Brauche ich einen Auftragsverarbeitungsvertrag für meine Cloud-Telefonanlage?

Ja, zwingend. Art. 28 DSGVO schreibt vor, dass bei der Verarbeitung personenbezogener Daten durch einen Dienstleister ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss. Da Ihr VoIP-Anbieter Verbindungsdaten in Ihrem Auftrag verarbeitet, ist ein AVV Pflicht. Seriöse Anbieter stellen diesen standardmäßig bereit.

DSGVO-konforme Telefonie 2026: Was Unternehmen wissen müssen

1. Warum Telefonie unter die DSGVO fällt

Viele Unternehmen unterschätzen, wie viele personenbezogene Daten bei einem einfachen Telefonat entstehen. Es geht nicht nur um den Gesprächsinhalt — der wird bei den meisten VoIP-Lösungen nicht gespeichert. Es geht um die Metadaten:

Rufnummern — Caller-ID, angerufene Nummer (eindeutig einer Person zuordenbar)
Zeitstempel — wann ein Gespräch begonnen und geendet hat
Gesprächsdauer — wie lange gesprochen wurde
IP-Adressen — des anrufenden Geräts
Standortdaten — abgeleitet aus IP oder Mobilfunk-Zelle
Verbindungsnachweise (CDR) — die vollständige Aufzeichnung jedes Anrufs

All diese Daten fallen unter Art. 4 Nr. 1 DSGVO als personenbezogene Daten. Das bedeutet: Jeder VoIP-Anbieter, der diese Daten in Ihrem Auftrag verarbeitet, muss die DSGVO einhalten — und Sie als Unternehmen sind dafür verantwortlich, dass er das tut.

Wichtig: Auch wenn das Gespräch selbst nicht aufgezeichnet wird, reichen die Metadaten aus, um DSGVO-Pflichten auszulösen. Wer ruft wen an, wann, wie lange — das sind Informationen, die Rückschlüsse auf Geschäftsbeziehungen, Gewohnheiten und Kontakte erlauben.

2. Die 5 Anforderungen an VoIP-Anbieter

Damit Ihre Cloud-Telefonie DSGVO-konform ist, muss Ihr Anbieter diese fünf Anforderungen erfüllen:

2.1 Serverstandort in der EU

Verbindungsdaten und Kundendaten dürfen nur auf Servern innerhalb der EU bzw. des EWR gespeichert werden. Ein Serverstandort in Deutschland bietet den stärksten Schutz, weil keine Drittlandübermittlung stattfindet und die deutschen Datenschutzbehörden direkt zuständig sind.

2.2 Auftragsverarbeitungsvertrag (AVV)

Art. 28 DSGVO schreibt vor, dass Sie mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, einen AVV abschließen müssen. Ihr VoIP-Anbieter verarbeitet Verbindungsnachweise — ein AVV ist daher Pflicht. Seriöse Anbieter stellen diesen standardmäßig bereit, idealerweise digital abschließbar.

2.3 Verschlüsselung der Kommunikation

Sowohl die Signalisierung als auch die Sprachdaten müssen verschlüsselt übertragen werden. Der Stand der Technik sind TLS (Transport Layer Security) für die Signalisierung und SRTP (Secure Real-time Transport Protocol) für die Sprachdaten. WebRTC-basierte Lösungen bieten diese Verschlüsselung standardmäßig.

2.4 Dokumentiertes Löschkonzept

Verbindungsnachweise dürfen nicht unbegrenzt gespeichert werden. Ihr Anbieter muss ein dokumentiertes Löschkonzept vorweisen, das regelt, wann CDR-Daten gelöscht werden — unter Berücksichtigung der handels- und steuerrechtlichen Aufbewahrungspflichten (§ 257 HGB: 6 Jahre für Geschäftsbriefe, 10 Jahre für Buchungsbelege).

2.5 Datensparsamkeit

Art. 5 Abs. 1 lit. c DSGVO verlangt, dass nur die Daten erhoben werden, die für den Zweck der Verarbeitung erforderlich sind. Ein VoIP-Anbieter braucht Rufnummern und Verbindungsdaten für die Abrechnung — aber nicht den Standort Ihrer Mitarbeiter, nicht die Kontaktlisten auf deren Geräten, und nicht die Inhalte der Gespräche.

3. Typische Verstöße bei Cloud-Telefonie

In der Praxis scheitern viele Unternehmen nicht an böser Absicht, sondern an Unwissenheit. Hier sind die häufigsten DSGVO-Verstöße bei VoIP-Telefonie:

3.1 US-Cloud ohne Bewusstsein

Viele Anbieter hosten auf AWS, Google Cloud oder Azure. Selbst wenn die Server physisch in Frankfurt stehen — gehört der Cloud-Anbieter einem US-Konzern, kann der US Cloud Act den Zugriff auf Daten erzwingen. Das ist kein theoretisches Risiko: Die Vorgänger-Abkommen Safe Harbor und Privacy Shield wurden beide vom EuGH gekippt.

3.2 Fehlender AVV

Erstaunlich viele Unternehmen telefonieren über Cloud-Dienste, ohne je einen Auftragsverarbeitungsvertrag abgeschlossen zu haben. Das ist ein direkter Verstoß gegen Art. 28 DSGVO — und kann bei einer Prüfung durch die Datenschutzbehörde zu Bußgeldern führen.

3.3 Variabler Serverstandort

Manche Anbieter geben keinen festen Serverstandort an, sondern sprechen von "Redundanz" und "Lastausgleich". Das kann bedeuten, dass Ihre Verbindungsdaten heute in Frankfurt und morgen in Singapur liegen. Ohne klare Zusage zum Verarbeitungsort können Sie Ihre eigenen DSGVO-Pflichten nicht erfüllen.

3.4 Mitarbeiter nutzen private Messenger

Wenn Mitarbeiter Geschäftsanrufe über WhatsApp, Signal oder persönliche Mobiltelefone führen, verlieren Sie die Kontrolle über die Daten. Verbindungsnachweise landen auf privaten Geräten und den Servern der Messenger-Dienste — ohne AVV, ohne Löschkonzept, ohne Einwilligung der Gesprächspartner.

Praxis-Beispiel: Ein Hotel-Mitarbeiter ruft die Familie eines Gastes über sein privates WhatsApp an. Die Nummer des Gastes landet in WhatsApps Kontaktliste — eine Übermittlung personenbezogener Daten an Meta (USA), ohne Rechtsgrundlage. Mit einer DSGVO-konformen Browser-Telefonie hätte der Anruf über das Geschäftssystem laufen können, ohne private Datenverarbeitung.

Anbieter-Vergleich nach DSGVO-Kriterien

Wie schneiden die gängigen VoIP-Anbieter in Sachen Datenschutz ab?

Kriterium	FluffyCall	Sipgate	3CX	Placetel
Firmensitz	Berlin, DE 🇩🇪	Düsseldorf, DE 🇩🇪	Nicosia, Zypern 🇨🇾	Köln, DE 🇩🇪 *
Serverstandort	Deutschland (Hetzner)	Deutschland	Variabel	EU
Voice-Routing	Frankfurt (Telnyx PoP)	Deutschland	Abhängig vom Setup	EU (Cisco-Backend)
BNetzA-Lizenz	✅	✅	❌	✅
AV-Vertrag	✅	✅ (online)	✅ (DPA im Portal)	✅
US Cloud Act Risiko	Kein Risiko	Kein Risiko	Ggf. bei Cloud-Hosting	Cisco-Backend, UK-Mutter
Verschlüsselung	WebRTC (TLS/SRTP)	TLS/SRTP	TLS/SRTP	TLS/SRTP
Ohne App/Installation	✅ Browser	App oder IP-Telefon	App oder IP-Telefon	App oder IP-Telefon
Pay-as-you-go	✅ Ab 0,03 €/Min	Monatlich pro Seat	Jahreslizenz	Monatlich pro Seat

* Gamma Placetel GmbH — Muttergesellschaft Gamma Communications plc (UK). 3CX ist eine Softwarelösung, keine TK-Dienstleistung — eine BNetzA-Lizenz ist daher nicht erforderlich. Stand: Juni 2026. Alle Angaben ohne Gewähr.

10 Fragen an deinen VoIP-Anbieter

Bevor Sie sich für einen Anbieter entscheiden — oder den bestehenden prüfen

Wo stehen Ihre Server physisch?

Akzeptieren Sie nur eine konkrete Antwort (z.B. "Frankfurt, Deutschland"), nicht "in der EU" oder "variabel".

Bieten Sie einen AVV nach Art. 28 DSGVO an?

Der AVV muss vor der Nutzung abgeschlossen werden, nicht nachträglich. Idealerweise digital verfügbar.

Wo hat Ihr Unternehmen seinen Firmensitz?

EU-Firmensitz ist Pflicht. Bei Nicht-EU-Sitz: Prüfen ob Standardvertragsklauseln vorhanden und ausreichend sind.

Hat Ihr Unternehmen eine US-Muttergesellschaft?

Falls ja: US Cloud Act kann greifen, unabhängig vom Serverstandort. Fragen Sie nach dem Umgang damit.

Haben Sie eine BNetzA-Telekommunikationslizenz?

Lizenzierte Anbieter unterliegen dem TKG und den Aufsichtspflichten der BNetzA — ein zusätzlicher Vertrauensanker.

Wie werden Sprach- und Signalisierungsdaten verschlüsselt?

Mindeststandard: TLS für Signalisierung, SRTP für Sprachdaten. WebRTC bietet beides standardmäßig.

Wie lange werden Verbindungsnachweise gespeichert?

Es muss ein dokumentiertes Löschkonzept geben. Unbegrenzte Speicherung verstößt gegen die DSGVO.

Welche Subunternehmer verarbeiten unsere Daten?

Der AVV muss alle Subunternehmer auflisten. Prüfen Sie, ob Subunternehmer in Drittländern sitzen.

Wie werden Betroffenenrechte umgesetzt?

Auskunft, Löschung, Datenübertragbarkeit — Ihr Anbieter muss Sie dabei unterstützen können.

Was passiert bei einer Datenpanne?

Der Anbieter muss Sie unverzüglich informieren (Art. 33 DSGVO). Fragen Sie nach dem Meldeprozess und den Fristen.

Häufig gestellte Fragen

Die wichtigsten Fragen zur DSGVO-konformen Telefonie

Eine DSGVO-konforme Cloud-Telefonielösung muss fünf Anforderungen erfüllen: Server in der EU (idealerweise Deutschland), ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, Verschlüsselung der Sprach- und Metadaten (TLS/SRTP), ein dokumentiertes Löschkonzept für Verbindungsnachweise, und Datensparsamkeit bei der Erfassung von Gesprächsmetadaten.

Ja. Bei jedem VoIP-Gespräch entstehen personenbezogene Daten: Rufnummern, Verbindungszeitpunkte, Gesprächsdauer, IP-Adressen und Standortdaten. Diese Metadaten fallen unter die DSGVO, unabhängig davon, ob das Gespräch selbst aufgezeichnet wird oder nicht.

Prüfen Sie diese Punkte: Wo stehen die Server? Bietet der Anbieter einen AVV nach Art. 28 DSGVO? Hat er eine BNetzA-Lizenz? Werden Verbindungsdaten verschlüsselt übertragen? Hat das Unternehmen oder seine Muttergesellschaft ihren Sitz in der EU? Unterliegt der Anbieter dem US Cloud Act?

Anbieter mit Firmensitz und Servern in Deutschland bieten den stärksten DSGVO-Schutz. Dazu gehören Sipgate (Düsseldorf), FluffyCall (Berlin) und Placetel (Köln). Bei Anbietern mit Sitz außerhalb Deutschlands oder mit US-Muttergesellschaften sollte man den Serverstandort und mögliche Drittlandübermittlungen genau prüfen.

Beides ist wichtig. Ein EU-Serverstandort allein reicht nicht — wenn das Unternehmen oder seine Muttergesellschaft in den USA sitzt, kann der US Cloud Act den Zugriff auf Daten erzwingen, selbst wenn die Server in Europa stehen. Ideal ist ein Anbieter mit Firmensitz und Servern in der EU, ohne US-Mutterkonzern.

Ja, zwingend. Art. 28 DSGVO schreibt vor, dass bei der Verarbeitung personenbezogener Daten durch einen Dienstleister ein Auftragsverarbeitungsvertrag geschlossen werden muss. Da Ihr VoIP-Anbieter Verbindungsdaten in Ihrem Auftrag verarbeitet, ist ein AVV Pflicht.

DSGVO-konforme Telefonie — Was Unternehmen wirklich beachten müssen