ElevenLabs AVV: Ja, mit EU Data Residency

Koennen Unternehmen ElevenLabs in Deutschland rechtssicher nutzen?

Teilweise ja, aber nur nach einer strukturierten DSGVO-Pruefung. Unternehmen sollten den ElevenLabs-AVV beziehungsweise die DPA, das Transfermodell, den Umfang der EU Data Residency, Retention-Kontrollen und den konkreten Einsatz von Kunden-, Mitarbeiter- oder Sprachdaten sauber pruefen.

• ElevenLabs stellt oeffentlich eine DPA bereit, trotzdem muessen Rollenverteilung, Subprozessoren und Datenfluesse konkret geprueft werden.
• EU Data Residency hilft, bedeutet aber nicht automatisch EU-only-Verarbeitung fuer Support- oder Sicherheitsvorgaenge.
• Text-to-Speech ist meist leichter vertretbar als Call-Recording, Voice Cloning, Mitarbeiterbezug oder Identifizierung per Stimme.

ElevenLabs DSGVO ist fuer deutsche Beschaffungsteams meist keine abstrakte Frage. In der Praxis geht es darum, ob ElevenLabs fuer Text-to-Speech, Dubbing, Kundenservice oder interne Schulungen eingesetzt werden kann, ohne unnoetige Datenschutz-, Arbeitsrechts- oder AI-Act-Risiken zu erzeugen. Die DPA ist direkt abrufbar unter elevenlabs.io/dpa und gilt fuer alle bezahlten Tarife. Stand 3. April 2026 bietet ElevenLabs oeffentlich eine DPA, Transfermechanismen, European Data Residency und fuer bestimmte API-Workflows einen Zero Retention Mode an. Das bedeutet aber nicht, dass jeder ElevenLabs-Einsatz automatisch tragfaehig ist. Massgeblich sind Vertragsweg, Datenarten und der konkrete Use Case.

Best fit / nicht fit

Best fit: freigegebene Marketing-Voiceovers, Produktnarration, risikoaermere interne Trainingsinhalte oder Kundenkommunikation mit redigierten Daten, geprueftem AVV und sauberer Transferdokumentation.

Vertiefte Pruefung noetig: Support-Anrufe, Sales-Call-Aufzeichnungen, Voice Cloning, Mitarbeiteraufnahmen und groessere Mengen identifizierbarer Sprachdaten.

Regelmaessig nicht ohne Sonderpruefung: Stimmauthentifizierung, Profiling, verdeckte Ueberwachung, HR-Entscheidungen oder die Verarbeitung besonderer Kategorien personenbezogener Daten.

Diese Seite bietet allgemeine Informationen und keine Rechtsberatung fuer einen Einzelfall. Wenn Sie eine groessere Voice-AI-Landschaft bewerten, helfen auch unsere Leitfaeden zu KI-Sprachassistenten, KI-Kundenservice, Whisper und der OpenAI API.

ElevenLabs AVV: So greifen Sie auf die DPA zu

ElevenLabs stellt seinen Auftragsverarbeitungsvertrag (DPA) oeffentlich bereit — abrufbar unter elevenlabs.io/dpa, ohne Account oder Enterprise-Plan. Die DPA gilt fuer alle bezahlten Tarife und kann direkt heruntergeladen werden. Weitere Unterlagen wie die Subprozessorenliste und Pruefberichte finden Sie im Trust Center unter compliance.elevenlabs.io.

Die DPA regelt die Rolle von ElevenLabs als Auftragsverarbeiter nach Art. 28 DSGVO, Standardvertragsklauseln (SCCs) fuer Datenuebermittlungen in die USA, Subprozessorenpflichten, Aufbewahrungsfristen und Unterstuetzungspflichten bei der DSFA. Wichtig: EU Data Residency ist ein separates Tarifmerkmal — die DPA allein garantiert keine EU-only-Verarbeitung fuer alle Workflows.

Was Sie in der ElevenLabs DPA pruefen muessen

Nach dem Download der DPA sind dies die zentralen Pruefpunkte fuer deutsche Unternehmen:

• Rollenverteilung: Klaeren Sie, welche Verarbeitungsvorgaenge wirklich als reine Auftragsverarbeitung eingestuft werden — Text-to-Speech und Voice Cloning koennen unterschiedlich behandelt werden.
• Subprozessorenliste: Pruefen Sie, ob Fine-Tuning-Partner oder Moderationsdienstleister aufgefuehrt sind und ob der Widerspruchsprozess praxistauglich ist.
• Umfang der EU Data Residency: Klaeren Sie, welche Verarbeitungsvorgaenge unter die EU-Einstellung fallen und bei welchen trotzdem grenzueberschreitende Zugriffe moeglich sind — insbesondere Support und Moderation.
• Zero Retention Mode: Nur in hoeheren API-Tarifen verfuegbar — vor der Nutzung als Datenschutzmassnahme konkret verifizieren.
• Aufbewahrungsfristen: Sprachaufnahmen und generierter Audio koennen unterschiedliche Fristen haben — Defaults und Loeschtrigger klaeren.
• Besondere Kategorien personenbezogener Daten: Jeder Use Case mit Stimmidentifizierung, Biometrie oder sensiblen Kontexten erfordert eine eigene Rechtsgrundlage jenseits der DPA.

Ist ElevenLabs DSGVO-konform?

Fuer Unternehmen in Deutschland lautet die bessere Frage nicht, ob ElevenLabs “an sich” DSGVO-konform ist. Entscheidend ist, ob Ihr geplanter ElevenLabs-Einsatz datenschutzrechtlich tragfaehig ist.

Typische Kernfragen sind:

1. Handelt ElevenLabs als Auftragsverarbeiter im Sinne von Art. 28 DSGVO, oder gibt es auch eigenverantwortliche Verarbeitungselemente?
2. Welche Daten werden eingegeben: reine Skripttexte, Kundenanrufe, Mitarbeiteraufnahmen, geklonte Stimmen oder sensible Inhalte?
3. Entsteht trotz EU Data Residency ein Drittlandthema nach Kapitel V DSGVO?
4. Welche Retention-, Loesch- und Trainingseinstellungen gelten fuer genau den gewaehlten Produktpfad?
5. Kommen weitere Pflichten aus Arbeitsrecht, Geheimnisschutz oder EU AI Act hinzu?

Fuer risikoaermere Faelle kann ElevenLabs gut vertretbar sein. Dazu gehoeren oft:

• Sprachausgabe auf Basis freigegebener, nicht sensibler Skripte
• Produktdemos und Barrierefreiheits-Narration
• interne Schulungen mit synthetischen Stimmen
• begrenzte Kundenkommunikation mit klaren Offenlegungen und menschlicher Kontrolle

Strenger wird die Bewertung insbesondere bei:

• aufgezeichneten Support-Gespraechen
• Sales-Calls mit Freitext und identifizierbaren Personen
• Mitarbeiterstimmen oder Leistungsbezug
• realistischem Voice Cloning identifizierbarer Personen
• sensiblen Branchen wie Gesundheit, Versicherung oder Arbeitsverhaeltnissen

Nicht der Anbietername allein entscheidet also ueber die Rechtslage, sondern die Kombination aus Sprachdaten, Aufbewahrung, Transfers und konkretem Einsatz.

Gibt es einen AVV / DPA und was ist rechtlich zu pruefen?

Ja. ElevenLabs stellt oeffentlich eine Data Processing Addendum (DPA) bereit. Dort wird beschrieben, dass die DPA greift, soweit ElevenLabs personenbezogene Kundendaten als Auftragsverarbeiter verarbeitet. Die DPA enthaelt zudem Regelungen zu Subprozessoren, Audits, SCCs und Unterstuetzung bei Datenschutz-Folgenabschaetzungen.

Das ist ein sinnvoller Ausgangspunkt, ersetzt aber keine eigene Vertragspruefung. Legal- und Privacy-Teams sollten mindestens folgende Punkte kontrollieren:

Thema	Warum es relevant ist	Was Sie pruefen sollten
Rollenverteilung	Die DSGVO-Folgen unterscheiden sich je nach Rolle des Anbieters	DPA, Produktbedingungen und realen Workflow zusammen lesen
Art.-28-Inhalt	Ein AVV ist nur hilfreich, wenn die Klauseln auch tragen	Weisungen, Loeschung, Vertraulichkeit, Audits und Unterstuetzung pruefen
Subprozessoren	Voice-AI-Workflows haengen oft an Cloud- und Supportanbietern	Subprozessorenliste und Widerspruchsprozess nachvollziehen
Drittlandtransfer	Auch mit Residency-Einstellungen koennen Transfers relevant bleiben	SCCs, DPF-Bezug und Zusatzmassnahmen dokumentieren
Aufbewahrung und Loeschung	Sprachdaten werden in Projekten schnell laenger behalten als geplant	Default-Fristen, Loeschtrigger, Backups und Logs klaeren

Die oeffentliche ElevenLabs-DPA stellt zudem klar, dass der Kunde erforderliche Informationen und gegebenenfalls Einwilligungen gegenueber Betroffenen selbst sicherstellen muss. Gerade bei Kunden- oder Mitarbeiteraufnahmen ist das wichtig. Transparenz, Rechtsgrundlage und Hinweistext koennen nicht einfach auf den Anbieter ausgelagert werden.

Fuer deutsche Unternehmen sind regelmaessig drei Fragen ausschlaggebend:

1. Reicht die DPA beziehungsweise der AVV fuer den konkreten ElevenLabs-Setup?
2. Ist das Transfermodell fuer die vorgesehenen Datenarten tragfaehig?
3. Verbieten interne Regeln bestimmte Inhalte trotzdem, obwohl der Vertrag formal ausreicht?

EU-Datenspeicherung und Drittlandtransfer

ElevenLabs hat European Data Residency angekuendigt und verweist in seiner DPA auf Angemessenheitsbeschluesse, das EU-U.S. Data Privacy Framework und SCCs, soweit einschlaegig. Das ist fuer deutsche Beschaffungsteams hilfreich, weil damit mehr Struktur vorliegt als bei einer pauschal US-zentrierten SaaS-Loesung.

Trotzdem sollte “EU Data Residency” nie mit “kein Drittlandrisiko” gleichgesetzt werden.

Dafuer sprechen mehrere praktische Punkte:

• die oeffentliche Privacy-Dokumentation nennt weiterhin Cloud- und Supportbezug ausserhalb des EWR
• die DPA arbeitet selbst mit DPF und SCCs, wenn Transfers relevant sind
• in der DPA ist beschrieben, dass das Moderationsteam ausserhalb der Data-Residency-Region auf Daten zugreifen kann, um Richtlinien durchzusetzen

Deshalb lautet die entscheidende Beschaffungsfrage:

Welche Daten bleiben wirklich in der EU und welche Zugriffe, Logs oder Supportprozesse koennen trotzdem ausserhalb des EWR stattfinden?

Vor dem Rollout sollten Sie sich diese Punkte schriftlich bestaetigen lassen:

• wo Audio, Text und erzeugte Outputs gespeichert werden
• ob Support- oder Moderationszugriffe ausserhalb des EWR moeglich sind
• welche Logs unter die Residency-Einstellung fallen
• welche Subprozessoren ausserhalb des EWR eingebunden sind
• welcher Transfermechanismus fuer verbleibende Extra-EWR-Verarbeitung gilt

Fuer Unternehmen mit besonders strenger Datenminimierung ist der Zero Retention Mode relevant. ElevenLabs beschreibt diesen Modus oeffentlich als Funktion nur fuer API-Requests, bei der Request- und Response-Inhalte nach Abschluss des API-Calls nicht gespeichert werden. Das kann das Risiko deutlich senken, ist aber keine universelle Einstellung fuer jede Benutzeroberflaeche oder jeden Produktbereich.

Sprachaufnahmen, biometrische Risiken und sensible Daten

Hier liegt fuer viele deutsche Unternehmen der eigentliche Knackpunkt.

Nach der DSGVO sind Sprachaufnahmen personenbezogene Daten, wenn sie sich auf identifizierte oder identifizierbare Personen beziehen. Sie sind aber nicht automatisch biometrische Daten im Sinne des Art. 9 DSGVO. Kritischer wird es typischerweise dann, wenn Stimme zur eindeutigen Identifizierung einer Person verarbeitet wird.

Deshalb ist zu unterscheiden zwischen:

• Sprachsynthese auf Basis freigegebener Texte
• Upload von Kunden- oder Mitarbeiteraufnahmen fuer Dubbing oder Transformation
• Nutzung von Stimmmerkmalen fuer Identifizierung, Authentifizierung oder Profiling

Vor allem die zweite und dritte Kategorie erfordern deutlich mehr Pruefung.

Use Case	Erste Risikoeinschaetzung	Warum
Marketing-Voiceover aus freigegebenem Skript	Eher niedrig	Wenig personenbezogene Daten, gut kontrollierbarer Inhalt
Produktnarration oder Barrierefreiheits-Voice	Eher niedrig	Regelmaessig beherrschbar mit Basis-Governance
Support-Call-Workflow mit Sprachgenerierung	Vertiefte Pruefung	Aufzeichnungen enthalten oft Identifikatoren, Beschwerden und Freitext
Mitarbeiterschulung mit echten Mitarbeiterstimmen	Vertiefte Pruefung	Arbeitsrecht, Persoenlichkeitsrechte und Freiwilligkeit sind heikel
Voice Cloning von Gruendern, Management oder Team	Vertiefte Pruefung	Identitaets- und Missbrauchsrisiken steigen
Stimmauthentifizierung oder Sprechererkennung	Ohne Sonderpruefung vermeiden	Biometrik- und Hochrisiko-Naehe steigt erheblich

Wenn Ihr Projekt Kundenanrufe, Sales-Calls oder Mitarbeiteraufnahmen betrifft, sollten Sie zusaetzlich pruefen, ob eine Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO erforderlich ist. Die ElevenLabs-DPA sagt, dass ElevenLabs dabei im erforderlichen Umfang unterstuetzt. Die Entscheidung, ob eine DSFA noetig ist, bleibt aber bei Ihnen.

In Deutschland koennen mitarbeiterbezogene Voice-AI-Systeme ausserdem Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG ausloesen, wenn Verhalten oder Leistung ueberwacht oder auswertbar werden.

Aufbewahrung, Training und Enterprise-Kontrollen

Fragen zu Aufbewahrung und Training sind bei ElevenLabs oft der eigentliche Freigabehebel.

ElevenLabs erklaert oeffentlich, dass Daten von Enterprise-Kunden standardmaessig nicht fuer das Training verwendet werden, soweit dies nicht zur Leistungserbringung erforderlich ist. Das ist fuer vertrauliche Unternehmens-Workflows ein relevanter Vorteil.

Trotzdem sollten Unternehmen genauer hinsehen und insbesondere pruefen:

• ob die Non-Training-Aussage fuer genau Ihren Tarif und Produktpfad gilt
• ob Audio, Prompts und Outputs unterschiedlichen Retention-Regeln folgen
• ob Account-Logs, Abuse-Monitoring oder Backups gesonderte Speicherfristen haben
• ob der Zero Retention Mode fuer Ihren API-Workflow realistisch und technisch umgesetzt werden kann

Die oeffentliche Privacy Policy sagt zudem, ElevenLabs bewahre Daten, die es ueber die Stimme eines Nutzers erzeugt, grundsaetzlich nicht laenger als drei Jahre nach der letzten Interaktion auf, soweit keine laengere gesetzliche Aufbewahrung erforderlich ist. Das ist ein relevanter oeffentlicher Hinweis, sollte fuer Enterprise-Rollouts aber nicht isoliert betrachtet werden. Massgeblich sind DPA, Produktdokumentation, konkrete Konfiguration und die schriftlichen Zusagen im Einkauf.

Praktisch empfiehlt sich vor einer Freigabe ein internes Regelwerk:

• keine unnoetigen personenbezogenen Daten hochladen
• keine Mitarbeiterstimmen ohne klaren Freigabeprozess
• keine besonderen Kategorien personenbezogener Daten ohne Sonderfreigabe
• keine Testuploads echter Kundenanrufe in unkontrollierte oder oeffentliche Workspaces

Eignet sich ElevenLabs fuer Support, Vertrieb und interne Prozesse?

Teilweise ja, aber nicht fuer jeden Anwendungsfall gleich gut.

Support

ElevenLabs kann fuer bestimmte Support-Szenarien geeignet sein, vor allem bei geskripteten Ansagen, Menuenavigation oder eng kontrollierter Sprachgenerierung. Schwieriger wird es, wenn komplette Call-Recordings verarbeitet oder Antworten aus freien Kundeneingaben generiert werden.

Im Support sollten Sie besonders pruefen:

• Rechtsgrundlage und Aufzeichnungshinweise
• Offenlegungspflichten nach Art. 50 EU AI Act
• Transfer- und Residency-Setup
• Retention fuer Aufzeichnungen und Outputs
• menschliche Eskalationswege fuer Grenzfaelle

Fuer die breitere Einordnung hilft unser Leitfaden zu KI-Kundenservice.

Vertrieb

Im Vertrieb koennen Demo-Stimmen, freigegebene Skripte und synthetische Narration noch relativ gut steuerbar sein. Kritischer werden verarbeitete Sales-Calls, objection handling auf Basis echter Gespraeche oder das Klonen von Fuehrungskraeftestimmen fuer Outreach-Zwecke.

Dann spielen neben Datenschutz auch Lauterkeitsrecht, Persoenlichkeitsrechte und Reputationsrisiken eine Rolle.

Interne Prozesse

Interne Lerninhalte, Produkttrainings und mehrsprachige Narration sind regelmaessig leichter vertretbar als externe Echtzeit-Kommunikation. Sobald aber Mitarbeiteraufnahmen, Workplace Analytics oder Leistungsbezug hinzukommen, steigt die arbeitsrechtliche Relevanz erheblich.

Fuer sprachspezifische Transparenzpflichten lohnt sich auch unser Beitrag zu KI-Sprachassistenten.

Praktische Compliance-Checkliste

Wenn Ihr Unternehmen ElevenLabs aktuell prueft, starten Sie mit dieser Reihenfolge:

1. Produktpfad exakt festlegen. Browser-Workflow, Studio-Nutzung und API-Workflow sauber trennen.
2. Datenarten klassifizieren. Skripttexte, Kundenaufnahmen, Mitarbeiteraudio und sensible Inhalte unterscheiden.
3. DPA beziehungsweise AVV pruefen. Rollenverteilung, SCCs, Subprozessoren und Loeschklauseln kontrollieren.
4. Residency schriftlich bestaetigen lassen. Klaeren, was die EU-Einstellung genau abdeckt und was nicht.
5. Retention und Training pruefen. Zero Retention Mode und sonstige Kontrollen konkret verifizieren.
6. AI-Act-Transparenz einplanen. Bei synthetischer oder konversationeller Sprach-KI muss Offenlegung von Anfang an mitgedacht werden.
7. DSFA und Arbeitsrecht mitpruefen. Mitarbeiterbezug, Call-Analytics und Identifizierungsfaelle frueh eskalieren.
8. Interne Upload-Regeln definieren. Daten-Governance darf nicht erst den Fachbereichen ueberlassen werden.

Mit dieser Checkliste laesst sich meist schnell erkennen, ob ein ElevenLabs-Rollout tragfaehig ist oder vorerst gestoppt werden sollte.

FAQ

Was ist der ElevenLabs AVV?

Gemeint ist fuer deutsche Unternehmen meist die oeffentliche DPA des Anbieters, sofern sie die Anforderungen des Art. 28 DSGVO erfuellt. Entscheidend ist nicht nur die Bezeichnung, sondern ob die Klauseln fuer Weisungen, Subprozessoren, Loeschung, Sicherheit und Audits im konkreten Setup tragen.

Ist ElevenLabs in Deutschland DSGVO-konform nutzbar?

Ja, teilweise. Entscheidend sind aber Rechtsgrundlage, DPA beziehungsweise AVV, Transfermodell, Retention-Einstellungen und die Frage, welche Sprach- und Personendaten in den Workflow gelangen.

Bedeutet EU Data Residency automatisch EU-only-Verarbeitung?

Nein. Unternehmen sollten nicht pauschal davon ausgehen. Support, Moderation, Logs oder einzelne Subprozessoren koennen trotz Residency-Einstellung weiterhin ausserhalb des EWR relevant werden.

Brauchen Unternehmen immer eine Einwilligung fuer ElevenLabs?

Nein. Die passende Rechtsgrundlage haengt vom Use Case ab. Bei aufgezeichneten Gespraechen, Mitarbeiterdaten, geklonten Stimmen oder sensiblen Inhalten wird die Pruefung aber deutlich strenger und in einzelnen Konstellationen kann eine Einwilligung erforderlich sein.

Sollte ElevenLabs fuer Stimmbiometrie oder Mitarbeiterueberwachung eingesetzt werden?

Nicht ohne vertiefte Sonderpruefung. Diese Faelle sind deutlich kritischer als klassische Text-to-Speech- oder Narrationsanwendungen und beruehren regelmaessig Datenschutz-, Arbeitsrechts- und Governance-Fragen.

Wo kann ich die ElevenLabs DPA herunterladen?

Die ElevenLabs DPA ist oeffentlich zugaenglich unter elevenlabs.io/dpa — kein Login oder Enterprise-Account erforderlich. Weitere Dokumentation, darunter die Subprozessorenliste und Auditberichte, finden Sie im Trust Center unter compliance.elevenlabs.io.

Deckt die ElevenLabs DPA EU Data Residency ab?

Die DPA verweist auf SCCs fuer Datenuebermittlungen, aber EU Data Residency ist ein separates Tarifmerkmal. Bestaetigen Sie schriftlich, ob Ihr Tarif wirklich EU-only-Verarbeitung abdeckt — die DPA allein genuegt dafuer nicht.

Compound Law beraet Unternehmen in Deutschland zu DSGVO, KI-Beschaffung, Commercial Contracts und arbeitsrechtlicher Governance fuer Workplace AI. Wenn Sie einen konkreten ElevenLabs-Rollout, einen AVV oder eine Voice-AI-Beschaffung prüfen lassen moechten, kontaktieren Sie uns.