Zum Inhalt springen
6.19Fortgeschritten7 min

Cold Outreach Compliance DACH: TKG, UWG, DSG und BDSG kombiniert

Blck Alpaca·
Definition

Cold Outreach Compliance DACH bezeichnet die Einhaltung der nationalen Regeln für B2B-Kaltakquise per E-Mail, Telefon und LinkedIn in Österreich, Deutschland und der Schweiz. Maßgeblich sind UWG (Belästigung), TKG (AT) bzw. § 7 UWG (DE) für E-Mail und Telefon sowie DSGVO mit DSG, BDSG und revDSG für die Datenverarbeitung.

Auf einen Blick

  • E-Mail-Werbung an Firmen ist in AT, DE und CH grundsätzlich einwilligungspflichtig - die im B2B oft erhoffte „mutmaßliche Einwilligung" ist eng und umstritten und ersetzt keine echte Zustimmung.
  • Telefon-Kaltakquise gegenüber Unternehmen ist in Deutschland (§ 7 UWG) an die mutmaßliche Einwilligung gebunden; Österreich regelt Telefon und Fax im TKG, die Schweiz im UWG.
  • Jede Kontaktliste, Anreicherung und Personalisierung ist Datenverarbeitung: In AT/DE braucht sie eine DSGVO-Rechtsgrundlage (meist Art. 6 Abs. 1 lit. f mit dokumentiertem Interessenabwägungstest), in CH eine Rechtfertigung nach revDSG.
  • AI Agents dürfen recherchieren, anreichern, Entwürfe schreiben und CRM-Daten pflegen - aber den rechtlichen Versand-Trigger (Einwilligung, Widerspruch, Transparenz) muss ein Mensch verantworten.
  • Die Schweiz kennt keine Bußgelder gegen Unternehmen, aber strafrechtliche Sanktionen gegen natürliche Personen bis CHF 250.000 - das verlagert das Risiko auf Geschäftsführung und Datenschutzverantwortliche.

Cold Outreach Compliance DACH bezeichnet die Einhaltung der nationalen Regeln für B2B-Kaltakquise per E-Mail, Telefon und LinkedIn in Österreich, Deutschland und der Schweiz. Maßgeblich sind das UWG (unzumutbare Belästigung), das TKG (Österreich) beziehungsweise § 7 UWG (Deutschland) für E-Mail und Telefon sowie die DSGVO in Verbindung mit DSG, BDSG und revDSG für die zugrunde liegende Datenverarbeitung. Wer mit KI-gestützten Outbound-Workflows arbeitet, kombiniert damit zwei Rechtsregime gleichzeitig: Werberecht und Datenschutzrecht.

Drei Schnellantworten vorab:

  • E-Mail an Firmen ist in AT, DE und CH grundsätzlich einwilligungspflichtig. Die im B2B oft bemühte „mutmaßliche Einwilligung" ist eng und umstritten - kein verlässlicher Freibrief.
  • Telefon-Kaltakquise gegenüber Unternehmen ist in Deutschland über § 7 UWG (mutmaßliche Einwilligung) geregelt, in Österreich über das TKG, in der Schweiz über das UWG.
  • Die Datenverarbeitung dahinter - Listen, Anreicherung, Personalisierung - braucht in AT/DE eine eigene DSGVO-Rechtsgrundlage und in CH eine Rechtfertigung nach revDSG. Das ist eine zweite, separate Prüfung neben dem Werberecht.

Zwei Rechtsregime, die unabhängig voneinander gelten

Der häufigste Fehler im DACH-Outbound ist die Annahme, eine einzige Rechtsgrundlage decke alles ab. Tatsächlich greifen zwei Schichten parallel:

  1. Werbe- und Belästigungsrecht regelt, ob und wie Sie überhaupt kontaktieren dürfen - das ist die UWG/TKG-Ebene.
  2. Datenschutzrecht regelt, ob Sie die dafür nötigen personenbezogenen Daten verarbeiten dürfen - das ist die DSGVO-/DSG-/BDSG-/revDSG-Ebene.

Beide müssen erfüllt sein. Eine werblich zulässige E-Mail bleibt rechtswidrig, wenn die Datenverarbeitung keine tragfähige Grundlage hat - und umgekehrt. Einwilligungsbasierte Personalisierung ist im DACH-Raum strukturell enger als im US-Vorbild, was generative Personalisierungs-Use-Cases spürbar einschränkt.

Die ePrivacy-Grundlage: eine Richtlinie, drei Umsetzungen

E-Mail- und Telekommunikationswerbung wurzeln europaweit in der Richtlinie 2002/58/EG (ePrivacy-Richtlinie). Ihr Nachfolger, die geplante ePrivacy-Verordnung, steckt seit 2017 im Trilog fest; bis zu deren Inkrafttreten gilt die Richtlinie in ihrer jeweiligen nationalen Umsetzung. Diese Umsetzung unterscheidet sich pro Land - und genau hier setzen TKG und UWG an:

  • Deutschland: § 25 TDDDG (vormals TTDSG) setzt die ePrivacy-Vorgaben um; die zentrale Belästigungsnorm für Werbung bleibt § 7 UWG.
  • Österreich: Umsetzung über das TKG 2021.
  • Schweiz: Umsetzung über das FMG (Fernmeldegesetz), die werbliche Belästigung über das UWG.

Für Outbound heißt das: Die Grundidee „unerbetene elektronische Werbung braucht in der Regel vorherige Einwilligung" ist in allen drei Ländern verankert, die konkrete Norm und Ausgestaltung weichen aber ab.

E-Mail, Telefon, LinkedIn: was Agents dürfen und was nicht

E-Mail-Kaltakquise

In allen drei Ländern ist unaufgeforderte Werbe-E-Mail an Unternehmen grundsätzlich einwilligungspflichtig. Die „mutmaßliche Einwilligung" (presumed consent) wird im B2B gerne als Brücke benutzt - sie gilt jedoch als eng und umstritten. Praktisch bedeutet das: Massen-Outbound ohne dokumentierte Einwilligung oder ohne eng begrenzte Bestandskunden-Konstellation ist riskant. Hinzu kommt ein operativer Befund aus der Praxis: DACH-B2B-Postfächer erkennen templated AI-Mails schnell, was die Zustellbarkeit kollabieren lässt - ein Reputations- und nicht nur ein Rechtsproblem.

Telefon-Kaltakquise

Telefonische Kaltakquise gegenüber Unternehmen ist in Deutschland über § 7 UWG geregelt und an die mutmaßliche Einwilligung gebunden, in Österreich über das TKG, in der Schweiz über das UWG. Sprach-Outbound durch KI-Voice-Agents funktioniert im DACH-B2B nahezu nie - wegen Anruf-Schutznormen, formaler Sprachkultur und der RFP-getriebenen Beschaffung; Voice bleibt dort ein Randkanal, allenfalls für eingehende Qualifizierung.

LinkedIn

LinkedIn ist im DACH-B2B der dominierende Kanal - aber Massen-Automatisierung riskiert Account-Sperren. LinkedIn geht hart gegen Automatisierungs-Tools vor: Ende 2025 wurden mehrere Accounts eines bekannten Outbound-Anbieters einschließlich der Gründer eingeschränkt. Über das Gesetz hinaus gelten hier also die LinkedIn-Nutzungsbedingungen als eigene, vertragliche Schranke.

Was AI Agents dürfen - und was Menschen verantworten müssen

Die belastbare Empfehlung lautet: rep-in-the-loop statt vollautonom. Autonome Outbound-SDR-Agents (z. B. Artisan Ava, 11x Alice, AiSDR, Rox.com, Regie.ai - Stand 2026) haben hohe Vendor-Marketing-Präsenz, aber sehr gemischte Ergebnisse; der Gründer eines Anbieters räumte für die erste Generation „extrem schlechte Halluzinationen" und „relativ hohe Churn" selbst ein.

Aufgabe

AI Agent darf

Mensch muss verantworten

Account-/Personen-Recherche

Ja - öffentliche Quellen sichten, Profile zusammenfassen

Prüfung auf Richtigkeit; keine sensiblen Kategorien

Datenanreicherung (Clay, Apollo, Dealfront)

Ja - Firmen-/Kontaktdaten ergänzen

DSGVO-Rechtsgrundlage und Herkunft der Daten

Entwurf der Outreach-Nachricht

Ja - personalisierte Drafts erzeugen

Inhaltliche und werberechtliche Freigabe

Versand-Trigger (E-Mail/Telefon/LinkedIn)

Nein - nicht der rechtlich relevante Auslöser

Einwilligung/mutmaßliche Einwilligung, Widerspruchsrespekt

CRM-Pflege, Follow-up-Drafts

Ja - Daten schreiben, Entwürfe vorbereiten

Opt-out-/Widerspruchslogik

Kurz: Der Agent ist Recherche-, Anreicherungs- und Schreibmaschine. Den rechtlich heiklen Moment - das tatsächliche Ansprechen ohne Einwilligung - muss ein Mensch verantworten, der Einwilligungsstatus, Widersprüche und Transparenzpflichten kennt. Vor jedem produktiven Autonomie-Schritt steht ein Compliance-/Legal-Sign-off zu § 7 UWG (DE), TKG (AT), revDSG/UWG (CH) plus LinkedIn-ToS-Review.

Vergleichstabelle: E-Mail, Telefon, Datengrundlage in AT/DE/CH

Hinweis: Dies ist eine fachredaktionelle Einordnung und ersetzt keine Rechtsberatung. Statut-Namen und Artikel-/Paragrafennennungen folgen der Quellenlage; die konkrete Zulässigkeit ist immer einzelfallabhängig zu prüfen.

Land

E-Mail B2B

Telefon B2B

Rechtsgrundlage Datenverarbeitung

Österreich (AT)

Grundsätzlich einwilligungspflichtig; geregelt im TKG (ePrivacy-Umsetzung TKG 2021); „mutmaßliche Einwilligung" eng/umstritten

Geregelt im TKG; Anruf-Schutznormen restriktiv

DSGVO + DSG (AT); meist Art. 6 Abs. 1 lit. f mit dokumentierter Interessenabwägung; DSB als Aufsicht

Deutschland (DE)

Grundsätzlich einwilligungspflichtig; § 7 UWG (unzumutbare Belästigung) + § 25 TDDDG; „mutmaßliche Einwilligung" eng/umstritten

§ 7 UWG: nur bei mutmaßlicher Einwilligung des Unternehmens

DSGVO + BDSG; meist Art. 6 Abs. 1 lit. f mit dreistufigem Test; BfDI/Landes-Aufsichtsbehörden

Schweiz (CH)

Werbliche Belästigung über UWG; ePrivacy-Umsetzung über FMG

Über UWG; Anruf-Schutznormen

revDSG (in Kraft 1.9.2023); Rechtfertigung nach Art. 31 revDSG, in der Formulierung enger; EDÖB als Aufsicht

Ein Schweizer Sonderpunkt mit hoher Praxisrelevanz: Das revDSG kennt keine Unternehmensbußen, dafür strafrechtliche Sanktionen gegen natürliche Personen bis CHF 250.000 für vorsätzliche Verstöße gegen bestimmte Pflichten (Art. 60-63 revDSG). Das Risiko verlagert sich damit auf Geschäftsführung und Datenschutzverantwortliche persönlich.

Die Datenschutz-Ebene im Detail: Art. 6 Abs. 1 lit. f und der dreistufige Test

Für AT/DE ist die Akquise-Liste fast immer eine DSGVO-Verarbeitung. Die typische Grundlage ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, das nach den EDPB-Leitlinien 1/2024 einen dokumentierten dreistufigen Test verlangt:

  1. Zwecktest: Das Interesse muss rechtmäßig, real, gegenwärtig und spezifisch benannt sein - „Vertrieb verbessern" reicht nicht, „qualifizierte B2B-Erstansprache passender Zielkunden im Segment X" schon eher.
  2. Erforderlichkeitstest: Geht es mit weniger oder pseudonymisierten Daten? Für angereicherte Profile heißt das: nur die wirklich benötigten Felder.
  3. Abwägungstest: Gegen die vernünftigen Erwartungen der Betroffenen. „Öffentlich verfügbar" bedeutet ausdrücklich nicht „frei verwendbar" - der Maßstab aus Meta v Bundeskartellamt (C-252/21) gilt.

Zusätzlich relevant für Outbound:

  • Transparenzpflichten (Art. 13/14 DSGVO): Wer Kontaktdaten nicht beim Betroffenen selbst, sondern über B2B-Datenbroker oder Enrichment-Tools erhebt, unterliegt Art. 14 - die „unverhältnismäßiger Aufwand"-Ausnahme (Art. 14 Abs. 5 lit. b) ist enger als oft angenommen.
  • Widerspruchsrecht (Art. 21 DSGVO): Bei lit.-f-Verarbeitung muss der Widerspruch leicht, prominent und wirksam möglich sein. Die CJEU-Linie in den SCHUFA-Begleitverfahren liest Art. 21 in diesen Fällen als generelles Recht.
  • Auftragsverarbeitung (Art. 28 DSGVO): Jedes Enrichment-Tool und jeder MCP-/API-Endpunkt, der Kontaktdaten verarbeitet, braucht einen tragfähigen AVV - eine der häufigsten Lücken in KI-gestützten Outbound-Stacks.

In der Schweiz tritt an die Stelle von lit. f die Rechtfertigung nach Art. 31 revDSG mit einer in der Formulierung engeren Interessenabwägung - die Dokumentation muss also enger gefasst sein als ein DSGVO-LIA.

Praxisbeispiel: 5.000-Kontakte-Kampagne, korrekt aufgesetzt

Eine Wiener B2B-Agentur plant für einen Mandanten eine Outbound-Kampagne an 5.000 Entscheider in AT (3.000), DE (1.500) und CH (500). Sauber aufgesetzt sieht der Workflow so aus (Pseudocode):

```text
für jeden Kontakt:
land = bestimme_land(kontakt)
# 1. Datenschutz-Gate (vor allem anderen)
wenn nicht rechtsgrundlage_dokumentiert(kontakt, land):
verwerfen # AT/DE: Art. 6(1)(f)-LIA | CH: Art. 31 revDSG
wenn auf_widerspruchsliste(kontakt):
verwerfen
# 2. Werberecht-Gate je Kanal
wenn kanal == "email" und nicht einwilligung_oder_eng_begruendet(kontakt, land):
kanal = "linkedin_personalisiert" # kein Massen-Mailing ohne Basis
# 3. AI Agent: Recherche + Anreicherung + Draft (kein Versand)
draft = agent.erzeuge_personalisierten_entwurf(kontakt)
# 4. Mensch: Freigabe + Versand-Trigger
in_freigabe_queue(draft, verantwortlicher_mensch)
```

Das Datenschutz-Gate steht vor dem Werberecht-Gate, weil ohne Rechtsgrundlage gar nicht erst verarbeitet werden darf. Der Agent erledigt Recherche, Anreicherung und Entwurf; der Versand bleibt in einer menschlichen Freigabe-Queue. Für CH-Kontakte ist zu bedenken, dass im Fehlerfall nicht das Unternehmen, sondern verantwortliche Personen strafrechtlich exponiert sind.

Für Agenturen und B2B-Teams

Für Agenturen ist Cold Outreach Compliance DACH ein Differenzierungsmerkmal: Wer Outbound-Kampagnen mit dokumentierter Rechtsgrundlage je Land, sauberem AVV-Stack und rep-in-the-loop-Architektur ausliefert, schützt den Mandanten vor Abmahnungen, Account-Sperren und Zustellbarkeits-Kollaps. Für B2B-Teams gilt: Behandeln Sie KI-Agents als Recherche-, Anreicherungs- und Schreibwerkzeuge und halten Sie den rechtlich relevanten Versand-Trigger in menschlicher Verantwortung. Holen Sie vor jedem Autonomie-Schritt ein Compliance-Sign-off zu UWG/TKG/revDSG und LinkedIn-ToS ein - und dokumentieren Sie Rechtsgrundlage, Interessenabwägung und Widerspruchslogik so, dass sie einer Prüfung standhalten.

Häufig gestellte Fragen

Ist B2B-Kaltakquise per E-Mail in der DACH-Region überhaupt erlaubt?
Nur eingeschränkt. E-Mail-Werbung an Unternehmen ist in Österreich (TKG), Deutschland (§ 7 UWG) und der Schweiz (UWG) grundsätzlich einwilligungspflichtig. Die im B2B häufig herangezogene „mutmaßliche Einwilligung" gilt als eng und umstritten und sollte nicht als Freibrief verstanden werden. Ohne tragfähige Einwilligung oder eng begrenzte Bestandskunden-Ausnahme bleibt unaufgeforderte Werbe-Mail riskant.
Was ist der Unterschied zwischen TKG (Österreich) und § 7 UWG (Deutschland)?
Funktional adressieren beide dasselbe Problem - unzumutbare Belästigung durch unerbetene Werbung. In Österreich regelt das TKG (insbesondere die ePrivacy-Umsetzung über das TKG 2021) E-Mail, Fax und teils Telefon. In Deutschland ist § 7 UWG die zentrale Norm für unzumutbare Belästigung, daneben setzt § 25 TDDDG die ePrivacy-Vorgaben um. Beide ruhen auf derselben EU-Richtlinie 2002/58/EG.
Dürfen AI Agents die Akquise-E-Mails eigenständig versenden?
Technisch ja, rechtlich heikel. Autonome Outbound-SDR-Agents funktionieren im DACH-B2B kaum, weil § 7 UWG (DE), TKG (AT) und revDSG/UWG (CH) sowie die LinkedIn-Nutzungsbedingungen den vollautonomen Versand stark begrenzen. Empfohlen ist „rep-in-the-loop": Der Agent recherchiert, reichert an und entwirft; den rechtlich relevanten Versand-Trigger verantwortet ein Mensch.
Gilt in der Schweiz die DSGVO oder das revDSG?
Für Bearbeitungen in der Schweiz gilt das revDSG (in Kraft seit 1. September 2023), das technologieneutral auch auf KI direkt anwendbar ist. Für EU-Betroffene oder EU-Niederlassungen kann zusätzlich die DSGVO greifen. Das revDSG hat keine Unternehmensbußen, dafür strafrechtliche Sanktionen gegen natürliche Personen bis CHF 250.000 (Art. 60-63) und eine in der Formulierung engere Interessenabwägung als Art. 6 Abs. 1 lit. f DSGVO.
Welche Rechtsgrundlage brauche ich für die reine Kontaktliste?
Das Verarbeiten von Kontaktdaten für Akquise ist in AT/DE eine DSGVO-Verarbeitung und stützt sich typischerweise auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) mit dokumentiertem dreistufigem Test: Zweck, Erforderlichkeit, Abwägung gegen die vernünftigen Erwartungen der Betroffenen. In der Schweiz braucht es eine Rechtfertigung nach Art. 31 revDSG. Wichtig: Datenschutz-Rechtsgrundlage und werberechtliche Zulässigkeit (UWG/TKG) sind zwei getrennte Prüfungen.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerMulti-Channel-Koordination: Email + LinkedIn + Telefon mit einem Agent-StackNächsterReply-Handling-Agent: Antworten triagieren und qualifizieren