Zum Inhalt springen

Sind KI-Anrufe in Deutschland legal? DSGVO-Guide

Sind KI-Anrufe datenschutzorientiert? Was bei KI-Telefon in Deutschland gilt — Transparenz, Rechtsgrundlage, AVV und Serverstandort. Verständlich erklärt.

Von Tarik Ermis ·
Blog-Titelbild: Sind KI-Anrufe in Deutschland legal? DSGVO-Guide

Sind KI-Anrufe in Deutschland erlaubt?

Ja: KI-Anrufe sind in Deutschland zulässig — wenn die DSGVO eingehalten wird. Es gibt kein Gesetz, das einen KI-Telefonassistenten verbietet. Entscheidend ist nicht die Technik, sondern wie Sie sie einsetzen: transparent, mit klarer Rechtsgrundlage, mit Vertrag zum Anbieter und mit sparsamem Umgang mit Daten.

Genau hier trennt sich seriöse KI-Telefonie von Grauzonen-Lösungen. KI-Telefon datenschutzorientiert zu betreiben heißt vor allem: Anrufende wissen, dass sie mit einem KI-System sprechen, es werden nur die nötigen Daten verarbeitet, und die Daten liegen bei einem Anbieter mit ordentlichem Auftragsverarbeitungsvertrag — idealerweise auf Servern in Deutschland.

Hinweis: n3tz ist keine Anwaltskanzlei, und dieser Beitrag ist eine allgemeine Orientierung — keine Rechtsberatung. Die genannten Vorschriften (DSGVO, KI-Verordnung) sind allgemein zitiert, nicht auf Ihren Fall bezogen. Für Ihren konkreten Einzelfall binden Sie bitte Ihren Datenschutzbeauftragten oder eine spezialisierte Kanzlei ein.

Worum geht es bei „KI-Anrufen” überhaupt?

Ein KI-Telefonassistent nimmt eingehende Anrufe an, versteht das Anliegen, beantwortet Fragen und erfasst Kontaktdaten oder bucht Termine. Dabei werden personenbezogene Daten verarbeitet: Name, Telefonnummer, das Anliegen, manchmal eine Aufnahme oder ein Transkript des Gesprächs.

Sobald personenbezogene Daten verarbeitet werden, greift die DSGVO. Das ist nichts Exotisches — dasselbe gilt für einen klassischen Anrufbeantworter, ein CRM oder eine Telefonanlage. Die Anforderungen sind also bekannt; sie müssen nur sauber umgesetzt werden.

Die fünf Punkte, auf die es ankommt

1. Transparenz — der KI-Hinweis

Anrufende dürfen nicht im Unklaren gelassen werden. Sie müssen erkennen können, dass sie mit einem KI-System und nicht mit einem Menschen sprechen. In der Praxis löst man das mit einem kurzen Hinweis zu Beginn des Gesprächs — etwa: „Hier ist der digitale Assistent von [Firma].”

Der Hinweis dient der Transparenz, ist aber keine Einwilligung: Die Fortsetzung des Gesprächs ersetzt keine Rechtsgrundlage. Der einsetzende Betrieb muss die Verarbeitung für seinen konkreten Zweck auf eine tragfähige Grundlage stützen und die erforderlichen Informationen bereitstellen. Wer nicht mit der KI sprechen möchte, kann auflegen oder um einen menschlichen Rückruf bitten; n3tz verbindet nicht live weiter. Dieser Hinweis erfüllt zugleich die Transparenzpflicht nach Art. 50 KI-Verordnung. Wie wir das umsetzen, erläutern wir in unserer Datenschutzerklärung.

2. Rechtsgrundlage — Art. 6 DSGVO

Jede Verarbeitung braucht eine Rechtsgrundlage. Für KI-Telefonie kommen vor allem zwei in Betracht:

  • Vertragsanbahnung/-erfüllung (Art. 6 Abs. 1 lit. b): Ruft jemand an, um einen Termin zu vereinbaren oder ein Angebot zu bekommen, ist die Verarbeitung der Anfrage zur Durchführung dieser vorvertraglichen Maßnahme erforderlich.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Ein Unternehmen hat ein nachvollziehbares Interesse daran, erreichbar zu sein und Anliegen zu erfassen. Hier ist eine kurze Interessenabwägung zu dokumentieren.

Eine ausdrückliche Einwilligung (lit. a) ist für die normale organisatorische Anrufbearbeitung in der Regel nicht zwingend — wohl aber für darüber hinausgehende Zwecke wie Werbung.

3. Auftragsverarbeitung — Art. 28 DSGVO

Der KI-Telefonanbieter verarbeitet die Daten in Ihrem Auftrag. Dafür brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Er regelt, was mit den Daten passieren darf, welche technischen und organisatorischen Maßnahmen gelten und welche Unterauftragsverarbeiter eingesetzt werden.

Ohne AVV ist der Einsatz nicht sauber abgesichert. Prüfen Sie deshalb vor Vertragsschluss, ob der Anbieter einen AVV bereitstellt — und ob darin die tatsächlich genutzten Subprozessoren benannt sind. Unseren AVV finden Sie unter Auftragsverarbeitungsvertrag.

4. Datensparsamkeit, Speicherort & Subprozessoren

Erheben Sie nur, was für den Zweck nötig ist. Für eine Terminanfrage braucht es Name, Kontakt und Anliegen — nicht mehr. Je weniger Daten anfallen, desto kleiner das Risiko.

Entscheidend ist außerdem, wo die Daten liegen und wer sie verarbeitet. Hier liegt der größte Unterschied zwischen Anbietern:

  • Primäre Datenspeicherung: n3tz speichert die Stamm-, Gesprächs- und Ergebnisdaten der Anwendung bei Hetzner in Nürnberg. Weitere konkrete Anbieter und Datenflüsse — etwa Cloudflare für Website, Edge-Schutz und Objektspeicher — sind im AVV benannt; „deutsches Hosting“ ist deshalb keine pauschale Zusage, dass jeder Verarbeitungsschritt ausschließlich in Deutschland stattfindet.
  • KI-Unterauftragnehmer: Live-Chat, E-Mail-Entwürfe, Gesprächszusammenfassungen, Lead-Extraktion und Website-Analyse sind für Textinferenz und Datenresidenz auf Google Vertex AI in der EU-Region konfiguriert. Das KI-Live-Telefonat und die Begrüßungs-Sprachausgabe laufen über Gemini-Dienste in den USA auf Grundlage des EU-US Data Privacy Framework und ergänzender Standardvertragsklauseln. Bei bezahlten Gemini-Diensten werden Prompts und Antworten nicht zur Produktverbesserung genutzt; eine begrenzte Anbieteraufbewahrung zur Missbrauchserkennung von bis zu 55 Tagen bleibt möglich. Alle Unterauftragnehmer und Transfermechanismen stehen im AVV.

Der Vorteil gegenüber vielen rein US-basierten Diensten liegt damit nicht im vollständigen Verzicht auf Drittlandtransfers, sondern in ihrem klar abgegrenzten Umfang, den dokumentierten Schutzmechanismen und der transparenten Unterauftragnehmerliste.

5. Besondere Vorsicht bei Gesundheitsdaten — Art. 9 DSGVO

Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten (Art. 9 DSGVO) und genießen erhöhten Schutz. n3tz bietet den Gemini-basierten Dienst derzeit nicht produktiv für Arztpraxen an. Die Anbieterbedingungen schließen die klinische Praxis, medizinische Beratung sowie Angebote aus, die an Minderjährige gerichtet sind oder voraussichtlich von ihnen genutzt werden. Ein späterer Einsatz setzt eine schriftlich bestätigte Anbieterfreigabe oder einen geeigneten alternativen Verarbeiter voraus und muss rein administrativ, auf volljährige Personen begrenzt und datenschutz- sowie berufsrechtlich geprüft sein.

Datenminimierung ist hier nicht nur Best Practice, sondern der sicherste Weg, gar nicht erst in die Art-9-Problematik zu geraten.

DSGVO-Checkliste für KI-Telefonie

Stellen Sie jedem Anbieter — und Ihrer eigenen Konfiguration — diese Fragen:

AnforderungWarum sie wichtig ist
KI-Hinweis am GesprächsanfangTransparenzpflicht; ersetzt weder Rechtsgrundlage noch Einwilligung
Dokumentierte RechtsgrundlageArt. 6 DSGVO — Vertragsanbahnung oder berechtigtes Interesse, abgewogen und festgehalten
AVV nach Art. 28 DSGVOMacht die Auftragsverarbeitung rechtlich sauber
Benannte SubprozessorenSie müssen wissen, wer die Daten tatsächlich verarbeitet
Serverstandort EU/DeutschlandKann Umfang und Dauer von Drittlandtransfers reduzieren; KI-Datenflüsse gesondert prüfen
Datensparsame KonfigurationWeniger Daten = weniger Risiko, besonders bei Art. 9
Lösch- und ExportkonzeptBetroffenenrechte und Aufbewahrungsfristen umsetzbar halten
Eskalation an einen MenschenAnrufende müssen einen Ausweg aus dem KI-Gespräch haben

Deutscher Anbieter oder US-Tool?

KriteriumAnbieter mit DE-Hosting (z. B. n3tz)Typisches US-Tool
ServerstandortDeutschland (Nürnberg)meist USA / global
Drittlandtransferauf KI-Verarbeitung und benannte Dienste begrenzthäufig auch Hosting und Speicherung betroffen
AVV auf Deutschjaoft nur englisch, US-Recht
Subprozessor-Transparenzbenannt, überschaubarhäufig lange Ketten
Ansprechpartnerregional, deutschsprachigSupport im Ausland

Ein US-Tool ist nicht automatisch unzulässig — aber es macht die DSGVO-Dokumentation aufwendiger und die Kommunikation gegenüber Ihren eigenen Kunden schwieriger. Mit deutscher Datenspeicherung und klar dokumentierten US-Übermittlungen lässt sich die Verarbeitung gegenüber Kunden deutlich transparenter darstellen — gerade für Praxen, Kanzleien und Handwerksbetriebe, die selbst Verantwortung für sensible Kundendaten tragen.

Was Sie konkret tun sollten

  1. Hinweis einrichten: Stellen Sie sicher, dass jedes KI-Gespräch mit einem klaren KI-Hinweis startet.
  2. Rechtsgrundlage festhalten: Notieren Sie kurz, worauf Sie die Verarbeitung stützen, und führen Sie ggf. die Interessenabwägung durch.
  3. AVV vereinbaren: Kein KI-Telefon ohne wirksam einbezogenen Auftragsverarbeitungsvertrag.
  4. Konfiguration prüfen: Welche Daten werden erfasst? Lässt sich Überflüssiges abschalten — vor allem bei Gesundheitsdaten?
  5. In die Datenschutzdokumentation aufnehmen: Ergänzen Sie das Verzeichnis von Verarbeitungstätigkeiten und Ihre Datenschutzerklärung. Wie wir das handhaben, sehen Sie in unserer Datenschutzerklärung.
  6. Im Zweifel Fachrat holen: Ihr Datenschutzbeauftragter oder eine Kanzlei prüft den Einzelfall.

Fazit

KI-Anrufe sind in Deutschland legal — die Frage ist nicht ob, sondern wie. Mit Transparenz, sauberer Rechtsgrundlage, einem AVV, Datensparsamkeit und einem Anbieter mit Servern in Deutschland betreiben Sie KI-Telefonie datenschutzorientiert und können das auch gegenüber Ihren Kunden klar belegen.

Deutsche Datenspeicherung und transparent benannte KI-Unterauftragnehmer sind dabei kein Detail, sondern Ihr stärkstes Argument: Die Datenflüsse bleiben nachvollziehbar dokumentiert — und genau das können Sie Ihren Kunden zeigen.

Mehr erfahren: n3tz KI-Telefonassistent ansehen → oder unsere Datenschutzerklärung lesen →


n3tz
Tarik Ermis

Software-Architekt & Gründer von n3tz. Baut KI-Lösungen für den regionalen Mittelstand im Saarland.

Bereit, Ihren Betrieb digital erreichbar zu machen?