EN Login
T2-C20-04 tactics

Voice-Cloning und Datenschutz — DSGVO-Lage bei KI-Stimmen 2026

Voice-Cloning-Tools (ElevenLabs, OpenAI Voice, andere) ermöglichen 2026 hochwertige synthetische Reproduktion einer menschlichen Stimme. Für Mandatsträger-Pipelines stellen sich mehrere Datenschutz-Fragen: ist die Stimme ein personenbezogenes Datum? Welche Lawful-Basis greift? Welche Einwilligungs-Pflichten bestehen? Welche Provider sind 2026 DSGVO-konform?

Voice-Cloning-Tools wie ElevenLabs ermöglichen 2026 hochwertige synthetische Reproduktion einer menschlichen Stimme. Für Mandatsträger-Pipelines stellen sich mehrere Datenschutz-Fragen. Erstens: die menschliche Stimme ist nach EDPB-Auslegung typisch ein biometrisches Datum im Sinne von Art. 9 DSGVO.[1] Zweitens: für synthetische Reproduktion einer fremden Stimme ist regelmäßig Einwilligung erforderlich. Drittens: Provider-Wahl und Datenfluss sind compliance-zentral.

Was hier untersucht wird

Dieser Tiefe-2-Artikel zerlegt die DSGVO-Frage für Voice-Cloning in Mandatsträger-Pipelines. Die Tiefe-1-Architektur in T1-C13 — Voice-Cloning hat die technische Ebene beschrieben. Hier wird die Datenschutz-Schicht detailliert.

Stimme als biometrisches Datum

Die menschliche Stimme erfüllt typisch die DSGVO-Definition biometrischer Daten — eindeutig identifizierende körperliche oder verhaltensbezogene Merkmale (Art. 4 Nr. 14 DSGVO).

Wenn die Stimme zur Identifikation einer Person genutzt wird (z.B. Sprach-Erkennungs-Systeme), greift Art. 9 DSGVO direkt. Für Voice-Cloning ist die Anwendung von Art. 9 in der Rechtsprechung 2026 nicht restlos geklärt, aber die EDPB-Tendenz neigt zur Art.-9-Anwendung auf biometrische Stimm-Klone.[1]

Die drei Anwendungs-Szenarien

Szenario eins: Mandatsträger klont eigene Stimme. Eigene biometrische Daten, Einwilligung implizit. Compliance-Hürde am niedrigsten. Anwendung: Voice-Über für Cuts, Podcast-Erweiterungen, mehrsprachige Versionen.

Szenario zwei: Mandatsträger klont Mitarbeiter-Stimme. Personalpauschale-Mitarbeiter mit Einwilligung. AVV mit Provider plus dokumentierte Einwilligung des Mitarbeiters. Compliance-Pfad möglich, aber arbeitsvertragliche Klärung erforderlich.

Szenario drei: Mandatsträger klont fremde Stimme (politischer Gegner, Persönlichkeit des öffentlichen Lebens). DSGVO-rechtlich grundsätzlich verboten ohne Einwilligung. Plus: §22 KUG (Recht am eigenen Bild — auch Stimme analog), Persönlichkeitsrechts-Verletzung, EU-AI-Act Art. 50 Disclosure-Pflicht. Strafrechtliche Relevanz möglich (§§185, 187, 188 StGB bei verleumderischer Verwendung).

Szenario drei ist 2026 für deutsche Mandatsträger-Pipelines ein No-Go. Auch satirische Verwendung ist heikel.

Provider-Wahl 2026

ElevenLabs: marktführend, mit Enterprise-AVV verfügbar. EU-Hosting-Option in 2026 verfügbar, aber noch nicht Standard. AVV erforderlich für jeglichen kommerziellen Einsatz.

OpenAI Voice: technisch verfügbar, Compliance-Pfad weniger etabliert als ElevenLabs. AVV via OpenAI-DPA.

Self-Hosted Open-Source Modelle (Coqui, MaryTTS, Mozilla TTS-Nachfolger): Datenhoheit vollständig. Geringere Qualität als ElevenLabs Enterprise.

Compliance-Pflichten 2026

Drei Pflichten als Mindest-Compliance.

Pflicht eins: AVV bei externem Provider. Wie bei jeder KI-Tool-Nutzung (siehe T2-C20-02).

Pflicht zwei: Einwilligung bei jedem Stimm-Subjekt. Bei eigener Stimme: implizit. Bei Mitarbeiter-Stimme: schriftliche Einwilligung. Bei fremder Stimme: gar nicht.

Pflicht drei: EU-AI-Act-Disclosure ab 2.8.2026. Voice-Cloning-Outputs sind KI-Inhalte im Sinne Art. 50 EU AI Act. Disclosure-Pflicht: sichtbare Kennzeichnung im Cut.

Operative Konsequenzen

Drei priorisierte Empfehlungen.

Priorität A: Voice-Cloning-Strategie schriftlich fixieren. Welche Stimmen werden geklont? Welche Provider? Welche Use-Cases? Aufwand: zwei Stunden Konzept plus Datenschutz-Beauftragten-Konsultation.

Priorität B: Einwilligungs-Routine etablieren. Pro geklonte Stimme: schriftliche Dokumentation der Einwilligung.

Priorität C: Disclosure-Workflow für Voice-Cloning-Outputs. Cut-Kennzeichnung bei KI-Voice-Komponenten.

Empfehlungen mit Priorität

Priorität A: Voice-Cloning-Strategie schriftlich. — Priorität B: Einwilligungs-Dokumentation. — Priorität C: Disclosure-Workflow.

Status-Hinweis

Stand 19.05.2026: Pre-Launch-Compliance-Review abgeschlossen. Bei konkretem Anwendungs- oder Streitfall ist die Konsultation eines spezialisierten Fachanwalts weiterhin empfohlen. Die DSGVO-Auslegung zu Voice-Cloning ist 2026 in der Entwicklung. EDPB-Opinions und nationale DPA-Stellungnahmen sollten quartalsweise nachverfolgt werden.

Wo das hingehört

Tiefe-1 DSGVO und KI: T1-C20. Voice-Cloning-Tiefe-1: T1-C13. KI-Auftragsverarbeitung: T2-C20-02. EU-AI-Act-Disclosure: T2-C19-01.

Codex AI-Automation Sektion 13.

Quellen

  1. EDPB, Guidelines on Biometric Data and Voice Recognition Systems, Permalink, Abruf 18.05.2026.

  2. DSGVO, Art. 4 Nr. 14 — Definition biometrischer Daten, Permalink, Abruf 18.05.2026.

  3. ElevenLabs, Data Processing Agreement and Enterprise Compliance, Permalink, Abruf 18.05.2026.

  4. Kunsturhebergesetz (KUG), §22 — Recht am eigenen Bild, Permalink, Abruf 18.05.2026.

Verwandte Knoten
T1-C20 T1-C13 T2-C20-02