wer den Anbieter auswählt, prüft genau diese Funktionen im Dashboard.
Gegen die Verarbeitung auf Basis des berechtigten Interesses steht Anrufern das Widerspruchsrecht nach Art. 21 DSGVO offen. Verlangt jemand am Telefon, dass seine Daten nicht per KI erfasst werden, sollte das System eine Weiterleitung oder einen menschlichen Rückruf anbieten können.
Die AVV-Checkliste mit acht Punkten
Diese acht Punkte sollte der AVV eines KI-Telefonie-Anbieters abdecken. Sie folgen den Pflichtinhalten des Art. 28 DSGVO.
- Gegenstand und Dauer: Die KI-Telefonannahme ist als Verarbeitung konkret beschrieben, samt Datenarten (Audio, Transkript, Metadaten) und Betroffenengruppen (Anrufer).
- Weisungsbindung: Der Anbieter verarbeitet nur auf dokumentierte Weisung, auch bei Übermittlungen in Drittländer.
- Vertraulichkeit: Das Personal des Anbieters ist zur Verschwiegenheit verpflichtet.
- Technische und organisatorische Maßnahmen: Verschlüsselung, Zugriffskonzept und Protokollierung sind als Anlage beigefügt.
- Subunternehmer: Alle Unterauftragsverarbeiter sind mit Firmensitz und Leistung gelistet; Änderungen werden angekündigt und sind widerspruchsfähig.
- Unterstützungspflichten: Der Anbieter hilft bei Auskunfts- und Löschanfragen sowie bei Datenschutzverletzungen.
- Löschung nach Vertragsende: Alle Daten werden nach Ende der Beauftragung gelöscht oder zurückgegeben, mit Frist.
- Nachweise und Audits: Der Anbieter stellt Informationen zum Nachweis bereit und ermöglicht Überprüfungen.

Zusammenspiel mit dem EU AI Act
Die DSGVO regelt den Umgang mit den Daten der Anrufer. Der EU AI Act regelt zusätzlich das KI-System selbst: Ab dem 2. August 2026 verlangt dessen Artikel 50, dass Anrufer erfahren, dass sie mit einer KI sprechen. Beide Pflichten treffen sich in der Begrüßungsansage, die dann zwei Aufgaben erfüllt, die KI-Kennzeichnung und die Datenschutz-Kurzinformation.
Wer beides in einer Ansage bündelt, erledigt zwei Rechtspflichten in einem Satz. Die Einzelheiten samt Zeitleiste und Bußgeldrahmen stehen im Beitrag zu EU AI Act und KI-Anrufen.