19. November 2025

Aufzeichnung von Anrufen nach DSGVO

Einleitung

Die Aufzeichnung von Anrufen ist in vielen Unternehmen längst fester Bestandteil des Arbeitsalltags – ob im Kundenservice, zur Qualitätssicherung oder zu Schulungszwecken. Doch so nützlich eine Anrufaufzeichnung sein kann, so sensibel ist sie auch: Schließlich werden dabei regelmäßig personenbezogene Daten verarbeitet. Viele Verantwortliche stehen daher vor der zentralen Frage: Ist die Aufzeichnung von Anrufen überhaupt datenschutzkonform erlaubt?

Dieser Beitrag gibt eine klare und praxisnahe Orientierung, unter welchen Bedingungen die Aufzeichnung von Telefongesprächen DSGVO-konform möglich ist. Er erklärt, welche rechtlichen Grundlagen gelten, wann eine Einwilligung notwendig ist und welche technischen sowie organisatorischen Maßnahmen Unternehmen ergreifen sollten, um auf der sicheren Seite zu bleiben.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen
& Kunden überzeugen durch
einen ext. Datenschutzbeauftragten.

Darf man Gespräche aufzeichnen?

Kurz gesagt: Ja, aber es müssen besondere Anforderungen erfüllt werden. Die Zulässigkeit der Aufzeichnung von Telefongesprächen hängt von bestimmten Bedingungen ab und ist an diverse gesetzliche Vorgaben geknüpft. Vorliegend ist zunächst die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG), welches ergänzend auf nationaler Ebene gilt, relevant. Die DSGVO als auch das BDSG verfolgen das Ziel, den Schutz personenbezogener Daten zu gewährleisten und zudem die Privatsphäre der betroffenen Personen zu stärken. Das Strafgesetzbuch (StGB) ist ebenfalls von wesentlicher Bedeutung, da insbesondere in § 201 StGB auf die „Verletzung der Vertraulichkeit des Wortes“ hingewiesen wird. Demnach ist die unbefugte Aufnahme eines nichtöffentlichen Gesprächs strafbar, welches eine heimliche Aufzeichnung ohne Zustimmung des Gesprächspartners mit einschließt. Das StGB schützt somit die Privatsphäre und Vertraulichkeit von Gesprächen.

Die Verarbeitung personenbezogener Daten bei der Aufzeichnung von Anrufen unterliegt zahlreichen Kriterien. Zunächst muss der Gesprächspartner über die Aufzeichnung informiert werden. Zudem bedarf die Verarbeitung einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Im Fall der Gesprächsaufzeichnung muss eine Einwilligung des Gesprächspartners eingeholt werden, diese muss zudem freiwillig erteilt worden sein. Sollte ein Unternehmen jedoch eine Software zur Aufzeichnung oder ein Analysetool einsetzen, bedarf dies einer gesonderten datenschutzrechtlichen Überprüfung.

Eine nationale Besonderheit bei der Aufzeichnung von Gesprächen liegt, wie bereits zuvor kurz erläutert, in den Vorgaben des § 201 StGB. Demnach steht die unbefugte Aufnahme eines nicht öffentlich gesprochenen Wortes sowie der Gebrauch und die Zugänglichmachung dieser Aufnahme unter Strafe. Diese kann sich auf eine Freiheitsstrafe bis zu 3 Jahren oder eine Geldstrafe belaufen. Jedoch gibt es wenige Ausnahmesituationen, in welchen eine heimliche Aufzeichnung unter bestimmten Umständen gerechtfertigt sein kann. Sollte der Gesprächspartner beispielsweise einen Beweis für eine Diskriminierung sichern, wobei die Aufnahme bei der Beweissicherung notwendig ist und keine schutzwürdigen Interessen des Betroffenen beeinträchtigt, könnte die Aufnahme im Einzelfall zulässig sein.

Wie zuvor schon erwähnt, ist die Einwilligung des Gesprächspartners in die Aufzeichnung unablässig. Diese muss ausdrücklich und freiwillig erteilt worden sein. Die Betroffenen haben zudem das Recht, ihre Einwilligung zu verweigern oder auch zu widerrufen. Das aufzeichnende Unternehmen hat diesen Vorgang ausführlich dokumentiert. Eine Einwilligung kann je nach individuellen Gegebenheiten zum Beispiel durch eine Bandansage eingeholt werden. Dabei ist es wichtig zu betonen, dass eine konkludente Einwilligung, welche aus dem Verhalten des Betroffenen abgeleitet wird, nicht ausreichend ist.

Nach allgemeinen Regelungen dürfen Gesprächsaufzeichnungen nur so lange gespeichert werden, wie sie für den jeweiligen Zweck erforderlich sind. Der Speicherzeitraum für Telefonaufzeichnungen beträgt regelmäßig maximal 6 Monate. Jedoch können dem Löschgebot auch Aufbewahrungsfristen, wie zum Beispiel für personenbezogene Daten, entgegenstehen.

Gemäß Art. 32 DSGVO sind die Verantwortlichen verpflichtet, geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der personenbezogenen Daten zu treffen. Dazu zählen z. B. Zugriffsbeschränkungen, Verschlüsselung, Pseudonymisierung, Protokollierung von Zugriffen sowie regelmäßige Überprüfung und Bewertung der Wirksamkeit der Maßnahmen. Bei der Aufzeichnung von Telefongesprächen sind konkrete Maßnahmen sinnvoll;

Rollen und Berechtigungskonzepte
Protokollierung, wann wer auf welche Aufzeichnungen zugreift
Verschlüsselung bei Übertragung und Speicherung
Regelmäßige Löschung nicht mehr benötigter Daten
Schulung der Mitarbeiter

Sollten Gesprächsaufzeichnungen intern im Unternehmen genutzt werden, um gegebenenfalls das Verhalten oder die Leistungen der einzelnen Arbeitnehmer zu überwachen, hat der Betriebsrat nach Art. 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht diese technischen Einrichtungen einzuführen oder anzuwenden. Sofern ein Betriebsrat besteht, kann die Aufzeichnung und Transkription nur mit einer Betriebsvereinbarung genehmigt werden.

Im Fall einer Auftragsverarbeitung, bei welcher ein externes Dienstleistungs- oder Callcenterunternehmen (oder sonstiger Dritter) im Auftrag personenbezogene Daten verarbeitet, greift der Art. 28 DSGVO. Demnach muss ein schriftlicher Vertrag über eine Auftragsverarbeitung (AVV) bestehen, in welchem der Umfang, die Art, sowie der Zweck der Verarbeitung und die technischen und organisatorischen Maßnahmen, als auch die Weisungsgebundenheit des Verarbeiters geregelt wird. Darüber hinaus sollte bei einer Drittlandsübermittlung in andere Staaten (gerade in Staaten außerhalb der EU/des EWR) ein Angemessenheitsbeschluss oder Standarddatenschutzklauseln (SCCs) vorliegen.

Was kostet zuverlässiger Datenschutz?

Erhalten Sie in wenigen Schritten eine passgenaue Kostenübersicht.

Bedarf es immer einer Einwilligung bei Aufzeichnungen?

Grundsätzlich ist die Aufzeichnung von Telefongesprächen ohne Zustimmung der beteiligten Personen nicht zulässig. Sowohl nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO als auch nach § 201 StGB („Verletzung der Vertraulichkeit des Wortes“) ist die Einwilligung der betroffenen Gesprächspartner zwingende Voraussetzung.

Eine datenschutzkonforme Aufzeichnung ist daher nur dann erlaubt, wenn vor Beginn des Gesprächs eine ausdrückliche, informierte und freiwillige Einwilligung erteilt wurde. Diese Einwilligung kann z. B. durch eine aktive Bestätigung erfolgen – etwa durch das gesprochene „Ja“ auf eine entsprechende Nachfrage oder durch das Drücken einer Taste auf dem Telefon, die die Zustimmung technisch dokumentiert.

Wichtig ist, dass bloßes Schweigen oder Nicht-Widersprechen keine wirksame Einwilligung darstellen. Die betroffene Person muss klar erkennen können, dass eine Aufzeichnung erfolgen soll und welche Zwecke damit verbunden sind.

Darüber hinaus ist die Einwilligung jederzeit widerrufbar (Art. 7 Abs. 3 DSGVO). Unternehmen sind verpflichtet, bereits zu Beginn des Gesprächs auf diese Möglichkeit hinzuweisen. Wird der Widerruf erklärt, muss die Aufzeichnung unverzüglich beendet und gegebenenfalls gelöscht werden.

Werden im Rahmen der Aufzeichnung besondere Kategorien personenbezogener Daten verarbeitet (z. B. Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen), gelten zusätzlich die strengeren Anforderungen des Art. 9 Abs. 2 lit. a) DSGVO. In diesen Fällen ist eine ausdrückliche Einwilligung, die sich konkret auf diese sensiblen Daten bezieht, erforderlich. Ohne eine solche Zustimmung ist die Verarbeitung unzulässig.

Rechtlicher Rahmen, wenn KI-Tools Anrufe aufzeichnen oder auswerten

Wenn für die Aufzeichnung von Anrufen KI-basierte Dienste eingesetzt werden (z. B. Transkription, Zusammenfassungen, Sentiment-Analysen), gelten dieselben Datenschutz-Grundprinzipien wie ohne KI – plus einige Zusatzanforderungen:

Rechtsgrundlage & Transparenz: Für die Verarbeitung der Gesprächsdaten braucht es eine tragfähige Rechtsgrundlage (in der Praxis meist Einwilligung, teils Vertrag oder berechtigte Interessen) und klare Informationen über Zweck, Umfang und Funktionsweise der Verarbeitung. Das gilt auch, wenn die Aufzeichnung „nur“ zur Transkription durch eine KI erfolgt.
Auftragsverarbeitung (Art. 28 DSGVO): Externe KI-Anbieter arbeiten in der Regel als Auftragsverarbeiter. Es ist ein AV-Vertrag mit konkreten Vorgaben zu Gegenstand, Dauer, Datenarten, TOMs, Unterauftragsverarbeitern und Löschung nötig.
Anforderungen der KI-Verordnung: Zusätzlich müssen Sie die Anforderungen der KI-Verordnung erfüllen. Hier mehr dazu.

Empfehlungen und Best Practices

Technische Einrichtung

Bei der technischen Einrichtung von Gesprächsaufzeichnungen ist es wichtig, dass zu Beginn jedes Anrufs ein klarer und gut verständlicher Warnhinweis gegeben wird, der auf die laufende Aufzeichnung hinweist. Anrufende müssen die Möglichkeit haben, der Aufzeichnung aktiv zuzustimmen oder sie abzulehnen. Zudem sollte eine datenschutzkonforme Aufzeichnungssoftware verwendet werden, die über Funktionen wie Verschlüsselung, Zugriffsbeschränkungen und Protokollierung verfügt.

Mitarbeiterschulung und Aufklärung

Alle Mitarbeitenden sollten zu den rechtlichen Rahmenbedingungen, insbesondere zur DSGVO und zu internen Richtlinien, geschult werden. Mitarbeitende müssen wissen, wie sie korrekt mit Aufzeichnungen umgehen, dass eine Einwilligung einzuholen ist und gegebenenfalls, wie die Aufzeichnungen zu starten oder zu stoppen sind. Darüber hinaus ist es von großer Bedeutung, die Mitarbeiter regelmäßig zu dem Thema Datenminimierung und im Umgang mit sensiblen Informationen zu schulen.

Regelmäßige Überprüfung der Prozesse und Löschfristen

Auch Prozesse rund um Gesprächsaufzeichnungen sollten regelmäßig überprüft und an neue rechtliche oder technische Anforderungen angepasst werden. Dazu gehören unter anderem dokumentierte Löschkonzepte mit klar definierten Fristen, welche sich am Zweck der Aufzeichnung orientieren. Es sollten regelmäßige Audits durchgeführt werden, um sicherzustellen, dass Speicherorte, Zugriffsrechte und Löschmechanismen den Vorgaben entsprechen. Außerdem helfe automatisierte Löschprozesse dabei, Fristen zuverlässig einzuhalten und Risiken für das Unternehmen zu reduzieren.

Zusammenarbeit mit Datenschutzbeauftragten

Weiterhin sollte ein Datenschutzbeauftragter bestellt werden, welcher gemeinsam mit dem Unternehmen die rechtlichen Grundlagen, die Informationspflichten gegenüber Betroffenen und die Einwilligungsprozesse abstimmt. Eine enge und kontinuierliche Zusammenarbeit ermöglicht die laufende Überwachung der datenschutzrechtlichen Prozesse und hilft, neue Risiken schnell zu erkennen. Die Datenschutzbeauftragten von Keyed unterstützen zudem bei Schulungen und Sensibilisierungen der Mitarbeitenden des Unternehmens.

Risiken und Konsequenzen bei Verstößen

Das heimliche oder unbemerkte Aufzeichnen von Gesprächen stellt ein erhebliches Risiko dar, da Gesprächsteilnehmer weder informiert noch in die Aufzeichnung eingewilligt haben. Dies verletzt grundlegende Datenschutz- und Persönlichkeitsrechte und kann zu arbeitsrechtlichen, zivilrechtlichen und strafrechtlichen Konsequenzen führen. Zudem kann eine unzulässige Aufzeichnung in einem potenziellen Verfahren nicht verwertet werden.

Nach § 201 StGB ist, wie bereits zuvor erläutert, das heimliche Mitschneiden eines nicht öffentlichen Gesprächs strafbar. Dies betrifft sowohl private Personen als auch Beschäftigte eines Unternehmens. Die Strafandrohung reicht von einer Freiheitsstrafe bis zu 3 Jahren zu einer Geldstrafe. Für Unternehmen bedeutet es sowohl Risiken für einzelne Mitarbeitende als auch eine organisatorische Verantwortung, Verstöße zu verhindern.

Neben strafrechtlichen Konsequenzen drohen bei unrechtmäßigen Aufzeichnungen erhebliche Bußgelder nach der DSGVO. Werden Gespräche ohne gültige Rechtsgrundlage oder ohne transparente Information der Betroffenen aufgezeichnet, kann dies als schwerer Verstoß gegen die Grundsätze der Verarbeitung gewertet werden. Bei einem Verstoß können Bußgelder in Höhe von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Unzulässige Gesprächsaufzeichnungen gefährden das Vertrauen von Kunden, Partnern und Mitarbeitenden. Öffentlich bekannt gewordene Verstöße führen schnell zu Reputationsschäden, negativer Presse und Vertrauensverlust in der Öffentlichkeit. Auch intern können solche Vorfälle Misstrauen im Unternehmen verstärken, das Betriebsklima belasten und langfristig die Unternehmenskultur schädigen.

Beispiel 1:

Ein Mitarbeiter nahm 2017 heimlich ein Personalgespräch mit seinem Vorgesetzten und dem Betriebsrat auf. Nachdem der Arbeitgeber dies entdeckt hatte, kündigte er fristlos. Die Kündigungsschutzklage des Mitarbeiters blieb erfolglos. Das Gericht entschied, dass er ausdrücklich darauf hinweisen müssen, dass sein Handy das Gespräch aufnimmt. Da er dies unterließ, verletzte er die Persönlichkeitsrechte der Gesprächspartner – ein ausreichender Grund für eine fristlose Kündigung (LAG Hessen, 23.08.2017, 6 Sa 137/17).

Beispiel 2:

Im Jahr 2024 verhängte die französische Datenschutzbehörde CNIL ein Bußgeld von 250.000 € gegen das Unternehmen “Cosmospace” sowie 150.000 € gegen “Telemaque”, weil beide Unternehmen systematisch Kundentelefonate aufzeichneten, ohne die Betroffenen ausreichend zu informieren. Die CNIL bemängelte insbesondere die fehlende Transparenz, Kunden wussten nicht klar, dass ihre Gespräche aufgezeichnet wurden und dass mehrere Unternehmen Zugriff auf die Daten hatten. Zudem wurden die Aufzeichnungen über sechs Jahre gespeichert, obwohl kürzere Speicherfristen angemessen gewesen wären. Damit verstoßen die Unternehmen gegen zentrale DSGVO-Vorschriften.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Konstanze Krollpfeiffer

Frau Krollpfeiffer ist Wirtschaftsjuristin, zert. Datenschutzbeauftragte und für eine Vielzahl an Unternehmen im DACH-Raum tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy