B2B-Adressen Kaltakquise: DSGVO-konform beschaffen
B2B-Adressen für die Kaltakquise DSGVO- und UWG-konform beschaffen: legale Quellen, berechtigtes Interesse, Datenminimierung und Dokumentation.
Cold Outreach im DACH-Raum scheitert selten an der Botschaft — er scheitert an der Datengrundlage. Wer B2B-Adressen für die Kaltakquise beschafft, bewegt sich zwischen zwei Regelwerken: der DSGVO (darf ich die Daten überhaupt verarbeiten?) und dem UWG (darf ich diese Person ungefragt kontaktieren?). Beide Fragen sind unterschiedlich zu beantworten, und genau hier entstehen die teuren Fehler.
Dieser Beitrag zeigt, woher Sie B2B-Kontaktdaten DSGVO-konform bekommen, welche Quellen sicher sind, was Sie auf keinen Fall tun sollten und wie Sie Ihre Vorgehensweise so dokumentieren, dass sie einer Prüfung standhält.
Wichtig: Dieser Beitrag ist eine fachliche Orientierung und ersetzt keine Rechtsberatung. Für Ihren konkreten Einzelfall sollten Sie eine spezialisierte Anwaltskanzlei hinzuziehen.
Zwei getrennte Rechtsebenen: Beschaffung vs. Nutzung
Der häufigste Denkfehler ist, Beschaffung und Nutzung in einen Topf zu werfen. Es sind zwei Prüfungen.
Ebene 1 — Darf ich die Daten verarbeiten? (DSGVO) Sobald Sie Namen, geschäftliche E-Mail-Adressen oder Telefonnummern von natürlichen Personen erheben und speichern, ist das eine Verarbeitung personenbezogener Daten. Für reine B2B-Geschäftsdaten kommt als Rechtsgrundlage in der Regel das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Voraussetzung ist eine Interessenabwägung: Ihr Interesse (z. B. Neukundengewinnung) gegen das Schutzinteresse der betroffenen Person. Bei geschäftlichen Kontaktdaten mit klarem fachlichem Bezug fällt diese Abwägung oft zu Ihren Gunsten aus — aber sie muss tatsächlich vorgenommen und dokumentiert werden.
Ebene 2 — Darf ich diese Person kontaktieren? (UWG) Selbst wenn Sie die Daten rechtmäßig besitzen, regelt der § 7 UWG den Erstkontakt für Werbung. Für E-Mail-Werbung verlangt das Gesetz grundsätzlich die vorherige ausdrückliche Einwilligung des Empfängers — auch im B2B. Für Telefonwerbung gegenüber Unternehmen (B2C ist strenger) genügt eine mutmaßliche Einwilligung, also ein sachlicher Grund anzunehmen, dass der Anruf für das Geschäft des Angerufenen relevant ist.
Heißt konkret: Eine sauber recherchierte Adresse ist die notwendige, aber nicht die hinreichende Bedingung. Ob Sie damit eine Kalt-E-Mail verschicken dürfen, ist eine eigene Frage. Mehr dazu in unserem Leitfaden zur Rechtslage der B2B-Kaltakquise per E-Mail und zur Frage, ob B2B-Kaltakquise überhaupt erlaubt ist.
Legitime Quellen für B2B-Adressen
Die sicherste Strategie ist immer die, bei der Sie die Herkunft jedes Datensatzes jederzeit belegen können. Folgende Quellen erfüllen das.
| Quelle für B2B-Adressen | Rechtlich vertretbar? | Eignung | Hinweis |
|---|---|---|---|
| Firmen-Impressum / Website | Ja | Hoch | Öffentlich publiziert, Herkunft eindeutig belegbar |
| Handels-/Unternehmensregister | Ja | Mittel | Amtlich, aber selten konkrete Ansprechpartner |
| LinkedIn / Xing (öffentliche Profile) | Ja, mit Maß | Hoch | Nur öffentlich sichtbare Daten, Plattform-AGB beachten |
| Branchen- & Messeverzeichnisse | Ja | Hoch | Öffentlich, oft mit Funktion/Abteilung |
| Eigene Inbound-Leads (Formular, Download) | Ja | Sehr hoch | Häufig mit Einwilligung — bestes Fundament |
| Datenanbieter mit Quellennachweis | Bedingt | Hoch | Nur wenn Quelle + Rechtsgrundlage pro Datensatz belegt sind |
| Gekaufte ungeprüfte Massenlisten | Nein | Niedrig | Herkunft nicht nachweisbar, Rechenschaftspflicht verletzt |
| Abgegriffene Daten (Scraping ganzer Plattformen) | Nein | Niedrig | Verstößt regelmäßig gegen AGB und DSGVO |
Eigene Recherche aus öffentlichen Quellen
Das Rückgrat sauberer Adressbeschaffung. Wer auf der Website eines Zielunternehmens die zuständige Person im Einkauf oder in der IT-Leitung findet und die im Impressum oder auf der Team-Seite genannte geschäftliche Adresse nutzt, arbeitet mit Daten, deren Herkunft glasklar ist. Diese Recherche skaliert langsamer als ein Listenkauf — dafür ist jeder Datensatz verteidigbar.
Öffentliche Profile und Verzeichnisse
LinkedIn, Xing, IHK-Datenbanken, Branchenportale und Teilnehmerlisten von Fachmessen liefern Funktion und Zuständigkeit mit. Wichtig: Nur die öffentlich sichtbaren Angaben verwenden, und die Nutzungsbedingungen der jeweiligen Plattform respektieren. Automatisiertes Massen-Scraping ganzer Profilbestände ist sowohl AGB- als auch datenschutzrechtlich heikel.
Anbieter — aber mit Quellennachweis
Datenanbieter sind nicht per se verboten. Entscheidend ist, ob der Anbieter Ihnen pro Datensatz die Herkunft und die Rechtsgrundlage offenlegt. Seriöse europäische Anbieter dokumentieren das. Pauschale „2 Millionen Entscheider-Adressen für 199 €” tun es nicht — Finger weg.
Einen praktischen Überblick über Quellen und Tools zur Datenanreicherung geben wir in unserem Artikel zu Adressen für die Kaltakquise.
Was nicht erlaubt ist
Drei Praktiken bringen Sie zuverlässig in Schwierigkeiten:
-
Ungeprüfte gekaufte Listen. Wenn Sie nicht belegen können, woher ein Datensatz stammt und auf welcher Grundlage er erhoben wurde, verletzen Sie die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Bei einer Beschwerde stehen Sie ohne Nachweis da. Dazu kommt die miserable Qualität: hohe Bounce-Raten ruinieren Ihre Domain-Reputation, bevor überhaupt eine Antwort kommt.
-
Vollautomatisiertes Scraping ganzer Plattformen. Das systematische Abgreifen kompletter Profil- oder Mitgliederbestände verstößt regelmäßig gegen Plattform-AGB und ist datenschutzrechtlich nicht durch ein berechtigtes Interesse gedeckt.
-
Zweckentfremdung. Daten, die für einen anderen Zweck erhoben wurden (z. B. eine Bewerberdatenbank oder Kundendaten aus einem völlig anderen Kontext), dürfen Sie nicht einfach für Kaltakquise umwidmen. Der Erhebungszweck bindet.
Eine ausführliche Einordnung der Risiken und Bußgeldhöhen finden Sie in unserem Leitfaden zu DSGVO und Cold E-Mail.
Datenminimierung: nur erheben, was Sie brauchen
Die DSGVO verlangt Datenminimierung (Art. 5 Abs. 1 lit. c) — Sie dürfen nur die Daten erheben, die Sie für den konkreten Zweck tatsächlich benötigen.
Für eine B2B-Erstansprache heißt das in der Regel:
- Brauchbar: Vorname, Nachname, Funktion/Position, Unternehmen, geschäftliche E-Mail-Adresse, ggf. geschäftliche Telefonnummer.
- Meist unnötig: Private Kontaktdaten, Geburtsdatum, Angaben aus sozialen Netzwerken jenseits der beruflichen Rolle, persönliche Interessen.
Je weniger Sie speichern, desto kleiner ist Ihr Risiko und desto einfacher Ihre Interessenabwägung. „Wir sammeln alles, was wir kriegen” ist das Gegenteil von compliant.
Dokumentation: der Teil, den alle vergessen
Die beste Recherche nützt nichts, wenn Sie im Ernstfall nichts vorweisen können. Halten Sie deshalb fest:
- Herkunft & Zeitpunkt: Aus welcher Quelle stammt der Datensatz, wann wurde er erhoben?
- Rechtsgrundlage: Auf welche Grundlage stützen Sie die Verarbeitung (in der Regel berechtigtes Interesse)?
- Interessenabwägung: Eine kurze, nachvollziehbare Begründung, warum Ihr Interesse das Schutzinteresse der Person überwiegt — pro Segment genügt meist ein dokumentiertes Standard-Abwägungsergebnis.
- Datenschutzhinweise: Betroffene müssen erfahren, dass und wie Sie ihre Daten verarbeiten (Informationspflicht, Art. 13/14 DSGVO).
- Opt-out / Widerspruch: Jeder Empfänger muss der Verarbeitung leicht widersprechen können — und der Widerspruch muss umgesetzt werden.
- Löschfristen: Daten, die Sie nicht mehr brauchen, gehören gelöscht.
Diese Punkte sind kein bürokratischer Selbstzweck. Sie sind genau das, was Sie bei einer Beschwerde oder Aufsichtsanfrage handlungsfähig macht. Den vollständigen Rahmen dazu finden Sie in unserem B2B-DSGVO-Leitfaden.
Sonderfälle: Funktionspostfächer und Einzelunternehmer
Zwei Konstellationen sorgen regelmäßig für Verwirrung.
Funktionspostfächer wie info@, vertrieb@ oder einkauf@ sind nicht direkt einer natürlichen Person zugeordnet. Der Personenbezug ist hier schwächer, was die DSGVO-Bewertung tendenziell erleichtert. Das UWG gilt aber trotzdem: Werbung an ein Funktionspostfach bleibt Werbung und unterliegt den Anforderungen des § 7 UWG. Ein generisches Postfach ist also kein Freifahrtschein für ungefragte Werbe-Mails.
Einzelunternehmer, Freiberufler und Personengesellschaften sind heikler als Kapitalgesellschaften. Hier verschwimmt die Grenze zwischen geschäftlicher und privater Sphäre — die geschäftliche E-Mail eines Soloselbstständigen ist oft zugleich seine persönliche. Die Anforderungen an die Interessenabwägung und an einen sachlichen Bezug sind in diesen Fällen entsprechend höher. Im Zweifel gilt: konservativer prüfen.
Praktischer Ablauf für sauberes Adress-Sourcing
Ein bewährtes, verteidigbares Vorgehen in fünf Schritten:
- ICP scharf definieren. Je genauer Ihr Wunschkundenprofil, desto klarer der sachliche Bezug — die Grundlage Ihrer Interessenabwägung. Wer „alle” anschreibt, hat keine.
- Aus öffentlichen Quellen recherchieren. Website, Impressum, Register, öffentliche Profile, Branchenverzeichnisse. Herkunft notieren.
- Datenminimal speichern. Nur die Felder, die Sie für die Ansprache brauchen.
- Verifizieren. Geschäftliche E-Mail-Adressen vor Versand prüfen — schützt Ihre Reputation und ist ein Zeichen sorgfältiger Verarbeitung.
- Dokumentieren & Opt-out einrichten. Quelle, Rechtsgrundlage, Datenschutzhinweis und Widerspruchsweg pro Kampagne festhalten.
Typische Fehler und wie Sie sie vermeiden
Aus der Praxis wiederholen sich dieselben Stolpersteine:
- Listen kaufen statt recherchieren. Verlockend, weil schnell — aber ohne Quellennachweis und mit schlechter Qualität ein doppeltes Risiko. Setzen Sie auf eigene Recherche oder Anbieter mit transparentem Herkunftsbeleg.
- Die UWG-Ebene überspringen. Viele prüfen brav die DSGVO und vergessen, dass der Versand selbst eigenen Regeln folgt. Eine rechtmäßig gespeicherte Adresse erlaubt nicht automatisch die Werbe-E-Mail.
- Kein funktionierender Opt-out. Ein Widerspruchsweg, der nicht umgesetzt wird, ist schlimmer als keiner — er dokumentiert, dass Sie die Anforderung kannten und ignoriert haben.
- Alles aufheben. Wer Datensätze hortet, vergrößert nur seine Angriffsfläche. Definieren Sie Löschfristen und halten Sie sie ein.
- Zweck vermischen. Daten aus anderen Kontexten umzuwidmen ist bequem, aber rechtlich nicht gedeckt. Trennen Sie Erhebungszwecke sauber.
Wer diese fünf Punkte vermeidet, ist bereits weiter als ein großer Teil des Marktes — und baut sich gleichzeitig eine belastbarere Datenbasis.
Wie wir das bei CegTec lösen
Bei CegTec ist DSGVO-konformes Adress-Sourcing kein Nachgedanke, sondern Teil des Systems. Wir beziehen Daten ausschließlich aus öffentlichen Quellen und kombinieren das mit einer menschlichen Freigabe, bevor irgendeine Nachricht rausgeht — kein vollautomatisches Versenden an ungeprüfte Massenlisten.
In unserem eigenen Outbound haben wir auf dieser Grundlage über 87.000 E-Mails versendet — durchgehend mit Daten aus öffentlichen Quellen und dokumentierter Vorgehensweise. Genau diesen Ansatz bieten wir Kunden über unser GTM-Goat-Angebot an: DSGVO-bewusstes Outbound aus öffentlich beschafften Daten mit Human-in-the-Loop, transparent ab 2.500 €/Monat.
Wenn Sie wissen wollen, ob sich das für Ihren Vertrieb rechnet, sprechen Sie uns an.
Fazit
DSGVO-konforme Adressbeschaffung für die Kaltakquise ist kein Hexenwerk, aber sie erfordert Disziplin. Trennen Sie sauber zwischen Datenverarbeitung (DSGVO, meist berechtigtes Interesse) und Erstkontakt (UWG, oft Einwilligung erforderlich). Beziehen Sie Daten aus belegbaren öffentlichen Quellen, minimieren Sie, was Sie speichern, und dokumentieren Sie Herkunft, Rechtsgrundlage und Opt-out. Wer das tut, baut sich eine Outbound-Maschine, die nicht beim ersten Gegenwind in sich zusammenfällt — und nebenbei mit besserer Datenqualität auch bessere Ergebnisse liefert.
Dieser Beitrag ist eine fachliche Orientierung und ersetzt keine Rechtsberatung. Für die rechtliche Bewertung Ihres konkreten Vorgehens wenden Sie sich an eine spezialisierte Kanzlei.
Häufige Fragen
Darf ich B2B-Adressen für die Kaltakquise einfach beschaffen?
Das Beschaffen geschäftlicher Kontaktdaten aus öffentlichen Quellen (Impressum, Firmenwebsite, LinkedIn, Branchenverzeichnisse) ist unter dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO grundsätzlich zulässig, wenn ein sachlicher Bezug zwischen Ihrem Angebot und dem Empfänger besteht. Das Beschaffen ist aber nur die eine Seite — der Erstkontakt per E-Mail oder Telefon unterliegt zusätzlich dem § 7 UWG, der für Werbung in der Regel eine Einwilligung verlangt. Beide Ebenen müssen Sie getrennt prüfen.
Sind gekaufte B2B-Adresslisten erlaubt?
Pauschal gekaufte, ungeprüfte Massenlisten sind problematisch. Sie können in der Regel die Herkunft und Rechtsgrundlage einzelner Datensätze nicht nachweisen, was gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verstößt. Außerdem ist die Datenqualität meist schlecht (hohe Bounce-Raten). Seriös ist nur die eigene, dokumentierte Recherche aus nachvollziehbaren öffentlichen Quellen oder die Zusammenarbeit mit Anbietern, die Quelle und Rechtsgrundlage pro Datensatz transparent belegen.
Welche Quellen für B2B-Adressen sind rechtssicher?
Am sichersten sind selbst recherchierte, öffentlich zugängliche Daten: Firmen-Impressen, Unternehmenswebsites, das Handelsregister/Unternehmensregister, LinkedIn-Profile, Branchen- und Messeverzeichnisse. Hier ist die Herkunft jederzeit belegbar. Eigene Inbound-Kontakte (Website-Formulare, Content-Downloads) sind ebenfalls sauber, weil dort oft eine Einwilligung vorliegt.
Was muss ich bei B2B-Adressen dokumentieren?
Dokumentieren Sie pro Datensatz oder Quelle: woher die Daten stammen, wann sie erhoben wurden, auf welche Rechtsgrundlage Sie sich stützen (z. B. berechtigtes Interesse) und das Ergebnis einer kurzen Interessenabwägung. Dazu gehören außerdem Ihre Datenschutzhinweise, eine funktionierende Opt-out-/Widerspruchsmöglichkeit und Löschfristen. Diese Nachweise brauchen Sie, um der Rechenschaftspflicht zu genügen.