DSGVO-konforme KI-Telefonie: Was deutsche Unternehmen 2026 wissen müssen

Die neue Rechtslage: KI-Verordnung trifft auf DSGVO

Seit dem 1. August 2024 gilt die EU-KI-Verordnung (AI Act) – das weltweit erste umfassende Regulierungswerk für künstliche Intelligenz. Für Unternehmen, die KI-Telefonassistenten einsetzen, bedeutet dies: Ab 2026 gelten neue Transparenzpflichten zusätzlich zur bereits bestehenden DSGVO. Beide Gesetze greifen parallel und ergänzen sich. Während die DSGVO den Schutz personenbezogener Daten regelt (Einwilligungen, Speicherfristen, Auftragsverarbeitung), legt die KI-Verordnung fest, wie KI-Systeme transparent und sicher gestaltet sein müssen. Die Übergangsfristen laufen stufenweise ab – und deutsche KMUs sollten sich jetzt vorbereiten.

• Februar 2025: Verbote für manipulative KI, Emotionserkennung am Arbeitsplatz, Social Scoring
• August 2025: Transparenzpflichten für Large Language Models + Sanktionen aktiv (bis zu 35 Mio. € oder 7% des Jahresumsatzes)
• August 2026: Vollständige KI-VO-Compliance inkl. Transparenzpflicht für Voicebots (Art. 50 Abs. 4)
• DSGVO bleibt parallel gültig: Privacy by Design, Einwilligungen, Auftragsverarbeitung

Artikel 50 Abs. 4 KI-VO: Die Transparenzpflicht für Voicebots

Ab dem 2. August 2026 schreibt Artikel 50 Absatz 4 der EU-KI-Verordnung vor, dass KI-Systeme, die mit Menschen interagieren und menschliche Sprache imitieren, transparent offenlegen müssen, dass es sich um künstliche Intelligenz handelt. Dies gilt ausdrücklich auch für synthetisch erzeugte Audioinhalte (Deepfakes) und dialogbasierte Voicebots. Die Offenlegung muss zu Gesprächsbeginn erfolgen – nicht versteckt in der Datenschutzerklärung. Die Formulierung 'ohne dass es aus dem Kontext offensichtlich ist' bedeutet: Ruft der Kunde selbst einen Bot an (z.B. nach Klick auf 'Mit Bot chatten'), ist eine zusätzliche Ansage oft verzichtbar. Bei eingehenden Anrufen oder automatischen Rückrufen ist die Transparenzpflicht jedoch zwingend.

• "Guten Tag, hier spricht der KI-Assistent von [Firma]" ✅ Compliant
• "Sie werden jetzt mit einem automatisierten System verbunden" ✅ Compliant
• "Guten Tag, wie kann ich Ihnen helfen?" ❌ Non-compliant (keine KI-Offenlegung)
• Gilt auch für Deepfakes und synthetisch erzeugte Stimmen
• Maschinell lesbare Kennzeichnung zusätzlich erforderlich

DSGVO-Anforderungen für KI-Telefonsysteme

Auch wenn die KI-Verordnung neue Regeln aufstellt, bleibt die DSGVO voll gültig. Für KI-Telefonie sind insbesondere vier Artikel relevant: Artikel 25 (Privacy by Design), Artikel 35 (Datenschutz-Folgenabschätzung), Artikel 22 (Verbot vollautomatisierter Entscheidungen) und Artikel 28 (Auftragsverarbeitung). Deutsche Aufsichtsbehörden weisen darauf hin, dass KI-Systeme häufig eine Datenschutz-Folgenabschätzung (DSFA) erfordern – insbesondere wenn sensible Daten wie Gesundheitsdaten verarbeitet werden oder große Datenmengen analysiert werden. Unternehmen sollten sicherstellen, dass ihre KI-Telefonie sowohl die DSGVO- als auch die KI-VO-Anforderungen erfüllt.

Das Problem mit der Sprachaufzeichnung

Sprachbasierte KI-Systeme wie ein KI-Telefonassistent funktionieren nicht ohne Zuhören. Damit sie überhaupt auf gesprochene Sprache reagieren können, müssen sie diese in Echtzeit analysieren, transkribieren und verarbeiten. Bereits ab der ersten gesprochenen Sekunde erfolgt technisch gesehen eine Aufzeichnung und Zwischenspeicherung – und das ist laut DSGVO Verarbeitung personenbezogener Daten. Unternehmen benötigen daher eine Rechtsgrundlage: Entweder eine explizite Einwilligung (Art. 6 Abs. 1a DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1f DSGVO). Bei geschäftlichen Telefonaten ist berechtigtes Interesse oft vertretbar – aber nur, wenn die Datenverarbeitung transparent ist und Speicherfristen minimiert werden. Wichtig: Gesprächsaufzeichnungen dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Ein dokumentiertes Löschkonzept ist Pflicht.

• Sprachbasierte KI muss zuhören, um zu reagieren → Echtzeit-Transkription = Verarbeitung personenbezogener Daten
• Rechtsbasis erforderlich: Einwilligung (Art. 6 Abs. 1a) ODER berechtigtes Interesse (Art. 6 Abs. 1f)
• Berechtigtes Interesse bei geschäftlichem Telefonat oft vertretbar, ABER: Transparenz zwingend
• Speicherdauer minimieren: Nur so lange wie für Zweck nötig
• Löschkonzepte dokumentieren

Bundesnetzagentur als deutsche Aufsichtsbehörde

Deutschland hat die EU-Deadline vom 2. August 2025 zur Benennung einer nationalen KI-Aufsichtsbehörde verpasst – die Bundesnetzagentur wird jedoch voraussichtlich diese Rolle übernehmen. Ein 'KI Service Desk' wurde bereits eingerichtet, um kleinen und mittelständischen Unternehmen als erste Anlaufstelle zu dienen. Verbraucherschützer (VZBV) warnen jedoch: Ohne schnelle Aufsicht könnten Unternehmen KI missbrauchen, etwa durch Echtzeit-Stimmanalyse zur Manipulation von Kunden oder durch Ausnutzung individueller Schwächen im Telefonverkauf. Die Bundesnetzagentur wird voraussichtlich ab 2025 erste Prüfungen durchführen – Unternehmen sollten sich frühzeitig vorbereiten.

• Bundesnetzagentur übernimmt voraussichtlich KI-Aufsicht in Deutschland
• 'KI Service Desk' als Anlaufstelle für kleine und mittelständische Unternehmen
• Verbraucherzentrale (VZBV) fordert schnelle Aufsicht gegen Manipulation
• Risiko: Echtzeit-Stimmanalyse zur Ausnutzung individueller Schwächen im Telefonverkauf

Checkliste: DSGVO-konforme KI-Telefonie bis 2026

Für kleine und mittelständische Unternehmen kann die parallele Anwendung von DSGVO und KI-Verordnung überwältigend wirken. Diese Checkliste hilft, die wichtigsten Schritte bis 2026 zu priorisieren. Besonders wichtig: Die Transparenzpflicht ab August 2026 ist nicht verhandelbar – wer bis dahin keine KI-Offenlegung implementiert hat, riskiert hohe Bußgelder. Auch die Datenschutz-Folgenabschätzung sollte nicht unterschätzt werden: Laut deutschen Aufsichtsbehörden ist sie bei KI-Systemen 'häufig erforderlich', insbesondere bei sensiblen Daten (z.B. in Arztpraxen oder Steuerberatungen).

• ✅ Bis Feb 2025: Prüfen, ob KI verbotene Praktiken nutzt (Emotionserkennung, Manipulation)
• ✅ Bis Aug 2025: Auftragsverarbeitungsvertrag (AVV) mit KI-Anbieter abschließen
• ✅ Bis Aug 2026: Transparenzhinweis im Voicebot implementieren ('Sie sprechen mit KI')
• ✅ Laufend: Datenschutz-Folgenabschätzung durchführen (bei Hochrisiko-Systemen)
• ✅ Laufend: Privacy by Design sicherstellen (Datenminimierung, Speicherdauer begrenzen)
• ✅ Laufend: Eskalationsmöglichkeit zu echten Mitarbeitern vorsehen
• ✅ Laufend: Datenschutzerklärung aktualisieren (KI-Nutzung transparent machen)

Regionale DSGVO-Anforderungen in Deutschland

Während DSGVO und KI-Verordnung EU-weit gelten, gibt es regionale Unterschiede in der Auslegung und Durchsetzung. Bundesländer mit strengeren Datenschutzbehörden (z.B. Bayern) prüfen genauer als andere. Auch die Branchendichte spielt eine Rolle: In Berlin fordern Kassenärztliche Vereinigungen strenge DSGVO-Compliance bei Patientendaten, in Frankfurt gelten für BaFin-regulierte Unternehmen höchste Standards. Hanseatische Unternehmen in Hamburg und Bremen setzen verstärkt auf EU-Hosting, um Datentransfers zu vermeiden. Die Automobilindustrie in Stuttgart treibt KI-Standards voran, während traditionelle Industrien im Ruhrgebiet (Dortmund, Essen) oft Nachholbedarf bei DSGVO-Compliance haben. Technologie-Hubs wie Aachen (RWTH-Forschung), Karlsruhe (KIT) und Bonn profitieren von lokaler Expertise zu Privacy by Design.

• Berlin: Kassenärztliche Vereinigung fordert strenge DSGVO-Compliance bei Patientendaten
• Hamburg: Hanseatische Unternehmen setzen auf EU-Hosting (Hamburg, Bremen als Rechenzentrumsstandorte)
• München/Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) gilt als besonders streng
• Frankfurt: Finanzmetropole mit höchsten Compliance-Anforderungen (BaFin-regulierte Unternehmen)
• Köln/NRW: Landesdatenschutzbeauftragte NRW publiziert häufig Leitfäden zu KI
• Stuttgart/Baden-Württemberg: Automobilindustrie treibt KI-Standards voran
• Düsseldorf: Medien- und Werbebranche besonders betroffen von KI-Transparenzpflichten
• Dortmund, Essen (Ruhrgebiet): Traditionelle Industrie digitalisiert - Nachholbedarf bei DSGVO
• Bremen: Mittelstand profitiert von lokalen Datenschutz-Beratungsangeboten
• Hannover: Messestadt mit internationalen Datentransfers (Privacy Shield-Nachfolger beachten)
• Bonn, Mannheim, Karlsruhe: Technologie-Hubs mit hoher KI-Affinität
• Wiesbaden, Mainz: Nähe zu Frankfurt = hohe Compliance-Standards
• Aachen: RWTH-Forschung zu KI-Ethik und Privacy by Design

Praxisbeispiel: DSGVO-konforme KI-Telefonie

Wie sieht DSGVO-konforme KI-Telefonie in der Praxis aus? Ein Beispiel: Vokaro nutzt Hetzner-Datacenter in Nürnberg (Deutschland) für das Hosting des Sprachagenten. Der Transparenzhinweis ist bereits integriert: 'Guten Tag, hier spricht der KI-Assistent von [Firma]'. Ein Auftragsverarbeitungsvertrag (AVV) ist standardmäßig enthalten und dokumentiert alle technischen und organisatorischen Maßnahmen. Da das System 24/7 auf einem Hetzner-Server läuft (keine Cloud-Cold-Starts), werden keine unnötigen Datenspuren hinterlassen. Die Kosten liegen ab 99 €/Monat – im Vergleich zu Compliance-Risiken von bis zu 35 Millionen Euro Bußgeld eine überschaubare Investition.

• Beispiel: Vokaro nutzt Hetzner-Datacenter in Nürnberg (Deutschland) für vollständige DSGVO-Compliance
• Transparenzhinweis bereits integriert: 'Guten Tag, hier spricht der KI-Assistent von [Firma]'
• Auftragsverarbeitungsvertrag (AVV) standardmäßig enthalten
• Deepgram EU-Endpoint für Spracherkennung
• 24/7-Verfügbarkeit ohne Cloud-Cold-Starts = keine unnötigen Datenspuren
• Kosten 99€/Monat vs. Compliance-Risiken (bis zu 35 Mio. € Bußgeld)

Häufige Fehler und wie man sie vermeidet

Viele Unternehmen unterschätzen die rechtlichen Anforderungen an KI-Telefonie – und riskieren damit hohe Bußgelder. Die häufigsten Fehler betreffen die fehlende KI-Offenlegung, US-Cloud-Anbieter ohne EU-Hosting, fehlende Auftragsverarbeitungsverträge, unbegrenzte Speicherung von Gesprächsaufzeichnungen, fehlende Eskalationsmöglichkeiten und verbotene Emotionserkennung. Besonders kritisch: Wer ab August 2026 keine KI-Offenlegung am Gesprächsanfang implementiert, verstößt direkt gegen Artikel 50 der KI-Verordnung – mit Bußgeldern bis zu 35 Millionen Euro oder 7% des Jahresumsatzes.

• ❌ Fehler 1: Keine KI-Offenlegung am Gesprächsanfang → Verstoß gegen Art. 50 KI-VO
• ❌ Fehler 2: US-Cloud-Anbieter ohne EU-Hosting → DSGVO-Risiko bei Datentransfers
• ❌ Fehler 3: Kein AVV mit KI-Dienstleister → Verstoß gegen Art. 28 DSGVO
• ❌ Fehler 4: Unbegrenzte Speicherung von Gesprächsaufzeichnungen → Verstoß gegen Datensparsamkeit
• ❌ Fehler 5: Keine Eskalationsmöglichkeit zu echten Mitarbeitern → Verstoß gegen Art. 22 DSGVO
• ❌ Fehler 6: Emotionserkennung zur Performance-Optimierung → Verboten ab Feb 2025

Ausblick: Was kommt nach 2026?

Die EU-Kommission schlägt bereits Anpassungen der KI-Verordnung vor: Im November 2025 wurden längere Übergangsfristen für Hochrisiko-Systeme diskutiert – möglicherweise um 12-18 Monate. Auch eine Harmonisierung von KI-VO, DSGVO und Data Act ist geplant, um Überschneidungen zu reduzieren. Parallel trat am 6. Dezember 2025 das NIS2-Umsetzungsgesetz in Kraft, das Cybersecurity-Pflichten für kritische Infrastrukturen verschärft. Deutsche Aufsichtsbehörden arbeiten an praktischen Leitfäden für KMUs – bis dahin gilt: Lieber frühzeitig compliant sein als auf Fristverlängerungen hoffen.

• EU-Kommission erwägt Fristverlängerungen um 12-18 Monate für Hochrisiko-KI
• NIS2-Umsetzungsgesetz seit 6. Dez 2025 in Kraft (Cybersecurity-Pflichten)
• Harmonisierung von KI-VO, DSGVO und Data Act geplant
• Deutsche Aufsichtsbehörden arbeiten an praktischen Leitfäden für KMUs