Brauche ich einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Wenn ein Dienstleister wie ImmerRuf in Ihrem Auftrag personenbezogene Daten Ihrer Anrufer verarbeitet, schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag vor. Darin werden Zweck, Umfang, Schutzmaßnahmen und Löschung geregelt. ImmerRuf stellt einen AVV bereit – Sie schließen ihn vor dem Start ab.

Datenschutz

Ist ein KI-Telefonassistent DSGVO-konform?

Q: Ist ein KI-Telefonassistent in Deutschland erlaubt?

Ja. Der Einsatz eines KI-Telefonassistenten ist grundsätzlich erlaubt, solange die Vorgaben der DSGVO eingehalten werden: eine geeignete Rechtsgrundlage, Datensparsamkeit, Transparenz gegenüber Anrufern, ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter sowie die Wahrung der Betroffenenrechte. ImmerRuf ist DSGVO-konform und stellt einen AVV bereit.

Eine berechtigte Frage: Darf eine Sprach-KI überhaupt meine Anrufe entgegennehmen und verarbeiten? Hier erklären wir ehrlich und sorgfältig, was DSGVO-Konformität bei einem KI-Telefonassistenten bedeutet – von Auftragsverarbeitung über Speicherort bis Hinweispflicht – und geben Ihnen eine Checkliste an die Hand. ImmerRuf ist DSGVO-konform und stellt einen AVV bereit.

Lesezeit: ca. 8 Min. Aktualisiert: Juni 2026 Von ImmerRuf

ImmerRuf Redaktion

Fachbeiträge zu KI-Telefonassistenten für deutsche Betriebe · zuletzt aktualisiert Juni 2026

Hinweis: Dieser Beitrag erklärt die Grundlagen verständlich und ersetzt keine individuelle Rechtsberatung.

Das Wichtigste in Kürze

Ein KI-Telefonassistent ist grundsätzlich erlaubt, solange die DSGVO eingehalten wird.
Sie brauchen einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter – ImmerRuf stellt einen bereit.
ImmerRuf verarbeitet und speichert Daten innerhalb der EU, nach den Grundsätzen der Datensparsamkeit.
Anrufer sollten aus Transparenzgründen erfahren, dass sie mit einem Assistenten sprechen.

Inhalt

Ist das überhaupt erlaubt?
Auftragsverarbeitung & AVV
Wo werden die Daten gespeichert?
Müssen Anrufer informiert werden?
Aufzeichnung & Einwilligung
Checkliste für Betriebe
Häufige Fragen

Ist das überhaupt erlaubt?

Kurz gesagt: ja. Die DSGVO verbietet keine KI-gestützte Telefonannahme. Sie stellt aber Bedingungen, weil dabei personenbezogene Daten verarbeitet werden – etwa Name, Telefonnummer oder das Anliegen des Anrufers. DSGVO-Konformität bedeutet, diese Verarbeitung sauber aufzusetzen:

Rechtsgrundlage: Es braucht eine zulässige Grundlage für die Verarbeitung – häufig die Erfüllung bzw. Anbahnung eines Vertrags oder ein berechtigtes Interesse, in bestimmten Fällen eine Einwilligung.
Datensparsamkeit: Es werden nur die Daten erhoben, die für den Zweck (Terminvereinbarung, Weiterleitung des Anliegens) nötig sind.
Transparenz: Anrufer werden in geeigneter Form informiert.
Auftragsverarbeitung: Mit dem Anbieter wird ein AVV geschlossen.
Betroffenenrechte: Auskunft, Berichtigung und Löschung müssen möglich sein.

Wer diese Punkte beachtet, kann einen KI-Telefonassistenten rechtssicher einsetzen. Eine ehrliche Einordnung gegenüber anderen Optionen finden Sie im Vergleich.

Auftragsverarbeitung & AVV

Wenn ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet – und genau das tut ein KI-Telefonassistent –, liegt eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Dafür ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Er regelt unter anderem:

Gegenstand, Zweck und Dauer der Verarbeitung,
Art der Daten und Kreis der Betroffenen,
technische und organisatorische Schutzmaßnahmen,
Umgang mit Unterauftragnehmern,
Löschung oder Rückgabe der Daten am Ende.

Bei ImmerRuf bleiben Sie als Betrieb der Verantwortliche, ImmerRuf ist der Auftragsverarbeiter. ImmerRuf stellt einen AVV bereit, den Sie vor dem Start abschließen. Damit ist diese formale Voraussetzung sauber erfüllt.

Wo werden die Daten gespeichert?

Der Speicherort ist ein zentraler Punkt. Eine Verarbeitung innerhalb der EU ist datenschutzrechtlich der einfachste und sicherste Weg, weil keine Übermittlung in Drittländer mit zusätzlichen Garantien (etwa Standardvertragsklauseln) nötig wird.

ImmerRuf verarbeitet und speichert Daten innerhalb der EU. Dazu gelten die Grundsätze der Datensparsamkeit und ein definiertes Löschkonzept: Daten werden nur so lange aufbewahrt, wie es für den Zweck erforderlich ist.

EU-Speicherort, AVV und Datensparsamkeit sind die drei Säulen, an denen man einen datenschutzfreundlichen Anbieter erkennt.

Müssen Anrufer informiert werden?

Transparenz ist ein Grundprinzip der DSGVO. Anrufer sollten erfahren, dass sie mit einem automatisierten Assistenten sprechen und dass ihr Anliegen verarbeitet wird. In der Praxis genügt dafür meist ein kurzer, klarer Hinweis zu Beginn des Gesprächs sowie die übliche Information in Ihrer Datenschutzerklärung.

ImmerRuf unterstützt einen solchen Hinweis. So bleibt für den Anrufer nachvollziehbar, womit er es zu tun hat – das schafft Vertrauen und erfüllt zugleich die Transparenzpflicht.

Aufzeichnung & Einwilligung

Hier ist Sorgfalt gefragt. Der Assistent erstellt Protokoll und Transkript des Anliegens, damit Sie nichts verpassen und nachvollziehen können, was besprochen wurde. Ob und in welchem Umfang darüber hinaus Audio gespeichert wird, hängt von Ihrer Konfiguration ab und wird im AVV geregelt.

Maßgeblich sind drei Dinge: ein klarer Zweck, Datensparsamkeit und ein Löschkonzept. Wenn Gespräche über das Notwendige hinaus aufgezeichnet werden, ist besonders auf Transparenz und gegebenenfalls eine Einwilligung zu achten. Im Zweifel gilt: weniger speichern ist datenschutzfreundlicher.

Checkliste für Betriebe

Bevor Sie einen KI-Telefonassistenten einsetzen, prüfen Sie:

AVV mit dem Anbieter geschlossen (bei ImmerRuf bereitgestellt)?
Rechtsgrundlage für die Verarbeitung geklärt?
Speicherort EU bestätigt?
Datensparsamkeit: Werden nur nötige Daten erhoben?
Hinweis an Anrufer eingerichtet und Datenschutzerklärung aktualisiert?
Löschkonzept und Speicherdauer festgelegt?
Betroffenenrechte (Auskunft, Berichtigung, Löschung) umsetzbar?

Wie die technische Inbetriebnahme abläuft, lesen Sie in der Anleitung zur Einrichtung. Was der Assistent monatlich kostet, erklären wir unter Kosten.

Datenschutz-Fragen zu Ihrem Betrieb?

Wir erklären Ihnen gern, wie ImmerRuf DSGVO-konform für Sie eingerichtet wird – inklusive AVV. Kostenlos und unverbindlich.

Rückruf anfordern →

Häufige Fragen

Ist ein KI-Telefonassistent in Deutschland erlaubt?

Ja. Der Einsatz ist grundsätzlich erlaubt, solange die DSGVO eingehalten wird: geeignete Rechtsgrundlage, Datensparsamkeit, Transparenz gegenüber Anrufern, ein AVV mit dem Anbieter und gewahrte Betroffenenrechte. ImmerRuf ist DSGVO-konform und stellt einen AVV bereit.

Brauche ich einen AVV?

Ja. Verarbeitet ein Dienstleister wie ImmerRuf in Ihrem Auftrag personenbezogene Daten Ihrer Anrufer, schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag vor. Er regelt Zweck, Umfang, Schutzmaßnahmen und Löschung. ImmerRuf stellt einen AVV bereit, den Sie vor dem Start abschließen.

Wo werden die Daten gespeichert?

ImmerRuf verarbeitet und speichert Daten innerhalb der EU. Das ist datenschutzrechtlich der einfachste Weg, weil keine Übermittlung in Drittländer mit zusätzlichen Garantien nötig ist. Es gelten Datensparsamkeit und ein definiertes Löschkonzept.

Muss ich Anrufer über die KI informieren?

Aus Transparenzgründen sollten Anrufer erfahren, dass sie mit einem automatisierten Assistenten sprechen und dass das Gespräch verarbeitet wird. Ein kurzer Hinweis zu Beginn erfüllt die Transparenzpflicht. ImmerRuf unterstützt einen solchen Hinweis.

Werden Gespräche aufgezeichnet?

Der Assistent erstellt Protokoll und Transkript des Anliegens. Ob und in welchem Umfang Audio gespeichert wird, hängt von Ihrer Konfiguration ab und wird im AVV geregelt. Maßgeblich sind Datensparsamkeit, ein klarer Zweck und ein Löschkonzept; bei weitergehenden Aufzeichnungen ist auf Transparenz und ggf. Einwilligung zu achten.

Data Protection

Is an AI phone assistant GDPR-compliant?

A fair question: may a voice AI even take and process my calls? Here we explain honestly and carefully what GDPR compliance means for an AI phone assistant – from data processing agreements to storage location and the notice obligation – and give you a checklist. ImmerRuf is GDPR-compliant and provides a data processing agreement (DPA).

Reading time: approx. 8 min Updated: June 2026 By ImmerRuf

ImmerRuf Editorial

Expert articles on AI phone assistants for German businesses · last updated June 2026

Note: this article explains the basics in plain terms and does not replace individual legal advice.

Key takeaways

An AI phone assistant is permitted in principle, as long as the GDPR is observed.
You need a data processing agreement (DPA) with the provider – ImmerRuf provides one.
ImmerRuf processes and stores data within the EU, following data minimisation principles.
Callers should be told, for transparency, that they are speaking with an assistant.

Contents

Is it even allowed?
Data processing & DPA
Where is data stored?
Do callers need to be informed?
Recording & consent
Checklist for businesses
FAQ

Is it even allowed?

In short: yes. The GDPR does not ban AI-assisted call answering. But it sets conditions, because personal data is processed – such as a caller's name, phone number or request. GDPR compliance means setting that processing up properly:

Legal basis: a permissible basis for the processing is needed – often the performance or initiation of a contract or a legitimate interest, and in some cases consent.
Data minimisation: only the data needed for the purpose (booking an appointment, passing on the request) is collected.
Transparency: callers are informed in a suitable way.
Data processing: a DPA is concluded with the provider.
Data subject rights: access, rectification and erasure must be possible.

Observe these points and you can use an AI phone assistant on a sound legal footing. For an honest classification against other options, see the comparison.

Data processing & DPA

When a provider processes personal data on your behalf – which is exactly what an AI phone assistant does – this is processing on behalf under Art. 28 GDPR. It requires a data processing agreement (DPA), which sets out, among other things:

subject, purpose and duration of the processing,
type of data and categories of data subjects,
technical and organisational protective measures,
handling of sub-processors,
deletion or return of data at the end.

With ImmerRuf, you as the business remain the controller and ImmerRuf is the processor. ImmerRuf provides a DPA that you conclude before going live. This formal requirement is thereby cleanly met.

Where is data stored?

The storage location is a central point. Processing within the EU is the simplest and safest route under data protection law, because no transfer to third countries with additional safeguards (such as standard contractual clauses) is needed.

ImmerRuf processes and stores data within the EU. Data minimisation principles and a defined deletion concept apply: data is kept only as long as needed for the purpose.

EU storage location, a DPA and data minimisation are the three pillars that mark out a privacy-friendly provider.

Do callers need to be informed?

Transparency is a core GDPR principle. Callers should be told that they are speaking with an automated assistant and that their request is being processed. In practice a short, clear notice at the start of the call, plus the usual information in your privacy policy, is generally enough.

ImmerRuf supports such a notice. That keeps it clear for the caller what they are dealing with – building trust and meeting the transparency obligation at the same time.

Recording & consent

Care is needed here. The assistant produces a call log and transcript of the request so you miss nothing and can see what was discussed. Whether and to what extent audio is stored beyond that depends on your configuration and is governed in the DPA.

Three things matter: a clear purpose, data minimisation and a deletion concept. If calls are recorded beyond what is necessary, pay particular attention to transparency and, where applicable, consent. When in doubt: storing less is the more privacy-friendly choice.

Checklist for businesses

Before deploying an AI phone assistant, check:

DPA concluded with the provider (provided by ImmerRuf)?
Legal basis for the processing clarified?
EU storage location confirmed?
Data minimisation: is only necessary data collected?
Caller notice set up and privacy policy updated?
Deletion concept and retention period defined?
Data subject rights (access, rectification, erasure) feasible?

For how the technical onboarding works, see the setup guide. For what the assistant costs per month, see cost.

Data protection questions about your business?

We're happy to explain how ImmerRuf is set up GDPR-compliant for you – including the DPA. Free and with no obligation.

Request a callback →

FAQ

Is an AI phone assistant allowed in Germany?

Yes. It is permitted in principle as long as the GDPR is observed: a suitable legal basis, data minimisation, transparency towards callers, a DPA with the provider and respected data subject rights. ImmerRuf is GDPR-compliant and provides a DPA.

Do I need a DPA?

Yes. If a provider like ImmerRuf processes your callers' personal data on your behalf, Art. 28 GDPR requires a data processing agreement. It governs purpose, scope, protective measures and deletion. ImmerRuf provides a DPA that you conclude before going live.

Where is the data stored?

ImmerRuf processes and stores data within the EU. Under data protection law this is the simplest route, because no transfer to third countries with additional safeguards is needed. Data minimisation and a defined deletion concept apply.

Do I have to inform callers about the AI?

For transparency, callers should be told that they are speaking with an automated assistant and that the call is being processed. A short notice at the start meets the transparency obligation. ImmerRuf supports such a notice.

Are calls recorded?

The assistant produces a call log and transcript of the request. Whether and to what extent audio is stored depends on your configuration and is governed in the DPA. Data minimisation, a clear purpose and a deletion concept are decisive; for any recording beyond that, watch transparency and, where applicable, consent.