EchoCall
14. Juni 2026

KI-Kaltakquise 2026: Was ist erlaubt? Der DSGVO-Leitfaden für automatisierte Outbound-Calls

KI-Voice-Agents können hunderte Outbound-Anrufe pro Stunde führen. Aber was ist legal? Der vollständige DSGVO-Guide für automatisierte Outbound-Kampagnen in DACH.

KI-Kaltakquise 2026: Was ist erlaubt? Der DSGVO-Leitfaden für automatisierte Outbound-Calls

KI Voice Agents können heute hunderte Outbound-Anrufe pro Stunde führen - vollautomatisch, in natürlicher Sprache und mit personalisierten Inhalten. Was technisch möglich ist, ist aber nicht immer rechtlich erlaubt. Dieser Leitfaden erklärt, was bei automatisierten Outbound-Anrufen in Deutschland, Österreich und der Schweiz gilt, was verboten ist und wie Sie rechtskonforme Kampagnen aufsetzen.

Was sagt das Gesetz zu automatisierten Anrufen?

Gegenüber Verbrauchern (B2C)

  • Automatisierte Werbeanrufe ohne ausdrückliche Einwilligung sind verboten (§ 7 Abs. 2 Nr. 3 UWG). Das gilt auch für KI-Anrufe. Bußgelder bis 300.000 € pro Verstoß sind möglich.
  • Eine frühere Geschäftsbeziehung reicht nicht aus. Nur eine explizite, dokumentierte Einwilligung (z. B. Double-Opt-in) legitimiert automatisierte Werbeanrufe.
  • Der Anrufer muss sich als KI identifizieren, wenn er danach gefragt wird (EU AI Act).

Gegenüber Unternehmen (B2B)

  • Mehr Spielraum bei mutmaßlichem Interesse: B2B-Kaltakquise ist unter bestimmten Voraussetzungen auch ohne explizite Einwilligung möglich, wenn ein sachlicher Zusammenhang zwischen Angebot und Geschäftstätigkeit besteht.
  • Dokumentation ist Pflicht: Begründung für das mutmaßliche Interesse, Datenquelle und Opt-out-Option müssen protokolliert werden.
  • DSGVO-Rechte gelten auch für Geschäftskontakte: Auskunft, Berichtigung und Löschung müssen ermöglicht werden.

Was ist mit KI-Outbound rechtlich erlaubt?

Anruftyp Status
Terminbestätigung (Bestandskunde) Erlaubt (Vertragsverhältnis)
Terminerinnerung (mit Zustimmung) Erlaubt
NPS / Zufriedenheitsbefragung (mit Einwilligung) Erlaubt
Reaktivierung inaktiver Bestandskunden Erlaubt (bestehendes Vertragsverhältnis)
B2B-Kaltakquise (sachlicher Zusammenhang) Erlaubt (mutmaßliches Interesse, dokumentiert)
B2C-Werbung ohne Einwilligung Verboten (§ 7 Abs. 2 UWG)
Verschleierung der KI-Identität Nicht erlaubt (EU AI Act)

Der EU AI Act und KI-Telefonie

Seit dem EU AI Act (vollumfänglich anwendbar ab August 2026) gelten zusätzliche Anforderungen: KI-Systeme im direkten Kundenkontakt müssen als solche erkennbar sein, wenn eine natürliche Person danach fragt. Outbound-KI für Massenanrufe kann in bestimmten Kontexten als Hochrisiko eingestuft werden.

Wie EchoCall DSGVO-konforme Outbound-Kampagnen ermöglicht

  • Zero-PII-Modus: Personenbezogene Daten werden unmittelbar nach der Absicht-Extraktion verworfen - keine Speicherung über das notwendige Minimum hinaus.
  • Automatisches Opt-out: Wenn ein Anrufer ablehnt, wird die Nummer sofort auf die interne Sperrliste gesetzt.
  • Transparenz-Skript: Der Agent stellt sich am Gesprächsbeginn als KI-Assistent vor.
  • Audit-Log: Alle Anrufe werden mit Zeitstempel, Ergebnis und (auf Wunsch) anonymisiertem Transkript protokolliert.
  • Datenresidenz Deutschland: Kein Transfer in Drittstaaten, DSGVO-konforme Verarbeitung per AVV abgesichert.

Best Practices für rechtskonforme KI-Outbound-Kampagnen

  1. Rechtsgrundlage klären vor dem Start: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder berechtigtes Interesse (lit. f) - beide Wege haben Dokumentationsanforderungen.
  2. Datensatz bereinigen: Nur verifizierte Kontakte mit sauberem Opt-in-Nachweis verwenden.
  3. Opt-out sofort umsetzen: Automatisierte Sperrlisten-Verwaltung ist Pflicht, keine Option.
  4. Anruftiming beachten: Keine Anrufe vor 9 Uhr und nach 20 Uhr, Feiertage ausschließen.
  5. Kampagne auditierbar machen: Jede Kampagne muss im Audit-Log vollständig nachvollziehbar sein.

DSGVO-konforme Outbound-Kampagnen mit EchoCall

Zero-PII, automatisches Opt-out, vollständiges Audit-Log, EU-Hosting. 3 Tage gratis testen auf hub.echocall.de.

FAQ: KI-Kaltakquise und DSGVO

Darf ein KI-Agent vorgeben, ein Mensch zu sein?

Nein. Laut EU AI Act muss ein KI-System auf direkte Nachfrage als solches erkennbar sein. Eine bewusste Täuschung über die Natur des Gesprächspartners ist verboten und kann als Wettbewerbsverstoß geahndet werden.

Was ist der Unterschied zwischen Kaltakquise und Reaktivierung?

Kaltakquise richtet sich an Kontakte ohne vorherige Geschäftsbeziehung. Reaktivierung spricht inaktive Bestandskunden an, mit denen ein Vertragsverhältnis besteht. Im B2C-Bereich ist die rechtliche Grundlage für Reaktivierung deutlich stärker.

Gibt es Branchen mit besonderen Regeln?

Ja: Finanzdienstleistungen (MiFID II), Gesundheitswesen und Telekommunikation haben sektorale Regelungen zusätzlich zur DSGVO. EchoCall's Zero-PII-Modus ist für regulierte Branchen konzipiert.