DSGVO im B2B-Vertrieb: Der praktische Leitfaden
DSGVO-Leitfaden für B2B-Vertrieb — was erlaubt ist, was nicht, und wie Sie Cold Email, CRM-Daten und Enrichment datenschutzkonform umsetzen.
DSGVO und B2B: Was Sie wirklich wissen müssen
Die DSGVO ist kein Verbot von B2B-Vertrieb. Sie ist ein Regelwerk für den verantwortungsvollen Umgang mit personenbezogenen Daten. Die Kurzversion:
Erlaubt: Geschäftliche Kontaktdaten für B2B-Vertrieb nutzen, wenn ein berechtigtes Interesse besteht.
Verboten: Private Daten ohne Einwilligung verarbeiten, Opt-out ignorieren, Daten ohne Zweck horten.
Die 6 Rechtsgrundlagen — und welche für B2B zählt
Die DSGVO erlaubt Datenverarbeitung nur mit einer der 6 Rechtsgrundlagen aus Art. 6 Abs. 1:
| Rechtsgrundlage | Relevant für B2B-Vertrieb? |
|---|---|
| a) Einwilligung | Nur für Newsletter, Marketing-Emails an Bestandskunden |
| b) Vertragserfüllung | Nur für bestehende Kunden |
| c) Rechtliche Verpflichtung | Nicht relevant |
| d) Lebenswichtige Interessen | Nicht relevant |
| e) Öffentliches Interesse | Nicht relevant |
| f) Berechtigtes Interesse | ✅ Die Rechtsgrundlage für B2B-Kaltakquise |
Berechtigtes Interesse: Die Drei-Stufen-Prüfung
-
Besteht ein berechtigtes Interesse? → Ja: Neukundengewinnung ist ein anerkanntes berechtigtes Interesse (Erwägungsgrund 47 DSGVO nennt Direktmarketing explizit).
-
Ist die Verarbeitung erforderlich? → Ja: Um potenzielle Kunden zu kontaktieren, müssen Sie deren Geschäftsdaten verarbeiten.
-
Überwiegen die Interessen der betroffenen Person? → Abwägung: Geschäftliche Kontaktdaten im beruflichen Kontext = geringerer Schutzanspruch als private Daten. Wenn Ihr Angebot zum Geschäftsfeld passt und Sie angemessen vorgehen: Nein, die Interessen überwiegen nicht.
DSGVO-Checkliste für den B2B-Vertrieb
Bei der Datenerhebung
- Nur geschäftliche Daten: Business-Email, Firmentelefon, beruflicher LinkedIn-Profil
- Datensparsamkeit: Nur erheben was Sie tatsächlich brauchen (Name, Email, Firma, Jobtitel — nicht Geburtsdatum oder Hobbys)
- Quelle dokumentieren: Woher stammen die Daten? (LinkedIn, Apollo, Clay, Website, Event)
- Rechtsgrundlage dokumentieren: Berechtigtes Interesse + Interessenabwägung
Bei der Kontaktaufnahme
- Datenschutzhinweis: Link zur Datenschutzerklärung in der Email-Signatur
- Opt-out-Möglichkeit: In jeder Email ein Abmeldelink oder Hinweis
- Identifikation: Absendername, Firma und Kontaktdaten klar erkennbar
- Sachlicher Zusammenhang: Ihr Angebot passt zum Geschäftsfeld des Empfängers
Im CRM
- Verarbeitungsverzeichnis: Kaltakquise als Verarbeitungstätigkeit dokumentiert
- Sperrliste pflegen: Kontakte die widersprochen haben, nie wieder anschreiben
- Löschfristen: Automatische Erinnerung bei Kontakten ohne Interaktion nach 6-12 Monaten
- Zugriffsbeschränkung: Nur berechtigte Mitarbeiter haben Zugang
Konkrete Szenarien aus dem Alltag
Szenario 1: Clay-Enrichment für Outreach
Frage: Darf ich Daten aus Clay (Apollo, Cognism, Hunter) für Cold Emails nutzen?
Antwort: Ja, wenn:
- Sie nur geschäftliche Kontaktdaten enrichen
- Berechtigtes Interesse besteht (sachlicher Zusammenhang)
- Sie die Datenquellen in Ihrem Verarbeitungsverzeichnis nennen
- Empfänger sich abmelden können
- Verifizierte Emails = weniger Bounces = weniger Datenschutz-Risiko
Szenario 2: LinkedIn-Profil-Daten verwenden
Frage: Darf ich Daten von LinkedIn-Profilen für Kaltakquise verwenden?
Antwort: Bedingt. LinkedIn-Profildaten sind öffentlich zugänglich — das allein ist aber keine DSGVO-Rechtsgrundlage. Sie brauchen berechtigtes Interesse und müssen die Person informieren. In der Praxis: Wenn Sie die LinkedIn-URL als Enrichment-Anker nutzen und dann eine geschäftliche Email finden, ist das vertretbar.
Szenario 3: CRM-Daten an Outreach-Tool übertragen
Frage: Darf ich HubSpot-Kontakte an Instantly oder Lemlist exportieren?
Antwort: Ja, wenn:
- Beide Tools in Ihrem Verarbeitungsverzeichnis stehen
- Ein Auftragsverarbeitungsvertrag (AVV/DPA) mit beiden Anbietern besteht (HubSpot und Instantly bieten DPAs an)
- Die Daten in der EU/EEA oder in einem Land mit Angemessenheitsbeschluss verarbeitet werden (oder Standardvertragsklauseln vorliegen)
- Der Verwendungszweck identisch bleibt
Szenario 4: Kontakt sagt “Löschen Sie meine Daten”
Frage: Was muss ich tun?
Aktion:
- Daten aus CRM löschen (oder anonymisieren)
- Daten aus Outreach-Tool löschen
- Email-Adresse auf interne Sperrliste setzen (damit Sie nicht erneut anschreiben)
- Bestätigung an die Person senden: “Ihre Daten wurden gelöscht”
- Frist: Ohne unnötige Verzögerung, maximal 1 Monat
Tool-spezifische DSGVO-Hinweise
| Tool | AVV/DPA verfügbar? | Serverstandort | Hinweis |
|---|---|---|---|
| HubSpot | ✅ | EU (Frankfurt) möglich | DSGVO-Features in Settings aktivieren |
| Clay | ✅ | USA (SCCs) | Nur Business-Daten enrichen |
| Apollo.io | ✅ | USA (SCCs) | Do-Not-Email Liste pflegen |
| Instantly | ✅ | USA (SCCs) | Unsubscribe-Link automatisch |
| Cognism | ✅ | EU | DSGVO-by-Design, stärkster EU-Fokus |
| n8n (self-hosted) | N/A | Ihr Server | Volle Kontrolle, kein DPA nötig |
| n8n (Cloud) | ✅ | EU (Germany) | DSGVO-konform |
Dokumentation: Was Sie bereithalten müssen
1. Verarbeitungsverzeichnis (Art. 30 DSGVO)
Für Ihre B2B-Vertriebsaktivitäten dokumentieren:
| Feld | Beispiel |
|---|---|
| Verarbeitungstätigkeit | B2B-Kaltakquise (Email + LinkedIn) |
| Verantwortlicher | [Ihre Firma] |
| Zweck | Neukundengewinnung im B2B-Segment |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Betroffene Personen | Geschäftliche Ansprechpartner in Zielunternehmen |
| Datenkategorien | Name, geschäftliche Email, Jobtitel, Firma, LinkedIn-URL |
| Empfänger | HubSpot (CRM), Instantly (Email), Clay (Enrichment) |
| Löschfrist | 12 Monate nach letzter Interaktion ohne Geschäftsbeziehung |
| TOMs | Zugangsbeschränkung, Verschlüsselung, AVVs mit allen Auftragsverarbeitern |
2. Interessenabwägung
Halten Sie schriftlich fest, warum das berechtigte Interesse am B2B-Outreach überwiegt:
- Ihr Interesse: Neukundengewinnung
- Interesse des Betroffenen: Nicht unerwünscht kontaktiert werden
- Abwägung: Geschäftliche Daten, relevantes Angebot, Opt-out jederzeit → Interesse des Verantwortlichen überwiegt
3. Datenschutzerklärung
Ihre Website-Datenschutzerklärung muss einen Abschnitt zu Kaltakquise/Direktmarketing enthalten — dort verlinken Sie aus der Email heraus.
Häufige Fragen
Gilt die DSGVO auch für B2B-Kontaktdaten?
Ja. Die DSGVO schützt personenbezogene Daten natürlicher Personen — unabhängig davon, ob sie in einem B2B-Kontext verarbeitet werden. Der Name, die Email und die Telefonnummer eines Geschäftsführers oder Vertriebsleiters sind personenbezogene Daten. Ausnahme: Reine Unternehmensdaten ohne Personenbezug (z.B. Firmenumsatz, Branche) fallen nicht unter die DSGVO.
Welche Rechtsgrundlage gilt für B2B-Kaltakquise?
Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse. Ihr berechtigtes Interesse: Neukundengewinnung. Voraussetzung: Die Interessen der betroffenen Person überwiegen nicht. In der Praxis heißt das: geschäftliche Kontaktdaten, sachlicher Zusammenhang, angemessene Frequenz, Opt-out-Möglichkeit.
Muss ich bei B2B-Cold-Emails einen Datenschutzhinweis mitschicken?
Ja. Nach Art. 13/14 DSGVO müssen Sie die betroffene Person bei der ersten Kontaktaufnahme informieren: Wer Sie sind, warum Sie die Daten verarbeiten, welche Rechte bestehen (Auskunft, Löschung, Widerspruch). In der Praxis: Ein Link zu Ihrer Datenschutzerklärung in der Email-Signatur reicht — ein mehrseitiger Disclaimer in der Email selbst ist nicht nötig.
Wie lange darf ich B2B-Kontaktdaten speichern?
Die DSGVO nennt keine feste Frist. Es gilt der Grundsatz der Speicherbegrenzung: So lange wie nötig für den Verarbeitungszweck. Empfehlung: Kontakte die nach 6 Monaten nicht reagiert haben → prüfen ob weiterhin berechtigtes Interesse besteht. Kontakte die explizit widersprochen haben → sofort löschen (Email) bzw. auf Sperrliste setzen.