Im Internet kursieren haufenweise Tipps zur Umsetzung aber auch Horrorstorys über die Auswirkungen der neuen Datenschutzgrundverordnung (DSGVO) für Unternehmen. Auf eine Frage jedoch finden Sie kaum eine Antwort: Dürfen Sie Leads, die auf Webportalen generiert wurden, nach dem 25. Mai noch nutzen?
An diesem Tag wird die neue EU-Verordnung sofort wirksam, und es ist höchste Zeit, sich zu informieren und vorzubereiten. Um Ihnen die DSGVO-konforme Leadgenerierung zu erleichtern, habe ich eine Übersicht der neuen Regeln für den Umgang mit Leads in B2B-Märkten zusammengestellt.
Grundsätzlich gilt: Die Verarbeitung personenbezogener Daten ist verboten
Die DSGVO gilt in allen 28 EU-Mitgliedsstaaten sowie für Unternehmen und Organisationen außerhalb der EU, die Daten von EU-Bürgern verarbeiten. Sie gilt für den Umgang mit “personenbezogenen Daten” wie z. B. Name und Anschrift, Telefonnummer oder IP-Adresse.
Zu viel Text? Alle Infos auch als Webcast
Zum Thema “Wie Sie Sales-Leads von Webportalen DSGVO-konform nutzen” gibt es auch einen Webcast. So können Sie sich alle Informationen zu diesem wichtigen Thema ganz bequem als Video ansehen.
Jetzt Webcast ansehen
Für die Nutzung dieser Daten gilt das Verbotsprinzip. Das bedeutet, laut §6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Es gibt nur drei Ausnahmen, in denen die Nutzung personenbezogener Daten erlaubt ist:
- Sie verfügen über die Einwilligung des Nutzers
- Es existiert ein Vertrag oder eine vertragsähnliche Verbindung zwischen Ihrem Unternehmen und dem Nutzer
- Es gibt ein berechtigtes Interesse Ihres Unternehmens an der Nutzung der Daten (z. B. für Direktwerbung)
Auch die Generierung von Leads im B2B fällt unter die DSGVO. In diesem Fall treffen Regel Nr. 2 und Nr. 3 nicht zu: Sie haben weder einen Vertrag mit dem Interessenten, noch haben Sie zum Zeitpunkt der Kontaktaufnahme ein sogenanntes “berechtigtes Interesse”, seine Daten in Ihrem Unternehmen zu speichern oder zu verarbeiten.
Bleibt Regel Nr. 1: Sie holen eine Einwilligung des Interessenten ein.
Verwendung von Leads: unter strengen Bedingungen und nur mit Einwilligung des Interessenten
Bei der Erhebung und Verarbeitung personenbezogener Daten muss Ihr Unternehmen bestimmte Regeln einhalten. Die Angaben in Leadformularen müssen
- für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
- dem Zweck angemessen und auf das notwendige Maß beschränkt sein (Stichwort „Datenminimierung“). In Leadformularen dürfen Sie also nur die Daten vom Interessenten abfragen, die Sie für die Bearbeitung des Leads zwingend benötigen. Das Sammeln von Daten für mögliche zukünftige Verwendungen ist nicht gestattet.
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es dem Zwecke, zu dem sie erhoben wurden, erfordert.
Also: Keine Datensammelei!
Viele B2B-Unternehmen setzen leadgenerierende Werbemaßnahmen auf B2B-Fachportalen im Zusammenhang mit Produktwerbung, Katalogen, Whitepapern oder Webinaren ein. Angaben aus solchen Werbemaßnahmen dürfen Sie ab dem 25. Mai 2018 nur noch nutzen, wenn Ihnen eine DSGVO-konforme Einwilligung des Interessenten zur Datenverarbeitung durch Ihr Unternehmen vorliegt. Ohne seine Zustimmung dürfen Sie weder die Leadanfrage bearbeiten noch dürfen Sie den Interessenten kontaktieren geschweige denn, ihm Werbung zusenden. Damit Sie Namen, Anschrift oder E-Mail-Adresse einer Person, die Sie per Leadformular kontaktiert hat, überhaupt verarbeiten dürfen, benötigen Sie unbedingt dessen ausdrückliche Einwilligung.
Einwilligung: Welche Regeln gelten?
Die DSGVO stellt an die Formulierung und Anwendung von Einwilligungserklärungen detaillierte Anforderungen. Missachten Sie die Bedingungen der DSGVO, laufen Sie Gefahr, dass die gesamte Einwilligung im Streitfall für ungültig erklärt wird. Laut Artikel 7 der Verordnung gelten folgende Bedingungen:
- Sie müssen nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
- Das Ersuchen um Einwilligung muss offensichtlich erfolgen, und die vorformulierte Erklärung muss in leicht zugänglicher Form vorliegen und in klarer und einfacher Sprache verfasst sein. Es ist nicht zulässig, die Einwilligungserklärung, z. B. in Datenschutzbestimmungen oder AGBs, mehr oder weniger versteckt unterzubringen oder sie in unverständlichem Juristendeutsch zu formulieren.
- Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.
Ob und wie Sie Angaben aus Leadformularen nutzen dürfen, hängt davon ab, dass die Einwilligungserklärung inhaltlich und formal korrekt formuliert ist. Der Nutzer stimmt mit der Erklärung lediglich der Verarbeitung seiner Daten zu konkreten und explizit beschriebenen Zwecken zu. Deshalb ist es wichtig, sich von vornherein gut zu überlegen, welche Nutzung durch die Erklärung abgedeckt werden soll.
Einwilligung: Wie dürfen Sie die Daten von Interessenten nutzen?
Die meisten B2B-Unternehmen möchten die Daten aus Leadformularen wie folgt nutzen:
- um die Leadanfrage zu bearbeiten
- um dem Interessenten Werbung jeglicher Art zu senden; dazu gehören auch Newsletter, E-Mailings, Veranstaltungseinladungen, Produktvorstellungen etc.
- um den Interessenten jederzeit per E-Mail, Telefon und Brief kontaktieren zu können
- für die Weitergabe der Leadanfrage zur Bearbeitung durch Mutter- und Tochtergesellschaften oder durch Distributoren und Partner im Herkunftsland des Interessenten
Die Einwilligungserklärung muss alle Arten der Datennutzung explizit benennen, die Ihr Unternehmen plant. Nur wenn der Interessent die Erklärung akzeptiert und damit der beschriebenen Nutzungsart seiner Angaben zugestimmt hat, dürfen Sie seine personenbezogenen Daten speichern und weiterverarbeiten.
Wie eine Einwilligungserklärung auf Online-Portalen formuliert sein sollte, um die oben genannten Verwendungsarten der Online-Leads zu erlauben, können Sie sich gerne an diesem Beispiel der B2B-Portale von LUMITOS ansehen:
Achtung Nachweispflicht!
Eine wesentliche Änderung der DSGVO im Vergleich zu bisherigen Datenschutzgesetzen ist die Umkehrung der Beweislast für die Einhaltung des Datenschutzes.
Ab dem 25. Mai sind Unternehmen in der Pflicht zu beweisen, dass sie über die notwendigen Einwilligungen und Voraussetzungen zur Verarbeitung personenbezogener Daten aus Leadformularen verfügen. Um diese Nachweispflicht zu erfüllen, müssen Sie in Ihren Systemen speichern, wann der Interessent Ihnen welche Einwilligung zur Verarbeitung seiner Daten aus Leadformularen erteilt hat. Speichern Sie am besten Datum und Uhrzeit der erhaltenen Leadanfrage gemeinsam mit der Einwilligungserklärung ab, die das Portal für Ihr Unternehmen vom Interessenten eingeholt hat.
Wenn Sie bei LUMITOS werben, nehmen wir Ihnen ein Stück Arbeit ab. Wir unterstützen unsere Werbekunden dabei, Ihre Nachweispflicht laut DSGVO zu erfüllen. Dazu versehen wir jede E-Mail, mit der wir die Leads an unsere Kunden weitergeben mit Datum, Uhrzeit und dem Originalwortlaut der Einwilligungserklärung, die der Interessent akzeptiert hat.
Fazit
Nach dem 25. Mai 2018 dürfen Sie gemäß DSGVO Daten aus Leadformularen von Online-Portalen nur noch nutzen, wenn Ihnen die erforderliche Einwilligungserklärung des Interessenten vorliegt. Die Portale holen eine entsprechende Erklärung für Sie ein. Achten Sie genau darauf, welche Verarbeitungszwecke darin genannt sind! Sie dürfen die Daten eines Online-Leads nur dann für weitere Marketingzwecke nutzen oder innerhalb Ihres Konzerns weitergeben, wenn der Interessent dieser Verwendung zugestimmt hat.
Prüfen Sie also jetzt sehr genau die Einwilligungserklärungen der Portale, auf denen Sie werben. Die gute Nachricht für Sie: Auf allen Portalen von LUMITOS erfolgt die Generierung von Leads für Sie ab 01.05.2018 bereits DSGVO-konform.
Hallo Herr Knecht,
müssen wir uns nun vom Portalbetreiber alle individuellen Einwilligungen senden lassen und z.B. im CRM speichern?
Viele Grüße
Kommentar abgeben
Hallo Frau Bolte,
ich würde das prinzipiell so handhaben, wie von Ihnen beschrieben.
1. Zunächst grundsätzlich mit dem Portalbetreiber klären, was die Einwilligungserklärung umfasst. Lassen Sie sich das am besten konkret anhand eines Beispiels schriftlich geben.
2. In der Praxis wird der Portalbetreiber den Inhalt der Einwilligungserklärung im Laufe der Jahre vermutlich ändern. Für Sie ist dann besonders ärgerlich, wenn der Umfang der Einwilligung eingeschränkt wird und Sie vom Ursprungsumfang ausgehen. D. h. dann fehlt Ihnen die klare Zuordnung in Ihrer Dokumentation.
3. Ob und wie Sie die Einwilligungserklärung im CRM abbilden bleibt Ihnen überlassen, so lange die Rückverfolgbarkeit gegeben ist.
Viele Grüße
Rolf Preuß
Kommentar abgeben
Hallo nochmal,
bedeutet das konkret, daß der Webportalanbieter uns alle Einverständniserklärungen vorab zur Verfügung stellen muss, damit wir diese dokumentieren können?
Danke & Gruß
Kommentar abgeben
Hallo Frau Bolte,
wenn ich Sie richtig verstehe, meinen Sie eine Art allgemeiner Einverständniserklärung, ohne direkten Bezug zum konkreten Sales-Lead. Das wäre mir persönlich zu wenig. Bei LUMITOS ist der Inhalt der Einwilligungserklärung integraler Bestandteil des Lead-Formulars. Das heißt, bei jedem Sales-Lead den Sie erhalten, steht schwarz auf weiß welche Einwilligung der Interessent Ihnen gegeben hat. Wenn Sie jede Anfrage, die über ein Portal von LUMITOS generiert wird, speichern, erhalten Sie einen eindeutigen Nachweis.
Viele Grüße
Rolf Preuß
Sehr gut geschrieben, verständlich.
Was ist mit Daten (z.B. für regelmäßige Newsletteraussendungen) die seit Jahren genutzt werden?
Viele Grüße
Kommentar abgeben
Hallo Herr Thornagel,
es freut mich, dass mein Blogbeitrag für Sie gut verständlich ist. Die Nutzung von bereits vorhandenen E-Mail Adressen für Newsletteraussendungen ist ein völlig anderes Thema. Hier kann ich Ihnen leider keine pauschale Antwort geben, da Sie sich genau ansehen müssen, um welche Art von E-Mail Adressen es sich bei Ihnen handelt. Sind es E-Mail-Adressen von Kunden, von Interessenten oder von Abonnenten, die Ihren Newsletter über Ihre Website abonniert haben? Auch für die Zusendung von Newslettern benötigen Sie nach DSGVO in der Regel die Zustimmung Ihrer Empfänger. Für die Zielgruppe Ihrer Kunden gibt es unter Umständen aber auch Ausnahmen. Da hier immer eine individuelle Prüfung und Bewertung notwendig ist, empfehle ich Ihnen die Kontaktaufnahme mit einem Rechtsanwalt oder einem Datenschutzbeauftragten.
Viele Grüße
Stefan Knecht
Kommentar abgeben