Voice AI und DSGVO: Was Unternehmen in Deutschland wissen müssen
KI-Telefonagenten erheben personenbezogene Daten — Gesprächsinhalte, Stimmdaten, Lead-Informationen. Was müssen Unternehmen beachten, und wie stellt 24/7 PROJECT Compliance sicher?
DSGVO-Anforderungen für Voice AI
Der Einsatz von KI-Sprachagenten für Telefonakquise berührt mehrere Bereiche der DSGVO (EU-Datenschutz-Grundverordnung):
- Rechtsgrundlage: Art. 6 DSGVO — in der Regel berechtigtes Interesse (B2B) oder Einwilligung (B2C)
- Informationspflicht: Kontaktpersonen müssen über die Datenverarbeitung informiert werden
- Aufzeichnung: Erfordert Einwilligung oder gesetzliche Grundlage (je nach Jurisdiction)
- Auftragsverarbeitung: AVV mit allen eingesetzten Diensten (Voice-Engine, Datenbank, Hosting)
- Datenspeicherung: Nur auf EU-Servern oder mit geeigneten Garantien (SCC)
EU AI Act — Was ab August 2026 gilt
Art. 50 des EU AI Acts verpflichtet Betreiber von KI-Systemen, die mit natürlichen Personen interagieren, zur Offenlegung des KI-Status zu Beginn der Interaktion. Verstöße sind mit Bußgeldern bis zu €15 Mio. oder 3% des Jahresumsatzes belegt.
24/7 PROJECT erfüllt diese Anforderung: Jeder Anruf beginnt mit der klaren Identifikation als KI-Telefonagent. Diese Einstellung ist nicht konfigurierbar und kann nicht deaktiviert werden.
Aufzeichnung von Telefongesprächen
In Deutschland regelt § 201 StGB die Aufzeichnung von Gesprächen. Für B2B-Kaltakquise mit KI-Agenten gilt:
- Der Angerufene muss auf die Aufzeichnung hingewiesen werden
- Bei explizitem Widerspruch ist die Aufzeichnung zu stoppen
- Intern genutzte Transkripte für Qualitätssicherung sind unter Bedingungen zulässig
Wie 24/7 PROJECT DSGVO-Konformität sicherstellt
- Alle Kundendaten auf EU-Servern (Hetzner Deutschland, Supabase Irland)
- AVV mit allen Auftragsverarbeitern geschlossen
- US-Dienste nur mit Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO
- Keine Weitergabe von Kundendaten an Dritte zu Werbezwecken
- Löschkonzept: 90 Tage nach Vertragsende