Die Bereitstellung eines KI-Sprachassistenten im Kontakt mit europäischen Kunden bringt spezifische rechtliche Verantwortlichkeiten mit sich, die viele Unternehmen unterschätzen. Zwischen der DSGVO (seit 2018 anwendbar), dem europäischen AI Act (seit August 2025 anwendbar) und den branchenspezifischen Vorschriften (HDS für den medizinischen Bereich, DSP2 für die Finanzen) ist der normative Rahmen dicht. Gut verstanden wird er jedoch zu einem Wettbewerbsvorteil: Konforme Unternehmen gewinnen das Vertrauen ihrer Kunden.
Die Stimme: ein biometrisches Datum unter der DSGVO
Die menschliche Stimme enthält biometrische Informationen: Klangfarbe, Grundfrequenz, Atemrhythmus — all dies sind Merkmale, die es ermöglichen, eine Person zu identifizieren. In diesem Sinne fallen die Aufzeichnung und Verarbeitung menschlicher Stimmen unter die sensiblen Daten im Sinne von Artikel 9 der DSGVO, mit erhöhten Schutzanforderungen.
Das bedeutet, dass Sie nicht einfach alle Ihre Anrufe "zur Verbesserung der Servicequalität" aufzeichnen können, ohne eine ausdrückliche rechtliche Grundlage. Die gültigen rechtlichen Grundlagen für diese Verarbeitung sind: die ausdrückliche und vorherige Zustimmung (nicht die stillschweigende Zustimmung durch Fortsetzung des Anrufs), die Erfüllung eines Vertrags (wenn die Aufzeichnung für die Leistungserbringung erforderlich ist) oder das berechtigte Interesse (vorausgesetzt, der Interessenausgleichstest wird bestanden).
Die praktischen Verpflichtungen zur Einhaltung
Die vorherige Information
Vor jeder Sprachaufzeichnung muss der Anrufer informiert werden: dass der Anruf aufgezeichnet werden kann, zu welchem Zweck, wie lange die Daten aufbewahrt werden und wie er seine Rechte (Zugriff, Berichtigung, Löschung) ausüben kann. Diese Informationen können vom KI-Agenten selbst zu Beginn des Anrufs in Form einer kurzen und klaren Nachricht gegeben werden.
Die Aufbewahrungsdauer
Sprachaufzeichnungen dürfen nicht unbegrenzt aufbewahrt werden. Die Aufbewahrungsdauer muss verhältnismäßig zum Zweck sein: 3 Monate für die Schulung von Agenten, 12 Monate für die Lösung von Streitigkeiten, maximal 5 Jahre für regulierte Sektoren (Banken, Versicherungen) mit dokumentierter Rechtfertigung. Nach Ablauf dieser Fristen müssen die Daten gelöscht oder anonymisiert werden.
Das Hosting: europäisches Gebot
Die Sprachdaten von europäischen Bürgern müssen in der EU oder in einem Land gehostet werden, das als angemessen schützend anerkannt ist. Dies schließt in der Praxis Lösungen aus, die Aufzeichnungen auf amerikanischen Servern ohne ausreichende vertragliche Garantien speichern (Standardvertragsklauseln + zusätzliche Mechanismen gemäß der Rechtsprechung Schrems II).
Vocalis hostet alle seine Daten in Frankreich und Deutschland (AWS Paris, OVHcloud Strasbourg), mit ISO 27001-Zertifizierung und dokumentierter DSGVO-Konformität in den DPA (Data Processing Agreements), die jedem Kunden zur Verfügung gestellt werden.
Der AI Act: die neuen Verpflichtungen seit August 2025
Die europäische Verordnung über künstliche Intelligenz (AI Act) hat spezifische Verpflichtungen für KI-Systeme eingeführt, die mit natürlichen Personen in Kontakt stehen:
- Transparenzpflicht: Jede Person, die mit einem KI-System interagiert, muss zu Beginn der Interaktion klar informiert werden. "Dies ist eine automatisierte Nachricht" reicht nicht mehr aus — die KI muss ausdrücklich erwähnt werden.
- Recht auf menschliches Opt-out: Bei Kundenservice-Interaktionen muss der Benutzer die Möglichkeit haben, um mit einem Menschen verbunden zu werden.
- Technische Dokumentation: Anbieter von KI-Systemen mit begrenztem Risiko (einschließlich Sprachassistenten im Kundenservice) müssen eine technische Dokumentation führen, die den Behörden zugänglich ist.
- Bias-Management: Die Systeme müssen auf potenzielle Verzerrungen bewertet werden, insbesondere für Systeme, die Entscheidungen beeinflussen (Kreditvergabe, Schadensannahme, Betrugsbewertung).
Die Sektoren mit spezifischen Anforderungen
Der medizinische Bereich (HDS) verlangt, dass alle Gesundheitsdaten, die über einen Sprachassistenten gesammelt oder verarbeitet werden, von einem HDS-zertifizierten Anbieter gehostet werden. Die Sprachdaten eines Patienten, der einen medizinischen Termin anruft, enthalten nicht unbedingt Gesundheitsdaten — aber sobald das Gespräch über eine Krankheit, eine Behandlung oder ein Rezept geht, gilt der HDS-Rahmen.
Die Banken und Versicherungen müssen die Anforderungen an die ordnungsgemäße Archivierung (ACPR) einhalten: Aufbewahrung der vertraglichen Nachweise (Aufzeichnung der Zustimmung) während der Vertragslaufzeit + 5 Jahre. Die Systeme zur Überprüfung der Identität durch Stimme müssen dokumentiert und prüfbar sein.
"Die DSGVO-Konformität ist kein Hindernis für die Bereitstellung von Sprach-KI — sie ist ein Rahmen, der dazu zwingt, robustere und vertrauenswürdigere Systeme zu schaffen." — DSB, französische Finanzdienstleistungsgruppe
DSGVO-Compliance-Checkliste für Ihre Sprach-KI-Bereitstellung
- Aktualisiertes Verzeichnis der Verarbeitungstätigkeiten mit der Sprachverarbeitung
- Unterzeichnete DPA mit Ihrem Sprach-KI-Anbieter
- Dokumentiertes Hosting der Daten in der EU
- Vorabinformation zu Beginn des Anrufs aufgezeichnet
- Definierte und technisch implementierte Aufbewahrungsfristen
- Verfahren zur Ausübung der Rechte (Zugriff, Löschung, Datenübertragbarkeit)
- Dokumentation des AI Act, falls auf Ihren Sektor anwendbar
- Schulung der Teams zu den Rechten der Nutzer