DE EN
2 Plätze frei · Mai Lass dich anrufen
← Zurück zum Blog Blog ·

DSGVO bei KI-Voice-Agents — die Top 5 Stolpersteine für Maklerbüros

KI-Telefonie im Maklerbüro: Diese 5 DSGVO-Stolpersteine kosten dich Bußgeld. Konkrete Checkliste mit Beispielen, was Prüfer wirklich anschauen.

Geschrieben von Michal Andrzejewski Gründer VintAI · baut KI-Vertriebssysteme für DACH-Mittelstand
Checkliste DSGVO Voice Agent Maklerbüro
Datenschutz Voice Agent Immobilien

DSGVO bei KI-Voice-Agents — die Top 5 Stolpersteine für Maklerbüros

Auf einen Blick

Wer einen KI-Voice-Agent im Maklerbüro einsetzt, verarbeitet zwingend personenbezogene Daten — Stimmen, Gesprächsinhalte, Metadaten — und unterliegt damit vollumfänglich der DSGVO. Die fünf häufigsten Stolpersteine sind: fehlende Rechtsgrundlage für Inbound und Outbound, kein Auftragsverarbeitungsvertrag mit dem Anbieter, unzulässige Datentransfers in die USA, fehlende KI-Transparenzpflicht und falsch konfigurierte Speicherfristen. Wer diese fünf Punkte sauber dokumentiert, ist für eine Prüfung gerüstet.

Warum Voice Agents im Maklerbüro besondere DSGVO-Risiken tragen

Ein Voice Agent ist kein normales Kontaktformular. Sobald ein Lead anruft und mit einem KI-System spricht, entstehen Sprachaufzeichnungen, Transkripte, Zeitstempel, IP-Metadaten und je nach Konfiguration sogar Stimmprofile. All das sind personenbezogene Daten im Sinne der DSGVO.

Besonders heikel: Sprachdaten können als biometrische Daten nach Art. 9 DSGVO eingestuft werden — selbst wenn du gar keine aktive Stimm-Identifikation betreibst. Die bloße Möglichkeit zur Wiedererkennung über die Stimme reicht aus, um den Anwendungsbereich von Art. 9 zu eröffnen. Das bedeutet: höhere Schutzkategorie, strengere Anforderungen, ausdrückliche Einwilligung statt berechtigtem Interesse.

Zum Vergleich: Seit Mai 2018 bis März 2025 wurden europaweit rund 2.245 Verstöße mit Gesamtstrafen von etwa 5,88 Milliarden Euro sanktioniert. 2025 verhängte die BfDI allein gegen Vodafone 45 Mio. EUR — davon 15 Mio. EUR wegen mangelhafter Auftragsverarbeitung. Auch kleine und mittlere Unternehmen bekommen Bußgelder; die häufigsten Verstöße sind fehlende Rechtsgrundlagen und unzureichende technische Schutzmaßnahmen.

Ein Maklerbüro ist kein Konzern, aber das schützt nicht automatisch. Der Bußgeldrahmen liegt bei bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Bei einem kleinen Büro mit 500.000 EUR Umsatz wäre das immer noch 20.000 EUR für einen einzelnen Verstoß.

Stolperstein 1: Keine klare Rechtsgrundlage — Inbound ≠ Outbound

Der häufigste Fehler: Das Büro aktiviert den Voice Agent für alle Anruftypen gleich, ohne zwischen Inbound und Outbound zu unterscheiden.

Inbound (Lead ruft an): Hier kann das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO greifen — aber nur wenn eine Interessenabwägung dokumentiert ist. Der Lead hat aktiv angerufen, hat also ein gewisses Erwartungsmanagement. Trotzdem: Du musst die Abwägung aufschreiben, nicht nur im Kopf haben.

Outbound (Voice Agent ruft Lead an): Hier ist eine explizite Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Zusätzlich greift § 7 UWG — unverlangte Werbeanrufe sind unzulässig, und der KI-Einsatz ändert daran nichts. Wer Leads aus ImmoScout24 automatisch zurückruft, ohne deren Einwilligung zu einem KI-Anruf dokumentiert zu haben, bewegt sich in einer rechtlichen Grauzone, die Aufsichtsbehörden zunehmend genauer anschauen. Wie die automatische Qualifizierung von ImmoScout24-Leads grundsätzlich funktioniert, haben wir in diesem Beitrag zu ImmoScout24-Leads automatisch qualifizieren beschrieben — die Rechtsgrundlage muss aber vor der Automatisierung stehen, nicht danach.

Checkliste Rechtsgrundlage:

  • Für jeden Anruftyp (Inbound / Outbound) separate Rechtsgrundlage dokumentiert
  • Interessenabwägung für Inbound schriftlich festgehalten
  • Einwilligungsformular für Outbound mit Zeitstempel und Kanal gespeichert
  • Einwilligungen widerrufbar und Widerruf im CRM abbildbar

Stolperstein 2: Kein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter

Du nutzt einen externen Voice-Agent-Dienst — ElevenLabs, Bland AI, VAPI oder einen anderen. Dieser Anbieter verarbeitet die Sprachdaten deiner Leads in deinem Auftrag. Das macht ihn zum Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Ohne schriftlichen AVV ist das ein eigenständiger Verstoß. Gemäß Art. 83 Abs. 4 lit. a DSGVO können fehlende oder mangelhafte AVVs mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

Was ein AVV mindestens enthalten muss:

  • Gegenstand, Dauer und Zweck der Verarbeitung
  • Art der Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Weisungsgebundenheit des Auftragsverarbeiters
  • Löschfristen und Rückgabepflicht nach Vertragsende
  • Regelung zu Unterauftragsverarbeitern (z. B. wenn der Voice-Agent-Anbieter selbst Cloud-Dienste nutzt)

Viele Anbieter bieten AVV-Templates an — aber du musst sie tatsächlich unterschreiben und archivieren. Ein AVV, der irgendwo in den Nutzungsbedingungen versteckt ist und den du nie aktiv akzeptiert hast, zählt im Zweifel nicht.

Stolperstein 3: Datentransfer in die USA ohne Transfergrundlage

Viele KI-Voice-Agent-Plattformen betreiben ihre Server in den USA oder nutzen US-amerikanische Subdienstleister (AWS, Google Cloud, Azure in US-Rechenzentren). Das ist nicht automatisch illegal — aber nur dann zulässig, wenn eine dokumentierte Transfergrundlage vorliegt.

Akzeptable Transfergrundlagen:

  • EU-US Data Privacy Framework (DPF): Anbieter muss zertifiziert sein — prüfbar unter dataprivacyframework.gov
  • Standardvertragsklauseln (SCCs): Müssen im AVV enthalten oder als Anlage beigefügt sein
  • Binding Corporate Rules: Für Konzernsachverhalte, für KMU-Szenarien kaum relevant

Wenn dein AVV keine Transferklauseln enthält und der Anbieter nicht im DPF-Register steht, hast du ein Problem. Nicht theoretisch — sondern eines, das Aufsichtsbehörden aktiv prüfen, seit der EuGH mit Schrems II (2020) Privacy Shield gekippt hat.

Was du tun solltest: Vor Vertragsschluss mit einem Voice-Agent-Anbieter genau nachfragen, wo die Daten verarbeitet werden, ob SCCs im AVV enthalten sind und ob der Anbieter DPF-zertifiziert ist. Diese Antworten schriftlich (per E-Mail) festhalten.

Den breiteren Vergleich zwischen KI-Eigenentwicklungen und Standard-CRM-Lösungen — inklusive der Frage, wer jeweils die Datenschutzverantwortung trägt — findest du in unserem Beitrag zum Custom AI Agent vs. Standard-CRM.

Stolperstein 4: Fehlende Transparenz — “Du sprichst mit einer KI”

Dieser Punkt wird ab August 2026 noch bußgeldrelevanter, ist aber schon jetzt DSGVO-relevant.

Anrufer müssen zu Beginn des Gesprächs klar darüber informiert werden, dass sie mit einer KI sprechen. Ab dem 2. August 2026 ist dies im EU AI Act (Art. 50) explizit verpflichtend. Wer das nicht tut, verstößt dann gegen zwei Regelwerke gleichzeitig.

Aber auch heute gilt: Wenn ein Lead nicht weiß, dass seine Stimmdaten von einem KI-System verarbeitet werden, fehlt die informierte Einwilligung. Die DSGVO verlangt Transparenz über die Art der Verarbeitung — und “ich dachte, ich spreche mit einem Menschen” ist kein Argument, das eine Aufsichtsbehörde akzeptiert.

Umsetzung in der Praxis:

  • Voice Agent begrüßt mit: “Hallo, ich bin der KI-Assistent von [Büroname]…”
  • Bei Gesprächsaufzeichnung: expliziter Hinweis zu Beginn (“Dieses Gespräch wird aufgezeichnet”)
  • Datenschutzhinweis auf der Website muss Voice-Agent-Einsatz erwähnen

Zur Gesprächsaufzeichnung noch ein wichtiger Punkt: In Deutschland ergibt sich aus § 201 StGB (Verletzung der Vertraulichkeit des Wortes) eine zusätzliche Anforderung — Aufzeichnungen erfordern die Einwilligung aller beteiligten Gesprächspartner. Wer aufzeichnet ohne das anzusagen, riskiert nicht nur ein DSGVO-Bußgeld, sondern im Extremfall eine Strafanzeige.

Wie Voice Agents im Vergleich zu klassischen Live-Telefonservices abschneiden — auch in puncto Compliance-Aufwand — haben wir in KI-Voice vs. Live-Telefonservice für Makler gegenübergestellt.

Stolperstein 5: Falsche Speicherfristen und fehlende Datensparsamkeit

Das Prinzip der Datensparsamkeit nach Art. 5 Abs. 1 lit. e DSGVO klingt abstrakt, hat aber konkrete Konsequenzen für Voice Agents.

Was wie lange gespeichert werden darf:

DatentypVertretbare SpeicherdauerHinweis
Rohaudio-AufzeichnungSo kurz wie möglich, nach Transkription löschenHöchste Sensitivität
Transkript30–90 TageAbhängig vom Verarbeitungszweck
Metadaten (Zeitpunkt, Dauer)Bis zu 6 MonateFür Qualitätssicherung vertretbar
CRM-Einträge aus GesprächSolange Lead im Pipeline aktivLöschkonzept notwendig

Der häufige Fehler: Anbieter speichern standardmäßig alles für 12 Monate oder länger — weil das ihre Retention-Policy ist, nicht weil du das brauchst. In den Anbietereinstellungen aktiv kürzere Fristen konfigurieren und dokumentieren, dass du das getan hast.

Ein weiteres Thema: Wenn dein Voice Agent selbstständig Entscheidungen trifft — etwa automatisch Besichtigungstermine zusagt oder Angebote bestätigt — liegt möglicherweise eine automatisierte Einzelentscheidung nach Art. 22 DSGVO vor. Das ist ohne ausdrückliche Einwilligung des Betroffenen unzulässig. Deshalb sollten Voice Agents im Maklerbüro immer nur qualifizieren und weiterleiten, nie eigenständig rechtsverbindliche Zusagen machen.

Zusätzlich zur DSGVO: In Deutschland gilt seit 2024 das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), das das TTDSG abgelöst hat und weitere Anforderungen für KI-Telefonie stellt. Wer das bei seiner Compliance-Prüfung weglässt, hat die Checkliste noch nicht vollständig abgehakt.

Wann eine Datenschutz-Folgenabschätzung (DSFA) Pflicht ist

Dieser Punkt taucht in vielen Checklisten gar nicht auf, ist aber relevant: Voice Agents lösen häufig die Pflicht zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO aus, da der KI-Einsatz grundsätzlich als Argument für ein hohes Risiko gilt.

Eine DSFA ist kein Mammutprojekt, aber sie muss dokumentiert sein und folgende Punkte enthalten:

  • Beschreibung der Verarbeitungsvorgänge
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit
  • Risikobewertung für Rechte und Freiheiten der Betroffenen
  • Geplante Abhilfemaßnahmen

Wer Lead-Scoring mit dem Voice Agent kombiniert — also nicht nur qualifiziert, sondern auch bewertet — sollte die DSFA definitiv durchführen. Das Thema Lead-Scoring und DSGVO behandeln wir separat in Lead-Scoring im Maklerbüro: DSGVO und EU AI Act.

Was wir machen

Bei VintAI bauen wir Voice-Agent-Setups, bei denen die Compliance-Architektur von Anfang an mitgedacht wird — nicht als Beipackzettel, sondern als Teil der technischen Konfiguration.

Konkret heißt das: AVV-Review mit dem Anbieter vor Go-Live, Konfiguration der Speicherfristen direkt in der Plattform, Transparenz-Skript für den Gesprächseinstieg, und eine Dokumentation, die du einer Aufsichtsbehörde zeigen kannst. Wir haben zwei echte Kunden, kein Konzern-Backing — aber wir wissen, was geprüft wird.

Aleksei Sukmanov von A StandArt Real Estate hat seinen Voice Agent mit uns so konfiguriert, dass Inbound-Leads aus drei Sprachräumen qualifiziert werden — mit AVV, EU-seitiger Datenhaltung und transparentem Gesprächseinstieg. Das Setup läuft seit mehreren Monaten ohne Compliance-Probleme.

Wenn du verstehen willst, was ein solches Setup kostet, findest du eine ehrliche Übersicht in Was kostet ein KI-Voice-Agent. Und wenn du generell unsere Herangehensweise an Voice Agents oder Workflow Automation verstehen willst, findest du dort die Details.

Für ein direktes Erstgespräch — ohne Verkaufspitch, aber mit konkreten Fragen zu deinem Setup — buche hier einen Termin.

Häufige Fragen

Muss ich für jeden Inbound-Anruf eine Einwilligung einholen? Nein. Bei Inbound-Calls kann das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO greifen, weil der Lead aktiv angerufen hat. Aber du musst die Interessenabwägung schriftlich dokumentieren und den Anrufer zu Beginn über den KI-Einsatz informieren.

Was passiert, wenn mein Voice-Agent-Anbieter keine EU-Server hat? Dann brauchst du entweder eine DPF-Zertifizierung des Anbieters oder Standardvertragsklauseln (SCCs) im AVV. Ohne eine dieser Grundlagen liegt ein Drittlandtransfer ohne Schutzmaßnahme vor — das ist ein eigenständiger DSGVO-Verstoß.

Darf mein Voice Agent automatisch Besichtigungstermine zusagen? Mit Vorsicht. Wenn der Bot rechtsverbindliche Zusagen macht, könnte Art. 22 DSGVO (automatisierte Einzelentscheidung) greifen. Sicherer ist: Bot qualifiziert und schlägt Termin vor, Mensch bestätigt. Das umgeht das Problem.

Wie lange darf ich Gesprächsaufzeichnungen speichern? Rohaudio sollte nach der Transkription unverzüglich gelöscht werden. Transkripte sind für 30–90 Tage vertretbar. Längere Speicherung braucht einen klar dokumentierten Zweck und muss im Löschkonzept stehen.

Ab wann ist der EU AI Act für meinen Voice Agent relevant? Ab dem 2. August 2026 gilt Art. 50 EU AI Act: Anrufer müssen klar informiert werden, dass sie mit einer KI kommunizieren. Wer das schon jetzt umsetzt, spart sich die Umstellung — und ist auch für aktuelle DSGVO-Prüfungen besser aufgestellt.

Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)? Sehr wahrscheinlich ja, wenn du Sprachdaten mit KI verarbeitest und/oder Lead-Scoring betreibst. Der KI-Einsatz gilt als starkes Indiz für ein hohes Risiko im Sinne von Art. 35 DSGVO. Eine DSFA ist keine Raketenwissenschaft, aber sie muss vor dem Go-Live dokumentiert sein.

Quellen: anicall.io — Voice Agent Datenschutz · quantenfrosch.at — Voice Agent DSGVO · callflows.de — Datenschutz KI-Telefonie · datenschutz-notizen.de — KI Voice Bots · dr-datenschutz.de — KI im Callcenter · gruender.de — KI Telefonassistent DSGVO · telfo.ai — KI Telefonassistent DSGVO · datenschutz.org — DSGVO Bußgeld · odclegal.de — DSGVO Bußgelder 2025 · website-pruefung.de — AVV Datenschutz · ihk-muenchen.de — KI Datenschutz