← Blog/Compliance

revDSG-konforme Hosting-Kette: Wo Anrufdaten beim KI-Telefonassistenten wirklich liegen

12 Min. Lesezeit
Schweizer Server-Rack im Datacenter, symbolisch für persistente Datenhaltung in der Schweiz

Wer einen KI-Telefonassistenten in einer Schweizer Arztpraxis, Anwaltskanzlei oder Treuhandkanzlei einsetzen möchte, bekommt früher oder später dieselbe Frage von der internen Compliance-Stelle: "Wo werden die Daten eigentlich verarbeitet, und welche davon liegen in der Schweiz?" Die Frage ist berechtigt — und die meisten Antworten am Markt sind unpräzise.

Dieser Artikel erklärt End-to-End, was bei einem Anruf passiert, in welchem Datacenter welche Daten landen, welche Daten persistent gespeichert werden und welche nur transient durchlaufen. Die Antwort ist nicht "alles in der Schweiz". Sie ist differenzierter — und nach revidiertem Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) sowie DSGVO ausreichend, wenn man die Architektur richtig versteht.

Kurz und bündig: Bei fonea liegen alle persistenten Daten (Kontaktdaten, Transkripte, Zusammenfassungen, Konfiguration) in der Schweiz bei Supabase mit Schweizer Hosting. Die transiente Sprachverarbeitung — Speech-to-Text, Sprachmodell-Inferenz, Text-to-Speech — läuft auf europäischen Servern in Deutschland (Frankfurt, Berlin) auf Infrastruktur mit angemessenem Datenschutzniveau im Sinn von Art. 16 revDSG. Audio-Streams werden verarbeitet und sofort verworfen, nicht persistent gespeichert. Der EDÖB-konforme KI-Hinweis erfolgt am Anfang jedes Anrufs und ist nicht deaktivierbar.

Warum die Frage "Wo liegen die Daten?" zu kurz greift

Die häufigste Compliance-Frage lautet: "Liegen die Daten in der Schweiz?" Diese Frage ist gut gemeint, aber sie misst die falsche Eigenschaft. Bei einem KI-Telefonassistenten gibt es nicht "die Daten". Es gibt mindestens fünf verschiedene Datenkategorien, die unterschiedlich behandelt werden:

1. Konfigurationsdaten — Skripte, FAQ-Antworten, Geschäftsinformationen, Kalender-Schnittstellen. 2. Anrufer-Identitätsdaten — Telefonnummer, Name, Anschrift falls genannt. 3. Transienter Audio-Stream — die rohe Sprachübertragung während des Anrufs. 4. Transkripte — Text-Repräsentation des Gesprächs. 5. Strukturierte Anliegen — Termine, Rückrufbitten, Schadensmeldungen, Rezepte.

Jede dieser Kategorien hat eine andere Verarbeitungsrealität. "Alles in der Schweiz" ist technisch möglich, aber weder branchenüblich noch unter revDSG zwingend — solange die Verarbeitung im Ausland angemessenen Schutz gewährleistet (Art. 16 revDSG) und die Übermittlung dokumentiert ist.

Die richtige Frage ist deshalb nicht "wo liegen die Daten", sondern: "Wo werden welche Daten persistent gespeichert, und wo läuft die transiente Verarbeitung — und ist beides nach revDSG zulässig?"

Das Architektur-Bild: persistent vs. transient

Bei fonea trennen wir bewusst zwei Schichten: persistente Datenhaltung und transiente Verarbeitung.

Persistent in der Schweiz bedeutet: Daten, die über das Ende eines Anrufs hinaus gespeichert bleiben, liegen ausschliesslich auf Schweizer Infrastruktur. Konkret bei Supabase mit Hosting in einem Schweizer Datacenter. Das umfasst:

  • Konfigurationsdaten Ihres Voice Assistants
  • Telefonnummer und Anschriftendaten der Anrufer
  • Transkripte aller Anrufe
  • Strukturierte Anliegen-Datensätze (Termine, Rückrufbitten, Anfragen)
  • Audit-Logs zur Datenverarbeitung

Transient in EU-Deutschland bedeutet: Während des Anrufs läuft die KI-Inferenz auf europäischen Servern in Deutschland — konkret bei Anbietern wie Google Cloud (Frankfurt) für Speech-to-Text und Gemini-Inferenz, sowie bei spezialisierten TTS-Providern in der EU. Diese Verarbeitung ist transient: Audio-Daten werden in Echtzeit transkribiert, das Sprachmodell antwortet, die Antwort wird zu Audio synthetisiert, und alle Zwischenstufen werden sofort verworfen. Es gibt keine persistente Speicherung von Audio bei diesen Verarbeitern.

Der entscheidende Punkt: Audio verlässt die Schweiz für die Echtzeit-Verarbeitung. Audio kommt aber nicht in der Schweiz oder anderswo persistent zur Ruhe. Das einzige persistent gespeicherte Resultat des Anrufs ist das Text-Transkript — und das liegt in der Schweiz.

Was passiert bei einem konkreten Anruf in 12 Sekunden?

Damit das nicht abstrakt bleibt, hier der Ablauf eines typischen Patienten-Anrufs in einer Schweizer Arztpraxis, mit Sekunden-Granularität.

T+0,0s — Anruf trifft ein Der Anrufer wählt die Praxis-Nummer. Über Telnyx (US-amerikanischer SIP-Provider mit DSGVO-konformer EU-Infrastruktur in Deutschland) wird die Verbindung zu fonea aufgebaut. Audio-Stream startet auf EU-Infrastruktur.

T+0,5s — KI-Hinweis (Pflicht nach Art. 19 revDSG) fonea spielt automatisch die Ansage ab: "Grüezi, Sie sprechen mit der digitalen Assistentin von [Praxis]." Diese Ansage ist nach revDSG Pflicht und nicht deaktivierbar.

T+2,0s — Anrufer spricht Der Audio-Stream wird in Echtzeit zur Speech-to-Text-Engine in Frankfurt übermittelt. Dort entsteht Text. Audio wird nicht gespeichert.

T+3,5s — Sprachmodell-Inferenz Das transkribierte Anliegen wird zusammen mit dem System-Prompt an das Sprachmodell (Gemini Flash, läuft auf Google Cloud Frankfurt) gesendet. Das Modell generiert die Antwort.

T+5,0s — Text-to-Speech Die Antwort wird in Audio synthetisiert (TTS-Provider in EU). Das Audio wird zurück über die Verbindung an den Anrufer gestreamt.

T+5,5s — Anrufer hört Antwort Die Antwort kommt beim Anrufer an. Lippensynchron zur Sprache eines menschlichen Gesprächs.

T+8,0s bis T+~120s — Dialog Der Dialog wechselt sich ab. Pro Runde die Schritte T+2,0s bis T+5,5s. Audio fliesst kontinuierlich, wird aber nirgendwo persistent gespeichert.

T+125s — Anruf endet Der Anrufer legt auf. Audio-Verbindung wird geschlossen.

T+126s — Persistente Speicherung in der Schweiz fonea speichert in Supabase Schweiz: das vollständige Transkript, eine strukturierte Zusammenfassung, das strukturierte Anliegen (Termin / Rezeptanfrage / Notfall), Telefonnummer des Anrufers, Zeitstempel. Audio wird nicht gespeichert — es existiert nicht mehr.

Dieser Ablauf ist rechtlich entscheidend, weil er klar trennt: Was unter Schweizer Datenhoheit liegt (Transkripte, strukturierte Daten, Identitätsdaten) und was nur als Verarbeitungsschicht im EU-Ausland transient durchläuft (Audio-Streams, Modell-Inferenz).

Was sagt das revidierte DSG dazu?

Das revidierte Datenschutzgesetz (revDSG), in Kraft seit 1. September 2023, behandelt grenzüberschreitende Datenbearbeitung in Art. 16 revDSG. Drei Punkte sind entscheidend.

Erstens: Datenexport in Länder mit angemessenem Schutz ist zulässig. Die Schweiz akzeptiert den EU/EWR-Raum als angemessen — der Bundesrat hat dies in der Verordnung zum revDSG bestätigt. Verarbeitung in Deutschland ist datenschutzrechtlich der Verarbeitung in der Schweiz gleichgestellt, sofern der Verarbeiter DSGVO-konform agiert.

Zweitens: Patientendaten und andere besonders schützenswerte Daten (Art. 5 lit. c revDSG) erfordern erhöhte Sorgfaltspflichten. Das gilt insbesondere für Gesundheitsdaten, Sozialhilfeakten, biometrische Daten, Daten über strafrechtliche Verfolgungen. Hier ist Datenschutz-Folgenabschätzung (DSFA) nach Art. 22 revDSG erforderlich. Wir liefern für Praxen, Kanzleien und Treuhänder DSFA-Vorlagen.

Drittens: KI-Offenlegung nach Art. 19 revDSG. Wenn personenbezogene Daten durch automatisierte Einzelentscheidungen oder durch ein KI-System verarbeitet werden, muss die betroffene Person informiert werden. fonea spielt diese Offenlegung am Beginn jedes Anrufs ab und kann sie nicht deaktivieren.

Was bedeutet das praktisch?

Sie als Datenverantwortliche (Verantwortlicher im Sinne des revDSG) bleiben für die Datenverarbeitung verantwortlich. Aber Sie können sich auf die Verarbeiter-Kette stützen, wenn:

  • Persistente Daten in der Schweiz liegen (als zusätzliche Sicherheit, nicht zwingend gefordert).
  • Transiente Verarbeitung in einem Land mit angemessenem Schutz (EU) erfolgt.
  • Die Verarbeiter-Beziehung durch einen Auftragsdatenbearbeitungsvertrag (Data Processing Agreement, DPA) geregelt ist.
  • Bei besonders schützenswerten Daten eine DSFA durchgeführt wurde.
  • Die Anrufer über die KI-Verarbeitung informiert werden (Art. 19 revDSG).

Genau diese fünf Punkte erfüllt fonea per Default oder mit standardmässig verfügbaren Vorlagen.

Was ist mit der DSGVO?

Viele Schweizer KMU haben Kunden in der EU oder beschäftigen Mitarbeitende mit Wohnsitz in DE/AT/IT/FR. Damit gilt zusätzlich zum revDSG die EU-DSGVO. Die wichtigsten DSGVO-Punkte für KI-Telefonassistenten:

Auftragsdatenbearbeitung (Art. 28 DSGVO) — fonea liefert standardmässig einen DPA, der den Anforderungen aus Art. 28 entspricht. Erweiterte Klauseln (z. B. für Pharma-Mandate, Anwaltsgeheimnis, Patientendaten in Spitalumfeld) sind auf Anfrage verfügbar.

Aufzeichnung der Verarbeitungstätigkeiten (Art. 30 DSGVO) — wir stellen Ihnen die für Ihr Verzeichnis benötigten Angaben bereit: Kategorien betroffener Personen (Anrufer), Datenarten (Telefonnummer, Transkripte), Empfänger (Sub-Verarbeiter), Übermittlungen ins Ausland, Speicherdauer.

Recht auf Auskunft, Berichtigung, Löschung (Art. 15-17 DSGVO) — über das fonea-Dashboard können Sie auf Anfragen Ihrer Anrufer reagieren: Transkripte einsehen, korrigieren, löschen.

Datenschutz-Folgenabschätzung bei hohem Risiko (Art. 35 DSGVO) — KI-Verarbeitung bei besonders schützenswerten Daten (Gesundheit, Anwaltsgeheimnis) erfordert eine DSFA. Wir liefern die Vorlage; die Durchführung führen Sie als Verantwortliche durch.

Welche Sub-Verarbeiter sind beteiligt?

Transparenz über die Verarbeiter-Kette ist Pflicht. fonea nutzt folgende Hauptdienste:

FunktionVerarbeiterStandortDatentyp
Persistente SpeicherungSupabaseSchweizTranskripte, Konfiguration, Identitätsdaten
Telefonie / SIPTelnyxEU (DE)Transienter Audio-Stream
Speech-to-TextGoogle CloudFrankfurt (DE)Transienter Audio → Text (sofort verworfen)
Sprachmodell-InferenzGoogle (Gemini)EU (DE)Transienter Text → Antwort-Text
Text-to-SpeechEU-TTS-ProviderEUTransienter Text → Audio
Audit-LogsSupabaseSchweizWer hat wann was abgerufen
E-Mail-VersandResendEUBestätigungen, Benachrichtigungen

Die vollständige Liste mit DPA-Status, Verarbeitungsorten und Speicherfristen finden Sie in unseren Subprocessors. Diese Liste ist Vertragsbestandteil und wird mit 30-Tage-Vorlauf aktualisiert.

Was ist mit Voice-ID und Biometrie?

Eine Frage, die wir häufig bekommen: "Speichert fonea Stimmprofile? Erstellt ihr eine Voice-ID, anhand derer Anrufer wieder identifiziert werden?"

Antwort: Nein. fonea erstellt keine Voice-Profile, keine Voice-ID, keine biometrischen Stimmkennungen. Die Audio-Verarbeitung dient ausschliesslich der Echtzeit-Transkription und wird nach dem Anruf verworfen. Wiedererkennung von Anrufern erfolgt — wenn überhaupt — über die Telefonnummer, nicht über Stimmcharakteristika.

Das ist eine bewusste Design-Entscheidung. Biometrische Daten gelten unter revDSG als besonders schützenswert. Wir vermeiden ihre Erstellung von vornherein, um die Compliance-Anforderungen für unsere Kunden zu vereinfachen.

fonea ausprobieren: fonea ist DSG- und DSGVO-konform mit Schweizer Datenhaltung — testen Sie 30 Tage risikolos. Jetzt starten

Die häufigsten Compliance-Fragen — direkt beantwortet

Frage: "Verlässt die Patientenstimme bei fonea die Schweiz?"

Antwort: Ja, der Audio-Stream wird transient in Deutschland verarbeitet. Aber: Audio wird nicht persistent gespeichert. Die Transkripte und alle persistenten Daten bleiben in der Schweiz. Diese Architektur ist nach revDSG (Art. 16) zulässig und entspricht dem branchenüblichen Standard für moderne Cloud-KI-Anwendungen.

Frage: "Ist das mit dem Anwaltsgeheimnis (Art. 13 BGFA) vereinbar?"

Antwort: Ja, mit drei Bedingungen. Erstens: fonea gibt keine Rechtsberatung — das BGFA-relevante Mandatsverhältnis bleibt zwischen Anwalt und Mandant. Zweitens: Datenhaltung in der Schweiz für Transkripte und strukturierte Daten reduziert das Risiko ausländischer Zugriffsanfragen. Drittens: Erweiterte DPA-Klauseln auf Anfrage, die spezifisch das BGFA-relevante Geheimhaltungsinteresse adressieren.

Frage: "Was passiert, wenn ich Daten löschen muss (Auskunfts- oder Löschbegehren des Anrufers)?"

Antwort: Im fonea-Dashboard können Sie alle Anrufdaten eines bestimmten Anrufers (über Telefonnummer) einsehen und löschen. Die Löschung umfasst: Transkripte, strukturierte Anliegen, Identitätsdaten. Audit-Logs zur Löschung werden gemäss revDSG-Vorgaben aufbewahrt.

Frage: "Was ist mit dem CLOUD Act? Kann die US-Regierung auf Daten zugreifen, weil Sub-Verarbeiter wie Google involviert sind?"

Antwort: Theoretisch könnte der CLOUD Act US-Behörden Zugriff auf Daten ermöglichen, die bei US-Cloud-Anbietern (auch in deren EU-Niederlassungen) gespeichert sind. Da fonea persistente Daten nicht bei US-Anbietern, sondern bei Supabase mit Schweizer Hosting speichert, ist dieses Risiko minimiert. Für die transiente Verarbeitung über Google-EU bleibt ein theoretisches Restrisiko, das in der EU-Rechtsdiskussion seit Jahren debattiert wird. Konkrete Zugriffsanfragen für Voice-Inferenz-Daten sind uns nicht bekannt — das Datenvolumen ist gering und das Material wird nicht persistent gespeichert.

Frage: "Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?"

Antwort: Bei Verarbeitung besonders schützenswerter Daten (Patientendaten, Sozialhilfedaten, biometrische Daten, Daten über strafrechtliche Verfolgungen) ist eine DSFA nach Art. 22 revDSG erforderlich. Für Standard-Geschäftsanrufe ohne Gesundheits- oder Strafrechtsbezug ist sie nicht zwingend, aber empfehlenswert. Wir liefern Vorlagen.

Frage: "Was ist mit dem EU AI Act?"

Antwort: Der EU AI Act (in Kraft seit August 2024) klassifiziert KI-Systeme nach Risiko. Ein KI-Telefonassistent für Standard-Geschäftsanrufe fällt nicht unter "Hochrisiko-Systeme" gemäss Anhang III des EU AI Act. Die Hauptpflicht ist Transparenz (Art. 52): Nutzer müssen wissen, dass sie mit KI sprechen. Genau dies erfüllt der fonea-Pflichthinweis am Anrufbeginn. Mehr dazu im Beitrag Was bedeutet der EU AI Act für Schweizer KMU?.

So verlangen Sie ein DPA und Compliance-Dokumentation

Wenn Sie fonea einsetzen möchten, brauchen Sie für Ihr internes Datenschutz-Verzeichnis und für eine allfällige DSFA folgende Dokumente:

1. Auftragsdatenbearbeitungsvertrag (DPA) — Standard-DPA per Klick im Dashboard verfügbar; erweiterte DPA für Pharma/Anwaltsgeheimnis/Spital-Umfeld auf Anfrage. 2. Subprocessor-Liste — aktuell unter www.fonea.ch/subprocessors. 3. Hosting-Statement — schriftliche Bestätigung, welche persistenten Daten in welchem Land liegen. 4. DSFA-Vorlage — für Praxen, Kanzleien, Treuhandbüros vorbereitet. 5. Audit-Bericht (auf Anfrage) — bei Bedarf liefern wir Audit-Berichte zur Infrastruktur.

Senden Sie eine E-Mail an support@fonea.ch mit der gewünschten Dokumentation; in der Regel erhalten Sie alles innerhalb eines Werktags.

Key Takeaways

  • Persistente Daten liegen in der Schweiz. Transkripte, Konfiguration, Anrufer-Identitäten — alles auf Schweizer Hosting bei Supabase.
  • Transiente Verarbeitung läuft in EU-Deutschland. Audio-Streams werden in Frankfurt/Berlin in Echtzeit verarbeitet und sofort verworfen — nicht persistent gespeichert.
  • Diese Architektur ist nach revDSG (Art. 16) zulässig — die EU gilt als Land mit angemessenem Datenschutzniveau.
  • DSGVO-konform per Default — Standard-DPA, Subprocessor-Liste, Recht-auf-Auskunft im Dashboard.
  • Keine Voice-ID, keine Biometrie — wir erstellen keine Stimmprofile.
  • EDÖB-konforme KI-Offenlegung — am Beginn jedes Anrufs, nicht deaktivierbar.
  • DSFA-Vorlagen verfügbar für besonders schützenswerte Daten (Praxen, Kanzleien).
  • Erweiterte DPA-Klauseln auf Anfrage für Pharma, Anwaltsgeheimnis, Spital-Umfeld.

Wer mehr Tiefe will: DSG/FADP-konformes Telefonieren mit KI in der Schweiz und der allgemeine Datenschutz-Leitfaden zum KI-Telefon sind die nächsten Stationen.

Wer es konkret machen will: 30 Tage Geld-zurück-Garantie testen.

datenschutzrevdsgfadphostingschweizdsgvocomplianceki-telefonassistent

Nie wieder einen Anruf verpassen

fonea beantwortet Ihre Anrufe 24/7 in allen Schweizer Landessprachen. Ab CHF 90/Monat.

Jetzt starten

30 Tage Geld-zurück-Garantie. Monatlich kündbar.