Kaltakquise und DSGVO: Was bei B2B erlaubt ist (und was nicht)

Wenn du im DACH-B2B-Markt Kaltakquise machst, hörst du regelmäßig: „Das ist doch verboten wegen DSGVO." Aber auch: „B2B ist immer erlaubt." Beide Aussagen sind falsch.

Die Wahrheit liegt dazwischen — und ist machbar, wenn du die Regeln kennst. Dieser Artikel ist die kondensierte Rechts-Übersicht für DACH-Sales-Teams 2026.

Wichtig: Dies ist keine juristische Beratung. Für konkrete Fälle bitte einen Datenschutz-Anwalt konsultieren. Aber: die Grundregeln hier helfen dir 90 % der Situationen rechtssicher zu handhaben.

Die zwei relevanten Gesetze

In Deutschland regeln zwei Gesetze die Kaltakquise:

1. UWG (Gesetz gegen den unlauteren Wettbewerb) — regelt WIE du jemanden ansprechen darfst (Anruf, Email, Fax, etc.)
2. DSGVO (Datenschutz-Grundverordnung) — regelt WIE du persönliche Daten verarbeiten darfst (Listen, CRM-Einträge, Tracking)

Beides muss eingehalten werden. UWG-Verletzung allein reicht für Bußgeld bis 300.000 €. DSGVO-Verletzung reicht für bis 4 % des Konzern-Jahresumsatzes.

UWG: Was geht und was nicht?

Vereinfacht aus § 7 UWG (in DACH 2026):

B2B-Kaltanruf (Telefon)

Erlaubt wenn ein mutmaßlicher geschäftlicher Bezug besteht. Praktisch:

• ✅ Du rufst einen Sales-Lead bei einer Firma an, deren Branche zu deinem Angebot passt
• ✅ Du rufst einen Geschäftsführer wegen eines klar geschäftsrelevanten Themas an
• ❌ Du rufst Privatpersonen ohne klares B2B-Setting an (Strafe!)
• ❌ Du rufst gewerblich aber zu offensichtlich privatem Zweck an (z.B. Werbung für Privat-Versicherung beim Geschäftsführer)

Wichtig: „Mutmaßlich" ist Auslegungs-Sache. Wenn der Buyer nachher beschwert, prüft das Gericht ob ein vernünftiger Anrufer den geschäftlichen Bezug angenommen hätte.

B2B-Kaltakquise-Email

Erlaubt wenn:

• Du eine konkrete geschäftliche Anbahnung verfolgst (keine reine Werbe-Email)
• Die Mail-Adresse aus einer öffentlichen Quelle stammt (Webseite-Impressum, LinkedIn, Branchen-Verzeichnis)
• Du klar als Absender erkennbar bist (kein Verstecken hinter Pseudonymen)
• Du eine Abbestell-Option anbietest (auch wenn rechtlich umstritten ob Pflicht bei B2B)

Nicht erlaubt (oder grauzonig):

• Listen-Kauf von Daten zweifelhafter Herkunft
• Newsletter-Versand an Adressen ohne explizite Einwilligung
• Massen-Email ohne Personalisierung

B2B-LinkedIn-DM

Rechtlich neuer Bereich, aktuelle Praxis (2026):

• ✅ Direkte DM an Connections nach Akzeptierung der Connection-Anfrage
• ✅ DM mit konkretem geschäftlichen Kontext
• 🟡 InMail (LinkedIn-Premium) — formell erlaubt, weil die Plattform die Erlaubnis enthält
• ❌ Massen-DM mit identischem Text (UWG-relevant: kann als unzumutbare Belästigung gewertet werden)

Fax / SMS / WhatsApp

• ❌ Fax: nur mit ausdrücklicher Einwilligung
• ❌ SMS: nur mit ausdrücklicher Einwilligung
• ❌ WhatsApp: nur mit ausdrücklicher Einwilligung — plus DSGVO-Probleme weil WhatsApp Daten in US verarbeitet

DSGVO: Datenverarbeitung für Outreach

Selbst wenn der Anruf-Versuch UWG-konform ist, brauchst du eine Rechtsgrundlage für die Datenverarbeitung. Praktisch:

Art. 6 DSGVO: Rechtsgrundlagen für B2B-Kaltakquise

• Art. 6 Abs. 1 lit. f (Berechtigtes Interesse) — die häufigste Rechtsgrundlage für B2B-Outreach. Voraussetzung: Interesse-Abwägung zugunsten deines berechtigten Interesses
• Art. 6 Abs. 1 lit. a (Einwilligung) — bei Newsletter / Marketing-Updates aktuell erforderlich
• Art. 6 Abs. 1 lit. b (Vertrag) — bei bestehenden Geschäftsbeziehungen für relevante Updates

Pflichten konkret

Du musst:

1. Verzeichnis von Verarbeitungstätigkeiten (VVT) führen — wie du Cold-Listen verarbeitest, wie lange du Daten speicherst, wer Zugriff hat
2. Privacy-Notice bereithalten — falls jemand fragt „woher habt ihr meine Daten?", musst du das beantworten können
3. Opt-out respektieren — wenn jemand sagt „nicht mehr anrufen", ist diese Person dauerhaft aus deiner Liste
4. Datensparsamkeit — nicht mehr Daten als nötig (z.B. nur Geschäfts-Email + Name + Firma, keine privaten Telefon-Nummern aus zweifelhaften Quellen)
5. Auftragsverarbeitungs-Vertrag (AV) mit jedem Tool das Daten verarbeitet (CRM, Anruf-Software, Email-Tool, etc.)

Was du im CRM dokumentieren musst

Pro Kontakt:

• Datum + Quelle der Datenerhebung (z.B. „LinkedIn-Profil, 2026-04-15")
• Rechtsgrundlage (z.B. „Berechtigtes Interesse, Cold-Outreach B2B-Sales")
• Anrufe/Mails inkl. Zeitstempel und Inhalt (Gesprächs-Notiz)
• Opt-out-Status (wenn der Buyer das ausdrücklich gesagt hat)

Klingt nach Bürokratie, ist aber CRM-Standard. Pipedrive, HubSpot, Salesforce haben das alles als Built-in.

Listen-Kauf: was du beachten musst

Beliebt sind Tools wie Cognism, Apollo, ZoomInfo zum Kauf von B2B-Datenbanken. Drei Regeln:

1. Frag nach Quelle der Daten — der Anbieter muss erklären können woher die Daten kommen
2. Frag nach Einwilligungs-Nachweis — bei B2B oft nicht zwingend, aber wenn du auf den Anbieter verklagt wirst, willst du den Nachweis-Pfad kennen
3. Frag nach AV-Vertrag — wenn der Anbieter EU-Daten verarbeitet, muss er einen AV unterzeichnen
4. Prüfe ob Daten DSGVO-Konformitäts-Garantien gibt — gute Anbieter dokumentieren das transparent

Roter Alarm: Wenn der Anbieter dir 200.000 Datensätze für 50 € verkauft und keine Quelle nennen kann — Finger weg. Bußgeld wird teurer als die 50 € Ersparnis.

Internationale Daten: USA, Asien

Heikel ab 2025/26:

• US-Daten in EU verarbeiten: muss DPF-konform (Data Privacy Framework) sein. Anbieter muss DPF-zertifiziert sein.
• Asiatische Daten: meist außerhalb GDPR-Anwendung. Wenn du EU-Buyer aus Asien anrufst, gilt aber wieder GDPR.

Faustregel: Bleib bei EU-zertifizierten Anbietern wenn möglich.

Was passiert wenn jemand sich beschwert?

Realistische Eskalation:

1. Erste Beschwerde (Email, „nicht mehr anrufen") — sofort opt-out vermerken im CRM, keine Aktion mehr
2. Anwaltliche Abmahnung (Brief) — Anwaltskosten erstatten + Unterlassungserklärung unterschreiben
3. Aufsichtsbehörde-Beschwerde (z.B. Datenschutzbeauftragter des Bundeslandes) — Audit deiner Prozesse, ggf. Bußgeld
4. Wettbewerbszentrale-Klage — bei UWG-Verstößen, Bußgeld + Unterlassung

Praktisch erleben die meisten Sales-Teams maximal Stufe 1-2 in den ersten Jahren. Stufe 3-4 nur bei wiederholten Verstößen oder Mass-Spam.

8-Punkte-Compliance-Checkliste für dein Sales-Team

• ☐ VVT dokumentiert: wer, was, wie lange, wo gespeichert
• ☐ Datenquellen dokumentiert: woher kommen die Listen
• ☐ Rechtsgrundlage pro Kontakt klar: meist berechtigtes Interesse
• ☐ Opt-out-Prozess im CRM: ein Klick = dauerhaft entfernt
• ☐ AV-Verträge mit allen Tool-Anbietern (CRM, Email, Call-Software, Listen-Anbieter)
• ☐ Cookie/Tracking-Banner auf der Webseite konform (wenn Conversion-Tracking läuft)
• ☐ Privacy-Notice verfügbar — auf Webseite + auf Anfrage per Email
• ☐ Schulung für Sales-Team: 1× pro Jahr, mindestens 1 Stunde

Live im Call mit Kataro

Kataro selbst ist DSGVO-konform gebaut:

• EU-Hosting in Frankfurt (Supabase, Vercel, Cloudflare-EU)
• Transkripte on-device — Audio-Streams werden nicht persistent in der Cloud gespeichert
• AV-Vertrag verfügbar für jeden Pro/Ultimate-Kunden
• Sub-Prozessoren-Liste transparent dokumentiert
• Datenexport + Löschung in der App per Klick

Für DACH-Sales-Teams die DSGVO ernst nehmen, ist Kataro damit deutlich einfacher zu integrieren als US-gehostete Tools wie Gong oder Chorus.

→ Kataro herunterladen oder Datenschutz-Details lesen

Häufige Fragen

Darf ich einen Geschäftsführer-Kontakt aus LinkedIn-Profil für Telefon-Outreach nutzen? Ja, wenn der geschäftliche Bezug klar ist (Sales-Lead, B2B-Tool, passende Branche). LinkedIn ist eine öffentliche Quelle. Aber: dokumentiere wo du die Nummer her hast.

Sind Cold-Email-Sequences mit Tools wie Outreach.io erlaubt? Ja, im B2B mit berechtigtem Interesse + Abbestell-Link. Wichtig: Personalisierung beachten (Massen-Email ohne Personalisierung kann als unerlaubte Werbung gelten).

Wie lange darf ich Cold-Outreach-Daten speichern? Solange die geschäftliche Anbahnung aktiv ist (typisch 12-24 Monate). Wenn kein Engagement: Löschung oder Pseudonymisierung. Bei aktiver Geschäftsbeziehung: solange wie die Beziehung läuft + 3-6 Monate Nachlauf.

Brauche ich einen Datenschutzbeauftragten? In Deutschland: Pflicht ab 20 Mitarbeitern die regelmäßig mit personenbezogenen Daten arbeiten. Wenn du Cold-Outreach machst, zählt das. Solo bis 19 Mitarbeiter: kein Pflicht-DSB, aber Beratung sinnvoll.

Was wenn ich versehentlich gegen UWG verstoße? Erste Beschwerde: opt-out, höflich entschuldigen, dokumentieren. Zweite Beschwerde: Anwalt nehmen, Unterlassungserklärung unterschreiben. Wiederholungs-Verstöße werden teurer — Compliance-Prozesse hochziehen.

Sind Voice-Cloning oder KI-generierte Anrufe rechtlich okay? Aktuell rechtlich ungeklärt. Praktisch: bei Cold-Outreach hochproblematisch wegen UWG (Irreführungs-Verbot). Vermeide bis klare Regulierung kommt.

Weiterlesen

• Pillar: B2B-Kaltakquise — Der vollständige Guide
• Verwandt: Kaltakquise-Skript mit 5 Eröffnungen
• Verwandt: Kaltakquise via LinkedIn-DM vs Telefon
• Datenschutz: Kataros Datenschutz-Details
• Tool: Kataro herunterladen

---

Aktualisiert: Mai 2026. Rechtliche Einordnung Stand UWG-Reform 2025. Keine Rechtsberatung — bei konkreten Fällen Anwalt konsultieren.