Wer sollte diese Checkliste verwenden?

Head of IT, CIO, CTO, IT-Compliance-Verantwortliche und Procurement in DACH-Unternehmen, die einen Voice-AI-Anbieter evaluieren oder einen bestehenden Vertrag prüfen wollen. Die Checkliste ist als Procurement-Anhang gedacht — eine Seite, weiterleitbar.

Reicht ein DSGVO-Häkchen im Anbieter-Dashboard als Compliance-Nachweis?

Nein. Das DSGVO-Häkchen bestätigt einen Auftragsverarbeitungsvertrag und EU-Region. NIS2 §30 verlangt zusätzlich Subprocessor-Kontrolle, Routing-Beweis und Modellversionierung. Keine dieser drei Eigenschaften lässt sich per Dashboard-Häkchen verifizieren.

Wie oft ändern Voice-AI-Anbieter ihre Subprocessor-Liste typischerweise?

Hosted SaaS-Anbieter aktualisieren ihre Subprocessor-Anhänge im Schnitt monatlich. Die meisten benachrichtigen über Newsletter oder Status-Seite, ohne aktive Bestätigungspflicht. NIS2 §30 erwartet, dass die Geschäftsleitung diese Änderungen vorab prüfen kann — nicht nachträglich erfährt.

Was kostet eine Self-Hosted-Voice-AI-Bereitstellung im Vergleich zu SaaS?

Eine produktionsreife Self-Hosted-Variante auf einem dedizierten EU-GPU-Knoten kostet zwischen 800 und 2.500 Euro pro Monat (Hardware + Betrieb), je nach Auslastung. Hosted SaaS skaliert linear mit Anrufminuten und kippt typischerweise oberhalb von 50.000 Minuten/Monat zugunsten Self-Hosting.

Welche Voice-AI-Orchestrierung kann ich mit dieser Checkliste evaluieren?

Die Checkliste ist anbieter-neutral. Sie funktioniert für Parloa, Cognigy, Vapi, Retell, Bland.ai, ElevenLabs Agents und die hosted Variante von Dograh genauso wie für jede selbst betriebene Lösung. Self-Hosting verschiebt nur, wo die Kontroll-Antworten herkommen — nicht, dass Sie sie geben müssen.

Wann muss ich die Checkliste anwenden — vor oder nach Vertragsunterzeichnung?

Vor Vertragsunterzeichnung als Procurement-Gate. NIS2 §30 macht die Geschäftsleitung persönlich für die Risikomanagement-Maßnahmen verantwortlich. Eine Audit-Lücke, die nach Vertragsschluss entdeckt wird, ist Ihre Haftung — nicht die des Anbieters.

Voice-AI-Anbieter-Audit-Checkliste für DACH-IT-Verantwortliche

Letzter Stand: Mai 2026.

Was diese Checkliste leistet

Sie ist ein Procurement-Anhang. Sieben Audit-Kategorien, jede mit zwei bis drei konkreten Fragen, die ein Voice-AI-Anbieter schriftlich beantworten können muss, bevor Sie unterzeichnen. Wer drei der sieben Kategorien nicht sauber beantworten kann, scheidet aus. Wer sechs von sieben beantwortet, ist verhandelbar. Die Kontrolle, die Sie hier nicht bekommen, müssen Sie später durch Self-Hosting oder eine kundeneigene VPC selbst herstellen.

TL;DR — Audit-Score

Kategorie	Mindestpunktzahl	Worauf Sie achten
1. Datenresidenz und Routing	2/2	Schriftlicher Beweis, welcher Datenpfad wo terminiert
2. Subprocessor-Kontrolle	2/2	Vorabankündigung mit Widerspruchsrecht
3. Modellversionierung	1/2	Mindestens Audit-Log pro Anruf
4. Audio-Speicherung	2/2	Löschpflicht und EU-Region klar geregelt
5. Wechselfähigkeit	2/2	Export-Format dokumentiert, max. 6 Wochen Migration
6. NIS2-Lieferketten-Belege	1/2	Anbieter liefert TOM-Bericht jährlich
7. SLA und Incident-Pflichten	2/2	24h-Frühwarnungskette im AVV verankert
Gesamt	12/14	unter 10 = nicht NIS2-tauglich

1. Datenresidenz und Routing

In welchem EU-Land terminiert STT (Speech-to-Text)? Wo läuft die LLM-Inferenz? Wo wird TTS (Text-to-Speech) generiert? Bitte mit Rechenzentrums-Namen, nicht “EU region”.
Wird Audio während der Übertragung in eine US-Cloud (z. B. AWS us-east, Azure West US) geroutet? Auch transient?
Wie weisen Sie Routing-Pfade pro Session nach, falls die Aufsicht es verlangt?

2. Subprocessor-Kontrolle

Listen Sie alle aktuellen Subprocessoren mit Rechtsform, Sitz und Funktion auf.
Welche Vorlaufzeit (in Wochen) erhält der Kunde bei Subprocessor-Wechsel? Schriftlich?
Hat der Kunde ein vertragliches Widerspruchsrecht? Was passiert, wenn er widerspricht?

3. Modellversionierung

Welche Modellversionen (STT, LLM, TTS) waren am 1. April 2026 in Produktion? Logbar pro Anruf?
Bei Modellwechsel: Wird die alte Version mindestens 90 Tage parallel betrieben für Reproduzierbarkeit von Audit-Anrufen?
Können Sie auf Anfrage die exakte Modellversion für einen bestimmten historischen Anruf nennen?

4. Audio-Speicherung und Löschung

Wie lange werden Audio-Rohdaten und Transkripte gespeichert?
In welchem Land liegen die Backups?
Wie wird das DSGVO-Recht auf Löschung (Art. 17) operationalisiert? Innerhalb welcher Frist?

5. Wechselfähigkeit

In welchem Format können Konfigurationen (Prompts, Workflows, Stimmen-Profile) exportiert werden?
Wie lange dauert eine vollständige Migration zu einem Wettbewerber oder zu Self-Hosting realistisch?
Werden API-Aufrufe an OpenAI-kompatible Endpunkte angeboten, oder ist die API anbieter-proprietär?

6. NIS2-Lieferketten-Belege

Stellen Sie einen jährlichen Bericht über technische und organisatorische Maßnahmen (Art. 32 DSGVO) bereit?
Liefern Sie ein SOC-2-Typ-II- oder ISO-27001-Zertifikat? Welche Geltung (Anbieter, alle Subprocessoren)?
Wie unterstützen Sie die kundeneigene NIS2-Risikomanagement-Dokumentation nach §30?

7. SLA und Incident-Pflichten

Welche Verfügbarkeits-SLA gilt? Welche Kompensation bei Verfehlung?
Wie ist die 24-Stunden-Frühwarnungs-Kette nach NIS2 §29 vertraglich verankert?
Wer eskaliert wann an wen, wenn der Anbieter selbst betroffen ist?

Wann Self-Hosting der schnellere Pfad ist

Wenn Ihr Anbieter weniger als 10 von 14 Punkten erreicht, kostet die Verhandlung der Nachträge typischerweise mehr Zeit als der Aufbau einer eigenen Self-Hosted-Variante. Das ist keine Theorie. Die Case Study zu einer produktionsreifen Self-Hosted-Bereitstellung zeigt einen Bauplan mit gemessenen 0,54 Sekunden Warmpfad-Latenz, OpenAI-kompatiblen Endpunkten und einem Runbook für die Migration in eine kundeneigene VPC.

Die hintergründige Logik steht im Begleitartikel zur NIS2-Frage.

Changelog

2026-05-21: Erstveröffentlichung. Sieben Kategorien, 14 Punkte, Mindest-Schwelle 12/14.