Inhalt zusammenfassen mit:
EU AI Act ab 2. August 2026: Was Voice-AI-Agents jetzt erfüllen müssen
Am 2. August 2026 wird die zweite große Stufe des EU AI Act scharf geschaltet. Für Unternehmen, die KI-Telefonassistenten oder Voice-Agents einsetzen, bedeutet das konkret: Jeder Anrufer muss vor oder zu Beginn des Gesprächs erkennen, dass er mit einer KI spricht. Und das ist nur eine von fünf Pflichten, die ab diesem Stichtag europaweit gelten.
Wer die Vorgaben aus Artikel 50 des EU AI Act ignoriert, riskiert Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Konzernumsatzes — bei vorsätzlichem Verstoß gegen verbotene Praktiken sogar bis zu 35 Millionen Euro oder 7 Prozent. Dieser Leitfaden zeigt, was Voice-AI-Agents bis Anfang August 2026 zwingend können müssen, wie eine Compliance-Checkliste aussieht, und warum eine in Europa gehostete Plattform wie Famulor die Umsetzung in Stunden statt Wochen ermöglicht.
Was sich am 2. August 2026 ändert
Der EU AI Act ist am 1. August 2024 in Kraft getreten und wird stufenweise wirksam. Die Stufe vom 2. Februar 2025 hat verbotene KI-Praktiken (z. B. Social Scoring) gestoppt. Die Stufe vom 2. August 2026 betrifft Voice-AI-Agents direkt — über zwei Hebel:
- Artikel 50 — Transparenzpflichten: Alle KI-Systeme, die direkt mit Menschen interagieren, müssen offenlegen, dass es sich um KI handelt. Bei Voice-Agents heißt das: hörbare Disclosure, nicht nur Footnote auf der Website.
- Hochrisiko-Pflichten: Voice-Agents in regulierten Bereichen (Bonität, Bewerbungsauswahl, kritische Infrastruktur, Strafverfolgung) gelten als Hochrisiko-Systeme — mit Logging, Human Oversight, Risk-Management-System und CE-Konformität.
Die finale Code-of-Practice-Version der EU-Kommission wird im Juni 2026 erwartet — also etwa acht Wochen vor dem Stichtag. Wer erst dann anfängt, kommt zu spät: ein Voice-Agent muss konfiguriert, getestet, dokumentiert und in Logs geprüft werden.
Wer ist betroffen — Provider oder Deployer?
Der EU AI Act unterscheidet zwischen Providern (die das KI-System bauen oder vertreiben) und Deployern (die es einsetzen). Beide haben Pflichten, aber unterschiedliche.
- Provider einer Voice-AI-Plattform müssen sicherstellen, dass das System die Disclosure-Funktion technisch beherrscht, Audio-Outputs als KI-generiert markierbar sind und Audit-Logs gespeichert werden können. Das ist die Aufgabe der Plattform, nicht des Endkunden.
- Deployer — also das Unternehmen, das einen Voice-Agent für eingehende oder ausgehende Anrufe betreibt — muss die Disclosure tatsächlich aktivieren, Begrüßungsskripte anpassen, Mitarbeiter zur Eskalation schulen und im Streitfall nachweisen können, wann welcher Anruf wie geführt wurde.
Wer den eigenen Voice-Agent heute live hat, ist mindestens Deployer. Wer ihn auf einer No-Code-Plattform selbst gebaut hat, übernimmt zusätzlich Provider-Verantwortung für die Konfiguration. Klingt nach Mehrarbeit — ist aber mit der richtigen Plattform ein Konfigurations-Klick.
Die fünf Voice-AI-Pflichten ab 2. August 2026
Für klassische Inbound- und Outbound-Voice-Agents (Terminvereinbarung, FAQ, Lead-Qualifizierung, First-Level-Support) sind das die fünf Punkte, die zu erfüllen sind:
1. Audible AI-Disclosure am Gesprächsanfang
„Guten Tag, Sie sprechen mit Lara, einer KI-Assistentin der Praxis Dr. Becker." Diese Art Begrüßung muss unmissverständlich sein. Eine flüsternde Disclosure am Ende oder ein Hinweis nur in der DSGVO-Erklärung der Website reicht nicht. Die Disclosure muss zu Beginn der Interaktion erfolgen, in der Sprache des Anrufers, und für Menschen mit Hörbeeinträchtigung muss eine alternative Form vorgesehen werden — z. B. ein paralleles SMS-Skript.
2. Synthetic-Voice-Labeling für ausgehende Anrufe
Bei Outbound-Calls (z. B. Terminbestätigungen, Mahnungen, Reaktivierung) muss zusätzlich klargestellt werden, dass die Stimme synthetisch ist. Voice-Cloning bekannter Personen ohne Einwilligung war schon vorher nach DSGVO problematisch — jetzt wird es explizit als Deep-Fake-Verbot kodifiziert.
3. Human-Handoff auf Verlangen
Sagt der Anrufer „Ich möchte mit einem Menschen sprechen", muss der Agent eskalieren. Nicht erst nach drei Versuchen, nicht erst nach Ablauf eines Timers, sondern beim ersten klaren Wunsch. Das setzt voraus, dass der Voice-Agent intelligente Weiterleitung beherrscht — siehe unser Leitfaden zur Brücke zwischen KI und Mensch.
4. Audit-Logging und Aufbewahrung
Jeder Anruf muss mit Zeitstempel, Anrufer-ID (sofern erlaubt), Gesprächstranskript und Eskalations-Events dokumentiert sein. Die Aufbewahrungsdauer ergibt sich aus der DSGVO (in der Regel 30 bis 90 Tage für Service-Calls). Wer Anrufe aufzeichnet, muss zusätzlich die Anforderungen aus dem nationalen Recht erfüllen — Details dazu im Legal Guide für die DACH-Region.
5. Risk-Management & Bias-Prüfung
Wenn der Voice-Agent Entscheidungen trifft, die rechtliche oder ähnlich erhebliche Wirkung haben (z. B. Vorqualifizierung von Bewerbern, Bonitätsabfragen, Schadensaufnahme bei Versicherungen), greifen Hochrisiko-Pflichten: dokumentiertes Risk-Management-System, regelmäßige Bias-Tests, technische Dokumentation und CE-Konformität.
Bußgeldrahmen: Was kostet Non-Compliance?
Der EU AI Act staffelt Bußgelder nach Schwere des Verstoßes. Für Voice-AI-Setups sind drei Kategorien relevant:
| Verstoß | Maximales Bußgeld | Alternativ | Typisches Voice-AI-Beispiel |
|---|---|---|---|
| Verbotene Praktiken (Art. 5) | 35 Mio. EUR | 7% des weltweiten Konzernumsatzes | Stimmen-Manipulation zur Täuschung; Social Scoring per Anruf-Analyse |
| Hochrisiko-Pflichten (Art. 16, Anhang III) | 15 Mio. EUR | 3% des weltweiten Konzernumsatzes | Bewerber-Vorqualifizierung ohne Bias-Tests; Bonitätsanfragen ohne Logging |
| Falsche / irreführende Auskünfte (Art. 99 (5)) | 7,5 Mio. EUR | 1% des weltweiten Konzernumsatzes | Fehlende Transparenz-Dokumentation gegenüber der Aufsicht |
Für KMU und Start-ups gilt der jeweils niedrigere Wert (Festbetrag oder Prozent — der niedrigere). Trotzdem: Eine Versicherungsagentur mit 5 Mio. Jahresumsatz, die einen nicht-konformen Outbound-Agent für Schadenanrufe einsetzt, kann mit 50.000 bis 150.000 Euro rechnen — pro nachgewiesenem Verstoß. Die Aufsicht in Deutschland übernimmt das Bundesnetzagentur-koordinierte Aufsichtsnetzwerk; Voice-spezifische Beschwerden werden in der Praxis oft von Verbraucherzentralen ausgelöst.
Compliance-Checkliste: 9 Schritte bis zum 2. August 2026
Wer heute startet, hat etwa zwölf Wochen Zeit. Diese Reihenfolge hat sich in der Beratungspraxis bewährt:
- Inventar: Liste alle Voice-Agents, IVRs und Chatbots auf, die mit Endkunden interagieren — inklusive Test-Setups.
- Klassifizierung: Hochrisiko (Bewerber, Bonität, Schaden) oder Standard (FAQ, Termin, Reservierung)?
- Disclosure-Skripte: Begrüßungsskript pro Sprache und Use-Case anpassen — mind. eine Erwähnung von „KI-Assistent" in den ersten zwei Sätzen.
- Synthetic-Voice-Labeling: Bei Outbound-Calls einen zweiten Hinweis einbauen („Diese Nachricht wurde von einer KI generiert").
- Human-Handoff-Trigger: Eskalations-Intents pflegen („Mensch sprechen", „echte Person", „Mitarbeiter") — auf jeder Sprache.
- Logging-Konfiguration: Transkript-Speicherung, Zeitstempel, Aufbewahrung 30–90 Tage, anonymisierte Backups.
- EU-Hosting prüfen: Wo werden Audio-Streams verarbeitet? Wo liegen Logs? Wenn US-Cloud: Vertragslage prüfen oder migrieren.
- Bias-Test: Mindestens 50 Test-Anrufe in unterschiedlichen Akzenten, Altersgruppen, Geschlechtern. Auswertung dokumentieren.
- Schulung & Notfallplan: Mitarbeiter wissen, wie sie eskalierte Anrufe übernehmen und wie der Agent kurzfristig pausiert wird.
Diese neun Schritte sind der Kern dessen, was eine Aufsicht später als „dokumentierte Sorgfalt" anerkennt.
Best Practices und typische Fehler
In Pilotprojekten der letzten Monate haben sich vier Muster gezeigt, die immer wieder Probleme machen:
- Generische Disclosure ohne Kontext: „Sie sprechen mit einer KI" ist juristisch dünn. Besser: „Sie sprechen mit Lara, einer KI-Assistentin von Hotel Adlerhorst. Ich kann Buchungen entgegennehmen oder Sie an die Rezeption durchstellen." Konkret, vertrauensbildend, eskalations-offen.
- Aggressive Re-Engagement-Calls bei alten Leads: Outbound-Calls an Kontakte, deren Einwilligung älter als 12 Monate ist, sind heikel — DSGVO und ePrivacy gelten parallel. Re-Confirm Opt-In oder verzichten.
- „Wir nutzen ja nur OpenAI, das ist deren Problem" — falsch. Die Verantwortung als Deployer bleibt bei dem Unternehmen, das den Agent betreibt. Die LLM-Wahl (OpenAI, Anthropic, Mistral) ist nachrangig — Logging und Disclosure sind Pflicht des Betreibers.
- Vergessenes Audio-Recording-Banner: Wer Anrufe aufzeichnet, braucht eine zweite, separate Einwilligung. Disclosure und Recording-Consent sind nicht dasselbe.
Branchen-Beispiele aus der Praxis
So sieht die Umsetzung in drei typischen Famulor-Setups aus:
Zahnarztpraxis Dr. Becker (Berlin, 12 Mitarbeiter)
Inbound-Agent für Termine und Notfall-Triage. Disclosure: „Sie sprechen mit Lara, der KI-Assistentin der Praxis Dr. Becker." Bei Notfall-Erkennung („Schmerzen", „Schwellung", „Blutung") direkter Handoff an die Praxis-Hotline. Logging 30 Tage in EU-Region (Frankfurt). Klassifizierung: Standard, kein Hochrisiko. Aufwand für Compliance: 2 Stunden Konfiguration in Famulor. Mehr Beispiele aus dem Gesundheitswesen.
Versicherungsmakler Schmidt & Partner (München, 28 Mitarbeiter)
Outbound-Agent für Bestandsbetreuung („Vertrag läuft aus, Termin?") und FNOL-Erstaufnahme bei Schäden. Outbound braucht Synthetic-Voice-Hinweis und Re-Confirm Opt-In. FNOL fällt in den Graubereich: noch Standard, weil keine bonitätsähnliche Entscheidung getroffen wird. Aufwand: 6 Stunden für Skripte, Test-Calls, Logging-Audit.
E-Commerce-Shop „Nordlicht Outdoor" (Hamburg, 60 Mitarbeiter)
Inbound-Agent für Bestellstatus, Retouren, Größenberatung. Standard-Use-Case. Disclosure am Anfang, Eskalations-Intent „Mitarbeiter" trainiert, EU-Hosting nachgewiesen, Telefon-Recording mit zweiter Einwilligungsabfrage. Compliance-Aufwand: 4 Stunden inklusive Bias-Test.
Berechnen Sie Ihren ROI durch automatisierte Anrufe
Erfahren Sie, wie viel Sie durch KI-gesteuerte Voice Agents jeden Monat sparen können.
ROI Ergebnis
ROI 228%
Ohne Kreditkarte
Famulor: Compliance-by-Default für Voice-AI in Europa
Wer einen US-zentrischen Voice-AI-Anbieter (Vapi, Bland, Retell, Synthflow) einsetzt, steht jetzt vor einer unangenehmen Frage: Sind Audio-Streams, Transkripte und Logs in der EU? Bei den meisten Anbietern lautet die ehrliche Antwort: nicht zuverlässig. Famulor wurde von Anfang an mit europäischer Datenarchitektur gebaut — Hosting in der EU, DSGVO-konforme Auftragsverarbeitung, konfigurierbare Disclosures, integrierter Audit-Log-Export.
Konkret bedeutet das für die EU-AI-Act-Konformität:
- Disclosure-Templates pro Sprache: 40+ Sprachen, jeweils mit konformem Begrüßungsbaustein.
- Synthetic-Voice-Tag automatisch: Bei Outbound-Calls in nationalen Zielmärkten wird der Hinweis-Satz aus dem länderspezifischen Template gezogen.
- Human-Handoff via SIP-Trunk: Direkte Weiterleitung an interne Hotlines, mobile Mitarbeiter oder externe Call-Center — ohne Provider-Wechsel.
- Audit-Log-Export: CSV oder Webhook in eigene Dokumentations-Systeme (Notion, Confluence, Make, n8n).
- Transparenter Pricing: Pay-per-Minute ohne Hidden Fees, damit auch der Compliance-Mehraufwand kalkulierbar bleibt.
Für Unternehmen, die bisher mit US-Stack arbeiten, ist die Migration in der Regel innerhalb von zwei Wochen erledigt. Mehr zur Architektur und zum Vergleich findet sich in unserem Beitrag zur Vapi-Alternative mit EU-Hosting.
Fazit: Compliance ist Wettbewerbsvorteil, kein Bremsklotz
Der 2. August 2026 wirkt auf den ersten Blick wie eine Belastung — in Wahrheit ist es eine Chance, sich vom Wettbewerb abzuheben. Anrufer, die hörbar erkennen, dass sie mit einer KI sprechen, und die jederzeit zu einem Menschen wechseln können, vertrauen der Marke mehr. Audit-Logs sind nicht nur Aufsichtsmaterial, sondern die Basis für Qualitätsverbesserung. Und EU-Hosting ist für viele B2B-Käufer schon heute Voraussetzung im Lastenheft.
Wer jetzt handelt, hat den Vorteil. Wer wartet, riskiert Bußgelder und Reputationsschäden. Mit Famulor steht ein Setup bereit, das die fünf Pflichten ohne Custom-Code erfüllt — meist innerhalb eines Nachmittags. Hier geht es zum No-Code Voice-Agent-Builder.
Testen Sie unseren KI-Assistenten
Erleben Sie selbst, wie natürlich unser KI-Telefonassistent klingt.
Geben Sie Ihre Daten ein und erhalten Sie in wenigen Sekunden einen Anruf von unserem KI-Agenten.
Der Agent ist darauf trainiert, über Famulor-Services zu sprechen und Termine zu vereinbaren.
Demo AI agent
Famulor Mitarbeiter
FAQ
Ab wann gelten die EU-AI-Act-Pflichten für Voice-Agents?
Die zentralen Transparenzpflichten aus Artikel 50 sind ab dem 2. August 2026 europaweit verbindlich. Verbotene Praktiken sind bereits seit Februar 2025 untersagt, und Hochrisiko-Pflichten greifen ab dem 2. August 2026 in vollem Umfang.
Reicht ein Hinweis in der DSGVO-Erklärung der Website?
Nein. Die Disclosure muss am Anfang des Telefonats hörbar erfolgen — in der Sprache des Anrufers. Eine schriftliche Notiz auf der Website ist kein Ersatz für die akustische Information während des Gesprächs.
Was passiert, wenn ein Anrufer „Mensch sprechen" sagt?
Der Voice-Agent muss den Wunsch sofort erkennen und an einen menschlichen Mitarbeiter eskalieren. Wiederholtes Nachhaken oder das Hinauszögern der Eskalation ist nicht zulässig.
Gilt der EU AI Act auch für Outbound-Calls?
Ja, sogar verstärkt. Bei Outbound-Calls kommt zur AI-Disclosure ein expliziter Synthetic-Voice-Hinweis dazu, und das Einverständnis des Empfängers (Opt-In) muss aktuell und nachweisbar sein.
Wie hoch sind die Bußgelder im schlimmsten Fall?
Bei verbotenen Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Konzernumsatzes — der jeweils höhere Betrag. Für Hochrisiko-Verstöße liegt die Obergrenze bei 15 Millionen Euro oder 3 Prozent des Umsatzes.
Brauche ich für einen FAQ-Voice-Agent eine Hochrisiko-Klassifizierung?
Nein. Klassische FAQ-, Termin- oder Bestellstatus-Agents sind Standard-Use-Cases. Hochrisiko sind nur Setups mit weitreichenden Entscheidungen (Bewerberauswahl, Bonität, Schadensregulierung mit Auszahlungsempfehlung).
Kann ich einen US-basierten Voice-Anbieter weiternutzen?
Technisch ja, rechtlich nur mit erheblichem Aufwand. Datenflüsse müssen via Standard-Vertragsklauseln und Transfer-Impact-Assessment abgesichert sein. Eine in der EU gehostete Plattform wie Famulor ersparen den Großteil dieser Dokumentation.
Was muss ich konkret protokollieren?
Mindestens: Zeitstempel, Anrufer-ID (sofern rechtlich zulässig), Transkript der wesentlichen Inhalte, ausgelöste Eskalations-Events und Disclosure-Bestätigung. Aufbewahrungsdauer typischerweise 30 bis 90 Tage je nach Use-Case und Branche.
Wie lange dauert die Umsetzung mit Famulor?
Bei Standard-Use-Cases (FAQ, Termin, Reservierung) reichen in der Regel zwei bis vier Stunden für die Konfiguration aller fünf Pflichten. Hochrisiko-Setups brauchen zusätzlich ein bis zwei Tage für Bias-Tests und Risk-Management-Dokumentation.
