Vorab: Das ist keine Rechtsberatung

Ein Hinweis vorweg, weil das Thema heikel ist: Dieser Beitrag erklärt die Grundlagen verständlich, ersetzt aber keine rechtliche Prüfung deines konkreten Falls. Zieh im Zweifel einen Datenschutzexperten hinzu. Mit diesem Verständnis kannst du aber die richtigen Fragen stellen — und das ist die halbe Miete.

Warum DSGVO hier überhaupt zählt

Ein KI-Telefonassistent verarbeitet personenbezogene Daten: Namen, Telefonnummern, Anliegen, manchmal Gesundheits- oder Finanzangaben. Damit fällt der Betrieb klar unter die DSGVO, und du als Unternehmen trägst die Verantwortung. Das ist kein Grund zur Panik, aber ein Grund, genau hinzuschauen — zumal Verstöße empfindliche Bußgelder nach sich ziehen können.

Die drei Bedingungen für Konformität

Vereinfacht gilt ein KI-Telefonassistent als DSGVO-konform, wenn drei Dinge zusammenkommen.

Erstens: Die Sprachdaten werden in der EU verarbeitet, ohne ungesicherten Transfer in die USA. Der Serverstandort ist hier der zentrale Hebel.

Zweitens: Es gibt eine Rechtsgrundlage für die Verarbeitung — meist berechtigtes Interesse oder Einwilligung.

Drittens: Anrufer werden über die KI-gestützte Verarbeitung informiert. Transparenz ist Pflicht, kein Nice-to-have.

Wie Vonda das löst

Vonda hostet komplett in Deutschland und der EU: Compute bei Hetzner in Nürnberg, Datenbank bei Supabase in Frankfurt, das Sprachmodell über Azure OpenAI in der EU, Telefonie über Telnyx mit EU-Endpunkten. Anrufe werden aufgezeichnet und in Deutschland gespeichert. Damit ist die wichtigste der drei Bedingungen — EU-Datenverarbeitung — strukturell abgedeckt.

Die ehrliche Ausnahme: Die Zahlungsabwicklung läuft über Stripe in den USA, abgesichert über das EU-US Data Privacy Framework und Standardvertragsklauseln. Das betrifft die Bezahlung, nicht die Gesprächsinhalte — aber es gehört zur vollständigen Wahrheit dazu.

Der unterschätzte Punkt: Datensparsamkeit

Viele DSGVO-Probleme entstehen nicht beim Erheben, sondern bei der Sammelwut danach. Für die meisten Anliegen reichen strukturierte Felder: Name, Telefonnummer, Zeitfenster, kurze Zusammenfassung. Ein dauerhaftes Volltranskript jedes Gesprächs ist rechtlich deutlich anspruchsvoller. Überlege also, welche Daten du wirklich brauchst — weniger speichern ist oft die sichere Wahl. Mehr dazu im eigenen Beitrag zur Datensparsamkeit.

Was du praktisch regeln solltest

Schaffe von Anfang an klare Strukturen: eine Information für Anrufer, dass KI-gestützt verarbeitet wird, ein Löschkonzept für die Aufzeichnungen, definierte Datenflüsse und — sofern relevant — einen Auftragsverarbeitungsvertrag mit dem Anbieter. Frag deinen Anbieter konkret, welche Vorlagen und Nachweise er bereitstellt.

Die Rolle des Auftragsverarbeitungsvertrags

Sobald ein Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet — und das tut ein Telefonassistent —, gehört in aller Regel ein Auftragsverarbeitungsvertrag dazu, kurz AVV. Darin wird geregelt, wer welche Daten zu welchem Zweck verarbeitet, wie sie geschützt werden und was bei Beendigung passiert. Frag deinen Anbieter konkret, ob er eine AVV-Vorlage bereitstellt und welche Unterauftragsverarbeiter beteiligt sind — bei einer EU-gehosteten Lösung sind das etwa die Infrastruktur- und Sprachmodell-Anbieter. Das klingt bürokratisch, ist aber Routine und schnell erledigt, wenn der Anbieter vorbereitet ist. Ein Anbieter, der hier sofort liefern kann, signalisiert, dass er das Thema Datenschutz ernst nimmt — ein gutes Zeichen für die Zusammenarbeit insgesamt.

Häufige Fragen

Darf ich Anrufe aufzeichnen? Mit Information und Rechtsgrundlage in der Regel ja. Die genaue Ausgestaltung solltest du rechtlich prüfen lassen.

Reicht EU-Hosting allein? Es ist der wichtigste Baustein, aber Information der Anrufer und Rechtsgrundlage gehören dazu.

Was ist mit der Stripe-Ausnahme? Sie betrifft die Zahlung, nicht die Gesprächsdaten, und ist über anerkannte Mechanismen abgesichert.

Kurz gefasst

DSGVO-Konformität ruht auf drei Säulen: EU-Datenverarbeitung, eine Rechtsgrundlage und Transparenz gegenüber Anrufern. EU-Hosting wie bei Vonda deckt die erste Säule strukturell ab; Datensparsamkeit macht den Rest leichter. Für deinen konkreten Fall lohnt der Blick eines Datenschutzexperten.

Dieses Thema ist sensibel — wenn du auf der sicheren Seite sein willst, lass deinen konkreten Einsatz rechtlich prüfen. Technisch kannst du es schon mal ausprobieren:

Assistenten jetzt erstellen — gib einfach deine Website ein, in wenigen Minuten ist dein Test-Assistent startklar.