DSGVO-konforme Voice Agents 
fonio, Bland AI und Retell im Vergleich 

Warum DSGVO bei Voice Agents keine Randnotiz ist

Ein KI-Telefonassistent hört buchstäblich zu. Er verarbeitet Sprachdaten, transkribiert Gespräche und speichert Inhalte. Bei einer Arztpraxis bedeutet das: Patientennamen, Symptombeschreibungen, Terminwünsche. Bei einer Kanzlei: vertrauliche Sachverhalte. Bei einem Steuerberater: Finanzinformationen.

Diese Daten fallen unter die DSGVO, in regulierten Branchen zusätzlich unter Berufsgeheimnispflichten. Welcher Anbieter diese Daten verarbeitet, wo die Server stehen und welche Rechtsnachfolge bei einem Datenschutzvorfall greift, ist keine technische Detailfrage — es ist eine Compliance-Pflicht.

Dieser Vergleich analysiert fonio.ai, Bland AI und Retell AI anhand der datenschutzrelevanten Fakten.

Die drei entscheidenden Fragen

1. Wo stehen die Server? Ein EU-Serverstandort allein reicht nicht für DSGVO-Compliance, aber ein US-Server erzeugt automatisch den Bedarf nach zusätzlichen Rechtsgrundlagen (Standard Contractual Clauses oder Adequacy Decision) für den Datentransfer.

2. Wo sitzt das Unternehmen? Ein Unternehmen mit Sitz in der EU unterliegt direkt der DSGVO. Ein US-Unternehmen fällt primär unter US-Recht — die DSGVO gilt nur dann, wenn es aktiv europäische Nutzer adressiert.

3. Ist ein AVV verfügbar? Der Auftragsverarbeitungsvertrag (AVV) ist laut Art. 28 DSGVO Pflicht, sobald ein Dienstleister personenbezogene Daten im Auftrag verarbeitet. Ohne AVV ist der Betrieb des Voice Agents formal eine Datenschutzverletzung.

fonio.ai — EU-native Infrastruktur

Serverstandort: Nürnberg, Deutschland (Hetzner Online GmbH). Explizit auf der Website angegeben: "Unsere Server befinden sich in Nürnberg, Deutschland."

Unternehmenssitz: fonio GmbH, Wien, Österreich — EU-Rechtsraum, direkte DSGVO-Bindung.

Datentransfer USA: Nach Eigenangabe verlassen Sprachdaten den europäischen Rechtsraum nicht. fonio betreibt einen eigenen Orchestration-Layer statt US-Infrastruktur zu whitelabeln.

AVV: Laut eigener Angabe auf Anfrage erhältlich. Kein öffentlich verlinktes Dokument gefunden — muss aktiv angefragt werden.

Telefonieprovider: Twilio (US-Unternehmen) wird als Carrier genutzt. Twilio bietet EU-konforme Datenverarbeitungsoptionen. Ob eine AVV mit Twilio für Sprachverbindungen besteht, ist aus öffentlich verfügbaren Unterlagen nicht ableitbar — Rückfrage beim Anbieter empfohlen.

Für regulierte Branchen: fonio ist unter den drei Plattformen die einzige mit EU-Serverstandort und EU-Firmensitz. Das macht den DSGVO-Compliance-Pfad erheblich kürzer.

Bland AI — US-Unternehmen, US-Daten

Serverstandort: Keine spezifische Region öffentlich angegeben. Das Unternehmen ("Intelliga Corp DBA Bland AI") ist in San Francisco, Kalifornien registriert.

DSGVO-Lage: Die Datenschutzerklärung von Bland AI (Stand Januar 2025) enthält folgende explizite Formulierung: "Your information may be transferred to, and processed in, countries other than the country in which you reside. These countries may have data protection laws that are different from those of your country. By using the Service, you consent to the transfer of your information to countries outside of your country of residence, including the United States."

Diese Einwilligungsklausel ist im DSGVO-Kontext problematisch: Art. 49 DSGVO erlaubt eine einmalige Einwilligung nur als Ausnahme, nicht als Rechtsgrundlage für dauerhaftes reguläres Geschäft.

AVV: Ein Data Processing Agreement (DPA) ist unter bland.ai/legal/data-processing-agreement selbst unterzeichenbar. Es enthält Standard Contractual Clauses (SCCs) für EU/EWR/Schweiz. Eine echte EU-Datenhaltung ist damit nicht gewährleistet — die SCCs legitimieren den Datentransfer in die USA.

Für regulierte Branchen: Bland AI ist für den deutschen Gesundheitsbereich, Rechtswesen und Steuerberatung ohne aufwendige Enterprise-Konfigurationen schwer DSGVO-konform einsetzbar. Der explizite US-Transfer-Consent in der Privacy Policy ist ein klares Warnsignal.

Retell AI — explizit kein EU-Betrieb

Serverstandort: Amazon Web Services, US-Regionen. Die offizielle Compliance-Dokumentation von Retell AI stellt explizit fest: "we do not currently operate services within the European Union."

Unternehmenssitz: Retell AI Inc., Sunnyvale/San Francisco, Kalifornien. Y-Combinator-finanziert, Fokus auf den US-Markt.

DSGVO-Lage: Retell beansprucht DSGVO-Compliance via AWS-DPA und Standard Contractual Clauses. Das bedeutet: Die Rechtsgrundlage für den Datentransfer in die USA ist vorhanden — eine echte EU-Datensouveränität besteht jedoch nicht.

AVV: Selbst-unterzeichenbar für Free-Tier-Nutzer über click-agreements.retellai.com. Individuelles DPA nur im Enterprise-Plan.

SOC 2: Retell AI gibt SOC 2 Typ 1 und Typ 2 als vorhanden an — damit ist die allgemeine Informationssicherheit gut dokumentiert. Das ändert jedoch nichts am fehlenden EU-Hosting.

Für regulierte Branchen: Trotz SOC 2 ist Retell AI für DACH-Unternehmen mit strengen Datenschutzanforderungen (Gesundheit, Recht, Finanzen) ohne Enterprise-Vereinbarung und EU-Deployment-Option risikoreich.

Vergleichsüberblick

| Kriterium | fonio.ai | Bland AI | Retell AI | |---|---|---|---| | Serverstandort | Nürnberg, Deutschland | USA (unspezifisch) | AWS USA | | EU-Betrieb explizit bestätigt | Ja | Nein | Explizit verneint | | Unternehmenssitz | Wien, Österreich (EU) | San Francisco, USA | San Francisco, USA | | DSGVO-Rechtsgrundlage | EU-native Verarbeitung | SCCs + US-Transfer-Consent | SCCs via AWS | | AVV verfügbar | Ja, auf Anfrage | Ja, selbst-signierbar | Ja (Free: Klick-AVV; Enterprise: custom) | | SOC 2 | Nicht öffentlich kommuniziert | Nicht öffentlich kommuniziert | Typ 1 + Typ 2 bestätigt | | HIPAA | Nicht beworben | Nicht beworben | Ja | | Empfehlung für Arztpraxen / Kanzleien | Ja | Nein | Nein ohne Enterprise-Vereinbarung |

Was bedeutet das für die Praxis?

Wer als Arztpraxis, Heilpraktiker, Rechtsanwalt oder Steuerberater einen KI-Telefonassistenten einsetzen möchte, braucht:

1. Einen AVV mit dem Anbieter — ohne diesen ist jeder Einsatz eine DSGVO-Verletzung.
2. Eine klare Antwort auf die Frage, wo Sprachdaten verarbeitet werden.
3. Sicherheit, dass sensible Daten den EU-Rechtsraum nicht verlassen — oder eine dokumentierte Rechtsgrundlage für den Export.

fonio.ai erfüllt diese Anforderungen am direktesten. Bland AI und Retell AI erfordern erheblichen Zusatzaufwand und bleiben für regulierte DACH-Branchen ein Risiko, solange kein EU-Hosting angeboten wird.

Häufige Fragen

Brauche ich als Friseur oder Handwerker auch einen AVV? Ja. Sobald ein externer Dienstleister personenbezogene Daten (Namen, Termine, Telefonnummern) verarbeitet, ist ein AVV gemäß Art. 28 DSGVO Pflicht — unabhängig von der Branche.

Sind SCCs (Standard Contractual Clauses) ausreichend für den US-Transfer? SCCs sind eine legitime Rechtsgrundlage nach DSGVO Art. 46. Sie legitimieren den Transfer, ersetzen aber keine EU-Datenhaltung. Für besonders sensible Daten (Gesundheit, Rechtsberatung) empfehlen Datenschutzexperten EU-Hosting als sicherere Option.

Was passiert, wenn mein Voice-Agent-Anbieter keinen AVV anbietet? Ohne AVV darf der Dienst für die Verarbeitung personenbezogener Daten nicht genutzt werden. Das Unternehmen haftet für DSGVO-Verstöße — Bußgelder bis zu 4 % des weltweiten Jahresumsatzes sind möglich.

Kann Bland AI oder Retell AI DSGVO-konform betrieben werden? Mit einem signierten DPA und SCCs ist die formale Rechtsgrundlage vorhanden. Für regulierte Branchen (Gesundheit, Recht, Finanzen) reicht das in der Praxis oft nicht aus — hier empfehlen Datenschützer EU-Hosting als Mindestanforderung.

Hat fonio.ai eine öffentliche Sub-Processor-Liste? Stand der Recherche: keine öffentlich zugängliche Liste. Als Telefonieprovider ist Twilio (US-Unternehmen) bestätigt. Wir empfehlen, diese Liste bei fonio aktiv anzufragen — insbesondere für regulierte Branchen.

Wie setze ich einen AVV mit fonio ab? Wende dich direkt an den fonio-Support oder vereinbare das im Rahmen des Onboardings. Als FoxifAI-Kunde begleiten wir dich dabei.

Alle Details zu unserem KI-Telefonassistenten — Funktionsweise, Preise und Setup.

Jetzt kostenloses Erstgespräch buchen — wir klären DSGVO-Fragen direkt im Gespräch.

FoxifAI, Leibnizstraße 9a, 44793 Bochum.