Lindoza · Blog
Sales & Discovery ·

Discovery-Calls aufnehmen — was sagt die DSGVO?

DSGVO-konforme Aufzeichnung von Discovery-Calls: Einwilligung, AVV, § 201 StGB, EU-Server. Mit Tool-Tabelle (Otter, Fireflies, tldv, Loom) und Copy-Paste-Consent.

Du sitzt im Discovery-Call, der Prospect erzählt gerade die Goldader-Story — den konkreten Pain, das interne Workaround, den verlorenen Kunden letztes Quartal. Genau das Zeug, das du nach dem Call vergessen wirst, wenn du nicht aufnimmst.

Aber: darfst du das überhaupt?

Kurzantwort steht oben. Ausführliche Antwort hier — mit den drei Sachen, die niemand sonst sauber zusammenfasst: was die DSGVO verlangt, was § 201 StGB strafrechtlich tut, und welche Recording-Tools überhaupt AVV-fähig sind.

Disclaimer: Ich bin kein Anwalt. Das hier ist keine Rechtsberatung. Bei konkretem Setup mit Enterprise-Kunden, gesundheitsbezogenen Daten oder regulierten Branchen (Banken, Versicherungen, Pharma): Datenschutzbeauftragter oder Anwalt fragen. Für 99% der B2B-SaaS-Discovery-Calls reicht das Pattern unten.

Die zwei Gesetze, die hier greifen

Es gibt nicht ein Gesetz für Call-Recording in DE, sondern zwei parallele Regime — und beide müssen passen.

1. DSGVO (zivilrechtlich / Bußgeld bis 20 Mio. €)

Aufzeichnung ist eine Datenverarbeitung. Stimme + Name + Inhalt = personenbezogene Daten. Du brauchst eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. In der Praxis kommen drei in Frage:

→ Für Discovery-Calls: Einwilligung. Immer.

2. § 201 StGB (strafrechtlich, bis 3 Jahre Freiheitsstrafe)

Der zweite Hebel, den viele übersehen: § 201 StGB schützt das „nichtöffentlich gesprochene Wort”. Ein 1:1-Call ist nichtöffentlich. Aufzeichnen ohne Einwilligung ist eine Straftat — unabhängig von der DSGVO, unabhängig vom Personenbezug, unabhängig davon, ob das Recording je veröffentlicht wird.

Das ist der Grund, warum „der ist im Geschäftskontext, ich habe berechtigtes Interesse” hier nicht funktioniert: § 201 StGB kennt diese Abwägung nicht. Einwilligung oder keine Aufnahme.

**Rechtswidrig:** Du startest die Aufnahme zu Call-Beginn, ohne zu fragen. „Der Bot ist sichtbar in Zoom, das reicht doch." → § 201 StGB-relevant, plus DSGVO-Verstoß.

**Konform:** Erste 30 Sekunden des Calls: „Ich nehme den Call gerne auf, damit ich nichts vergesse. Audio bleibt bei mir, wird nicht geteilt. Ist das für dich okay?" → Einwilligung erteilt, im Audio dokumentiert.

Die 5 Bausteine eines konformen Recording-Setups

Mehr als eine Checkliste — eine Mindest-Konstruktion. Wenn eines davon fehlt, hast du eine Lücke.

Setup-Reife

  1. 1

    Aktive Einwilligung zu Call-Beginn (im Audio dokumentiert)

  2. 2

    AVV (DPA) mit dem Recording-Tool unterschrieben

  3. 3

    EU-Datenresidenz oder Standardvertragsklauseln + TIA

  4. 4

    Klare Speicherfrist + Löschprozess (z.B. 90 Tage)

  5. 5

    Informationspflichten nach Art. 13 DSGVO erfüllt

Risiko

Alle 5 sind Pflicht für sauberes Discovery-Recording. Reihenfolge zeigt nur, was am häufigsten vergessen wird.

Baustein 1 — Einwilligung, die wirklich eine ist

Eine DSGVO-konforme Einwilligung ist freiwillig, spezifisch, informiert, aktiv (Art. 4 Nr. 11). Im Call-Kontext heißt das:

Baustein 2 — AVV mit dem Recording-Tool

Sobald du ein externes Tool (Otter, Fireflies, tldv, Loom) nutzt, ist der Tool-Anbieter Auftragsverarbeiter nach Art. 28 DSGVO. Du brauchst einen schriftlichen Vertrag, der u.a. regelt: Weisungsbindung, technisch-organisatorische Maßnahmen, Subunternehmer-Liste, Löschung bei Vertragsende.

Praktisch: bei den meisten Tools im Account-Settings als „DPA” abrufbar — oft erst ab Business-/Pro-Plan. Im Free-Plan ohne DPA: streng genommen nicht produktiv einsetzbar für identifizierbare Gespräche.

Baustein 3 — Server-Standort

US-Server bedeutet Drittlandsübermittlung nach Kapitel V DSGVO. Seit Schrems II + EU-US Data Privacy Framework geht das wieder, ist aber mit Aufwand verbunden (SCC, ggf. Transfer Impact Assessment). EU-Region ist immer einfacher.

Baustein 4 — Speicherfrist + Löschprozess

„Speichern, solange der Zweck es erfordert” (Art. 5 Abs. 1 lit. e). Für Discovery-Insights: 90 Tage reichen meistens. Setze eine Auto-Löschung, sonst sammelt sich Datenmüll, der dich bei einer Beschwerde teuer wird.

Baustein 5 — Informationspflichten (Art. 13)

Du musst den Betroffenen über Zwecke, Rechtsgrundlage, Speicherdauer, Rechte (Auskunft, Löschung, Beschwerde bei Aufsichtsbehörde) informieren. Im Call-Kontext: Link zur Datenschutzerklärung im Kalender-Invite reicht in der Praxis, wenn dort die Recording-Verarbeitung beschrieben ist.

Tool-Vergleich: Server-Standort × AVV × DACH-Tauglichkeit

Eigene Recherche-Tabelle, Stand Mai 2026. Disclaimer: Tools ändern Pricing und Features regelmäßig — vor Vertragsabschluss selbst prüfen.

Tool EU-Server AVV / DPA DACH-Tauglichkeit
tldv Ja Ja
öffentlich verlinkt
Hoch
deutscher Support
Fireflies Ja Ja
ab Pro-Plan
Mittel
Free: US, kein DPA
Otter.ai Nein Ja
ab Business
Niedrig
No-Go ohne SCC+TIA
Loom Ja Ja
Standard-DPA
Mittel
eher Async-Video
Zoom Ja Ja Hoch
native Consent-Prompt
Granola Teilweise Ja
ab Business
Mittel
Server-Standort prüfen
Eigene Recherche, Stand Mai 2026. Tools ändern Pricing und Features regelmäßig — vor Vertragsabschluss selbst prüfen.

Pragmatischer Default für DACH-Solo-Founder: tldv (Pro) oder Zoom-Built-in-Recording + manueller Export. Beides hat EU-Hosting + DPA out of the box.

Das hier ist das Script, das ich in 40+ Discovery-Calls Q1 2026 getestet habe. Null Ablehnungen im DACH-Sample — weil es kurz, sachlich und ehrlich ist.

„Bevor wir loslegen — ich nehme den Call gerne auf, damit ich später nochmal nachhören kann und nichts wichtiges vergesse. Das Audio bleibt bei mir, wird nicht geteilt, nach 90 Tagen gelöscht. Ist das für dich okay?”

Variante mit KI-Notetaker:

„Ich habe einen KI-Notetaker dabei, der Transkript und Zusammenfassung macht — das spart mir nach dem Call Tippzeit. Daten liegen auf EU-Server, ich lösche nach 90 Tagen. Okay für dich?”

Bei Ablehnung — auch das einüben:

„Kein Thema, dann mache ich Notizen per Hand. Vielleicht eine Minute langsamer, aber kein Problem.”

Damit ist die Einwilligung im Recording dokumentiert (Nachweis), spezifisch (für diesen Call), informiert (Zweck + Speicherdauer + Speicherort) und freiwillig (Nein-Option ist real).

Im Mom-Test-Kontext

Saubere Recording-Praxis ist nicht nur Compliance — sie ist Mom-Test-relevant. Wer beim Recording-Consent rumeiert („wir machen das standardmäßig immer so”) signalisiert dem Prospect Unsicherheit. Sauber gefragt = professionell wahrgenommen = ehrlichere Antworten.

Wer die 3 Mom-Test-Regeln noch nicht im Kopf hat (Past Tense, keine Pitches in der Frage, 70/30-Redeanteil) — die Methodik samt deutscher Cultural-Adaption steht im ausführlichen Mom-Test-Guide (/blog/sales/mom-test-deutsch).

Praktisch hilft dir das Recording auch beim Selbst-Audit: nach dem Call das eigene Verhalten reviewen — wo hast du Höflichkeit für Validation gehalten? Wo hast du Future-Tense gefragt? Ohne Recording machst du diesen Audit aus dem Gedächtnis, also schlecht.

→ Wenn du parallel deine Fragen-Liste durchchecken willst: Mom-Test-Fragen-Prüfer öffnen

Die häufigsten Setup-Fehler (aus eigener Praxis)

  1. „DPA mache ich, wenn der erste Kunde danach fragt.” — Bis dahin hast du 30 Calls aufgenommen ohne Rechtsgrundlage. Schließe den DPA, bevor du das Tool produktiv nutzt.
  2. Free-Plan + identifizierbare Gespräche. — Otter/Fireflies/tldv Free haben oft keinen DPA. Wenn du Discovery-Calls dort speicherst, fehlt der vertragliche Sockel.
  3. „US-Server ist okay, ich habe ja SCC.” — SCC alleine reicht seit Schrems II nicht. Du brauchst zusätzlich ein TIA (Transfer Impact Assessment). Aufwand > Nutzen für Solo-Founder. Nimm EU-Region.
  4. Consent in der Kalender-Beschreibung versteckt. — Nicht spezifisch, nicht aktiv. Frag verbal zu Call-Beginn.
  5. Recording-Archiv ohne Lösch-Cron. — Nach 12 Monaten hast du 200 Gespräche gespeichert, die du nie wieder anhörst. Im Beschwerdefall: teuer.

FAQ

Reicht eine mündliche Einwilligung zur Aufzeichnung eines Discovery-Calls?
Ja, eine mündliche Einwilligung ist rechtlich wirksam — die DSGVO schreibt keine Schriftform vor (Art. 7 DSGVO, Erwägungsgrund 32). Wichtig ist aber die Nachweisbarkeit: Du musst belegen können, dass die Einwilligung erteilt wurde. Pragmatisch: stelle die Einwilligungsfrage am Anfang der Aufnahme selbst — so steckt der Nachweis im Audio. Wer schriftlichen Nachweis bevorzugt, schickt vorab eine Kalender-Notiz mit dem Hinweis und bittet um Bestätigung per Antwort.
Was passiert, wenn nur ein Gesprächsteilnehmer einwilligt?
Dann darfst du NICHT aufzeichnen. In Deutschland brauchst du die Einwilligung ALLER Teilnehmer — andernfalls greift § 201 StGB („Verletzung der Vertraulichkeit des Wortes"), Strafrahmen bis zu drei Jahre Freiheitsstrafe oder Geldstrafe. Die USA kennt teilweise „One-Party-Consent" (z.B. Kalifornien Two-Party, viele US-Bundesstaaten One-Party). In Deutschland gilt das Zweifel-Prinzip: ohne Zustimmung aller wird das nicht-öffentlich gesprochene Wort geschützt.
Brauche ich einen AVV mit Otter, Fireflies oder tldv?
Ja, sobald personenbezogene Daten (Stimme, Name, Inhalte) verarbeitet werden, brauchst du einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Otter und Fireflies bieten DPAs (Data Processing Agreements) auf Anfrage oder im Enterprise-Plan. tldv hat einen Standard-DPA öffentlich verlinkt. Loom (Atlassian) ebenso. Im Free-Plan ist der DPA oft nicht abschließbar — dann darfst du das Tool für identifizierbare Gespräche eigentlich nicht produktiv einsetzen.
Darf ich Discovery-Calls in den USA aufzeichnen, wenn der Gesprächspartner in DE sitzt?
Wenn dein Gesprächspartner in DE sitzt, gilt die DSGVO und § 201 StGB unabhängig davon, wo der Server steht. Server in den USA bedeutet zusätzlich Drittlandsübermittlung nach Kapitel V DSGVO — du brauchst Standardvertragsklauseln (SCC) plus ggf. ein Transfer Impact Assessment. Pragmatische Lösung: EU-Region wählen, wenn das Tool das anbietet (z.B. tldv EU, Fireflies EU-Datenresidenz im Business-Plan).
Muss ich das Recording-Transkript löschen, wenn der Gesprächspartner das verlangt?
Ja. Das Recht auf Löschung nach Art. 17 DSGVO gilt vollumfänglich — Audio, Transkript, KI-Summary. Praktisch heißt das: lösche im Recording-Tool UND in deinem CRM/Notes-Tool, in das du Quotes übernommen hast. Frist: „unverzüglich" — also normalerweise innerhalb von 30 Tagen. Pro-Tipp: dokumentiere die Löschung mit Datum + Tool, damit du beim Beschwerdefall nachweisen kannst.
Was ist mit KI-Notetakern, die automatisch in den Call joinen?
Ein KI-Bot, der ungekündigt mitschneidet, ist in DE rechtlich problematisch. Bots wie Otter Assistant, Fireflies.ai oder tldv-Bot erscheinen sichtbar als Teilnehmer — du musst trotzdem aktiv um Einwilligung bitten. Ein „der Bot ist halt da" ist KEINE implizite Einwilligung. Best Practice: bevor du den Bot einlädst, im Call-Invite ankündigen + zu Call-Beginn nochmal verbal abfragen.
Reicht es, in den AGB / Datenschutzhinweisen auf Aufzeichnung hinzuweisen?
Nein. Eine Einwilligung muss spezifisch, informiert und aktiv sein (Art. 4 Nr. 11 DSGVO). Ein Verweis in AGB oder Datenschutzerklärung ist weder spezifisch (für die einzelne Aufnahme) noch aktiv (es fehlt das aktive Opt-In). Du brauchst zu Beginn jedes Calls eine konkrete Einwilligungsabfrage.
Wenn der Gesprächspartner ein Unternehmen vertritt — gilt da auch DSGVO?
Ja. Die DSGVO schützt natürliche Personen, also auch Mitarbeiter, die für ein Unternehmen sprechen. Stimme + Name + Inhalte = personenbezogene Daten. § 201 StGB schützt sogar unabhängig vom Personenbezug, weil es um die Vertraulichkeit des gesprochenen Wortes geht. B2B-Setting ändert nichts.

Fazit

Discovery-Call-Recording in DACH ist legal — aber die Rechtsgrundlage ist Einwilligung, nicht „berechtigtes Interesse”. Ohne aktive Zustimmung greift § 201 StGB, also nicht-DSGVO-Bußgeld, sondern Strafrecht. Mit dem 5-Bausteine-Setup oben + Tool-Tabelle + Copy-Paste-Consent bist du für 99% der B2B-Discovery-Calls sauber aufgestellt.

Bei regulierten Branchen oder Enterprise-Kunden: Datenschutzbeauftragter / Anwalt drüberschauen lassen. Das hier ist Founder-Pragmatik, kein Anwaltsersatz.

Nächste Schritte:

Quellen

  1. [1]
    DSGVO Art. 6 (Rechtmäßigkeit der Verarbeitung) — EUR-Lexoffiziell

    Primärquelle. Art. 6 Abs. 1 lit. a (Einwilligung) und Art. 7 (Bedingungen für die Einwilligung) sind die zentralen Anker für Call-Recordings.

  2. [2]
    § 201 StGB — Verletzung der Vertraulichkeit des Wortes (gesetze-im-internet.de)offiziell

    Strafrechtliche Komponente. Bis zu 3 Jahre Freiheitsstrafe für unbefugte Tonaufnahmen nicht-öffentlich gesprochener Worte.

  3. [3]
    BfDI — Hinweise zur Auftragsverarbeitung (Art. 28 DSGVO)offiziell

    Bundesbeauftragter für Datenschutz — Anforderungen an den AVV mit Recording-Tool-Anbietern.

  4. [4]
    tldv DPA + DatenschutzhinweiseDoku

    Beispiel-DPA eines DACH-relevanten Recording-Tools mit EU-Hosting-Option.

  5. [5]
    Lindoza Discovery-Call-Setup-Notes (Q1 2026)eigene Erfahrung

    Erfahrung aus ~40 Discovery-Calls mit Tool-Wechseln (Otter → tldv → Fireflies); Consent-Script unten ist die destillierte Variante, die im DACH-Sample 0 Ablehnungen produziert hat.

Änderungsverlauf

  1. Erstveröffentlichung.

Weiterlesen