EU-Aufnahmegesetze: DSGVO, KI-Verordnung, Zustimmungsregeln und Länderleitfaden (2026)

Die Aufnahme eines Telefonats, einer Videokonferenz oder eines persönlichen Gesprächs ist überall in der Europäischen Union gleichzeitig mindestens zwei Rechtsrahmen unterworfen, mitunter drei. Das Strafrecht des Mitgliedstaats entscheidet, ob eine Aufnahme eine Straftat darstellt. Die DSGVO entscheidet, ob die Aufnahme eine rechtmäßige Verarbeitung personenbezogener Daten ist. Und seit 2025 stellt die KI-Verordnung der EU zusätzliche Pflichten auf, sobald Systeme künstlicher Intelligenz an der Erfassung, Erzeugung oder Veränderung von Aufnahmen beteiligt sind.
Dieser Leitfaden erklärt, wie diese Ebenen zusammenwirken, stellt die Zustimmungsregeln aller 27 EU-Mitgliedstaaten in einer Übersicht dar und verlinkt zu jeder länderspezifischen Seite mit ausführlicher Analyse.
Kurzantwort: Gibt es ein einheitliches EU-Aufnahmegesetz?
Nein. Die Europäische Union hat nie ein einheitliches Zustimmungsgesetz für Aufnahmen erlassen. Das Aufnahmerecht in Europa funktioniert nach einem föderalen Muster: Die EU legt Datenschutz- und KI-Regeln fest, die einheitlich gelten, doch das zugrunde liegende strafrechtliche Verbot der Aufnahme ohne Zustimmung bleibt vollständig Sache der einzelnen Mitgliedstaaten.
Die praktische Folge ist, dass dasselbe Telefonat an einem Ende völlig legal und am anderen Ende eine Straftat sein kann, je nachdem, welches Landesrecht für welchen Teilnehmer gilt.
Was die EU einheitlich vorgibt, ist die Datenschutzebene. Die DSGVO gilt in jedem Mitgliedstaat, für jeden Verantwortlichen und Auftragsverarbeiter, ohne Ausnahme. Unabhängig davon, ob eine Aufnahme strafrechtlich erlaubt ist, muss sie also zusätzlich die Anforderungen der DSGVO an Rechtsgrundlage, Transparenz und Datenminimierung erfüllen.
Warum es kein einheitliches EU-Aufnahmegesetz gibt
Die Gesetzgebungskompetenz der EU erstreckt sich nicht auf das Strafrecht der Mitgliedstaaten zur privaten Kommunikation. Artikel 83 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) erlaubt der EU, Mindestvorschriften für besonders schwere grenzüberschreitende Straftaten festzulegen, doch das Abhören und private Aufnehmen wurden nie im Rahmen dieser Kompetenz harmonisiert.
Stattdessen regelt das EU-Recht dieses Feld mittelbar über Datenschutz- und Telekommunikationsvorschriften. Die ePrivacy-Richtlinie 2002/58/EG verpflichtet die Mitgliedstaaten, das Abhören elektronischer Kommunikation ohne Einwilligung zu verbieten, ist jedoch eine Richtlinie und keine Verordnung. Jeder Mitgliedstaat hat sie unterschiedlich umgesetzt, und die jeweils angedrohten Strafen bei Verstößen unterscheiden sich erheblich.
Das Ergebnis sind 27 unterschiedliche strafrechtliche Regelwerke, umhüllt von einer einheitlichen DSGVO-Pflicht und inzwischen auch einer einheitlichen Pflicht nach der KI-Verordnung. Das EU-Aufnahmerecht zu verstehen bedeutet, sowohl die einheitlichen EU-Ebenen als auch die darunterliegenden länderspezifischen Strafrechtsregeln zu verstehen.
Die überall geltenden EU-Rechtsebenen
Die DSGVO als universelle Überlagerung

Die Datenschutz-Grundverordnung (Verordnung 2016/679) gilt seit dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten. Sie ist eine Verordnung und keine Richtlinie, das heißt, sie entfaltet einheitliche Wirkung ohne nationale Umsetzung.
Jede Sprachaufnahme einer identifizierbaren Person stellt nach Artikel 4 Absatz 1 DSGVO ein personenbezogenes Datum dar. Die Verarbeitung dieser personenbezogenen Daten, einschließlich Erfassen, Speichern, Zugreifen und Weitergeben der Aufnahme, erfordert eine Rechtsgrundlage nach Artikel 6. Die sechs verfügbaren Rechtsgrundlagen sind:
- Einwilligung (Artikel 6 Absatz 1 Buchstabe a): Freiwillig, spezifisch, informiert und unmissverständlich erteilte Zustimmung zur Aufnahme.
- Vertragserfüllung (Artikel 6 Absatz 1 Buchstabe b): Die Aufnahme ist zur Erfüllung eines Vertrags mit der aufgenommenen Person erforderlich.
- Rechtliche Verpflichtung (Artikel 6 Absatz 1 Buchstabe c): EU-Recht oder nationales Recht verlangt die Aufnahme (etwa MiFID II bei Finanztransaktionen).
- Lebenswichtige Interessen (Artikel 6 Absatz 1 Buchstabe d): Die Aufnahme ist erforderlich, um das Leben einer Person zu schützen.
- Öffentliche Aufgabe (Artikel 6 Absatz 1 Buchstabe e): Die Aufnahme ist für eine im öffentlichen Interesse liegende Aufgabe nach EU-Recht oder nationalem Recht erforderlich.
- Berechtigte Interessen (Artikel 6 Absatz 1 Buchstabe f): Es wird ein berechtigtes Interesse verfolgt, die Aufnahme ist dafür erforderlich, und die Rechte und Freiheiten der aufgenommenen Person überwiegen nicht.
Die Wahl einer Rechtsgrundlage beendet die Prüfung nicht. Die DSGVO verlangt zudem Transparenz (Hinweise nach Artikel 13/14 müssen vor oder bei der Aufnahme erteilt werden), Zweckbindung (Aufnahmen dürfen ohne kompatible neue Rechtsgrundlage nicht zweckentfremdet werden), Datenminimierung (nur das Notwendige aufnehmen), Speicherbegrenzung (eine Aufbewahrungsfrist festlegen und einhalten) und angemessene Sicherheit (Artikel 32).
Die Haushaltsausnahme nach Erwägungsgrund 18 schließt rein persönliche oder familiäre Aufnahmen vom Anwendungsbereich der DSGVO aus. Die Aufnahme eines Familiengesprächs zum persönlichen Gebrauch ist ausgenommen. Das Teilen, Veröffentlichen oder die kommerzielle Nutzung der Aufnahme lässt diese Ausnahme sofort entfallen.
Die journalistische Ausnahme nach Artikel 85 verpflichtet die Mitgliedstaaten, den Datenschutz mit der Meinungsfreiheit für journalistische, wissenschaftliche, künstlerische oder literarische Zwecke in Einklang zu bringen. Die Mitgliedstaaten setzen diese Ausnahme sehr unterschiedlich um. Der Gerichtshof der Europäischen Union (Buivids, C-345/17, 2019) entschied, dass die Veröffentlichung einer Aufnahme von Polizeibeamten auf YouTube unter die journalistische Ausnahme fallen kann, wenn der Zweck darin besteht, die Öffentlichkeit zu informieren.
Die ePrivacy-Richtlinie 2002/58/EG
Die ePrivacy-Richtlinie regelt die Vertraulichkeit der elektronischen Kommunikation. Artikel 5 Absatz 1 verbietet es den Mitgliedstaaten, das Abhören, Mitschneiden, Speichern oder Überwachen elektronischer Kommunikation ohne Einwilligung der betroffenen Nutzer zuzulassen.
Artikel 5 Absatz 2 schafft eine enge geschäftliche Ausnahme: Eine Aufzeichnung ist erlaubt, wenn sie im Rahmen einer rechtmäßigen Geschäftspraxis zum Nachweis einer geschäftlichen Transaktion erfolgt. Dies ist die Rechtsgrundlage für aufgezeichnete Kundendienst- und Verkaufsanrufe, sofern die Anrufer vorab informiert werden.
Die vorgeschlagene ePrivacy-Verordnung, die die Richtlinie durch eine unmittelbar geltende Verordnung ersetzt hätte, wurde erstmals im Januar 2017 vorgeschlagen. Nach acht Jahren gesetzgeberischem Stillstand zog die Europäische Kommission den Vorschlag im Februar 2025 im Rahmen einer umfassenderen Initiative zur Vereinfachung der Regulierung förmlich zurück. Die Richtlinie von 2002 in der 2009 geänderten Fassung bleibt der geltende Rahmen.
Da die ePrivacy-Richtlinie eine Richtlinie ist, wurden ihre Anforderungen nach Artikel 5 in den Mitgliedstaaten unterschiedlich in nationales Recht umgesetzt. Die deutsche Umsetzung (TDDDG), die französische Umsetzung (im Rahmen des Code des postes et des communications électroniques) und die Umsetzungen in den übrigen Mitgliedstaaten fügen jeweils länderspezifische Besonderheiten hinzu.
Die KI-Verordnung der EU: Artikel 5 und 50 (Verordnung 2024/1689)
Die KI-Verordnung der EU (Verordnung 2024/1689) trat am 1. August 2024 in Kraft. Ihre Bestimmungen gelten stufenweise.
Artikel 5, verbotene Praktiken (in Kraft seit 2. Februar 2025). Artikel 5 verbietet eine Kategorie von KI-Anwendungen vollständig. Das für Aufnahmen am unmittelbarsten relevante Verbot betrifft biometrische Echtzeit-Fernidentifizierungssysteme, die zu Strafverfolgungszwecken im öffentlich zugänglichen Raum eingesetzt werden. „Echtzeit"-biometrische Identifizierung bedeutet die Verarbeitung von Live-Video- oder Audiodaten, um Personen durch Abgleich ihrer biometrischen Daten mit einer Datenbank zu identifizieren. Diese Praxis, etwa Gesichtserkennung anhand von Videoüberwachungsaufnahmen, ist grundsätzlich verboten.
Die Mitgliedstaaten können durch nationales Recht begrenzte Ausnahmen für bestimmte, ausdrücklich aufgeführte schwere Straftaten, die gezielte Suche nach vermissten Personen und unmittelbar bevorstehende terroristische Bedrohungen vorsehen, in den meisten Fällen vorbehaltlich einer vorherigen gerichtlichen oder unabhängigen behördlichen Genehmigung. Die Kommission veröffentlichte im April 2025 ihre Leitlinien zu verbotenen KI-Praktiken, um den Umfang der einzelnen Verbote zu klären.
Artikel 5 verbietet zudem KI-Systeme, die Personen anhand ihrer biometrischen Daten kategorisieren, um sensible Merkmale wie politische Meinung, religiöse Überzeugung oder sexuelle Orientierung abzuleiten. Aufnahmesysteme mit KI, die Sprecher automatisch anhand solcher Merkmale profilieren, fallen unter dieses Verbot.
Artikel 50, Transparenz bei KI-generierten Inhalten (gilt ab 2. August 2026). Artikel 50 legt Anbietern und Betreibern von KI-Systemen, die synthetisches Audio, Bild-, Video- oder Textmaterial erzeugen, Offenlegungspflichten auf. Die beiden für Aufnahmen und Medien unmittelbar relevantesten Pflichten sind:
Erstens müssen KI-generierte oder KI-veränderte Audio-, Bild- oder Videoinhalte (Deepfakes), die reale Personen darstellen, klar und eindeutig erkennbar als künstlich erzeugt oder verändert gekennzeichnet werden. Diese Pflicht trifft die Betreiber, mit einer engen Ausnahme für befugte Strafverfolgungszwecke oder verhältnismäßige künstlerische Werke mit angemessener Kennzeichnung.
Zweitens muss KI-generierter Text, der zur Information der Öffentlichkeit veröffentlicht wird, als KI-generiert gekennzeichnet werden, sofern er nicht einer echten menschlichen Überprüfung unterzogen wurde und eine natürliche oder juristische Person die redaktionelle Verantwortung dafür übernimmt.
Bei Verstößen gegen Artikel 50 drohen Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Die Kommission veröffentlichte im März 2026 den zweiten Entwurf des Verhaltenskodex zur Transparenz KI-generierter Inhalte zur Konsultation der Beteiligten. Der Kodex soll die Lücke zwischen der rechtlichen Pflicht und den technischen Standards für eine maschinenlesbare Kennzeichnung schließen. Die vollständigen Pflichten nach Artikel 50 gelten ab dem 2. August 2026.
Richtlinie 2024/1385: Bekämpfung von Gewalt gegen Frauen
Die Richtlinie 2024/1385 vom 14. Mai 2024 zur Bekämpfung von Gewalt gegen Frauen und häuslicher Gewalt stellt mehrere Formen digitalen und KI-gestützten Missbrauchs auf EU-Ebene unter Strafe. Die beiden für Aufnahmen und synthetische Medien relevantesten Bestimmungen sind:
Artikel 5, nicht einvernehmliche Erstellung und Verbreitung intimer Bilder. Die Mitgliedstaaten müssen die Erstellung, Verbreitung oder Zugänglichmachung echter oder realistisch wirkender KI-generierter intimer Bilder einer Person ohne deren Zustimmung unter Strafe stellen, sofern dies dem Opfer voraussichtlich einen erheblichen Schaden zufügt. Dies erfasst unmittelbar Deepfake-Pornografie sowie nicht einvernehmliche intime Audio- oder Videoaufnahmen.
Artikel 7, Cyber-Belästigung. Die Mitgliedstaaten müssen das wiederholte Versenden bedrohlichen oder beleidigenden Materials über elektronische Kommunikationsmittel, einschließlich Audio- und Videoaufnahmen, zur Einschüchterung einer Person unter Strafe stellen.
Die Richtlinie trat am 13. Juni 2024 in Kraft. Die Mitgliedstaaten müssen sie bis zum 14. Juni 2027 in nationales Recht umsetzen.
EU-Grundrechtecharta und Artikel 8 EMRK
Zwei grundrechtsbasierte Rahmenwerke beschränken die Anwendung des Aufnahmerechts in der gesamten EU.
Die Artikel 7 und 8 der EU-Grundrechtecharta gewährleisten die Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation (Artikel 7) beziehungsweise den Schutz personenbezogener Daten (Artikel 8). Sie gelten, wenn EU-Recht durchgeführt oder angewandt wird, einschließlich in Verfahren vor dem Gerichtshof der Europäischen Union. Nationale Aufnahmegesetze, die EU-Richtlinien umsetzen, müssen mit der Charta vereinbar sein.
Artikel 8 der Europäischen Menschenrechtskonvention gewährleistet das Recht auf Achtung des Privat- und Familienlebens. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat eine umfangreiche Rechtsprechung zur Auslegung von Artikel 8 im Zusammenhang mit Aufnahmen, Überwachung und der Veröffentlichung privater Informationen entwickelt.
Die richtungsweisende Rechtsprechungslinie von Hannover (von Hannover gegen Deutschland, Beschwerde Nr. 59320/00, Urteil vom 24. Juni 2004; von Hannover gegen Deutschland (Nr. 2), Beschwerden Nr. 40660/08 und 60641/08, Urteil der Großen Kammer vom 7. Februar 2012) stellte klar, dass Artikel 8 den Einzelnen nicht nur vor Eingriffen durch staatliche Stellen schützt, sondern auch vor privaten Personen und Medienunternehmen. Das Urteil der Großen Kammer von 2012 legte einen Abwägungstest der Verhältnismäßigkeit fest: Die Veröffentlichung oder Nutzung von Aufnahmen, die Privatpersonen betreffen, erfordert eine Abwägung zwischen dem Beitrag zu einer Debatte von allgemeinem öffentlichem Interesse und dem Grad des Eingriffs in die Privatsphäre der Person.
Artikel 10 EMRK (Meinungsfreiheit) wirkt auf der anderen Seite dieser Abwägung. Der EGMR hat wiederholt entschieden, dass das Filmen und Veröffentlichen von Aufnahmen von Amtsträgern, einschließlich der Polizei, bei der Ausübung ihrer Aufgaben unter den Schutz von Artikel 10 fallen kann. Eingriffe in dieses Recht müssen erforderlich und verhältnismäßig sein.
Zustimmungsregeln der Mitgliedstaaten: Die Ländertabelle

Jede Zeile spiegelt die strafrechtliche Standardregel zum Stand Mai 2026 wider. Die DSGVO gilt in jeder Zeile zusätzlich. Die unten verlinkten Länderseiten enthalten vollständige Gesetzeszitate, Strafen und aktuelle Durchsetzungsmaßnahmen.
| Land | Zustimmungsregel | Maßgebliches Gesetz | Länderleitfaden |
|---|---|---|---|
| Österreich | Zustimmung aller Beteiligten | § 120 StGB | Österreich |
| Belgien | Zustimmung einer Person | Art. 314bis StGB | Belgien |
| Bulgarien | Zustimmung aller Beteiligten | Strafgesetzbuch Art. 145 | Bulgarien |
| Kroatien | Zustimmung aller Beteiligten | Strafgesetzbuch Art. 142 | Kroatien |
| Zypern | Zustimmung aller Beteiligten | Verfassung Art. 15/17 | Zypern |
| Tschechien | Zustimmung einer Person | Strafgesetzbuch § 182 | Tschechien |
| Dänemark | Zustimmung einer Person | Strafgesetzbuch § 263 | Dänemark |
| Estland | Zustimmung einer Person | Strafgesetz § 156-157 | Estland |
| Finnland | Zustimmung einer Person | Strafgesetzbuch Kap. 38 | Finnland |
| Frankreich | Zustimmung aller Beteiligten | Code Pénal Art. 226-1 | Frankreich |
| Deutschland | Zustimmung aller Beteiligten | § 201 StGB | Deutschland |
| Griechenland | Zustimmung aller Beteiligten | Strafgesetzbuch Art. 370A | Griechenland |
| Ungarn | Zustimmung aller Beteiligten | Strafgesetzbuch § 422 | Ungarn |
| Irland | Zustimmung einer Person | Kein ausdrückliches strafrechtliches Verbot der Teilnehmeraufnahme | Irland |
| Italien | Zustimmung einer Person | Strafgesetzbuch Art. 617 | Italien |
| Lettland | Zustimmung einer Person | Strafgesetz § 144 | Lettland |
| Luxemburg | Zustimmung aller Beteiligten | Strafgesetzbuch Art. 509-1 | Luxemburg |
| Niederlande | Zustimmung einer Person | Strafgesetzbuch § 139a | Niederlande |
| Polen | Zustimmung einer Person | Strafgesetzbuch Art. 267 | Polen |
| Portugal | Zustimmung aller Beteiligten | Strafgesetzbuch Art. 190-194 | Portugal |
| Rumänien | Zustimmung einer Person | Strafgesetzbuch Art. 302 | Rumänien |
| Slowakei | Zustimmung aller Beteiligten | Strafgesetzbuch § 377 | Slowakei |
| Slowenien | Zustimmung aller Beteiligten | Strafgesetzbuch Art. 137 | Slowenien |
| Spanien | Zustimmung einer Person | Strafgesetzbuch Art. 197 | Spanien |
| Schweden | Zustimmung einer Person | Strafgesetzbuch Kap. 4 § 9a | Schweden |
Hinweis zur DSGVO. Für jedes Land in dieser Tabelle gilt zusätzlich die DSGVO. Eine Aufnahme, die nach der nationalen Zustimmungsregel in der zweiten Spalte strafrechtlich zulässig ist, kann dennoch gegen die DSGVO verstoßen, wenn die aufnehmende Person über keine gültige Rechtsgrundlage nach Artikel 6 verfügt, keinen Datenschutzhinweis erteilt oder die Aufnahme ohne festgelegten Aufbewahrungsplan speichert. Diese Pflichten gelten getrennt und kumulativ.
DSGVO-Durchsetzungsentscheidungen zu Aufnahmen
Zwei Entscheidungen von Datenschutzbehörden zeigen, wie die DSGVO in der Praxis neben dem Strafrecht der Mitgliedstaaten wirkt.
Dänemark, Datatilsynet gegen TDC (2019). Dänemark ist ein Land mit Zustimmung nur einer Person: Ein Gesprächsteilnehmer darf ein Telefonat nach dänischem Strafrecht aufnehmen, ohne die andere Partei zu informieren. Trotzdem entschied die dänische Datenschutzbehörde gegen die TDC A/S, Dänemarks größten Telekommunikationsanbieter, weil TDC Kundendienstanrufe zu Schulungszwecken ohne gültige DSGVO-Rechtsgrundlage aufzeichnete. Der Hinweis an Anrufer, dass Gespräche „aufgezeichnet werden können", genügte nicht. Da Schulung weder Vertragserfüllung noch eine rechtliche Verpflichtung darstellt, benötigte TDC eine spezifische, ausdrückliche Einwilligung jedes Anrufers. Die Entscheidung zog eine klare Trennlinie zwischen strafrechtlicher Rechtmäßigkeit und DSGVO-Konformität.
Polen, UODO gegen Warschauer Zentrum (2022). Die polnische Datenschutzbehörde belegte eine öffentliche Einrichtung mit einem Bußgeld, die Kameras mit Mikrofonen betrieb, die durchgehend Audio aufzeichneten. Die Einrichtung verfügte über eine rechtliche Grundlage für Videoüberwachung, jedoch über keine für die Audioaufnahme. Die UODO entschied, dass die Erfassung von Audiodaten eine eigene, von jeder Genehmigung für Videoaufnahmen unabhängige Rechtsgrundlage nach Artikel 6 DSGVO benötigt. Das Bußgeld war mit 10.000 PLN moderat, doch der Grundsatz war eindeutig: Eine Rechtsgrundlage für Videoüberwachung kann ohne eine gesonderte Prüfung nicht auf Audioaufnahmen ausgedehnt werden.
EDSA-Leitlinien 1/2024 zu berechtigten Interessen. Im Oktober 2024 verabschiedete der Europäische Datenschutzausschuss seine endgültigen Leitlinien zu berechtigten Interessen nach Artikel 6 Absatz 1 Buchstabe f. Die Leitlinien bestätigen einen dreistufigen Test: Zwecktest (besteht ein berechtigtes Interesse?), Erforderlichkeitstest (ist die Aufnahme für diesen Zweck erforderlich?) und Abwägungstest (überwiegen die Rechte der betroffenen Person das Interesse des Verantwortlichen?). Betrugsprävention und Beweissicherung können ausreichen; allgemeine Qualitätskontrolle und Schulung erfordern ohne Einwilligung eine sorgfältige Einzelfallprüfung.
Polizei und Amtsträger in der EU aufnehmen

Die Aufnahme von Polizeibeamten und anderen Amtsträgern bei der Ausübung ihrer Aufgaben nimmt rechtlich eine andere Stellung ein als die Aufnahme privater Gespräche. Hier treffen zwei gegenläufige Rahmenwerke aufeinander.
Artikel 10 EMRK unterstützt das Filmen der Polizei. Der Europäische Gerichtshof für Menschenrechte hat das Filmen und Veröffentlichen von Aufnahmen von Amtsträgern bei der Ausübung ihrer Aufgaben durchgehend als durch Artikel 10 EMRK geschützte Meinungsäußerung behandelt. Eingriffe in dieses Recht müssen erforderlich und verhältnismäßig sein. Die Mitgliedstaaten dürfen das Filmen der Polizei nicht allein deshalb unter Strafe stellen, weil der Beamte nicht zugestimmt hat.
Die DSGVO gilt für die Aufnahme selbst. Die Veröffentlichung einer Aufnahme eines Polizeibeamten stellt eine Verarbeitung von dessen personenbezogenen Daten dar, auch wenn er in amtlicher Funktion handelt. Das Buivids-Urteil des Gerichtshofs der Europäischen Union (C-345/17, 2019) bestätigte, dass das Filmen von Polizei in einer Polizeidienststelle und die Veröffentlichung der Aufnahme im Internet eine Verarbeitung personenbezogener Daten darstellt. Die journalistische Ausnahme nach Artikel 85 DSGVO, die in jedem Mitgliedstaat unterschiedlich umgesetzt ist, kann eine solche Verarbeitung jedoch rechtfertigen, wenn der Zweck darin besteht, die Öffentlichkeit zu informieren.
Die Unterschiede zwischen den Ländern sind erheblich. Frankreich erkennt das Recht, die Polizei im öffentlichen Raum zu filmen, ausdrücklich im Rahmen der Presse- und Meinungsfreiheit an. Spaniens Gesetz zur öffentlichen Sicherheit (Ley Orgánica 4/2015) sieht Bußgelder für die unbefugte Veröffentlichung von Polizeibildern vor, die deren Sicherheit gefährden könnten, wobei diese Bestimmung als unverhältnismäßig kritisiert wird und derzeit rechtlich angefochten wird. Deutschlands allgemeine Regel der Zustimmung aller Beteiligten gilt auch für die Aufnahme von Polizei im öffentlichen Raum, wobei das strafrechtliche Verbot durch verfassungsrechtliche Erwägungen der Meinungsfreiheit abgemildert wird, wenn die Aufnahmen einem klaren öffentlichen Interesse dienen.
Die praktische Regel für den größten Teil der EU lautet: Das Filmen der Polizei bei der Ausübung öffentlicher Aufgaben im öffentlich zugänglichen Raum ist im Allgemeinen eine geschützte Meinungsäußerung. Die Veröffentlichung von Aufnahmen, die zufällig anwesende Privatpersonen in derselben Szene identifizieren, kann DSGVO-Pflichten auslösen. Der Einsatz von KI-Werkzeugen zur biometrischen Echtzeit-Identifizierung von Polizeibeamten anhand der Aufnahme ist nach Artikel 5 der EU-KI-Verordnung verboten.
Grenzüberschreitende Aufnahmen innerhalb der EU
Welches nationale Strafrecht gilt?
Es gibt keine EU-weite Regel, die Zuständigkeitskonflikte zwischen den Aufnahmegesetzen der Mitgliedstaaten löst. Wenn ein Anruf oder Gespräch eine Landesgrenze überschreitet, können theoretisch die Strafgesetze beider Länder gelten. Ein Anruf zwischen einer Person in Deutschland (Zustimmung aller Beteiligten) und einer Person in den Niederlanden (Zustimmung einer Person) betrifft beide Rechtssysteme gleichzeitig.
Der sicherste Ansatz besteht stets darin, die strengere der geltenden Regeln einzuhalten. Im Beispiel Deutschland-Niederlande bedeutet dies, den Anruf so zu behandeln, als sei die Zustimmung aller Beteiligten erforderlich.
Eine grenzüberschreitende Durchsetzung ist bei einzelnen privaten Aufnahmen selten. Für Unternehmen, die Callcenter betreiben oder Verkaufsanrufe über mehrere EU-Mitgliedstaaten hinweg tätigen, ist das Risiko eines Verstoßes gegen das Strafrecht des Ziellandes jedoch real und hat bereits zu Durchsetzungsmaßnahmen geführt.
Räumlicher Anwendungsbereich der DSGVO
Für die Zwecke der DSGVO legt Artikel 3 fest, dass die Verordnung überall dort gilt, wo ein Verantwortlicher oder Auftragsverarbeiter in der EU niedergelassen ist, oder überall dort, wo personenbezogene Daten von Personen in der EU durch ein Unternehmen außerhalb der EU verarbeitet werden, das Waren oder Dienstleistungen für Personen in der EU anbietet oder deren Verhalten beobachtet.
Sind bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten Niederlassungen in mehreren Mitgliedstaaten beteiligt, gilt der Mechanismus der federführenden Aufsichtsbehörde nach den Artikeln 56 und 60. Die Datenschutzbehörde am Hauptsitz des Verantwortlichen in der EU leitet die Untersuchung, während die anderen betroffenen Behörden als mitwirkende Aufsichtsbehörden beteiligt sind.
Im November 2025 verabschiedete der Rat der EU eine neue Verordnung zur Beschleunigung der grenzüberschreitenden DSGVO-Durchsetzung, um langjährige Frustration über die Koordinierungsfristen zu beheben. Die neuen Regeln führen verbindliche Fristen ein, innerhalb derer federführende Aufsichtsbehörden Entscheidungsentwürfe mit betroffenen Behörden teilen müssen, wodurch sich die durchschnittliche Dauer der Durchsetzung grenzüberschreitender Fälle verkürzt.
Praktische Hinweise für multinationale Unternehmen
Jedes multinationale Unternehmen, das Anrufe von einem Standort in einem Land mit Zustimmung nur einer Person aus tätigt, während es Kunden in Ländern mit Zustimmung aller Beteiligten anruft, muss seine Aufnahmerichtlinie am strengeren Standard ausrichten. Die Anwendung des freizügigeren Rechts des Heimatlands der aufnehmenden Person auf Anrufer in strengeren Rechtsordnungen ist der häufigste Compliance-Fehler in europäischen Callcenter-Betrieben.
Für Unternehmen, die MiFID II (Finanzdienstleistungen) unterliegen, liefert die rechtliche Verpflichtung zur Aufzeichnung transaktionsbezogener Kommunikation nach Artikel 16 Absatz 7 dieser Richtlinie eine klare DSGVO-Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe c. Diese Aufzeichnungspflicht besteht neben den nationalen strafrechtlichen Zustimmungsanforderungen: Auch MiFID-II-regulierte Unternehmen müssen Anrufer in Ländern mit Zustimmung aller Beteiligten vorab informieren.
Deepfakes und synthetische Audio-Video-Inhalte
Der sich entwickelnde Rechtsrahmen
Drei unterschiedliche Rechtsinstrumente regeln inzwischen Deepfakes und synthetische Aufnahmen in der EU, mit überschneidenden, aber nicht identischen Anwendungsbereichen.
Artikel 50 der EU-KI-Verordnung (ab 2. August 2026) verpflichtet jeden, der ein KI-System zur Erzeugung realistischer synthetischer Audio-, Bild- oder Videoinhalte einer realen Person einsetzt, das Ergebnis als KI-generiert zu kennzeichnen. Die Pflicht gilt auf technischer Ebene (maschinenlesbare Kennzeichnung in den Metadaten des Inhalts) und bei Deepfakes zusätzlich auf der für Nutzer sichtbaren Ebene (ein klarer Hinweis auf dem Bildschirm oder im Ton). Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Umsatzes.
Artikel 5 der Richtlinie 2024/1385 (Umsetzungsfrist 14. Juni 2027) stellt die Erstellung und Verbreitung realistischer KI-generierter intimer Bilder einer realen Person ohne deren Zustimmung unter Strafe. Dies erfasst gezielt Deepfake-Pornografie und ist nicht auf gekennzeichnete oder ungekennzeichnete Inhalte beschränkt. Das Verbot gilt unabhängig davon, ob der Inhalt als synthetisch offengelegt wird. Die Mitgliedstaaten müssen Opfern Zugang zu schnellen Löschanordnungen und Unterstützung durch die Strafverfolgungsbehörden verschaffen.
Die DSGVO gilt für Deepfakes als personenbezogene Daten. Ein realistisches KI-generiertes Bild oder eine Audioaufnahme einer identifizierbaren Person stellt personenbezogene Daten dar, unter Umständen sogar biometrische Daten, wenn eine Identifizierung möglich ist. Die Verarbeitung erfordert eine Rechtsgrundlage, die die Erstellung eines Deepfakes einer Privatperson ohne deren Zustimmung normalerweise nicht erfüllen kann.
Praktische Folgen
Für Einzelpersonen wird die Erstellung eines realistischen Deepfakes einer anderen Person ohne deren Zustimmung, sei es zu intimen Zwecken oder für politische Desinformation, nach der Umsetzung der Richtlinie 2024/1385 EU-weit strafbar sein, zusätzlich zu zivilrechtlicher und DSGVO-Haftung.
Für Plattformen und Anbieter von KI-Werkzeugen bedeutet Artikel 50 der KI-Verordnung, dass Werkzeuge, die realistische menschliche Stimmen oder Erscheinungsbilder erzeugen, bis zum 2. August 2026 eine verpflichtende Kennzeichnungsinfrastruktur implementieren müssen. Der im März 2026 veröffentlichte Entwurf des Verhaltenskodex der Kommission zu KI-generierten Inhalten legt technische Standards für maschinenlesbare Wasserzeichen und sichtbare Kennzeichnung fest.
Aufzeichnung von Geschäftsanrufen: Compliance-Checkliste
Für jedes Unternehmen, das Anrufe mit Kunden oder Mitarbeitern in der EU aufzeichnet, sind folgende Schritte erforderlich.
Nennen Sie den Zweck zu Beginn jedes Anrufs. Teilen Sie dem Anrufer mit, dass das Gespräch aufgezeichnet wird, erläutern Sie warum, und geben Sie an, wie lange die Aufnahme gespeichert wird. Vage Formulierungen wie „Anrufe können zu Qualitätszwecken aufgezeichnet werden" erfüllen die Transparenzanforderung der DSGVO nicht.
Bestimmen Sie Ihre Rechtsgrundlage, bevor die Aufnahme beginnt. Die am besten vertretbaren Rechtsgrundlagen für geschäftliche Aufnahmen sind: eine rechtliche Verpflichtung (MiFID II, EMIR oder eine vergleichbare sektorale Regulierung), die Vertragserfüllung (wenn die Aufnahme zur Erfüllung einer bestimmten Vertragsklausel erforderlich ist) oder berechtigte Interessen (zur Betrugsprävention, Beweissicherung oder Beilegung regulatorischer Streitigkeiten, gestützt auf einen dokumentierten Abwägungstest).
Informieren Sie Anrufer in Ländern mit Zustimmung aller Beteiligten klar und geben Sie ihnen bei einwilligungsbasierter Aufnahme eine echte Wahlmöglichkeit. Ein Anrufer in Deutschland, Frankreich, Österreich, Griechenland, Portugal, Kroatien, der Slowakei, Slowenien, Luxemburg, Ungarn oder Zypern muss klar informiert werden und die Möglichkeit erhalten, seine Rechte auszuüben, bevor eine Aufnahme beginnt.
Legen Sie eine Aufbewahrungsfrist fest und setzen Sie diese durch. Eine unbegrenzte Aufbewahrung ist niemals zulässig. Legen Sie maximale Aufbewahrungsfristen fest, die an den jeweiligen Zweck der Aufnahme gebunden sind, dokumentieren Sie diese Fristen in Ihrer Datenaufbewahrungsrichtlinie und setzen Sie eine automatisierte Löschung um.
Führen Sie eine Datenschutz-Folgenabschätzung durch. Systematische oder umfangreiche Anrufaufzeichnung gilt nach Artikel 35 DSGVO als Verarbeitung mit hohem Risiko und erfordert vor der Einführung oder wesentlichen Änderung des Programms eine Datenschutz-Folgenabschätzung.
Berücksichtigen Sie die Anforderungen der KI-Verordnung bei jeder KI-gestützten Aufnahme. Wenn Ihre Software zur Anrufaufzeichnung KI zur Transkription, Stimmungsanalyse, Sprechererkennung oder Zusammenfassung nutzt, prüfen Sie, ob diese KI-Funktionen unter die verbotenen, hochriskanten oder transparenzpflichtigen Kategorien der EU-KI-Verordnung fallen. Die biometrische Echtzeit-Identifizierung unbekannter Personen anhand ihrer Stimme ist nach Artikel 5 der KI-Verordnung verboten.
So finden Sie die spezifischen Regeln für Ihr Land
Die ausführlichen Gesetzestexte, strafrechtlichen Sanktionen, aktuellen Durchsetzungsmaßnahmen der Datenschutzbehörden, Gerichtsentscheidungen und praktischen Hinweise für jeden EU-Mitgliedstaat finden Sie über die untenstehenden Länderseiten. Jede Seite behandelt das jeweilige Strafgesetz, die DSGVO-Umsetzung, die Umsetzung der ePrivacy-Richtlinie und die aktuellen Entwicklungen in der jeweiligen Rechtsordnung.

EU-Mitgliedstaaten mit Länderleitfäden:
Aufnahmegesetze in Österreich -- Zustimmung aller Beteiligten, § 120 StGB, bis zu einem Jahr Freiheitsstrafe.
Aufnahmegesetze in Belgien -- Zustimmung einer Person, Art. 314bis Strafgesetzbuch, DSGVO-Durchsetzung durch die APD.
Aufnahmegesetze in Bulgarien -- Zustimmung aller Beteiligten, Strafgesetzbuch Art. 145, DSGVO-Anwendung durch die CPDP.
Aufnahmegesetze in Kroatien -- Zustimmung aller Beteiligten, Strafgesetzbuch Art. 142, DSGVO-Anwendung durch die AZOP.
Aufnahmegesetze in Zypern -- Zustimmung aller Beteiligten nach den Verfassungsartikeln 15 und 17, DSGVO-Anwendung durch den Commissioner for PDPD.
Aufnahmegesetze in Tschechien -- Zustimmung einer Person, Strafgesetzbuch § 182, Aufsicht durch die UOOU.
Aufnahmegesetze in Dänemark -- Zustimmung einer Person, Strafgesetzbuch § 263, aktive DSGVO-Durchsetzung durch die Datatilsynet.
Aufnahmegesetze in Estland -- Zustimmung einer Person, Strafgesetz §§ 156-157, Aufsicht durch die AKI.
Aufnahmegesetze in Finnland -- Zustimmung einer Person, Strafgesetzbuch Kapitel 38, Leitlinien der Tietosuojavaltuutetun toimisto.
Aufnahmegesetze in Frankreich -- Zustimmung aller Beteiligten, Code Pénal Art. 226-1, aktive Durchsetzung durch die CNIL.
Aufnahmegesetze in Deutschland -- Zustimmung aller Beteiligten, § 201 StGB, bis zu drei Jahre Freiheitsstrafe, BfDI und Landesdatenschutzbehörden.
Aufnahmegesetze in Griechenland -- Zustimmung aller Beteiligten, Strafgesetzbuch Art. 370A, bis zu fünf Jahre Freiheitsstrafe, HDPA.
Aufnahmegesetze in Ungarn -- Zustimmung aller Beteiligten, Strafgesetzbuch § 422, Aufsicht durch die NAIH.
Aufnahmegesetze in Irland -- Zustimmung einer Person (kein ausdrückliches strafrechtliches Verbot der Teilnehmeraufnahme), aktive DSGVO-Durchsetzung durch die DPC.
Aufnahmegesetze in Italien -- Zustimmung einer Person, Strafgesetzbuch Art. 617, aktive Durchsetzung durch die Garante.
Aufnahmegesetze in Lettland -- Zustimmung einer Person, Strafgesetz § 144, Aufsicht durch die DVI.
Aufnahmegesetze in Luxemburg -- Zustimmung aller Beteiligten, Strafgesetzbuch Art. 509-1, Aufsicht durch die CNPD.
Aufnahmegesetze in den Niederlanden -- Zustimmung einer Person, Strafgesetzbuch § 139a, aktive Durchsetzung durch die AP.
Aufnahmegesetze in Polen -- Zustimmung einer Person, Strafgesetzbuch Art. 267, aktive Durchsetzung durch die UODO.
Aufnahmegesetze in Portugal -- Zustimmung aller Beteiligten, Strafgesetzbuch Art. 190-194, Aufsicht durch die CNPD.
Aufnahmegesetze in Rumänien -- Zustimmung einer Person, Strafgesetzbuch Art. 302, Aufsicht durch die ANSPDCP.
Aufnahmegesetze in der Slowakei -- Zustimmung aller Beteiligten, Strafgesetzbuch § 377, Aufsicht durch die UOOU.
Aufnahmegesetze in Slowenien -- Zustimmung aller Beteiligten, Strafgesetzbuch Art. 137, Aufsicht durch die IP RS.
Aufnahmegesetze in Spanien -- Zustimmung einer Person, Strafgesetzbuch Art. 197, aktive Durchsetzung durch die AEPD.
Aufnahmegesetze in Schweden -- Zustimmung einer Person, Strafgesetzbuch Kapitel 4 § 9a, Aufsicht durch die IMY.
Frequently Asked Questions
Ist die EU eine Region mit Zustimmung einer Person oder aller Beteiligten für Aufnahmen?
Es gibt keine einheitliche EU-weite Zustimmungsregel. Das Strafrecht jedes Mitgliedstaats legt seinen eigenen Standard fest. Etwa die Hälfte der 25 EU-Mitgliedstaaten mit länderspezifischen Aufnahmegesetzen verlangt nur die Zustimmung einer Person (Belgien, Tschechien, Dänemark, Estland, Finnland, Irland, Italien, Lettland, Niederlande, Polen, Rumänien, Spanien, Schweden), während die andere Hälfte die Zustimmung aller Beteiligten verlangt (Österreich, Bulgarien, Kroatien, Zypern, Frankreich, Deutschland, Griechenland, Ungarn, Luxemburg, Portugal, Slowakei, Slowenien). Die DSGVO gilt einheitlich für alle diese Länder und stellt zusätzliche Datenschutzanforderungen neben der strafrechtlichen Regel auf.
Verlangt die DSGVO eine Einwilligung zur Aufzeichnung eines Telefonats?
Die DSGVO schreibt die Einwilligung nicht als Rechtsgrundlage für Aufnahmen vor. Sie verlangt eine Rechtsgrundlage, und die Einwilligung ist nur eine von sechs Optionen. Unternehmen stützen sich stattdessen häufig auf berechtigte Interessen (Artikel 6 Absatz 1 Buchstabe f) oder eine rechtliche Verpflichtung (Artikel 6 Absatz 1 Buchstabe c). Was die DSGVO unabhängig von der gewählten Rechtsgrundlage stets verlangt, ist Transparenz: Sie müssen die Person darüber informieren, dass Sie aufnehmen, warum und für wie lange. Eine Einwilligung nach der DSGVO muss freiwillig, spezifisch, informiert und unmissverständlich sein, eine allgemeine Aussage, dass Anrufe aufgezeichnet werden können, reicht nicht aus.
Was sagt die EU-KI-Verordnung zu Aufnahmen und Deepfakes?
Die EU-KI-Verordnung behandelt Aufnahmen und synthetische Medien in zwei zentralen Bestimmungen. Artikel 5, der seit dem 2. Februar 2025 gilt, verbietet biometrische Echtzeit-Fernidentifizierungssysteme, die im öffentlich zugänglichen Raum zu Strafverfolgungszwecken eingesetzt werden, abgesehen von engen, gerichtlich genehmigten Ausnahmen. Artikel 50, der ab dem 2. August 2026 gilt, verpflichtet Betreiber von KI-Systemen, die realistische Deepfake-Audio-, Bild- oder Videoinhalte erzeugen, diese klar und eindeutig erkennbar als künstlich erzeugt zu kennzeichnen. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.
Darf ich einen Polizeibeamten in der EU filmen?
Im Allgemeinen ja, jedoch mit wichtigen Einschränkungen. Der Europäische Gerichtshof für Menschenrechte hat wiederholt entschieden, dass das Filmen von Amtsträgern bei der Ausübung ihrer Aufgaben eine durch Artikel 10 EMRK geschützte Meinungsäußerung darstellt. Die DSGVO gilt jedoch für die erfassten personenbezogenen Daten, und für eine Veröffentlichung muss in den meisten Mitgliedstaaten die journalistische Ausnahme nach Artikel 85 DSGVO herangezogen werden. Die Unterschiede zwischen den Ländern sind erheblich: Frankreich schützt das Recht, die Polizei zu filmen, weitgehend; Spaniens Gesetz zur öffentlichen Sicherheit schränkt die Veröffentlichung von Polizeibildern ein, die die Sicherheit der Beamten gefährden könnten. Der Einsatz von KI zur Echtzeit-Identifizierung von Beamten anhand der Aufnahme ist nach Artikel 5 der EU-KI-Verordnung verboten.
Was ist die ePrivacy-Richtlinie, und gilt sie noch?
Die ePrivacy-Richtlinie 2002/58/EG regelt den Schutz der Privatsphäre bei der elektronischen Kommunikation in der gesamten EU. Ihr Artikel 5 verbietet das Abhören elektronischer Kommunikation ohne Einwilligung, mit einer engen Ausnahme für die Aufzeichnung von Geschäftsvorgängen mit vorheriger Ankündigung. Die Richtlinie bleibt in Kraft. Die vorgeschlagene ePrivacy-Verordnung, die sie ersetzt hätte, wurde von der Europäischen Kommission im Februar 2025 förmlich zurückgezogen. Da die Richtlinie von jedem Mitgliedstaat unterschiedlich in nationales Recht umgesetzt wurde, unterscheiden sich ihre Anforderungen innerhalb der EU etwas.
Was bedeutet die Richtlinie 2024/1385 für Deepfake-Aufnahmen?
Die Richtlinie 2024/1385 zur Bekämpfung von Gewalt gegen Frauen und häuslicher Gewalt (angenommen im Mai 2024, Umsetzungsfrist Juni 2027) stellt die Erstellung und Verbreitung realistischer KI-generierter intimer Bilder einer realen Person ohne deren Zustimmung unter Strafe. Dies erfasst unmittelbar Deepfake-Pornografie sowie nicht einvernehmliche intime Audio- oder Videoaufnahmen. Nach der Umsetzung haben Opfer in jedem EU-Mitgliedstaat Zugang zu schnellen Löschanordnungen und strafrechtlichen Rechtsbehelfen. Die Richtlinie gilt neben der Kennzeichnungspflicht nach Artikel 50 der KI-Verordnung und der DSGVO, doch ihr strafrechtliches Verbot gilt unabhängig davon, ob ein Deepfake gekennzeichnet ist.
Mein Unternehmen zeichnet Kundenanrufe von einem Callcenter in einem Land mit Zustimmung nur einer Person auf. Sind wir konform?
Nicht automatisch. Das Strafrecht Ihres Heimatlands erlaubt Ihnen möglicherweise, ohne Information der Kunden aufzuzeichnen. Rufen Sie jedoch Kunden in Ländern mit Zustimmung aller Beteiligten wie Deutschland, Frankreich, Österreich oder Griechenland an, gilt das Strafrecht dieser Länder für diese Anrufe und verlangt eine Einwilligung oder zumindest eine vorherige Ankündigung. Die DSGVO verlangt zudem unabhängig davon, welches Landesrecht die Aufnahme strafrechtlich erlaubt, eine dokumentierte Rechtsgrundlage, einen Datenschutzhinweis und eine Aufbewahrungsfrist. Bei MiFID-II-regulierten Finanzdienstleistungsanrufen liefert die rechtliche Aufzeichnungspflicht die DSGVO-Rechtsgrundlage, eine vorherige Ankündigung bleibt jedoch in Ländern mit Zustimmung aller Beteiligten erforderlich.
Sources and References
- DSGVO Verordnung 2016/679(eur-lex.europa.eu).gov
- ePrivacy-Richtlinie 2002/58/EG(eur-lex.europa.eu).gov
- EU-KI-Verordnung 2024/1689(eur-lex.europa.eu).gov
- Richtlinie 2024/1385 zu Gewalt gegen Frauen(eur-lex.europa.eu).gov
- EDSA-Leitlinien 1/2024 zu berechtigten Interessen(edpb.europa.eu).gov
- Leitlinien der Kommission zu verbotenen KI-Praktiken(digital-strategy.ec.europa.eu).gov
- von Hannover gegen Deutschland Nr. 2 (EGMR 2012)(hudoc.echr.coe.int).gov
- Buivids gegen Lettland C-345/17 (EuGH 2019)(eur-lex.europa.eu).gov
- UODO Polen, Audioaufnahme erfordert Rechtsgrundlage (2022)(edpb.europa.eu).gov
- Code Pénal Art. 226-1 Frankreich(legifrance.gouv.fr).gov
- Finnische Datenschutzbehörde zu Telefonaten(tietosuoja.fi).gov
- EDSB-Überblick zur ePrivacy-Richtlinie(edps.europa.eu).gov
- Rat der EU, grenzüberschreitende DSGVO-Durchsetzung 2025(consilium.europa.eu).gov
- Verhaltenskodex der Kommission zu KI-generierten Inhalten 2026(digital-strategy.ec.europa.eu).gov
- EU-KI-Verordnung, Artikel 50: Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme(artificialintelligenceact.eu)
- Auf Film festgehalten, was das Recht zum Filmen der Polizei in Europa sagt (Open Society Justice Initiative)(justiceinitiative.org)