Website-Besuchererkennung auf Autopilot: Die DSGVO- und UWG-Fallen
Die Funktionen von Leadinfo und Leadfeeder sind für Vertriebsteams sehr attraktiv: Neben der Identifizierung der Unternehmen liefern sie auch die Namen, Positionen und direkten E-Mail-Adressen potenzieller Ansprechpartner*. Mit dem „Autopilot“ von Leadinfo sind sogar vollautomatisierte E-Mail-Kampagnen zur Kaltakquise direkt aus der Software heraus möglich. Doch dieser scheinbare Komfort birgt erhebliche juristische Risiken. Deshalb werfen wir einen genauen Blick auf die datenschutz- und wettbewerbsrechtlichen Fallstricke rund um das Scraping von Kontaktdaten, irreführendes Cookie-Consent-Handling und die mögliche Verleitung zum Rechtsbruch durch unzulässige Kaltakquise-Infrastrukturen.
Das Schlaraffenland-Versprechen
In unserem aktuellen Vergleichstest der B2B-Besuchererkennungslösungen Leadfeeder, Leadinfo und SalesViewer fiel uns ein signifikanter Unterschied auf: Während sich SalesViewer auf die reine Unternehmensidentifikation konzentriert, geben Leadfeeder und Leadinfo zu den erkannten Firmen auch direkt umfangreiche, personenbezogene Kontaktdaten aus. In den Firmendetails erhält man Zugriff auf Kontaktnamen, LinkedIn-URLs und geschäftliche E-Mail-Adressen, zum Teil sogar auf Telefonnummern. Leadinfo geht noch einen bemerkenswerten Schritt weiter: Das Tool integriert ein Marketing-Automation-Modul namens „Autopilot“, mit dem Anwender diese extrahierten Kontakte vollautomatisiert über E-Mail-Strecken oder LinkedIn-Nachrichten anschreiben lassen können. Was nach einer großen Arbeitserleichterung für das Sales-Team klingt, entpuppt sich bei rechtlicher Betrachtung jedoch als hochproblematisch.
Woher kommen diese Personendaten? (Artikel 14 DSGVO & AVV-Falle)
Wenn in einem Dashboard plötzlich zu einer IP-Adresse hunderte persönliche E-Mail-Adressen von Mitarbeitern* des zugehörigen Unternehmens auftauchen, stellt sich unweigerlich die Frage nach der Herkunft dieser Daten. Die Anbieter sammeln sie vermutlich, indem sie Business-Netzwerke wie LinkedIn scrapen oder sie von externen Brokern und Diensten (wie Apollo.io, Hunter.io oder Cognism) einkaufen und zusammenführen.
Die Informationspflicht, der nicht nachgekommen wird: Bei diesen Datensätzen (Name, ggf. Foto, E-Mail-Adresse, etc.) handelt es sich zweifelsfrei um personenbezogene Daten. Gemäß Artikel 14 Abs. 3 DSGVO ist ein Verantwortlicher verpflichtet, die betroffene Person spätestens innerhalb eines Monats darüber zu informieren, wenn personenbezogene Daten nicht direkt bei ihr erhoben wurden. Die Anbieter legen große Adressbücher an. Ob sie die Betroffenen DSGVO-konform über diese Speicherung informieren, ist zweifelhaft (alle betroffenen Mitarbeiter von Publicare wurden bislang nicht informiert).
Gespaltene Verantwortlichkeit (Controller/Verantwortlicher vs. Processor/Auftragsverarbeiter): Viele Anwender könnten sich in der falschen Sicherheit wiegen, dass die Nutzung des Systems allein im Rahmen der normalen Auftragsverarbeitung erfolgt. Ein genauer Blick in den Auftragsverarbeitungsvertrag (AVV/DPA) von Leadinfo offenbart jedoch eine juristisch brisante Aufspaltung. Dort heißt es sinngemäß, dass Leadinfo beim reinen Website-Tracking als Auftragsverarbeiter für den Kunden handelt. Bei der „Pflege und Anreicherung der Leadinfo-Datenbank“ agiert der Anbieter jedoch ausdrücklich als eigener Verantwortlicher. Leadinfo baut sich hier also einen kundenunabhängigen Datenpool auf, der durch die reine Auftragsverarbeitung für den Website-Betreiber nicht gedeckt ist.
DSGVO-Verantwortung der Kunden: Wenn Leadinfo (als Verantwortlicher) Adressdaten aus diesem Datenpool an seine Kunden (als weitere Verantwortliche) übermittelt, dürften die Kunden ihrerseits gemäß Artikel 14 DSGVO zur Information der Betroffenen verpflichtet sein. Außerdem erfordert die Übermittlung der Adressdaten von Leadinfo an die Kunden eine Rechtsgrundlage im Sinne von Artikel 6 DSGVO – was angesichts der beschränkten Nutzbarkeit der Daten (hierzu sogleich mehr) durchaus problematisch ist.
Die Kaltakquise-Falle (UWG)
Die bloße Bereitstellung von E-Mail-Adressen ist das eine, ihre Nutzung für den Vertrieb das andere. Die Anzeige der persönlichen E-Mail-Adressen in den Firmendetails verleitet Anwender:innen geradezu zu einem „kalkulierten Rechtsbruch“.
§ 7 UWG und das Verbot der E-Mail-Werbung: In Deutschland (ähnlich wie in vielen weiteren EU-Ländern) macht § 7 UWG für werbliche Kontaktaufnahmen enge Vorgaben. Kaltakquise per E-Mail ist im B2B-Umfeld ohne vorheriges Opt-in (ausdrückliche Einwilligung) des Empfängers nur bei bereits bestehender Geschäftsbeziehung zulässig (und einigen weiteren Voraussetzungen, vgl. § 7 Absatz 3 UWG), ansonsten denknotwendig rechtswidrig. Wenn ein Tool dem Vertriebsmitarbeiter also eine Liste mit 50 Mitarbeitern des erkannten Unternehmens präsentiert und dieser blindlings E-Mails verschickt, begeht das Unternehmen einen klaren Verstoß.
Infrastruktur für Rechtswidrigkeit: Besonders kritisch ist hier der Leadinfo Autopilot zu bewerten. Die Software stellt eine technische Infrastruktur und Automatisierung bereit, deren Nutzung für Kaltakquise per E-Mail auf ein rechtswidriges Handeln hinausläuft, da die erforderliche Einwilligung für diese massenhafte Ansprache fehlt. Der Anbieter leistet damit faktisch dem rechtswidrigen Handeln seiner Kunden Vorschub.
Das Cookie- & Local Storage-Chaos (TDDDG)
Während SalesViewer auf eine cookielose Erkennungstechnologie setzt, arbeiten die Mitbewerber in der Standard-Einstellung technologisch offensiver.
Fehlender Consent bei Leadfeeder und Leadinfo: Im Standard-Setup von Leadfeeder wird ein Tracking-Cookie (_lfa) gesetzt, selbst wenn noch gar keine Einwilligung durch den Nutzer per Cookie-Consent-Banner (z. B. Cookiebot) erteilt wurde. Auch Leadinfo setzt standardmäßig solche Speicher-Techniken ein. Anstatt klassischer Cookies speichert das Tool Daten im "Local Storage" des Browsers. Rechtlich macht dies jedoch keinen Unterschied: Gemäß § 25 TDDDG ist das Speichern und Auslesen von Informationen auf dem Endgerät des Nutzers (gleich, ob Cookie oder Local Storage) zustimmungspflichtig, sofern es nicht technisch zwingend erforderlich ist.
Irreführende „DSGVO-Konformität“: Leadinfo bewirbt seine Lösung als „cookielos“ nutzbar und gibt an, sie sei „100 % DSGVO-konform“. Wenn eine Lösung jedoch ungefragt Daten im Local Storage speichert, verstößt sie gegen das TDDDG. Das TDDDG ist zwar nicht die DSGVO, sondern eine andere Rechtsnorm – das Etikett „GDPR-konform“ wirkt in diesem Kontext trotzdem irreführend.
Die Konsequenz für Website-Betreiber: Um Leadfeeder und Leadinfo rechtssicher einzusetzen, müssen die Skripte strikt hinter eine Cookie-Wall verbannt werden. Da im B2B-Bereich die Zustimmungsraten für Marketing-Cookies jedoch oft nur bei 50 bis 70 Prozent liegen, würde ein pauschales Blockieren der Skripte zu einem massiven Verlust an erkannten Unternehmen führen. Um dies zu verhindern, sind komplexe technische Vorkehrungen erforderlich, wie etwa die Einrichtung eines speziellen 'Consent Modes' über den Google Tag Manager mittels Custom-HTML-Tags und spezifischen Triggern. Nur durch dieses aufwendige Setup lässt sich ein Fallback-Mechanismus aktivieren, der sicherstellt, dass das grundlegende Tracking und die Unternehmenserkennung auch dann stattfinden, wenn das Ausspielen von Cookies (und somit auch die Speicherung im Local Storage) durch den Nutzer verweigert wird.
Fazit: Risikoabwägung für Unternehmen
Der Einsatz von Softwarelösungen, die Kontaktdaten auf dem Silbertablett präsentieren und das Tracking im rechtlichen Graubereich durchführen, erfordert eine harte Risikoabwägung. Wenn Vertriebsmitarbeiter durch mitgelieferte Kontaktlisten dazu animiert werden, Kaltakquise-Mails ohne Opt-in zu versenden, trägt der Arbeitgeber das volle Abmahnrisiko. Die SaaS-Anbieter sichern sich hier in der Regel ab: So verpflichtet Leadfeeder den Verantwortlichen (Website-Betreiber) in seinen Vertragsbedingungen beispielsweise zur umfassenden Freistellung von Schadensersatzansprüchen und bürdet ihm die Beweislast auf.
Wer datenschutzrechtlich sicher und ohne Haftungsrisiko agieren möchte, ist gut beraten, auf Plattformen mit restriktivem Ansatz (wie SalesViewer) zu setzen und das Buying Center manuell über Plattformen wie LinkedIn zu recherchieren und zu kontaktieren. Das ist vielleicht im ersten Moment weniger komfortabel, verringert aber das Risiko unzulässiger Massenversendungen und führt durch die gezielte, manuelle Recherche mittelbar zu relevanterer Kommunikation – anstatt im Spam-Ordner genervter Empfänger.
Lesen Sie dazu auch folgende Beiträge rund um das Thema Leadqualifizierung: B2B-Website-Besuchererkennung im indirekten Vertriebsmodell und Lead-Qualifizierung ist ein Marathon – kein Sprint
* Soweit im diesem Text Bezeichnungen für natürliche Personen nur in männlicher Form angeführt sind, beziehen sie sich auf alle Geschlechter in gleicher Weise. Die Wahl der Formulierung erfolgt ausschließlich aus Gründen der Textlogik und Übersichtlichkeit.
