Datenschutz

Heimliche Tonaufzeichnung und Datenschutz

BVwG bestätigt Geldbuße für heimliche Aufnahme

Das BVwG hat mit Erkenntnis vom 24. März 2026 eine DSGVO-Geldbuße gegen eine GmbH wegen heimlicher Tonaufzeichnung eines Geschäftsgesprächs bestätigt. Was die Entscheidung für Unternehmen in Österreich bedeutet, welche Fehler zu vermeiden sind und welche Rechte Betroffene haben – ein praxisnaher Überblick von ATB.LAW.

heimliche Gesprächsaufzeichnung, Anwalt Österreich Datenschutz

BVwG bestätigt Risiko für Unternehmen

Wer Gespräche aufzeichnet, ohne vorher darauf hinzuweisen, bewegt sich auf gefährlichem Terrain. Das Bundesverwaltungsgericht hat mit Erkenntnis vom 24. März 2026 (W298 2323263-1) eine von der Datenschutzbehörde verhängte Geldbuße wegen heimlicher Tonaufzeichnung eines Geschäftsgesprächs bestätigt. Die Entscheidung ist nicht nur für den konkreten Fall relevant, sie ist vielmehr ein klares Signal an alle Unternehmen, die Telefonate, Meetings oder Kundengespräche aufzeichnen oder aufzeichnen lassen.

Gerade in Bereichen wie Callcenter, Vertrieb, Kundenservice, Beschwerdemanagement oder interne Compliance-Untersuchungen werden Tonaufnahmen oft ohne ausreichende rechtliche Struktur eingesetzt. Die DSGVO setzt hier klare Grenzen – und österreichische Gerichte und Behörden setzen diese Grenzen durch.

Worum ging es in der BVwG-Entscheidung?

Am 24. April 2024 führte ein Vertreter einer Wiener Werbeagentur ein Geschäftsgespräch in einer Arztordination. Das Ziel: die Ärztin als Kundin zu gewinnen. Was die Ärztin nicht wusste: Der Vertreter trug ein Aufnahmegerät und zeichnete das Gespräch auf, ohne sie zu Beginn darauf hinzuweisen.

Die Aufnahme erfasste nicht nur den Gesprächsinhalt, sondern auch persönliche Daten der Ärztin: ihren Namen, ihre E-Mail-Adresse, ihre Social-Media-Accounts sowie Informationen zu ihrer Ausbildung. Erschwerend kam hinzu, dass im Hintergrund Patientengespräche hörbar waren.

Die Betroffenen erstatteten Datenschutzbeschwerde. Die Datenschutzbehörde gab der Beschwerde statt, stellte eine Verletzung des Rechts auf Geheimhaltung fest und verhängte in der Folge im Strafverfahren eine Geldbuße in Höhe von EUR 6.300,– sowie Verfahrenskosten von EUR 630,–. Das Unternehmen erhob Beschwerde und scheiterte schließlich vor dem Bundesverwaltungsgericht.

Das BVwG bestätigte das Straferkenntnis vollinhaltlich und verhängte zusätzlich einen Kostenbeitrag zum Beschwerdeverfahren von 20 % der ausgesprochenen Strafe, sohin EUR 1.260,–.

Besonders relevant: Das Gericht hielt fest, dass die nationalen Bestimmungen des § 11 DSG („Verwarnen statt Strafen“), § 5 VStG, § 9 VStG und § 33a VStG aufgrund des Anwendungsvorrangs des Unionsrechts nicht anzuwenden sind (dazu sogleich).

Warum ist eine Tonaufnahme datenschutzrechtlich relevant?

Die Stimme eines Menschen ist ein personenbezogenes Datum im Sinne des Art. 4 Z 1 DSGVO – ebenso wie Name, E-Mail-Adresse, berufliche Funktion oder andere im Gespräch preisgegebene Informationen. Schon das bloße Aufzeichnen eines Gesprächs ist eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 2 DSGVO.

Das bedeutet: Für jede Tonaufnahme, in der Personen identifizierbar sind oder identifizierbar sein könnten, gelten die vollen datenschutzrechtlichen Anforderungen der DSGVO. Das betrifft nicht nur die Aufzeichnung selbst, sondern auch die spätere Speicherung, die Auswertung, die Weitergabe und die Archivierung der Aufnahmen.

Je nach Gesprächsinhalt können zusätzlich besonders schutzwürdige Kategorien personenbezogener Daten betroffen sein – etwa Gesundheitsdaten, wenn in einem Gespräch mit medizinischem Bezug persönliche Informationen über den Gesundheitszustand hörbar sind. Das erhöht das rechtliche Risiko erheblich.

Heimliche Tonaufzeichnung: Wann wird es datenschutzrechtlich problematisch?

Eine Gesprächsaufzeichnung ist dann datenschutzrechtlich problematisch, wenn eine oder mehrere der folgenden Voraussetzungen fehlen:

  • Kein vorheriger Hinweis: Die aufgezeichneten Personen wissen nicht, dass eine Aufnahme stattfindet.
  • Keine tragfähige Rechtsgrundlage: Es gibt keine wirksame Einwilligung, keinen Vertrag, keine gesetzliche Pflicht und kein dokumentiertes berechtigtes Interesse (Art. 6 DSGVO).
  • Kein klarer Zweck: Der Aufzeichnungszweck ist nicht vorab definiert.
  • Keine Informationspflicht nach Art. 13 DSGVO: Die betroffenen Personen wurden nicht über die Verarbeitung informiert.
  • Überlange Speicherung: Die Aufnahmen werden länger gespeichert, als für den Zweck erforderlich.
  • Kein Zugriffskonzept: Es ist nicht geregelt, wer auf die Aufnahmen zugreifen darf.
  • Fehlende Dokumentation: Die Aufzeichnungspraxis ist nicht im Verarbeitungsverzeichnis erfasst.
  • Zweckentfremdung: Die Aufnahme wird später zu anderen Zwecken verwendet, als ursprünglich angegeben – etwa zur Durchsetzung von Forderungen.

Im konkreten BVwG-Fall lagen gleich mehrere dieser Punkte vor: kein Hinweis zu Beginn des Gesprächs, keine wirksame Einwilligung, und eine Verwendung der Aufnahme zur Unterstützung einer Honorarforderung.

Was bedeutet die Entscheidung für Unternehmen in Österreich?

Die Entscheidung betrifft nicht nur Werbeagenturen oder Vertriebsmitarbeiter mit versteckten Aufnahmegeräten. Sie ist ein Maßstab für jede Form der Gesprächsaufzeichnung im Unternehmenskontext.

Konkrete Risikobereiche:

  • Callcenter und Kundenservice: Telefonate werden häufig zur Qualitätssicherung aufgezeichnet. Fehlt der vorherige Hinweis, ist die Aufzeichnung rechtswidrig.
  • Online-Meetings (Teams, Zoom, Google Meet): Wer Meetings aufzeichnet, ohne alle Teilnehmer:innen vorher klar zu informieren, verstößt gegen die DSGVO – unabhängig davon, ob eine Funktion im Tool aktiviert wird.
  • Beschwerdegespräche: Auch in heiklen Situationen, in denen ein Gespräch dokumentiert werden soll, reicht ein nachträglicher Hinweis nicht aus.
  • Interne Untersuchungen und Compliance-Ermittlungen: Wer im Rahmen einer internen Untersuchung Gespräche aufzeichnet, muss auch hier datenschutzrechtliche Anforderungen einhalten.
  • Beweissicherung: Die Absicht, einen Nachweis zu sichern, rechtfertigt für sich allein keine rechtswidrige Aufzeichnung.

Geldbuße gegen juristische Personen: Warum das besonders relevant ist

Ein häufiger Irrtum: Datenschutzverstöße betreffen nur Einzelpersonen. Das stimmt nicht. Die DSGVO ermöglicht es, Geldbußen unmittelbar gegen Unternehmen zu verhängen – unabhängig davon, welche natürliche Person intern gehandelt hat.

Im vorliegenden Fall war die Beschwerdeführerin eine GmbH und die Geldbuße richtete sich direkt gegen diese juristische Person. Fehlende interne Prozesse, mangelnde Schulung von Mitarbeiter:innen oder unklare Vorgaben zum Umgang mit Gesprächsaufzeichnungen können einem Unternehmen als Organisationsverschulden zugerechnet werden.

Das bedeutet: Es reicht nicht, darauf zu verweisen, dass „ein einzelner Mitarbeiter“ gehandelt hat. Unternehmen müssen sicherstellen, dass klare interne Vorgaben existieren und eingehalten werden.

Warum „Beraten statt Strafen“ bei DSGVO-Geldbußen nicht verlässlich schützt

Das österreichische Verwaltungsstrafrecht kennt Erleichterungen: § 33a VStG ermöglicht unter bestimmten Voraussetzungen eine Beratung anstelle einer Strafe, § 11 DSG sieht für bestimmte Datenschutzverstöße eine Verwarnung vor.

Das BVwG hat in dieser Entscheidung jedoch klargemacht, dass diese nationalen Bestimmungen bei DSGVO-Geldbußen nicht anzuwenden sind. Der Grund: der Anwendungsvorrang des Unionsrechts. Die DSGVO ist als europäisches Recht dem österreichischen Verwaltungsstrafrecht übergeordnet. Wo die DSGVO selbst – insbesondere in Art. 83 – den Rahmen für Geldbußen vorgibt, können nationale Regelungen, die diesen Rahmen einschränken würden, nicht zur Anwendung kommen.

In der Praxis bedeutet das: Unternehmen können nicht darauf vertrauen, dass sie bei einem DSGVO-Verstoß im Bereich Tonaufzeichnung automatisch nur verwarnt werden oder eine Beratung statt einer Geldbuße erhalten. Präventive Compliance ist der einzig verlässliche Schutz.

Wann kann eine Gesprächsaufzeichnung zulässig sein?

Eine pauschale Antwort gibt es nicht – es kommt immer auf den Einzelfall an. Die DSGVO kennt verschiedene Rechtsgrundlagen nach Art. 6, die eine Aufzeichnung legitimieren können:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person willigt freiwillig, informiert und eindeutig ein – bevor die Aufzeichnung beginnt. Eine Einwilligung, die erst während oder nach der Aufzeichnung eingeholt wird, kommt zu spät.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): In manchen Branchen kann die Aufzeichnung zur Erfüllung eines Vertrags notwendig sein, etwa bei Auftragsbestätigungen per Telefon.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Das Unternehmen hat ein berechtigtes Interesse an der Aufzeichnung, das nach einer sorgfältigen Abwägung die Interessen der betroffenen Personen überwiegt. Diese Abwägung muss dokumentiert sein.
  • Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): In bestimmten Branchen, etwa im Finanzbereich, kann eine Aufzeichnungspflicht gesetzlich vorgeschrieben sein.

Unabhängig von der gewählten Rechtsgrundlage gilt stets: Transparenz, Zweckbindung, Speicherbegrenzung, Zugriffskonzept, Löschkonzept und Dokumentation müssen gewährleistet sein. Eine zulässige Aufzeichnung ist keine Selbstverständlichkeit – sie setzt eine bewusste rechtliche Entscheidung und entsprechende organisatorische Maßnahmen voraus.

Typische Unternehmenssituationen im Überblick

Situation Datenschutzrechtliches Risiko Praktische Maßnahme
Aufzeichnung von Support-Telefonaten Hoch, wenn kein vorheriger Hinweis erfolgt Standardisierten Hinweis am Gesprächsbeginn einführen, Rechtsgrundlage dokumentieren
Mitschnitt eines Beschwerdegesprächs Hoch, da oft spontan und ohne Einwilligung Klare interne Regelung: Aufzeichnung nur nach explizitem Hinweis und Dokumentation
Aufzeichnung eines Online-Meetings Mittel bis hoch, je nach Tool-Einstellung Hinweis in Einladung und zu Beginn, Aufzeichnung erst nach Bestätigung starten
Interne Untersuchung / Compliance-Ermittlung Hoch, da Sensitivität der Daten oft erhöht ist Rechtliche Prüfung vorab, gegebenenfalls Datenschutz-Folgenabschätzung
Vertriebs- oder Beratungsgespräch Hoch, wie im BVwG-Fall Kein Aufzeichnen ohne klaren vorherigen Hinweis und dokumentierte Grundlage
Qualitätssicherung im Callcenter Mittel bis hoch Schriftliche Rechtsgrundlage, Datenschutzinformation für Anrufer:innen, Schulung
Beweissicherung bei Streitigkeiten Hoch, wenn ohne vorherige Einwilligung Rechtliche Beratung vor Aufzeichnung; nachträgliche Beweissicherung kann neue Risiken schaffen

Was Unternehmen jetzt prüfen sollten

Wer Gespräche aufzeichnet oder aufzeichnen lässt, sollte folgende Fragen systematisch prüfen:

  • Werden Telefonate, Online-Meetings oder persönliche Gespräche aufgezeichnet? Wenn ja: in welchen Bereichen und in welchem Umfang?
  • Gibt es einen klaren Hinweis vor Beginn jeder Aufzeichnung? Nicht erst während des Gesprächs, sondern davor.
  • Ist die Rechtsgrundlage nach Art. 6 DSGVO dokumentiert? Einwilligung, berechtigtes Interesse oder gesetzliche Pflicht – jeweils mit Dokumentation der Abwägung.
  • Gibt es Datenschutzinformationen nach Art. 13 DSGVO? Betroffene Personen müssen über die Verarbeitung informiert werden.
  • Gibt es ein Löschkonzept? Wie lange werden Aufnahmen gespeichert, wer entscheidet über die Löschung?
  • Wer hat Zugriff auf die Aufnahmen? Und ist dieser Zugriff beschränkt und dokumentiert?
  • Werden Aufnahmen an Dritte weitergegeben? Wenn ja: auf welcher Grundlage?
  • Sind Mitarbeiter:innen geschult? Wissen alle Beteiligten, was erlaubt ist und was nicht?
  • Ist die Aufzeichnungspraxis im Verarbeitungsverzeichnis erfasst?
  • Wurde geprüft, ob eine Datenschutz-Folgenabschätzung erforderlich ist? Insbesondere bei systematischer oder umfangreicher Aufzeichnung.

Was Betroffene tun können, wenn ein Gespräch heimlich aufgezeichnet wurde

Wer den Verdacht hat oder weiß, dass ein Gespräch ohne vorherigen Hinweis aufgezeichnet wurde, sollte folgende Schritte erwägen:

  • Sachverhalt dokumentieren: Datum, Ort, Beteiligte und alle bekannten Umstände festhalten.
  • Auskunft verlangen: Nach Art. 15 DSGVO besteht das Recht, Auskunft über verarbeitete personenbezogene Daten zu verlangen – auch über Tonaufnahmen.
  • Löschung prüfen: Wenn keine Rechtsgrundlage besteht, kommt ein Löschungsbegehren nach Art. 17 DSGVO in Betracht.
  • Datenschutzbeschwerde prüfen: Bei der österreichischen Datenschutzbehörde kann eine Beschwerde eingebracht werden, wenn eine Verletzung des Rechts auf Geheimhaltung vermutet wird.
  • Schadenersatzansprüche prüfen: Bei einem konkreten materiellen oder immateriellen Schaden kann nach Art. 82 DSGVO ein Schadenersatzanspruch bestehen.
  • Nicht vorschnell kommunizieren: Vor Kontaktaufnahme mit dem aufzeichnenden Unternehmen empfiehlt sich eine rechtliche Einschätzung, um keine unbeabsichtigten Nachteile zu schaffen.

Bedeutung für Datenschutz, CyberCrime und Compliance

In digitalen Konflikten, bei Cybervorfällen, im Rahmen interner Compliance-Ermittlungen oder bei Incident Response entsteht häufig ein starker Druck zur Beweissicherung. Daten sollen gesichert, Gespräche dokumentiert, Sachverhalte festgehalten werden.

Dieser Beweissicherungsdruck ist nachvollziehbar. Er befreit aber nicht von der Pflicht, datenschutzrechtliche Anforderungen einzuhalten. Eine rechtlich unzulässige Beweissicherung – etwa eine heimliche Aufzeichnung zum Zweck der späteren Verwendung in einem Streitfall – kann neue Datenschutzrisiken schaffen und die Verwertbarkeit der Beweise gefährden.

Gerade in Bereichen wie CyberCrime, digitaler Forensik, Incident Response und internen Untersuchungen ist daher eine saubere rechtliche Struktur von Anfang an entscheidend. Wer Beweise sichern muss, sollte dies rechtlich abgesichert tun – nicht im Nachhinein rechtfertigen müssen.

Wie ATB.LAW unterstützen kann

Datenschutzrecht, Compliance und digitale Beweissicherung greifen in der Praxis ineinander. ATB.LAW verbindet Erfahrung in diesen Bereichen mit Verfahrenserfahrung vor der Datenschutzbehörde und dem Bundesverwaltungsgericht.

Für Unternehmen:

  • Prüfung bestehender Call-Recording-, Telefonat- und Meeting-Aufzeichnungsprozesse auf DSGVO-Konformität
  • Entwicklung datenschutzkonformer Aufzeichnungskonzepte (Rechtsgrundlagen, Hinweistexte, Datenschutzinformation nach Art. 13 DSGVO, Lösch- und Zugriffskonzepte)
  • Vertretung in Verfahren vor der Datenschutzbehörde und dem Bundesverwaltungsgericht
  • Beratung bei DSGVO-Geldbußen und Straferkenntnissen
  • Unterstützung bei Incident Response und CyberCrime mit datenschutzrechtlichem Bezug
  • Compliance-Beratung für Geschäftsführung und Datenschutzbeauftragte

Für Betroffene:

  • Rechtliche Einschätzung, ob eine heimliche Aufzeichnung einen DSGVO-Verstoß darstellt
  • Unterstützung bei Auskunfts- und Löschbegehren
  • Begleitung bei Datenschutzbeschwerden
  • Prüfung von Schadenersatzansprüchen

Wenn Sie unsicher sind, ob Ihre Aufzeichnungspraxis DSGVO-konform ist – oder wenn Ihnen bekannt geworden ist, dass ein Gespräch ohne Ihren Wissen aufgezeichnet wurde – stehen wir für eine erste Einschätzung zur Verfügung. Sprechen Sie uns an.

Fazit: Heimliche Tonaufzeichnungen sind kein Kavaliersdelikt

Die BVwG-Entscheidung vom 24. März 2026 macht deutlich, dass heimliche Tonaufzeichnungen von Geschäftsgesprächen kein Bagatellproblem sind. Das Gericht bestätigte eine Geldbuße von EUR 6.300,– gegen eine GmbH – zuzüglich Kosten und Kostenbeitrag zum Beschwerdeverfahren. Nationale Erleichterungen wie „Beraten statt Strafen“ griffen nicht, weil das Unionsrecht Vorrang hat.

Für Unternehmen in Österreich bedeutet das: Wer Gespräche aufzeichnet, braucht klare Prozesse – vor der Aufzeichnung, nicht danach. Ein standardisierter Hinweis, eine dokumentierte Rechtsgrundlage, klare Zugriffsregeln und ein Löschkonzept sind keine bürokratischen Übungen, sondern der Mindeststandard für rechtssicheres Handeln.

Betroffene Personen sollten wissen: Eine heimliche Tonaufzeichnung ist keine Kleinigkeit. Die DSGVO gibt Ihnen Rechte – und die Datenschutzbehörde setzt diese durch.

Häufig gestellte Fragen (FAQ)

Darf ein Unternehmen ein Geschäftsgespräch heimlich aufnehmen?

Nein. Eine Gesprächsaufzeichnung ohne vorherigen Hinweis an alle aufgezeichneten Personen ist nach der DSGVO grundsätzlich unzulässig. Fehlt ein klarer Hinweis und eine tragfähige Rechtsgrundlage, liegt eine Datenschutzverletzung vor. Das BVwG hat dies mit Erkenntnis vom 24. März 2026 (W298 2323263-1) bestätigt.

Ist eine Tonaufnahme ohne Zustimmung nach der DSGVO erlaubt?

Nur in engen Ausnahmefällen. Die DSGVO kennt zwar verschiedene Rechtsgrundlagen (Art. 6), die nicht zwingend eine Einwilligung voraussetzen – etwa berechtigtes Interesse oder gesetzliche Pflichten. In jedem Fall muss jedoch vorab informiert werden (Art. 13 DSGVO), und die Rechtsgrundlage muss dokumentiert und nachvollziehbar sein. Eine heimliche Aufzeichnung ohne jede vorherige Information ist in der Regel nicht zulässig.

Welche Strafe droht bei einer rechtswidrigen Tonaufzeichnung?

Im konkreten BVwG-Fall betrug die Geldbuße EUR 6.300,– gegen eine GmbH, zuzüglich Verfahrenskosten von EUR 630,– sowie eines Kostenbeitrags zum Beschwerdeverfahren von EUR 1.260,–. Art. 83 DSGVO sieht für schwerwiegende Verstöße Geldbußen von bis zu EUR 20 Mio. oder bis zu 4 % des weltweiten Jahresumsatzes vor. Die konkrete Höhe richtet sich nach den Umständen des Einzelfalls.

Können auch Unternehmen selbst eine DSGVO-Geldbuße erhalten?

Ja. DSGVO-Geldbußen können direkt gegen juristische Personen – also GmbHs, AGs und andere Unternehmen – verhängt werden. Es reicht nicht, dass ein einzelner Mitarbeiter gehandelt hat. Fehlende interne Prozesse und mangelnde Schulung können dem Unternehmen als Organisationsverschulden zugerechnet werden.

Reicht ein Hinweis am Beginn des Telefonats aus?

Ein Hinweis am Beginn des Gesprächs ist eine notwendige, aber nicht immer hinreichende Bedingung. Der Hinweis muss klar und verständlich sein und die betroffene Person in die Lage versetzen, informiert zu entscheiden. Zusätzlich braucht es eine dokumentierte Rechtsgrundlage, eine Datenschutzinformation nach Art. 13 DSGVO und ein entsprechendes Konzept für Speicherung, Zugriff und Löschung.

Was kann ich tun, wenn ich heimlich aufgenommen wurde?

Sie können Auskunft über die verarbeiteten Daten verlangen (Art. 15 DSGVO), die Löschung begehren (Art. 17 DSGVO) und bei der österreichischen Datenschutzbehörde eine Beschwerde einbringen. Besteht ein konkreter Schaden, kommt auch ein Schadenersatzanspruch nach Art. 82 DSGVO in Betracht. Eine rechtliche Einschätzung im Vorfeld ist empfehlenswert.

Wann ist Call Recording in Österreich datenschutzrechtlich zulässig?

Call Recording ist zulässig, wenn vorab eine klare Information erfolgt, eine tragfähige Rechtsgrundlage nach Art. 6 DSGVO vorliegt (z. B. Einwilligung, berechtigtes Interesse mit dokumentierter Abwägung oder gesetzliche Pflicht), der Zweck klar definiert ist, ein Lösch- und Zugriffskonzept besteht und die Datenschutzdokumentation aktuell ist. In manchen Branchen (z. B. Finanzdienstleistungen) gibt es zudem spezifische gesetzliche Anforderungen.

Kontaktieren Sie uns

Nehmen Sie Kontakt mit uns auf. Wir bewerten Ihren individuellen Sachverhalt und vertreten Sie vor Zivilgerichtne und Verwaltungsbehörden. Für weitere Informationen und eine Ersteinschätzung stehen Roman Taudes, Stefan Knotzer und ihr Team jederzeit unter office@atb.law bzw. telefonisch unter 01 39 12345 zur Verfügung.

Linkedin-in Facebook-f