Zum Inhalt springen
K Krynex Labs
Alle Artikel
#Telefon-AI#DSGVO#Audit#TKG#Mittelstand

Telefon-AI für 99 € im Monat: Was 10 Anbieter und ihre Kunden wirklich abliefern

Wir haben 10 Telefon-AI-Anbieter und mehrere hundert ihrer Kundenwebseiten geprüft. Das Ergebnis: hohe Monatspreise für simple Dashboards, fehlende Aufzeichnungs-Einwilligungen, und Mittelständler, die ohne es zu wissen straf- und bußgeldpflichtig telefonieren lassen.

Annett Krusch

Seit Mitte 2024 spülen Social-Media-Ads eine spezielle Variante der AI-Agentur-Szene nach oben: Telefon-AI. Sprachassistenten, die eingehende Anrufe annehmen, qualifizieren, Termine vereinbaren oder Standardfragen beantworten. Die Versprechen sind groß: „24/7 Erreichbarkeit”, „kein Personalkostenproblem mehr”, „ROI in 30 Tagen”. Die Preise auch: typisch 99 € bis 499 € pro Monat, manche Setup-Pakete mit vierstelligen Initial-Beträgen.

Wir haben uns das Ende April und Mai 2026 systematisch angeschaut. 10 Anbieter, zwischen 30 und 100 Kunden-Webseiten je Anbieter — insgesamt mehrere hundert produktive Telefon-AI-Setups. Anbieter listen ihre zufriedenen Kunden gerne selbst auf, mit fünf Sternen und Logo. Das machte die Stichprobenauswahl einfach. Die Telefonnummern auf den Kundenseiten haben wir angerufen — bei allen ging ein Sprachassistent ran. Echte produktive Setups also, kein Showroom.

Was wir gefunden haben, ist nicht „Optimierungspotenzial”. Es ist eine systematische Lücke, in die Mittelständler bezahlt hineinlaufen.

Was die teuren Anbieter tatsächlich liefern

Wir sind davon ausgegangen, hinter dem Pricing stecke zumindest eine ernsthafte Workflow-Plattform: Anbindung an CRM, ERP, Marketing-Automation, Routing-Logik. Tatsächlich war das, was wir bei den geprüften Anbietern gefunden haben, weit schlanker.

Das typische Anbieter-Paket bestand aus:

  • Einem Web-Dashboard mit Anrufliste
  • Audio-Wiedergabe der mitgeschnittenen Gespräche
  • Einem einfachen Terminkalender
  • Einer Lead-Übersicht innerhalb der Anbieter-Plattform

Keine n8n-Integration, keine CRM-Anbindung, keine API für eigene Workflows, keine Verknüpfung zu bestehenden Backoffice-Systemen. Der Lead landet in der Anbieter-Plattform, der Kunde sieht ihn dort, abfragen muss er manuell — oder gar nicht, je nach Workflow.

Technisch steckt darunter in den allermeisten Fällen die gleiche Drei-Schritt-Pipeline: ein Voice-Provider wie Twilio oder Vonage für die Telefonie, ein Standard-LLM wie GPT-5.5 oder Claude Sonnet für die Konversation, und ein Text-to-Speech-Dienst wie ElevenLabs für die Sprachausgabe. Nichts davon ist proprietär. Nichts davon ist schwer zu reproduzieren. Bei den Cloud-Anbietern kostet die reine Inferenz pro Minute Gespräch etwa 0,05 bis 0,15 €.

Bei 200 Anrufen pro Monat zu je drei Minuten landet die echte technische Marge bei rund 30 bis 90 € pro Monat. Verkauft wird das für 99 € aufwärts, mit manchen Anbietern in den Top-10-Listen, die direkt bei 199 € oder 299 € starten.

Das eigentliche Problem ist nicht der Preis

99 € für ein simples Dashboard sind hoch, aber das ist Marketing-Sache. Was wir im Audit beunruhigender fanden, ist das, was beim Anrufer passiert — genauer: was nicht passiert.

Bei keinem der geprüften Setups haben wir am Gesprächsanfang einen klaren Hinweis auf die Aufzeichnung und eine Einwilligungsabfrage gehört. Der Sprachassistent meldet sich mit dem Firmennamen, fragt nach dem Anliegen, und schneidet das gesamte Gespräch im Hintergrund mit — ohne, dass der Anrufer darüber informiert wird oder explizit zustimmen muss.

Aus juristischer Sicht ist das mehrfach problematisch.

§ 201 StGB — Verletzung der Vertraulichkeit des Wortes. Das Mitschneiden des nicht-öffentlich gesprochenen Wortes ohne Einwilligung ist in Deutschland eine Straftat. Bis zu drei Jahre Freiheitsstrafe oder Geldstrafe. Der Anrufer ist die geschützte Person, das Unternehmen, das die AI betreibt, ist der potenziell Strafbare. Die Aufsichtsbehörden lesen mittlerweile in mehreren Stellungnahmen, dass automatisierte Aufzeichnung durch KI-Agenten vor dem inhaltlichen Gespräch kommuniziert werden muss — und nicht beiläufig in einer langen AGB.

Art. 6 + Art. 7 DSGVO — Einwilligung. Die Verarbeitung personenbezogener Daten (Stimme, Inhalt, ggf. Telefonnummer) braucht eine Rechtsgrundlage. Einwilligung ist die naheliegende, aber sie muss freiwillig, informiert, eindeutig sein. Eine Einwilligung, die der Anrufer nicht kennt, ist keine Einwilligung.

Art. 13 DSGVO — Informationspflicht. Wenn personenbezogene Daten erhoben werden, muss der Verantwortliche zum Zeitpunkt der Erhebung über Identität, Zwecke, Empfänger, Drittlandtransfers und Speicherdauer informieren. Eine Telefon-AI hat zum Zeitpunkt des Anrufs genau eine Möglichkeit: zu Beginn klar darauf hinweisen. Wir haben das in keinem Fall gehört.

Art. 9 DSGVO — biometrische Daten. Wenn die Stimme nicht nur transkribiert, sondern für Sprecher-Identifikation oder Voice-Cloning verwendet wird, fällt sie unter die besondere Datenkategorie. Erlaubnis nach Art. 9 Abs. 2 dann zusätzlich nötig.

Wer haftet?

Das ist die Frage, die Mittelständler im Verkaufsgespräch selten gestellt bekommen. Die Antwort ist eindeutig: nicht der Anbieter, sondern das Unternehmen, das den Telefondienst einsetzt.

Der Anbieter ist juristisch Auftragsverarbeiter nach Art. 28 DSGVO (theoretisch — die meisten haben keinen sauberen AVV abgeschlossen, was ein zweites Problem ist). Der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO ist der Mittelständler. Er entscheidet über Zwecke und Mittel der Verarbeitung, er trägt die Rechenschaftspflicht nach Art. 5 Abs. 2, er ist Adressat der Aufsichtsbehörde und potenziell der Bußgeldbescheide.

Die Größenordnung: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — das war der Stand der Bußgeldskala nach Art. 83 DSGVO 2024, der durch den EU AI Act ab 2026 noch um eine eigene Sanktionsskala bis 35 Mio € ergänzt wird. Selbst wenn Aufsichtsbehörden bei einem 20-Personen-Mittelständler nicht das Maximum verhängen — die Spanne von 5.000 bis 50.000 € ist realistisch, wenn ein Betroffener sich beschwert.

Dazu kommt die strafrechtliche Komponente nach § 201 StGB, die nicht das Unternehmen, sondern die handelnde Person trifft — typischerweise den Geschäftsführer als Verantwortlichen.

Was wir in den Datenschutzerklärungen gesucht und nicht gefunden haben

Beim Audit der Kundenwebseiten haben wir konkret nach folgenden Punkten gesucht. Sie wären für einen rechtssicheren Betrieb der Telefon-AI Pflicht.

1. Erwähnung des KI-Telefonassistenten. Mehr als 80 % der geprüften Kundenseiten erwähnten die Telefon-AI in der Datenschutzerklärung gar nicht. Wer eingehende Anrufe per AI verarbeitet, muss das offenlegen — egal ob das Tool selbst gebaut oder eingekauft ist.

2. Nennung des Auftragsverarbeiters. Wer ist der Anbieter? In welcher Region läuft das Voice-Processing? Wer ist der Sub-Prozessor für LLM-Inferenz (OpenAI USA, Anthropic Frankfurt, sonstige)? Bei den Kundenseiten, die überhaupt Erwähnung hatten, fehlte diese Detaillierung in fast allen Fällen.

3. Drittland-Transfer-Hinweis. Wenn Voice-Stream zur Transkription an OpenAI USA oder ein anderes DPF-Land geht, muss das in der Datenschutzerklärung stehen mit Verweis auf EU-US Data Privacy Framework oder Standardvertragsklauseln. Bei den geprüften Setups: in praktisch keiner Datenschutzerklärung.

4. Speicherdauer der Aufzeichnungen. Wie lange werden Audio-Files und Transkripte gespeichert? Eine pauschale „angemessene Zeit”-Formulierung ist nicht ausreichend. Konkrete Tage oder Monate gehören rein. Bei den meisten Audits: nicht vorhanden.

5. Hinweis auf das automatisierte Verfahren. Art. 22 DSGVO regelt automatisierte Einzelentscheidungen. Wenn die Telefon-AI über Termin-Verfügbarkeit, Anliegen-Klassifizierung oder Weiterleitung selbst entscheidet, ist das ein automatisiertes Verfahren mit Informationspflicht.

6. AVV mit dem Anbieter. Den haben wir natürlich nicht in der Datenschutzerklärung gesucht, aber wir haben in Stichproben nachgehakt. Mehrere Kunden haben uns auf Nachfrage bestätigt, sie hätten „nichts dazu unterschrieben”, über das Onboarding hätten sie „einen Zugang per E-Mail bekommen, fertig”. Ohne aktiv abgeschlossenen AVV ist die ganze Verarbeitung Art. 28-widrig.

Was Mittelständler vor dem Telefon-AI-Kauf prüfen sollten

Wir empfehlen folgende Fragen vor jedem Vertragsabschluss mit einem Telefon-AI-Anbieter:

  • Gibt es einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, und ist er bereits abgeschlossen oder muss er gesondert akzeptiert werden?
  • Welche Sub-Prozessoren werden eingesetzt? (Voice-Provider, LLM-Anbieter, TTS-Anbieter, Cloud-Hoster — alle benennen.)
  • In welcher Region läuft die Verarbeitung? Bei US-Anbietern: DPF-Zertifikat vorliegen lassen.
  • Wie lange werden Audio-Files und Transkripte gespeichert? Wer hat Zugriff?
  • Sagt der Sprachassistent zu Beginn klar, dass das Gespräch aufgezeichnet wird, und holt er aktiv die Einwilligung ein?
  • Stellt der Anbieter Textbausteine für Datenschutzerklärung und Verarbeitungsverzeichnis bereit? Verbindlich, juristisch geprüft?
  • Was passiert mit den Daten am Vertragsende? Löschfrist konkret im Vertrag?

Wer auf eine dieser Fragen vom Vertrieb des Anbieters ein „Müssen wir schauen” oder „Das macht jeder Anbieter so” hört, hat seine Antwort.

Der Pragmatische Stack — und was er wirklich kostet

Eine technisch saubere Telefon-AI für einen Mittelständler — mit DSGVO-konformer Aufzeichnungs-Einwilligung, transparentem Sub-Prozessor-Stack, Anbindung an das bestehende CRM oder Ticketsystem, eigenem Audit-Log — ist heute kein besonderer Aufwand mehr.

Die technische Marge bei drei Minuten pro Anruf und 200 Anrufen pro Monat liegt im niedrig-zweistelligen Eurobereich. Die Plattform-Komponenten — Twilio oder Sipgate für Telefonie (EU-Hosting verfügbar), Claude Sonnet 4.6 oder Mistral Large 3 in einer EU-Region für die Konversation, ElevenLabs in der EU oder Coqui on-prem für die Sprache — kosten gemeinsam selten mehr als 50 € pro Monat. Wer es selbst betreibt oder sauber von einem Dienstleister einkauft, zahlt für Setup einmalig im niedrigen vierstelligen Bereich und danach laufende Wartung, statt monatlich 199 € oder mehr.

Bei IONOS und STRATO gibt es vergleichbare KI-gestützte Telefon-Anwendungen in drei Tarifstufen: ab 9 € im Monat für den Einstieg, 19 € im Monat für die mittlere Stufe, 29 € im Monat für die größte Variante. Funktional weniger flexibel als eine Custom-Lösung, aber für einen klassischen KI-Anrufbeantworter mit Anliegen-Routing oft mehr als ausreichend — und preislich eine Größenordnung unter den 99-€-bis-299-€-Angeboten der Marketing-getriebenen Spezialanbieter.

Wir bauen für unsere Mittelstandskunden Telefon-AI-Setups, die die DSGVO-Anforderungen vollständig abdecken: Aufzeichnungs-Einwilligung am Gesprächsanfang, klare Sub-Prozessor-Dokumentation, EU-Hosting wo möglich, Anbindung an bestehende Systeme statt eigenes Daten-Silo. Einmal-Investition plus Wartung — keine 99 € im Monat für eine Black-Box.

Fazit

Telefon-AI ist eine sinnvolle Technologie für viele Mittelständler. Die aktuell dominante Verkaufsschicht ist es nicht. Wer 99 € oder mehr pro Monat für ein Dashboard ohne Workflow-Anbindung zahlt und dabei strafrechtlich-DSGVO-haftungsrechtlich in einer Grauzone telefoniert, hat weder den besseren Preis noch das bessere Produkt.

Die Aufsichtsbehörden in Deutschland und Europa beginnen 2026, gezielter auf KI-Anwendungen mit Bürgerkontakt zu schauen. Wer die offene Flanke „keine Aufzeichnungs-Einwilligung” im Telefonbetrieb hat, sitzt auf einer absehbaren Bußgeld- oder Strafanzeigen-Risiko-Position. Das ist kein hypothetisches Szenario — das ist die nächste logische Welle der DSGVO-Enforcement.

Wer aktuell einen solchen Dienst einsetzt, sollte zuerst die eigene Datenschutzerklärung prüfen, dann den AVV-Status, dann das tatsächliche Verhalten des Sprachassistenten am Gesprächsanfang. Wer keinen klaren Einwilligungs-Hinweis bekommt, sollte sofort handeln — entweder beim Anbieter nachfordern oder zu einer compliance-fähigen Lösung wechseln.

Wir helfen bei beidem.