← Talura Home

DSGVO bei KI-Telefonassistenten — was Pflicht ist, was nicht

Praxis-Leitfaden für KMU: Welche Bausteine sind Pflicht für DSGVO-konforme KI-Telefonie? Was ist optional? Was gilt zusätzlich bei Heilberuf, Kanzlei, Steuerberater?

100 Min kostenlos starten Pillar-Leitfaden

Worum es überhaupt geht

Telefonate enthalten personenbezogene Daten: Stimme (= biometrisches Merkmal nach Art. 9 DSGVO bei Stimmprofilen), Name, Anliegen, oft auch Gesundheits-, Finanz- oder Vertrags-Informationen. Wer einen KI-Telefonassistenten einsetzt, ist verantwortlicher Datenverarbeiter und muss DSGVO einhalten.

Gute Nachricht: Mit dem richtigen Setup ist KI-Telefonie genauso DSGVO-konform wie ein menschlicher Mitarbeiter — oft sogar einfacher zu dokumentieren, weil alle Verarbeitungs-Schritte technisch nachvollziehbar sind.

Schlechte Nachricht: Wer einfach drauflos einen US-Voicebot ohne AV einsetzt, riskiert Bußgelder bis 4 % des Jahresumsatzes plus Imageschaden. Im Folgenden steht, was Pflicht ist.

Die Pflicht-Bausteine

1. AV-Vertrag mit dem Plattform-Anbieter Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Regelt, dass der Anbieter Daten nur in Ihrem Auftrag verarbeitet. Talura erstellt diesen automatisch beim Account-Anlegen und stellt ihn unter /avv bereit.
2. AV-Verträge mit eingesetzten KI-Providern Sie wählen die KI-Modelle (LLM, STT, TTS) selbst und schließen mit jedem genutzten Provider einen eigenen AV ab. OpenAI, Anthropic, Google, Deepgram, ElevenLabs etc. bieten alle ein DPA — meist online akzeptierbar im Provider-Dashboard. Für hochsensitive Branchen lohnt EU-native Anbieter (Mistral, Google Gemini Frankfurt).
3. Transparenz-Hinweis am Gesprächsanfang Anrufer muss erfahren: (a) er spricht mit einer KI, (b) das Gespräch wird verarbeitet/aufgezeichnet, (c) Widerspruchs-Möglichkeit besteht. Talura spielt diesen Hinweis automatisch ab. Wortlaut anpassbar, Mindest-Inhalt nicht kürzbar.
4. Lösch-Konzept dokumentiert Wie lange wird welche Datenkategorie aufbewahrt? Audio: 7–30 Tage typisch. Transkripte: 30–365 Tage. Strukturierte Felder (Termin-Daten): bis zur fachlichen Erledigung plus gesetzliche Aufbewahrungsfristen. Talura erlaubt Auto-Löschung pro Agent.
5. Verfahrensverzeichnis nach Art. 30 DSGVO Sie müssen schriftlich dokumentieren, dass Sie Telefon-Daten via KI verarbeiten — Zweck, Datenkategorien, Empfänger, Lösch-Fristen, Sicherheits-Maßnahmen. Vorlagen unter /datenschutz. Bei Audit der Aufsichtsbehörde wird das verlangt.
6. Technisch-organisatorische Maßnahmen (TOM) Verschlüsselung (TLS in Transit, AES-256 at rest), Zugriffskontrolle, Backup-Konzept, Penetrations-Tests. Talura dokumentiert die eigenen TOM und stellt sie auf Anfrage bereit — Sie übernehmen sie als Anhang Ihres TOM-Dokuments.
7. Daten-Pannen-Meldepflicht Falls Daten-Leak: 72 Stunden zur Meldung an die Aufsicht plus ggf. Information der Betroffenen. Talura informiert Sie umgehend bei sicherheitsrelevanten Ereignissen — die Meldung an die Aufsicht obliegt Ihnen als Verantwortlicher.

Sonderfall Heilberuf, Anwalt, Steuerberater

Berufsgeheimnis-Träger (Ärzte, Psychotherapeuten, Apotheker, Anwälte, Steuerberater, Notare) haben ZUSÄTZLICH zur DSGVO eine berufsrechtliche Schweigepflicht aus § 203 StGB. Verstoß ist nicht nur Bußgeld, sondern Straftatbestand.

Konsequenz für KI-Telefonie: Die KI darf keine fachliche Auskunft geben. Termin-Vergabe, Standardfragen, Notfall-Eskalation — alles OK (Vorzimmer-Funktion). Aber: keine Diagnose, keine Rechtsberatung, keine Steuer-Strategie. Sonst droht Geheimnisbruch — selbst wenn die KI „korrekt" antwortet.

Talura ist explizit darauf konfiguriert. Die Branchen-Vorlagen für Arztpraxen, Physiotherapie und Steuerberater enthalten harte Verbots-Regeln im System-Prompt: bei klinischen, juristischen oder steuerlichen Fragen wird auf Sie verwiesen, nicht selbst geantwortet.

Zusätzliche Empfehlung für höchst-sensitive Praxen: Self-Hosting der KI auf eigenem Server (siehe /self-hosting.html). Damit verlassen Daten nie die eigene IT-Infrastruktur.

EU- vs. Nicht-EU-Provider — was geht?

EU-native Provider (DSGVO-default-konform)
  • Mistral (Frankreich) — LLM. Volle DSGVO ohne Sonder-Vereinbarung.
  • Google Gemini mit EU-Region (Frankfurt) — LLM. DPA aktiv, Daten-Residenz konfigurierbar.
  • Cartesia mit EU-Server-Option — TTS. Niedrige Latenz für Voice.
  • Piper (lokal) — TTS. Läuft komplett offline, kein Daten-Transfer.
  • Whisper lokal / Ollama — STT/LLM. Volle Daten-Hoheit.
Nicht-EU-Provider mit ausreichendem DPA (DSGVO-konform mit AV)
  • OpenAI — LLM/TTS. EU-Datenresidenz auf Enterprise-Tarif. DPA online akzeptierbar.
  • Anthropic Claude — LLM. DPA verfügbar, EU-Server-Option in Roll-out.
  • Groq — LLM. DPA verfügbar; sehr schnelle Inferenz.
  • Deepgram — STT. DPA Standard, EU-Hosting möglich.
  • ElevenLabs — TTS. UK-Hosting (UK gilt als adäquat). DPA akzeptierbar.
Was Sie vermeiden sollten
  • Provider ohne DPA — auch wenn das Modell „kostenlos" ist. Ohne AV-Vertrag fehlt die Rechtsgrundlage für Verarbeitung.
  • Drittländer ohne Adäquanz-Beschluss und ohne SCC — Schrems-II-Falle. China, Russland, manche andere Länder.
  • „Free-Tier"-Modelle die für Training verwenden dürfen — manche Provider nutzen Free-Anfragen zum Modell-Training. Das ist mit personenbezogenen Daten nicht vereinbar. Im Zweifel Paid-Tier nutzen oder explizit Training-Opt-out aktivieren.

Der vollständige Provider-Vergleich mit DSGVO-Eignung: /anbieter-vergleich. Hinweis: Provider-Bedingungen ändern sich häufig — bitte vor Einsatz die aktuellen Bedingungen direkt beim Provider prüfen.

Praxis-Konfiguration mit Talura

Konkrete Schritte für ein DSGVO-sauberes Talura-Setup:

  1. Account-Anlage bei talura.app — AV-Vertrag wird automatisch erstellt und liegt im Dashboard.
  2. Provider-Wahl nach Sensibilitäts-Profil: für Heilberufe lieber Mistral + Piper + Whisper; für Standard-KMU OpenAI + ElevenLabs + Deepgram (alle mit DPA).
  3. Hinweis-Text anpassen: am Anfang des Anrufs muss „Sie sprechen mit einem KI-Assistenten von [Firma], das Gespräch wird verarbeitet" enthalten sein. Wortlaut anpassbar, nicht unter Mindest-Inhalt kürzbar.
  4. Lösch-Frist konfigurieren pro Agent: 7 Tage Audio, 30 Tage Transkript ist eine vernünftige Default-Setup. Höhere Frist nur bei dokumentierter Notwendigkeit.
  5. Notfall-Liste pflegen: Wortschatz für Eskalationen, damit der Bot bei Notfällen weiterleitet statt selbst zu beraten.
  6. Verfahrensverzeichnis ergänzen in Ihrem internen DSGVO-Dokument: Talura als Auftragsverarbeiter, KI-Provider als Sub-Auftragsverarbeiter, Daten-Kategorien, Lösch-Fristen.
  7. Mitarbeiter informieren: wer im Dashboard Zugriff hat, sieht Transkripte mit personenbezogenen Daten. Datenschutz-Verpflichtung der Mitarbeitenden ist Pflicht.

Komplette Datenschutz-Erklärung und AVV-Mustertexte: /datenschutz und /avv.

Häufige Fragen

Ist KI-Telefonassistent automatisch DSGVO-konform?

Nein. Konformität entsteht durch das Setup: AV, EU-Hosting (oder DPA), Hinweis am Anrufanfang, Lösch-Konzept, Verschlüsselung, sorgfältige Provider-Wahl.

Muss ich Anrufer informieren dass es eine KI ist?

Ja, Pflicht in Deutschland. DSGVO-Transparenz plus EU AI Act. Talura macht das automatisch am Anfang.

Wie lange darf ich Aufnahmen speichern?

Audio 7–30 Tage typisch, Transkripte 30–365 Tage. Längere Aufbewahrung nur bei rechtlicher Pflicht.

Darf ich US-Modelle für DSGVO-Anrufe nutzen?

Ja, mit DPA und EU-Datenresidenz (OpenAI Enterprise, Anthropic, Google Gemini Frankfurt). Für höchst-sensitive Daten EU-native Provider bevorzugen.

Was gilt zusätzlich für Heilberuf, Kanzlei, Steuerberater?

Berufsgeheimnis nach § 203 StGB zusätzlich zur DSGVO. KI darf keine fachliche Auskunft geben — sonst potenzieller Geheimnisbruch. Vorzimmer-Funktion erlaubt.

Brauche ich einen Datenschutzbeauftragten?

Nicht zwingend nur wegen KI-Telefon. Pflicht bei besonderen Datenkategorien (Heilberuf) oder mehr als 20 ständig damit befassten Personen. Im Zweifel sorgfältige Dokumentation reicht für KMU.

Weiterlesen

KI-Telefonassistent — Pillar

Der vollständige Hintergrund: Wie KI-Telefonie funktioniert, was kostet, welche Branchen, Setup. Mit allen 9 Branchen-Lander.

Talura Datenschutz

Vollständige Datenschutzerklärung — Verarbeitungs-Zwecke, Lösch-Fristen, Sub-Auftragsverarbeiter, Betroffenen-Rechte.

AVV / DPA

Auftragsverarbeitungs-Vertrag mit Talura — automatisch erstellt beim Account-Anlegen.

Jetzt unverbindlich testen

100 Minuten kostenlos — einmalig. AV-Vertrag automatisch, EU-Hosting in Berlin, eigene Provider-Keys (BYO). Keine Kreditkarte, kein Abo.

Jetzt starten