DSGVO-konformeVoiceAgents
Anbieter-Checkliste2026
Welcher Voice-AI-Anbieter ist DSGVO-konform? In 4 Punkten geprüft: Server in Deutschland, Firmensitz EU, AVV nach Art. 28 und Anrufer-Hinweis im Gespräch.
Sind Voice Agents überhaupt DSGVO-konform?
Kurz: ja, aber nicht automatisch. Ein KI-Telefonassistent ist genau dann DSGVO-konform einsetzbar, wenn Serverstandort, Firmensitz des Anbieters, der Auftragsverarbeitungsvertrag (AVV) und die Information der Anrufer stimmen. Diese Seite ist die Checkliste, mit der du das vor dem Einsatz prüfst.
Warum DSGVO bei Voice Agents Pflicht ist
Ein KI-Telefonassistent hört buchstäblich zu. Er verarbeitet Sprachdaten, transkribiert Gespräche und speichert Inhalte. Bei einer Arztpraxis bedeutet das: Patientennamen, Symptombeschreibungen, Terminwünsche. Bei einer Kanzlei: vertrauliche Sachverhalte. Bei einem Steuerberater: Finanzinformationen.
Diese Daten fallen unter die DSGVO, in regulierten Branchen zusätzlich unter Berufsgeheimnispflichten (§ 203 StGB). Welcher Anbieter die Daten verarbeitet und wo sie liegen, ist damit keine technische Detailfrage, sondern eine Compliance-Pflicht.
Die Checkliste: 4 Punkte, die einen Voice Agent konform machen
1. Wo stehen die Server? Ein EU-Serverstandort ist die sichere Basis. Ein US-Server erzeugt automatisch den Bedarf nach zusätzlichen Rechtsgrundlagen (Standard Contractual Clauses) für den Datentransfer und ersetzt keine echte EU-Datenhaltung.
2. Wo sitzt das Unternehmen? Ein Anbieter mit Sitz in der EU unterliegt direkt der DSGVO. Ein US-Unternehmen fällt primär unter US-Recht; die DSGVO greift dann nur eingeschränkt.
3. Ist ein AVV verfügbar? Der Auftragsverarbeitungsvertrag ist laut Art. 28 DSGVO Pflicht, sobald ein Dienstleister personenbezogene Daten im Auftrag verarbeitet. Ohne AVV ist der Betrieb formal eine Datenschutzverletzung.
4. Werden Anrufer informiert? Anrufer sollten zu Gesprächsbeginn erfahren, dass ein KI-Assistent das Gespräch führt und Daten verarbeitet werden. Je nach Kontext und Datenart ist ein Hinweis oder eine Einwilligung nötig.
Erfüllt ein Anbieter die Punkte 1 bis 3 und richtest du Punkt 4 korrekt ein, steht dem DSGVO-konformen Einsatz nichts im Weg.
Wie sich die gängigen Plattform-Typen an dieser Checkliste messen:
| Anbieter | Serverstandort | EU-Firmensitz | AVV nach Art. 28 |
|---|---|---|---|
| fonio.ai | EU (Nürnberg, Deutschland) | Ja (Wien) | Ja, verfügbar |
| Synthflow | EU-Datencluster (laut Anbieter) | Ja (Berlin) | Ja, verfügbar |
| Retell AI | USA (AWS) | Nein (USA) | Nur via SCC-DPA (Self-Service) |
| Vapi | USA, EU-Region laut Anbieter wählbar | Nein (USA) | DPA, laut Anbieter nur für Enterprise |
| Bland AI | USA | Nein (USA) | DPA mit SCCs |
Stand Juni 2026, Angaben laut öffentlichen Anbieter-Dokumenten (Privacy Policy, Compliance-Seiten) — können sich ändern. Wo eine Region „wählbar" oder „laut Anbieter" steht, ist die tatsächliche EU-Datenhaltung im Einzelfall vertraglich zu prüfen, gerade bei zugeschalteten Drittanbietern für Transkription, Sprachmodell und Stimme.
Sonderfall: regulierte Branchen
Arztpraxen, Heilpraktiker, Rechtsanwälte und Steuerberater unterliegen zusätzlich dem Berufsgeheimnis (§ 203 StGB). Hier reicht die reine DSGVO-Konformität nicht: Der Anbieter muss als Gehilfe im Sinne der Norm eingebunden und vertraglich zur Verschwiegenheit verpflichtet sein. EU-Hosting ist in diesen Branchen praktisch Mindestanforderung, kein Nice-to-have.
Wer ist eigentlich verantwortlich?
Oft missverstanden: Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7) bleibt immer dein Unternehmen, nicht der Anbieter. Der Voice-Agent-Anbieter ist dein Auftragsverarbeiter. Das heißt: Die Pflicht, einen AVV abzuschließen, die Anrufer zu informieren und die Rechtsgrundlage zu dokumentieren, liegt bei dir. Ein Anbieter kann die konforme Grundlage liefern, die Verantwortung abnehmen kann er nicht.
Welcher Anbieter erfüllt die Checkliste?
Unter den gängigen Voice-Agent-Plattformen erfüllt fonio.ai die ersten drei Punkte ohne Zusatzaufwand: Server in Nürnberg (Hetzner), Firmensitz Wien (EU-Rechtsraum), AVV verfügbar. Mit Synthflow (Sitz Berlin, EU-Datencluster laut Anbieter) gibt es eine zweite EU-Option. Die US-Plattformen Retell AI, Vapi und Bland AI brauchen dagegen Standard Contractual Clauses (SCCs) und einen dokumentierten Transfer-Grund, ihr DPA ist teils nur für Enterprise-Kunden verfügbar. Für deutschsprachige KMU ohne IT-Team empfehlen wir fonio.ai, weil Oberfläche, Support und Spracherkennung auf Deutsch ausgelegt sind. Details zum Vertrag haben wir auf der Seite fonio.ai AVV zusammengefasst; einen vollständigen Anbieter-Vergleich findest du im KI-Telefonassistent-Vergleich.
Gratis-Guide + 10 % fonio-Code
E-Mail eintragen — Guide & dein exklusiver Partnercode kommen sofort ins Postfach. Kein Warten, kein Anruf nötig.
Schon überzeugt? Direkt bei fonio registrieren
Lieber persönlich beraten? Kostenloses Erstgespräch
So setzen wir das bei dir um
FoxifAI ist keine Datenschutzkanzlei, aber wir richten deinen Voice Agent auf DSGVO-konformer Basis ein: EU-Tool-Auswahl, AVV ansetzen, korrekte Konfiguration (Anrufer-Hinweis, Datensparsamkeit) und die Aufklärung, worauf du als Verantwortlicher achten musst. Alles zu Funktionsweise, Preisen und Setup auf unserer Seite KI-Telefonassistent.
Häufige Fragen
Brauche ich als Friseur oder Handwerker auch einen AVV? Ja. Sobald ein externer Dienstleister personenbezogene Daten (Namen, Termine, Telefonnummern) verarbeitet, ist ein AVV gemäß Art. 28 DSGVO Pflicht, unabhängig von der Branche.
Woran erkenne ich einen DSGVO-konformen Voice-Agent-Anbieter? An drei nachprüfbaren Fakten: Serverstandort in der EU, Firmensitz im EU-Rechtsraum und ein verfügbarer Auftragsverarbeitungsvertrag nach Art. 28. Fehlt einer davon, ist der konforme Einsatz nur mit zusätzlichem Aufwand (SCCs, dokumentierte Rechtsgrundlage) möglich.
Sind SCCs (Standard Contractual Clauses) ausreichend für den US-Transfer? SCCs sind eine legitime Rechtsgrundlage nach DSGVO Art. 46. Sie legitimieren den Transfer, ersetzen aber keine EU-Datenhaltung. Für besonders sensible Daten (Gesundheit, Rechtsberatung) empfehlen Datenschutzexperten EU-Hosting als sicherere Option.
Muss ich Anrufer informieren, dass ein KI-Assistent das Gespräch führt? In der Regel ja. Transparenz ist ein DSGVO-Grundprinzip (Art. 13). Ein kurzer Hinweis zu Gesprächsbeginn, dass ein KI-Assistent antwortet und Daten verarbeitet werden, gehört zum konformen Betrieb; je nach Datenart kann eine Einwilligung nötig sein.
Was passiert, wenn mein Voice-Agent-Anbieter keinen AVV anbietet? Ohne AVV darf der Dienst für die Verarbeitung personenbezogener Daten nicht genutzt werden. Dein Unternehmen haftet für DSGVO-Verstöße; Bußgelder bis zu 4 % des weltweiten Jahresumsatzes sind möglich.
Trägt am Ende der Anbieter oder mein Unternehmen die Verantwortung? Dein Unternehmen. Du bist Verantwortlicher im Sinne der DSGVO, der Anbieter ist Auftragsverarbeiter. Der AVV regelt die Pflichten zwischen beiden, verlagert die Letztverantwortung aber nicht auf den Anbieter.
Jetzt kostenloses Erstgespräch buchen (öffnet in neuem Tab). Wir klären deine DSGVO-Fragen direkt im Gespräch.
FoxifAI, Leibnizstraße 9a, 44793 Bochum.
Mehr zu fonio
Jetzt 10 % sichern
10 % aufs erste fonio-Abo — Code per Mail, im Checkout einlösen. Oder lass deinen Voice Agent von uns aufsetzen.
Affiliate-Hinweis: fonio.ai ist unser Partner — buchst du über unseren Link, werden wir am Abschluss beteiligt, für dich ohne Mehrkosten.