Worum geht es?

Sprachgesteuerte KI-Systeme und Multiagenten verändern nicht nur den Kundenservice, sondern zunehmend auch Marketing, Recruiting, Logistik, Coaching und interne Prozesssteuerung.
Wer Voice- und Call-Automatisierung einsetzt, bewegt sich jedoch im Spannungsfeld zwischen Datenschutz, Telekommunikationsrecht, Medienrecht, Urheberrecht und KI-Regulierung – sowohl in Europa als auch in den VAE. Fehler können teuer werden: Allein 2024 verhängte die TDRA über 2.000 Bußgelder wegen unzulässiger KI-Calls – mit Einzelstrafen von bis zu AED 150.000.

Wie funktionieren Multi-Agent-Voicebots – und was können sie heute schon leisten?

Moderne KI-Voicebots sind weit mehr als intelligente Anrufbeantworter. Sie sind menschliche Schnittstellen zu Unternehmenssystemen – von Warenwirtschaft über Logistik bis hin zu Marketing, HR und Compliance. Sie interagieren über natürlich klingende Stimmen, verstehen Anliegen kontextbasiert und setzen diese in Echtzeit um. Über API-Schnittstellen buchen sie Termine, führen Bestellungen aus oder leiten Informationen an interne Systeme weiter.

Darüber hinaus können sie Gespräche aufzeichnen, transkribieren und analysieren – etwa zur Zusammenfassung von Kundengesprächen, zur Bewertung von Bewerberinterviews oder zur Optimierung von Vertriebs- und Coaching-Prozessen.

Das bedeutet, ein KI-Agent kann heute Marktforschung betreiben, Absatzpotenziale erkennen, Kommunikationsstrategien entwickeln, diese in CRM-Systeme integrieren – und bei Bedarf sogar automatisch einen Kunden oder Kandidaten anrufen.

Damit berühren Voicebots heute bereits mehrere Rechtsgebiete gleichzeitig – und erhöhen die Anforderungen an Governance, Datenschutz und Aufsicht erheblich.

1. Stimme und Persönlichkeitsrecht – Bruce Willis beim Zahnarzt

Die Stimme eines Voicebots klingt menschlich, weil sie auf realen Stimmprofilen trainiert wird.
Juristisch ist dabei unerheblich, ob der Bot klingt wie Bruce Willis oder wie „Inge von nebenan“ – die Stimme ist Teil des allgemeinen Persönlichkeitsrechts (§§ 823, 1004 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG). Ohne Zustimmung der betroffenen Person darf sie nicht verwendet oder imitiert werden. Die Stimmrechte verstorbener Persönlichkeiten müssten bei den Erben lizenziert werden.

Die unbefugte Aufnahme oder Nutzung einer Stimme zu Trainingszwecken verletzt das Persönlichkeitsrecht, kann urheberrechtliche Ansprüche (§ 22, 23 KunstUrhG) begründen und ist regelmäßig auch ein Datenschutzverstoß.

Im Extremfall kann eine Strafbarkeit nach § 201a StGB (Verletzung des höchstpersönlichen Lebensbereichs durch Tonaufnahmen) vorliegen – insbesondere bei Stimmimitaten oder Deepfakes.

2. Gesprächsanalyse und Datenschutz

Sobald ein Voicebot Gespräche aufzeichnet oder transkribiert, greifen mehrere Datenschutzebenen:
Sprachdaten enthalten personenbezogene und oft biometrische Informationen – damit gelten Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) und der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).

Erforderlich ist:

• eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO),
• bei systematischer Analyse eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
• sowie ein Verarbeitungsverzeichnis (Art. 30 DSGVO).

Automatisierte Bewerberbewertungen oder Scoring-Prozesse können zudem Art. 22 DSGVO („Verbot automatisierter Einzelfallentscheidungen“) verletzen.
Nach dem EuGH-Urteil SCHUFA (2024) gelten hier strengere Grenzen: Auch faktisch wirksame Vorentscheidungen gelten als automatisiert.

Eine Voice-Anwendung muss eine Datenschutzerklärung leicht zugänglich bereitstellen – etwa auf der Website oder per QR-Link in einer App.

Diese muss u. a. enthalten: Verantwortlicher, Zweck, Rechtsgrundlage, Speicherdauer, Betroffenenrechte und ggf. Hinweis auf automatisierte Entscheidungen.

3. Datenverarbeitung und Hosting- Cloud, Standort & DSGVO-Transferregeln

Der rechtssichere Umgang mit Sprach- und Metadaten ist der Kern jeder Voicebot-Implementierung. Sobald Sprachaufzeichnungen oder Transkripte verarbeitet werden, muss klar definiert sein, wo die Daten gespeichert werden, wer Zugriff hat und auf welcher Rechtsgrundlage sie verarbeitet werden.

In der EU gilt die Datenschutz-Grundverordnung (DSGVO), insbesondere Art. 5 (Grundsätze der Verarbeitung) und Art. 32 ff. (Sicherheit). Unternehmen müssen sicherstellen, dass sämtliche Sprachdaten innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet oder – bei Auslagerung – nur an Empfänger übermittelt werden, die ein angemessenes Datenschutzniveau gewährleisten (Art. 44 ff. DSGVO).

Für Cloud-Anbieter wie AWS, Azure, Google Cloud oder Twilio bedeutet dies, dass ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich ist. Ggf. ist ein Transfer Impact Assessment (TIA), das das Recht des Empfängerlandes – z. B. der VAE oder USA – bewertet notwendig. Unter Umständen müssen auch Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) integriert werden.

Datenübermittlungen in Drittstaaten (außerhalb des EWR) sind nur erlaubt, wenn diese vertraglich oder durch Angemessenheitsbeschlüsse abgesichert sind.  Für die VAE existiert derzeit kein EU-Angemessenheitsbeschluss – daher sind SCCs oder ein lokales Hosting erforderlich.

4. Medienrecht und Transparenzpflichten

Voicebots, die Inhalte generieren oder kommunizieren, unterfallen auch dem Medienstaatsvertrag (MStV). Gemäß § 18 MStV besteht eine Pflicht zur Anbieterkennzeichnung, nach § 19 MStV zur Erkennbarkeit maschineller Kommunikation.
Wenn eine KI also so spricht, dass sie als Mensch wahrgenommen wird, muss offengelegt werden, dass es sich um eine künstliche Stimme handelt.

Darüber hinaus ergeben sich Transparenzpflichten auch aus dem Datenschutzrecht (Art. 5, 12–14 und 22 DSGVO) sowie dem Wettbewerbsrecht (§ 5a UWG):
Wer KI-Systeme zur Kommunikation, Analyse oder Entscheidungsfindung einsetzt, muss Nutzer klar und verständlich darüber informieren, dass eine automatisierte Verarbeitung stattfindet und welche Folgen dies haben kann.

Der kommende Art. 52 EU AI Act harmonisiert diese Anforderungen auf europäischer Ebene:
Jede Person muss erkennen können, dass sie mit einer KI interagiert – und die Möglichkeit haben, die Interaktion abzulehnen oder zu beenden. Das gilt insbesondere, wenn die KI Empfehlungen ausspricht, Emotionen analysiert oder Entscheidungen vorbereitet.

5. Wettbewerbsrechtliche Grenzen – Inbound vs. Outbound

Werbeanrufe können nach § 7 UWG problematisch sein.

Inbound Calls (Nutzer ruft an) sind zulässig, wenn der Voicebot sich am Anfang als KI identifiziert („Ich bin ein KI-Assistent von …“) und der Nutzer das Gespräch fortsetzt.
Die Einwilligung gilt als implizit mit Gesprächsfortsetzung gegeben.

Outbound Calls (Unternehmen ruft an) sind nur mit vorheriger ausdrücklicher Einwilligung erlaubt (§ 7 Abs. 2 Nr. 2 UWG).

Im B2B-Bereich gilt die Ausnahme der „mutmaßlichen Einwilligung“, wenn der Anruf objektiv im Interesse des Angerufenen liegt und thematisch relevant ist. Diese Einwilligung muss dokumentiert werden. Verstöße können von der Bundesnetzagentur mit Bußgeldern bis 300 000 € geahndet werden. Grundsätzlich sind Voicebots wettbewerbsrechtlich Menschen gleichgestellt.

6. Telekommunikationsrecht (TDDDG/TTDSG, TKG)

Das TDDDG (Nachfolger des TTDSG) regelt den Datenschutz für Endgeräte und Kommunikationssysteme.

• 25 TDDDG – Endgerätezugriff

Jeder Zugriff auf Mikrofon, Speicher oder Sensorik erfordert eine vorherige, informierte Einwilligung. Das gilt auch für Wake-Word-Erkennung oder Buffering.
Ein reiner Browser- oder App-Prompt genügt nicht. Nur „unbedingt erforderliche“ Vorgänge sind ausgenommen.

• 3 TDDDG – Fernmeldegeheimnis

Inhalte und Metadaten von Voice-Sessions dürfen nicht unbefugt erhoben, ausgewertet oder an Dritte weitergegeben werden. Verstöße können neben Bußgeldern auch eine Strafbarkeit nach § 206 StGB begründen. Unternehmen müssen technische und organisatorische Maßnahmen (TOMs) implementieren: Verschlüsselung, Zugriffsbeschränkung, Logging-Minimalismus.

Telekommunikationsgesetz (TKG)

Das TKG greift nur, wenn der Voicebot Kommunikation zwischen Menschen vermittelt (z. B. Call-Routing oder Konferenzdienste). In diesem Fall handelt es sich um einen nummernunabhängigen interpersonellen Kommunikationsdienst (NI-ICS) mit zusätzlichen Pflichten nach §§ 168 ff. TKG.

7. Urheber- und Geschäftsgeheimnisschutz

KI-Systeme dürfen nur auf rechtmäßig zugänglichen Daten trainiert werden (§ 44b UrhG – Text & Data Mining). Rechteinhaber können ein Opt-out erklären. Das betrifft auch die Nutzung interner Gesprächsaufzeichnungen.

Voice-Transkripte enthalten oft vertrauliche Informationen. Diese sind nur nach § 2 GeschGehG geschützt, wenn angemessene Sicherheitsmaßnahmen bestehen – etwa NDAs, Zugriffsbeschränkungen und Verschlüsselung. Für KI-Dienstleister sollten daher immer Vertraulichkeitsvereinbarungen bestehen.

8. Der EU AI Act – was sich ab 2025 ändert

Der AI Act (Verordnung (EU) 2024/1689) tritt ab 2025 stufenweise in Kraft und revolutioniert den Umgang mit KI-Systemen in Europa.

Seit Februar 2025       gilt ein Verbot für bestimmte Anwendungen (Emotionserkennung am Arbeitsplatz, Social Scoring). Im August 2025 kamen weitere Pflichten für General-Purpose-AI in Bezug auf Transparenz, Trainingsdokumentation sowie Copyright-Policy.

Ab August 2026 werden strengere für Hochrisiko-KI wie Registrierung, Risikomanagement, oder CE-Kennzeichnung eingeführt. Ab August 2027 gilt dann die vollständige Durchsetzung, d.h. eine Marktaufsicht sowie Bußgelder bis 35 Mio. € oder 7 % Umsatz.

Die Auswirkungen für Voicebots sind u.a. das Verbot von Emotionserkennung oder Verhaltensanalyse in HR oder Arbeitskontexten. Hinsichtlich Bewerber-Scoring oder automatisierte Auswahl handelt es sich um Hochrisiko-KI, hier gilt vor allem die „Human Oversight“ Pflicht)

Wie ist die Rechtslage in den VAE – neue Pflichten für Voice & Telemarketing-KI

Die UAE Personal Data Protection Law (PDPL) (Federal Decree Law 45/2021) wird durch die Cabinet Resolutions 56 & 57 (2024) konkretisiert. Die TDRA (Telecommunications and Digital Government Regulatory Authority) überwacht den Einsatz von KI im Kundenkontakt und Telemarketing.

Bei Inbound Call geht man ebenso von der Einwilligung implizit durch den Anruf aus. Ein KI-Hinweis „Ich bin eine KI …“ ist erforderlich, eine gesonderte Lizenz ist nicht nötig.

Beim Outbound Call besteht hingegen eine vorheriger Consent Pflicht, es besteht die Pflicht zur „Do Not Call Registry“.  Wie beim Call In ist der KI-Hinweis „Ich bin eine KI …“ notwendig, gleichzeitig muss es eine Opt-out Möglichkeit zu Beginn geben. Die Nutzung ist zeitlich limitiert, das Zeitfenster für erlaubte Call ist von 9–18 Uhr. Eine TDRA-Genehmigung ist erforderlich, bei Verstößen können Bußen bis 20 Mio. AED fällig werden.

Was ist mit dem Technischen Set-Up?

Die Vereinigten Arabischen Emirate haben eines der restriktivsten Telekommunikationsregime weltweit. Zuständig ist die TDRA, die alle Telekommunikationsdienste lizenziert und überwacht. Nur zwei offizielle Betreiber, Etisalat und du besitzen das Monopol für Telekommunikations- und VoIP-Dienste, einschließlich SIP-Trunks, SMS-Gateways und Festnetznummern.

Eine gängige Praxis bei Voivebots und ähnlichen Systemen ist z.B. die Nutzung von Twilio, SIP-Trunks oder US-Nummern Twilio ist in den VAE nicht lizenziert und nicht autorisiert, Telekommunikationsdienste zu erbringen.

Es gilt grundsätzlich für jegliche SIP-Trunks aus dem Ausland (z. B. USA, Deutschland, UK), Nur TDRA-lizenzierte Provider dürfen SIP-Trunks in die lokalen Telefonnetze terminieren. Externe SIP-Trunks (z. B. von Asterisk, 3CX, Twilio, Zoom, Vonage, RingCentral, etc.) dürfen nicht direkt mit UAE-Telefonnummern verbunden oder in lokale Voicebots/Callcenter integriert werden. Solche Verbindungen gelten als illegal international gateway services. Erhebliche Bußen bis AED 500.000 sowie Sperrung der Systeme stehen im Raum.

Auch in Bezug auf Datenverarbeitung & Data Residency gilt eine Lokale Speicherungspflicht: Laut Cabinet Resolution No. 56/2024 (Implementation of PDPL): Telekommunikations- und Kommunikationsdaten (Call Logs, Voice Records, Metadata) dürfen nur in den VAE oder anerkannten Free Zones (DIFC, ADGM) gespeichert werden. Übermittlungen ins Ausland sind nur mit Genehmigung der Data Office oder bei „adequate protection level“ erlaubt.

Grundsätzlich zulässige Speicherorte sind UAE Mainland (Etisalat, du) oder bestimmte Free Zones mit sog. Data Sovereignty wie Dubai International Financial Centre (DIFC) oderAbu Dhabi Global Market (ADGM). Beide Zonen haben eigene Datenschutzgesetze (an DSGVO angelehnt) und gelten als „sicherer Hafen“ innerhalb der VAE.

Bei Verstößen drohen Bußen bis 20 Mio. AED und eine persönliche Haftung der Geschäftsleitung.

Was ist zu tun? – Handlungsempfehlungen

Unternehmen sollten jetzt aktiv werden und:

• Consent-Flows DSGVO- & PDPL-konform gestalten
• KI-Offenlegung & Human-Fallback umsetzen
• DNCR- und Lizenz-Checks integrieren
• VoIP-Compliance (Twilio/Vonage) prüfen
• Datenlokation (EU/VAE) klar definieren
• Audit-Trails & Incident-Playbooks erstellen
• Betriebsvereinbarungen für interne Nutzung abschließen
• AI-Act-Roadmap (Dokumentation, Copyright, Risikomanagement) umsetzen
• KI-Register & Impact-Assessment einführen
• Mitarbeiterschulung & Governance zur KI-Compliance etablieren

In Conclusio

Multi-Channel-Voicebots werden die Kommunikation von Unternehmen in den nächsten Jahren revolutionieren – aber auch rechtlich anspruchsvoller machen. Wer heute Transparenz, Dokumentation und menschliche Aufsicht implementiert, schafft Vertrauen und Rechtssicherheit zugleich.

Die Zukunft gehört denen, die Technologie und Recht gemeinsam denken.

Sprechen Sie uns an.