Handlungsempfehlung:<\/strong> Fangen Sie mit einem internen Audit an: Welche Daten verarbeitet Ihr Voice Agent, wo werden sie gespeichert, welche Anbieter sind involviert, und welche Einwilligungen haben Sie aktuell? Dieser Datenmappingprozess ist die Grundlage f\u00fcr alles weitere \u2013 und deckt in der Praxis fast immer L\u00fccken auf.<\/p>\nDieser Artikel hat Grenzen: Er ersetzt keine Rechtsberatung. Bei konkreten Implementierungsfragen konsultieren Sie einen auf IT-Recht und Datenschutz spezialisierten Anwalt sowie Ihren Datenschutzbeauftragten.<\/p>\n
H\u00e4ufig gestellte Fragen<\/h2>\nMuss ich einen Voice Agent als KI kennzeichnen?<\/h3>\n
Ja. Nach Art. 13 DSGVO bestehen Informationspflichten gegen\u00fcber betroffenen Personen. Zus\u00e4tzlich schreibt Art. 52 EU AI Act (g\u00fcltig ab August 2026) explizit vor, dass KI-Systeme, die mit Menschen interagieren, sich als solche kenntlich machen m\u00fcssen. In Deutschland kommt hinzu, dass eine T\u00e4uschung \u00fcber den Gespr\u00e4chspartner wettbewerbsrechtlich und strafrechtlich relevant sein kann (\u00a7 201 StGB, UWG). Praktisch: Eine kurze Ansage zu Gespr\u00e4chsbeginn \u2013 \u201eSie sprechen mit unserem KI-Assistenten“ \u2013 ist ausreichend und rechtlich notwendig.<\/p>\n
Darf ich Telefongespr\u00e4che mit Voice Agents aufzeichnen?<\/h3>\n
Aufzeichnungen erfordern die Einwilligung beider Gespr\u00e4chsparteien \u2013 das ergibt sich aus \u00a7 201 StGB und der DSGVO. Die Einwilligung muss vor Beginn der Aufzeichnung eingeholt werden, klar formuliert sein und dokumentiert werden. Eine allgemeine Ansage \u201edieses Gespr\u00e4ch wird aufgezeichnet“ ohne aktive Best\u00e4tigung ist rechtlich umstritten. Sicherer ist eine DTMF-Best\u00e4tigung (Tastendruck) oder eine Pre-Call-Einwilligung per E-Mail\/SMS-Link. Die Aufzeichnungseinwilligung muss getrennt von der allgemeinen Datenschutzerkl\u00e4rung eingeholt werden.<\/p>\n
Welche Rechtsgrundlage gilt f\u00fcr ausgehende KI-Anrufe (Outbound)?<\/h3>\n
F\u00fcr Outbound-Anrufe zu Werbezwecken ist nach \u00a7 7 UWG eine ausdr\u00fcckliche Einwilligung erforderlich \u2013 das gilt unabh\u00e4ngig davon, ob ein Mensch oder ein KI-System anruft. Bestandskunden k\u00f6nnen unter engen Voraussetzungen auf Basis berechtigten Interesses kontaktiert werden (\u201eSoft Opt-in“), aber nur f\u00fcr \u00e4hnliche Produkte und mit klarer Widerspruchsm\u00f6glichkeit. Bestehende E-Mail-Einwilligungen decken Telefonanrufe nicht automatisch ab. F\u00fcr reine Servicekommunikation kann Art. 6 Abs. 1 lit. b DSGVO greifen.<\/p>\n
Sind US-amerikanische LLM-Anbieter (OpenAI, Azure, Google) DSGVO-konform nutzbar?<\/h3>\n
Grunds\u00e4tzlich ja, aber mit Bedingungen. Seit dem EU-US Data Privacy Framework (2023) ist der Datentransfer in die USA auf stabiler Rechtsgrundlage m\u00f6glich \u2013 vorausgesetzt, der Anbieter ist DPF-zertifiziert. OpenAI, Microsoft Azure und Google sind zertifiziert. Zus\u00e4tzlich muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen sein. F\u00fcr maximale Rechtssicherheit EU-Datenhaltungsregionen nutzen. Bei sensiblen Daten ist ein Transfer Impact Assessment (TIA) zu dokumentieren.<\/p>\n
Wann ist eine Datenschutz-Folgenabsch\u00e4tzung (DSFA) f\u00fcr Voice Agents Pflicht?<\/h3>\n
In vielen F\u00e4llen ja. Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt. F\u00fcr Voice Agents sind folgende Faktoren relevant: systematische Verarbeitung von Sprachdaten (biometrische Daten), KI-basierte Analyse von Gespr\u00e4chsinhalten, gro\u00dfe Mengen betroffener Personen sowie automatisierte Entscheidungsfindung. Die Aufsichtsbeh\u00f6rden haben KI-basierte Kommunikationssysteme mehrfach in ihren Risikolisten erw\u00e4hnt. Im Zweifel: DSFA durchf\u00fchren. Eine unn\u00f6tige DSFA ist kein Fehler \u2013 eine fehlende schon.<\/p>\n
Wie lange d\u00fcrfen Gespr\u00e4chsprotokolle und Transkripte gespeichert werden?<\/h3>\n
Es gibt keine einheitliche gesetzliche Frist, aber das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, dass Daten nur so lange gespeichert werden, wie es f\u00fcr den jeweiligen Zweck erforderlich ist. Orientierungswerte: Rohaudioaufnahmen nach Transkription unverz\u00fcglich l\u00f6schen (maximal wenige Stunden). Transkripte f\u00fcr Qualit\u00e4tszwecke: 30\u201390 Tage. Transkripte als Servicenachweis bei Beschwerden: 1\u20132 Jahre. F\u00fcr jede Kategorie muss eine dokumentierte Begr\u00fcndung vorliegen. Automatische L\u00f6schroutinen sind Pflicht.<\/p>\n
Was muss ich beim Einsatz von Voice-Agent-Plattformen wie Vapi oder Retell AI beachten?<\/h3>\n
Plattformen wie Vapi.ai oder Retell AI sind Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Sie m\u00fcssen mit ihnen einen AVV abschlie\u00dfen \u2013 pr\u00fcfen Sie, ob dieser in Ihrem Tarif enthalten ist. Zudem sollten Sie die Standardlogging-Einstellungen pr\u00fcfen: Beide Plattformen loggen standardm\u00e4\u00dfig Transkripte und teils Audioaufnahmen. Diese Einstellungen m\u00fcssen aktiv konfiguriert werden. Pr\u00fcfen Sie auch, wo Daten gespeichert werden (US vs. EU) und ob eine DPF-Zertifizierung vorliegt. Webhook-Callbacks nach Gespr\u00e4chsende k\u00f6nnen genutzt werden, um Daten automatisch in eigener Infrastruktur zu verarbeiten und auf den Plattformen zu l\u00f6schen.<\/p>\n
![\"DSGVO-Rechtsgrundlagen](\"https:\/\/quantenfrosch.at\/blog\/wp-content\/uploads\/voice-agent-datenschutz-dsgvo-content-1-1775077931872.jpg\")
![\"Voice](\"https:\/\/quantenfrosch.at\/blog\/wp-content\/uploads\/voice-agent-datenschutz-dsgvo-content-2-1775077957449.jpg\")
![\"EU](\"https:\/\/quantenfrosch.at\/blog\/wp-content\/uploads\/voice-agent-datenschutz-dsgvo-content-3-1775077980806.jpg\")