DSGVO und Telefonate 2026: Kaltakquise, Aufzeichnung, Teams und Anrufbeantworter
5 Min. Lesezeit
Zuletzt aktualisiert: März 2026 | Ursprünglich veröffentlicht: 2018
Das Bundesverwaltungsgericht hat im Januar 2025 die Regeln für B2B-Telefonakquise verschärft: Öffentliche Einträge in den Gelben Seiten reichen nicht mehr als Grundlage für Werbeanrufe. Gleichzeitig verarbeiten Microsoft Teams und VoIP-Systeme bei jedem Anruf Metadaten, die unter DSGVO und TDDDG fallen. Wer 2026 telefoniert, muss wissen welche Daten entstehen und welche Rechtsgrundlage greift.
Das Wichtigste in Kürze
- BVerwG-Urteil 29.01.2025 (Az. 6 C 3.23): B2B-Kaltakquise per Telefon nur noch mit qualifiziertem mutmasslichem Einverständnis – öffentliche Verzeichnisse allein reichen nicht (BVerwG).
- Jeder Telefonanruf verarbeitet personenbezogene Daten: Rufnummern, Zeitstempel, Verbindungsdaten. Bei VoIP zusätzlich IP-Adressen und Gerätedaten – alles DSGVO-relevant.
- Telefonaufzeichnung nur mit aktiver Einwilligung. Heimliche Aufzeichnung ist eine Straftat nach § 201 StGB mit bis zu 3 Jahren Freiheitsstrafe.
- BSI empfiehlt DSGVO-Hinweis auf dem Anrufbeantworter: Firmenname, Zweck, Löschfrist und Verweis auf Datenschutzerklärung (Art. 13 DSGVO).
- Microsoft Teams/VoIP: TDDDG (seit Mai 2024) gilt auch für Cloud-Telefonie. EU-US Data Privacy Framework erlaubt Datentransfer, aber Telemetrie-Daten bleiben problematisch.
Welche Daten bei jedem Anruf entstehen
Auch ohne Aufzeichnung verarbeitet jeder Telefonanruf personenbezogene Daten im Sinne der DSGVO. Bei einem klassischen Festnetzanruf sind das Rufnummern beider Seiten, Zeitstempel (Beginn, Ende, Dauer) und der Verbindungsstatus. Bei VoIP-Systemen wie Microsoft Teams kommen Gerätedaten, IP-Adressen und Nutzungstelemetrie hinzu.
Diese Verbindungsdaten – in der Branche Call Detail Records (CDR) – sind nach DSGVO und TDDDG als personenbezogene Daten zu behandeln. Das bedeutet: Jede Speicherung braucht eine Rechtsgrundlage, jede Weitergabe eine Legitimation.
BVerwG-Urteil Januar 2025: B2B-Kaltakquise wird enger
Das Bundesverwaltungsgericht hat am 29. Januar 2025 das bislang klarste Urteil zur B2B-Telefonwerbung gesprochen (Az. 6 C 3.23). Ein Unternehmen hatte Zahnarztpraxen unaufgefordert angerufen, um Edelmetallreste anzukaufen. Die Rufnummern stammten aus den Gelben Seiten.
Die Kernaussage: Öffentlich zugängliche Kontaktdaten begründen keine Bereitschaft, Werbeanrufe zu empfangen. Das Angebot muss typischerweise zum Sachgebiet des Angerufenen passen. Die Datenschutzbehörde durfte die Untersagungsverfügung erlassen.
„Der Anrufer durfte bei verständiger Würdigung der Umstände annehmen, der Anzurufende erwarte einen solchen Anruf oder werde ihm positiv gegenüberstehen.“
– BGH-Definition für mutmassliches Einverständnis bei B2B-Telefonwerbung
B2B vs. B2C: Was 2026 erlaubt ist und was nicht
| Szenario | Erlaubt? | Bedingung |
|---|---|---|
| B2C Werbeanruf (Neukunde) | Nein | Ausdrückliche Einwilligung erforderlich |
| B2C Bestandskunde | Eingeschränkt | § 7 Abs. 3 UWG: ähnliche Produkte, kein Widerspruch |
| B2B Werbeanruf (Neukunde) | Eingeschränkt | Mutmassliches Einverständnis + thematische Passung |
| Telefonaufzeichnung | Nur mit Einwilligung | Aktiv, explizit, vor Gesprächsbeginn |
| Anrufbeantworter (eingehend) | Erlaubt | DSGVO-Hinweis in der Ansage |
Bussgeldrahmen: DSGVO bis 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. UWG bis 300.000 Euro je Verstoss. § 201 StGB bis 3 Jahre Freiheitsstrafe bei heimlicher Aufzeichnung.
Telefonaufzeichnung: Wann ist sie legal?
Die Datenschutzkonferenz (DSK) – das Gremium der 18 deutschen Datenschutzbehörden – hat klargestellt: Für Telefonaufzeichnungen kommt ausschliesslich die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage in Betracht. Berechtigtes Interesse (Art. 6 lit. f) reicht nicht aus, da Aufzeichnungen nicht „erforderlich“ für den Gesprächszweck sind.
Was die Einwilligung erfüllen muss:
- Aktiv und explizit vor Gesprächsbeginn eingeholt – ein mündliches „Ja“ oder Tastendruck reicht
- Informiert: Wer zeichnet auf, zu welchem Zweck, wie lange wird gespeichert
- Jederzeit widerrufbar
- „Calls may be recorded – press 2 to opt out“ ist keine wirksame Einwilligung. Opt-out reicht nicht.
Bei Mitarbeiteraufzeichnungen (Qualitätssicherung, Training) kommt das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG hinzu. Mitarbeiter müssen die Aufzeichnung unterbrechen können, etwa bei privaten Mitteilungen.
Anrufbeantworter: Der unterschätzte DSGVO-Stolperstein
Wenn Anrufer auf dem Anrufbeantworter eine Nachricht hinterlassen, entsteht automatisch eine Aufzeichnung personenbezogener Daten: Stimme, Inhalt, Rufnummer, Zeitpunkt. Das löst die Informationspflicht nach Art. 13 DSGVO aus.
Eine DSGVO-konforme Ansage muss mindestens enthalten:
- Firmenname (Verantwortlicher im Sinne der DSGVO)
- Hinweis: „Ihre Nachricht wird gespeichert und verarbeitet“
- Löschfrist oder Verweis auf die Datenschutzerklärung
Das Unabhängige Landeszentrum für Datenschutz (ULD) hat klargestellt: Die Pflichtinformationen müssen nicht zwingend in der Ansage vollständig erteilt werden – ein Verweis auf die Website-Datenschutzerklärung reicht aus, solange er „im zeitlichen Zusammenhang zur Erhebung“ erfolgt.
Microsoft Teams und VoIP: Cloud-Telefonie unter DSGVO und TDDDG
Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, seit Mai 2024 umbenannt vom TTDSG) gilt für alle elektronischen Kommunikationsdienste – also auch für VoIP, Microsoft Teams und Webkonferenzen.
Das Kernproblem: Teams-Telefonie verarbeitet bei jedem Anruf Metadaten, Nutzungstelemetrie und – bei aktivierter Funktion – Transkriptionen. Seit dem EU-US Data Privacy Framework (Juli 2023) ist der Datentransfer zu Microsoft als zertifiziertem US-Unternehmen zwar grundsätzlich wieder erlaubt. Aber:
- Telemetrie: Geräte- und Nutzungsdaten im Hintergrund erfordern nach § 25 TDDDG eigentlich eine Einwilligung – in der Praxis kaum umgesetzt
- Call Recordings: Unterliegen denselben Regeln wie analoge Aufzeichnungen – Einwilligung Pflicht
- KI-Transkription: Automatische Transkription ist eine eigenständige Datenverarbeitung – braucht Rechtsgrundlage und Information der Gesprächspartner
Empfehlung: Auftragsverarbeitungsvertrag mit Microsoft abschliessen (Standard-DPA verfügbar), EU-Rechenzentren für Teams konfigurieren und interne Richtlinien für Aufzeichnungen und Transkriptionen erstellen.
Informationspflicht beim Erstkontakt: Was die Praxis zeigt
Art. 13 DSGVO verlangt, dass Betroffene bei der Ersterhebung ihrer Daten informiert werden – Name des Verantwortlichen, Zweck, Rechtsgrundlage, Speicherdauer, Betroffenenrechte. Am Telefon ist das eine Herausforderung, die 2018 bei Inkrafttreten der DSGVO für Kopfschütteln sorgte.
Die Praxis hat sich seitdem eingependelt: Die deutschen Aufsichtsbehörden akzeptieren, dass am Telefon nur Mindestinformationen (Firmenname, Zweck des Anrufs) gegeben werden und für Details auf die Datenschutzerklärung verwiesen wird. Das Working Paper 260 der ehemaligen Artikel-29-Datenschutzgruppe stützt diesen pragmatischen Ansatz.
Trotzdem gilt: Wer am Telefon Daten erhebt (Terminbuchung, Bestellung, Support-Ticket), muss dokumentieren können, dass die Informationspflicht erfüllt wurde. Ein Verweis auf die Website in der E-Mail-Bestätigung ist die einfachste Lösung.
Praxis-Checkliste: Datenschutzkonformes Telefonieren 2026
- Anrufbeantworter-Ansage prüfen: Enthält sie Firmenname, Hinweis auf Speicherung und Verweis auf die Datenschutzerklärung?
- Aufzeichnungen nur mit Einwilligung: Vor dem Gespräch aktiv einholen, dokumentieren, Widerrufsmöglichkeit sicherstellen.
- Teams/VoIP konfigurieren: EU-Rechenzentren aktivieren, Transkription standardmässig deaktivieren, DPA mit Microsoft abschliessen.
- B2B-Kaltakquise prüfen: Nach BVerwG 2025 reicht ein Eintrag in den Gelben Seiten nicht. Nur anrufen, wenn thematische Passung + konkreter Anlass vorliegt.
- Verarbeitungsverzeichnis aktualisieren: Telefonie als Verarbeitungstätigkeit aufnehmen – Zweck, Rechtsgrundlage, Speicherdauer, Empfänger.
- Mitarbeiter schulen: Informationspflicht am Telefon, Umgang mit Betroffenenrechten, keine heimlichen Aufzeichnungen (§ 201 StGB).
Fazit: Telefonieren ist kein rechtsfreier Raum
Das BVerwG-Urteil von Januar 2025 hat die Messlatte für B2B-Telefonakquise höher gelegt. Die Cloud-Transformation der Unternehmenstelefonie über Teams und VoIP schafft neue Datenschutz-Verpflichtungen, die viele Unternehmen noch nicht auf dem Schirm haben. Und der Anrufbeantworter – das unterschätzteste DSGVO-Thema überhaupt – braucht einen Datenschutzhinweis in der Ansage.
Der einfachste erste Schritt: Die eigene Anrufbeantworter-Ansage anhören und prüfen, ob sie einen DSGVO-Hinweis enthält. Falls nicht, dauert die Korrektur fünf Minuten – und vermeidet ein potenzielles Bussgeld.
Häufige Fragen
Darf mein Unternehmen Telefonate mit Kunden aufzeichnen?
Nur mit aktiver, expliziter Einwilligung vor Gesprächsbeginn (Art. 6 Abs. 1 lit. a DSGVO). Der Kunde muss wissen, wer aufzeichnet, warum und wie lange gespeichert wird. „Opt-out“-Modelle (Taste drücken zum Ablehnen) reichen nicht. Ohne Einwilligung ist die Aufzeichnung nicht nur ein DSGVO-Verstoss, sondern eine Straftat nach § 201 StGB.
Braucht mein Anrufbeantworter einen Datenschutzhinweis?
Ja. Wenn Anrufer Nachrichten hinterlassen, entstehen personenbezogene Daten (Stimme, Nummer, Inhalt). Art. 13 DSGVO verlangt eine Information bei der Erhebung. Mindestens: Firmenname, Hinweis auf Speicherung, Verweis auf die vollständige Datenschutzerklärung. Die Aufsichtsbehörden akzeptieren einen Verweis auf die Website statt einer vollständigen Belehrung.
Ist B2B-Kaltakquise per Telefon noch erlaubt?
Eingeschränkt ja. Nach dem BVerwG-Urteil vom Januar 2025 reicht ein öffentlicher Eintrag (Telefonbuch, Gelbe Seiten, LinkedIn) allein nicht als Grundlage. Das Angebot muss thematisch zum Sachgebiet des Angerufenen passen, und es muss ein konkreter Anlass für die Annahme bestehen, dass der Anruf erwünscht ist. B2C-Kaltakquise ist ohne ausdrückliche Einwilligung komplett verboten.
Welche Daten verarbeitet Microsoft Teams bei einem Anruf?
Rufnummern, Zeitstempel, Verbindungsdauer, IP-Adressen, Geräteinformationen und Nutzungstelemetrie. Bei aktivierter Funktion zusätzlich Aufzeichnungen und KI-Transkriptionen. Alle Daten fallen unter DSGVO und TDDDG. Empfehlung: EU-Rechenzentren konfigurieren, DPA mit Microsoft abschliessen, Transkription standardmässig deaktivieren.
Muss ich Anrufer über den Datenschutz informieren?
Ja, bei der Ersterhebung personenbezogener Daten (Art. 13 DSGVO). Am Telefon reichen Mindestinformationen (Firmenname, Zweck) plus Verweis auf die Datenschutzerklärung. Die vollständige Belehrung kann per E-Mail (z.B. in der Terminbestätigung) nachgereicht werden. Wichtig: Die Information muss „im zeitlichen Zusammenhang zur Erhebung“ erfolgen.
Lesetipps der Redaktion
- DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen
- Datenschutz Personalakten 2026: Aufbewahrungsfristen und NIS2-Pflichten
- Datenschutzkoordinator 2026: Aufgaben und Abgrenzung zum DSB
Mehr aus dem MBF Media Netzwerk
- → cloudmagazin – Cloud, SaaS und IT-Infrastruktur
- → Digital Chiefs – Strategien für IT-Entscheider
- → MyBusinessFuture – Digitalisierung im Mittelstand
Quelle Titelbild: Pexels / Andrea Piacquadio (px:4549408)
