Leadgenerierung DSGVO: Rechtssicher Leads sammeln
DSGVO-konforme Leadgenerierung ist für deutsche Unternehmen keine Option, sondern Pflicht. Wer hier schlampig arbeitet, riskiert Abmahnungen, Bußgelder und im schlimmsten Fall den Verlust der gesamten Lead-Datenbank.
Ich bin kein Anwalt, und dieser Ratgeber ersetzt keine Rechtsberatung. Aber ich habe in meinen Kundenprojekten immer wieder gesehen, welche Punkte regelmäßig übersehen werden und welche Setups dagegen wasserdicht sind. Das will ich hier weitergeben.
Die rechtlichen Grundlagen im Überblick
Drei Regelwerke betreffen dich bei der Leadgenerierung:
- DSGVO (Datenschutz-Grundverordnung): Regelt den Umgang mit personenbezogenen Daten EU-weit. Für Leadgenerierung besonders relevant: Einwilligungen, Auskunftsrechte, Löschpflichten.
- TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz): Seit Dezember 2021 in Kraft. Regelt Cookies und Tracking. Einwilligung ist für fast alle nicht-funktionalen Cookies Pflicht.
- UWG (Gesetz gegen den unlauteren Wettbewerb): Regelt Werbung und unlauteres Verhalten. Für Leadgenerierung relevant bei Kaltakquise per E-Mail und bei der Werbekennzeichnung.
Bei Verstößen drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Für kleinere Unternehmen sind das existenzbedrohende Zahlen, auch wenn der Einzelfall selten die Maximalstrafe trifft.
Einwilligung: Die Basis für alles
Wer Daten erhebt, braucht eine rechtliche Grundlage. Die wichtigste bei Leadgenerierung ist die Einwilligung des Nutzers.
Die Einwilligung muss:
- Freiwillig sein (kein Zwang, kein Koppelungsgeschäft)
- Informiert sein (Nutzer weiß, wozu er zustimmt)
- Unmissverständlich sein (aktiv angekreuzt, nicht vorausgefüllt)
- Nachweisbar sein (Protokoll mit Zeitstempel, IP, Bestätigungsmail)
- Widerrufbar sein (der Nutzer muss seine Einwilligung jederzeit zurückziehen können)
In der Praxis heißt das: Jedes Leadformular braucht eine aktiv anzukreuzende Checkbox für den Datenschutz-Hinweis, plus Double-Opt-in für E-Mail-Listen.
Double-Opt-in: Pflicht bei E-Mail-Listen
Double-Opt-in bedeutet: Nach der Anmeldung bekommt der Nutzer eine Bestätigungsmail mit einem Link, den er klicken muss, um die Anmeldung zu bestätigen. Erst dann landet er tatsächlich auf deiner Liste.
Warum das wichtig ist: Single-Opt-in (also sofortige Aufnahme nach Formular-Absenden) ist in Deutschland bei E-Mail-Marketing rechtlich heikel. Es gibt zwar einige Urteile, die Single-Opt-in erlauben, aber die Rechtsprechung ist uneinheitlich. Double-Opt-in ist der sichere Weg.
Gute Funnel-Tools haben Double-Opt-in standardmäßig integriert. Bei Perspective (Werbung) gibt es sogar eine OTP-Bestätigung per Einmalcode. Damit verifizierst du die E-Mail direkt im Funnel, bevor der Lead überhaupt dein System verlässt. Das ist technisch eleganter als klassische Bestätigungsmails und reduziert die Abbruchquote.
Perspective 4 Wochen kostenlos testen (Werbung)
Normal bekommst du bei Perspective 2 Wochen Testzeitraum. Über meinen Partner-Link bekommst du 4 Wochen kostenlos, doppelte Zeit, um das Tool richtig zu testen. Ich nutze Perspective seit Jahren und habe damit über meine eigenen Projekte hinweg tausende Leads generiert. Kein anderes Tool kommt in meinen Tests bisher an die mobile Conversion-Rate von Perspective ran.
Jetzt 4 Wochen kostenlos testen (Werbung)
Cookies und Tracking: Das TTDSG-Problem
Seit Ende 2021 brauchst du für fast alle Tracking-Cookies eine aktive Einwilligung. Das betrifft:
- Google Analytics
- Meta Pixel
- LinkedIn Insight Tag
- Google Ads Conversion Tracking
- Hotjar und ähnliche Heatmap-Tools
- Tag Manager und Remarketing-Pixel
Der Nutzer muss vor dem Setzen dieser Cookies zustimmen. Cookie-Banner müssen:
- Eine gleich prominente „Ablehnen“-Option haben wie „Akzeptieren“
- Alle Cookie-Gruppen einzeln abwählbar machen
- Vorab keine nicht-funktionalen Cookies setzen
- Eine Widerrufsmöglichkeit anbieten (meist als Icon in der Ecke)
Tools dafür: Cookiebot, Usercentrics, Borlabs Cookie für WordPress. Alle drei sind DSGVO-konform einsetzbar.
Auftragsverarbeitungs-Verträge nicht vergessen
Jedes Tool, das personenbezogene Daten deiner Leads verarbeitet, braucht einen Auftragsverarbeitungs-Vertrag (AVV). Das ist eine rechtlich vorgeschriebene Vereinbarung zwischen dir und dem Tool-Anbieter.
Betroffen sind fast alle Marketing-Tools:
- E-Mail-Marketing (Brevo, ActiveCampaign, Mailerlite)
- CRM-Systeme (HubSpot, Pipedrive)
- Funnel-Builder
- Analytics-Tools
- Webhosting und Cloud-Dienste
Die meisten seriösen Anbieter haben AVV-Formulare zum Download auf ihrer Webseite. Einfach unterzeichnen und aufbewahren. Bei Anbietern aus den USA wird es komplizierter (Drittlandübermittlung). Hier ist die Nutzung von EU-Anbietern oft der einfachere Weg. Perspective sitzt in Berlin, der Hosting-Server steht in der EU. Das macht es DSGVO-seitig deutlich angenehmer.
Kaltakquise per E-Mail: Was geht, was nicht
Das Thema wird immer wieder missverstanden. Die Regel:
- B2C (Privatpersonen): Kaltakquise per E-Mail ist ohne vorherige Einwilligung verboten. Punkt.
- B2B (Unternehmen): Eng eingegrenzt zulässig, wenn ein mutmaßliches Interesse besteht und das Angebot zur Geschäftstätigkeit des Empfängers passt.
Das bedeutet nicht, dass du im B2B wahllos Massen-Mails verschicken darfst. Einzelne, persönliche Ansprachen mit klarem Bezug zur Tätigkeit des Empfängers sind vertretbar. Massen-Cold-Outreach ist auch im B2B rechtlich riskant und wird zunehmend abgemahnt.
Meine DSGVO-Checkliste für Leadgenerierung
- Datenschutzerklärung aktuell und vollständig (alle Tools nennen)
- Impressum sichtbar verlinkt
- Cookie-Banner konform (Ablehnen gleich prominent wie Akzeptieren)
- AVV mit jedem Tool-Anbieter unterzeichnet
- Double-Opt-in bei E-Mail-Anmeldungen
- Checkbox mit Datenschutz-Einwilligung in allen Formularen
- Werbekennzeichnung bei Affiliate-Links (Anzeige/Werbung direkt am Link)
- Löschkonzept für inaktive Leads (in der Regel nach 24 Monaten)
- Verzeichnis der Verarbeitungstätigkeiten (VVT) geführt
- Meldewege für Datenpannen definiert
Wer alle Punkte erfüllt, ist gegen die gängigen Abmahnmaschen weitgehend geschützt. Hundertprozentige Sicherheit gibt es nicht, aber 90 Prozent ist deutlich besser als die übliche Praxis.
Häufige Fragen zu DSGVO und Leadgenerierung
Darf ich Tools wie Google Analytics noch nutzen?
Ja, aber nur mit aktiver Einwilligung des Nutzers. Die frühere Praxis, Analytics einfach zu setzen, ist illegal. Wer auf Nummer sicher gehen will, kann auf Matomo umstellen, das sich DSGVO-konform auch ohne Einwilligung betreiben lässt.
Wie lange darf ich Lead-Daten speichern?
So lange wie notwendig für den jeweiligen Zweck. Bei Newsletter-Anmeldungen pragmatisch meist 24 Monate nach letzter Aktivität. Bei Bestandskunden länger, oft bis zehn Jahre wegen steuerlicher Aufbewahrungspflichten.
Brauche ich einen Datenschutzbeauftragten?
Ab 20 Personen, die mit personenbezogenen Daten arbeiten, musst du einen benennen. Darunter meist freiwillig, kann aber sinnvoll sein, weil ein externer DSB das Haftungsrisiko reduziert.
Was passiert, wenn ein Lead seine Daten löschen möchte?
Du musst dem Wunsch unverzüglich nachkommen. Meist innerhalb eines Monats. In allen Systemen, in denen die Daten liegen. Das ist einer der Gründe, warum ein zentrales CRM sinnvoll ist: Du hast einen Ort, an dem du Daten koordiniert löschen kannst.
Darf ich Lead-Listen kaufen?
Im B2C nein. Im B2B in engen Grenzen, wenn der Verkäufer nachweisen kann, dass die Daten rechtmäßig erhoben wurden. Praktisch ist das fast nie der Fall. Wer auf Nummer sicher gehen will, baut selbst auf.
Weiter lesen zum Thema Leadgenerierung
Übersicht: Leadgenerierung Pillar-Seite. Verwandt: B2B-Leadgenerierung, Online-Leadgenerierung, Methoden, Automatisierung, Kosten pro Lead, Lead Management, Facebook Leads.
Hilfe bei der Umsetzung?
Wenn du Hilfe bei der Einrichtung deiner Leadgenerierung brauchst, melde dich gerne. Im kostenlosen Erstgespräch zeige ich dir, welche Kanäle für dich sinnvoll sind und welche Tools du realistisch brauchst.