DSGVO und B2B-Daten: Was erlaubt ist

DSGVO und B2B-Daten: Was Sie wirklich wissen müssen

Die Datenschutz-Grundverordnung (DSGVO) hat seit ihrem Inkrafttreten im Mai 2018 den Umgang mit personenbezogenen Daten in Europa grundlegend verändert. Besonders im B2B-Bereich herrscht jedoch nach wie vor große Unsicherheit: Darf ich Firmenadressen kaufen und nutzen? Was ist mit Ansprechpartner-Daten? In diesem Guide klären wir die wichtigsten Fragen zur DSGVO im B2B-Kontext.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Bei konkreten Fragen wenden Sie sich an einen Fachanwalt für Datenschutzrecht.

DSGVO-Grundlagen für den B2B-Bereich

Was sind personenbezogene Daten?

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im B2B-Kontext bedeutet dies:

• Personenbezogen: Name des Geschäftsführers, persönliche E-Mail-Adresse (vorname.nachname@firma.de), Durchwahl-Telefonnummer
• Nicht personenbezogen: Firmenname, allgemeine Geschäftsadresse, info@-E-Mail-Adressen, Handelsregisternummer, Umsatzsteuer-ID

Die Unterscheidung ist entscheidend: Reine Unternehmensdaten ohne Personenbezug fallen nicht unter die DSGVO. Sobald jedoch personenbezogene Daten verarbeitet werden, müssen Sie eine Rechtsgrundlage vorweisen können.

Rechtsgrundlagen für die Verarbeitung

Die DSGVO nennt in Art. 6 sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Für den B2B-Bereich sind drei davon besonders relevant:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die Einwilligung ist die sicherste Rechtsgrundlage, erfordert aber eine aktive, freiwillige und informierte Zustimmung des Betroffenen. Im B2B-Bereich ist eine Einwilligung oft schwer zu erhalten, bevor ein Erstkontakt stattfindet.

2. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Wenn die Datenverarbeitung für die Erfüllung eines Vertrags oder vorvertragliche Maßnahmen erforderlich ist, ist sie ohne Einwilligung zulässig. Dies betrifft z.B. die Kontaktaufnahme nach einer Angebotsanfrage.

3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Das berechtigte Interesse ist die am häufigsten genutzte Rechtsgrundlage im B2B-Marketing. Es erlaubt die Datenverarbeitung, wenn:

• Ein berechtigtes Interesse des verantwortlichen Unternehmens vorliegt (z.B. Direktwerbung)
• Die Verarbeitung zur Wahrung dieses Interesses erforderlich ist
• Die Interessen der betroffenen Person nicht überwiegen

Wichtig: Die DSGVO nennt in Erwägungsgrund 47 explizit Direktwerbung als berechtigtes Interesse. Dies stärkt die Position werbender Unternehmen erheblich.

B2B-Firmenadressen kaufen: DSGVO-konform?

Reine Firmendaten ohne Personenbezug

Der Kauf und die Nutzung von reinen Firmendaten (Firmenname, Geschäftsadresse, allgemeine Kontaktdaten) ist DSGVO-unproblematisch, da keine personenbezogenen Daten betroffen sind. Sie können diese Daten frei für Ihre Marketing- und Vertriebszwecke nutzen.

Firmendaten mit Ansprechpartner

Wenn die gekauften Firmenadressen Ansprechpartner-Daten enthalten, müssen Sie folgende Aspekte beachten:

• Rechtsgrundlage: Die Nutzung erfolgt auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO)
• Interessenabwägung: Dokumentieren Sie die Abwägung zwischen Ihrem Interesse und dem des Betroffenen
• Informationspflicht: Informieren Sie den Betroffenen bei der ersten Kontaktaufnahme (Art. 14 DSGVO)
• Widerspruchsrecht: Der Betroffene hat jederzeit das Recht, der Verarbeitung zu widersprechen (Art. 21 DSGVO)

Die Informationspflicht nach Art. 14 DSGVO

Wenn Sie personenbezogene Daten nicht direkt vom Betroffenen erhoben haben (was beim Kauf von Adressen der Fall ist), müssen Sie nach Art. 14 DSGVO folgende Informationen bereitstellen:

• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
• Zweck der Verarbeitung und Rechtsgrundlage
• Die Kategorien der verarbeiteten Daten
• Die Quelle der Daten
• Die Empfänger oder Kategorien von Empfängern
• Die Speicherdauer
• Die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch)

Diese Information muss innerhalb eines Monats nach Erhalt der Daten erfolgen oder spätestens bei der ersten Kontaktaufnahme.

Praktische Umsetzung der Informationspflicht

In der Praxis gibt es verschiedene Möglichkeiten, die Informationspflicht zu erfüllen:

• Datenschutzhinweis im Erstmailing: Fügen Sie einen kurzen Datenschutzhinweis in Ihr erstes Anschreiben ein
• Verweis auf die Datenschutzerklärung: Verlinken Sie auf Ihre Online-Datenschutzerklärung
• Separate Datenschutzinfo: Legen Sie dem Mailing eine separate Datenschutzinformation bei

Interessenabwägung dokumentieren

Für die Nutzung des berechtigten Interesses müssen Sie eine Interessenabwägung durchführen und dokumentieren. Folgende Aspekte sprechen im B2B-Kontext typischerweise für den Werbenden:

• Die Daten wurden im geschäftlichen Kontext erhoben
• Der Betroffene kann vernünftigerweise erwarten, dass seine Geschäftsdaten für B2B-Marketing genutzt werden
• Es besteht ein sachlicher Bezug zwischen dem Angebot und der Geschäftstätigkeit des Betroffenen
• Die Werbung ist nicht belästigend und bietet einen potenziellen Mehrwert
• Der Betroffene hat die Möglichkeit zum Widerspruch

DSGVO und verschiedene Kontaktkanäle

Postalische Werbung

Postalische Werbung (inkl. Dialogpost) ist DSGVO-technisch der am wenigsten problematische Kanal. Das berechtigte Interesse als Rechtsgrundlage wird von Aufsichtsbehörden in der Regel anerkannt. Mehr dazu in unserem Dialogpost-ROI-Guide.

Telefonische Kontaktaufnahme

Im B2B-Bereich ist die telefonische Kaltakquise unter bestimmten Bedingungen zulässig (mutmaßliche Einwilligung nach UWG). Die DSGVO ergänzt dies um zusätzliche Anforderungen wie die Informationspflicht.

E-Mail-Marketing

E-Mail-Marketing unterliegt sowohl der DSGVO als auch dem UWG. Die Nutzung gekaufter E-Mail-Adressen ist nur eingeschränkt möglich – Details finden Sie in unserem Artikel E-Mail-Marketing B2B: Rechtssicher mit Adressen.

Bußgelder und Risiken

Bei Verstößen gegen die DSGVO drohen empfindliche Bußgelder:

• Geringfügige Verstöße: Bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes
• Schwere Verstöße: Bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes

In der Praxis sind die Bußgelder für B2B-Marketingverstöße meist deutlich geringer, aber das Risiko sollte nicht unterschätzt werden. Die deutschen Aufsichtsbehörden verhängten 2025 Bußgelder in Höhe von insgesamt über 50 Millionen Euro.

Checkliste: DSGVO-konformes B2B-Marketing

• ☑ Rechtsgrundlage für die Datenverarbeitung dokumentiert
• ☑ Interessenabwägung durchgeführt und schriftlich festgehalten
• ☑ Informationspflicht bei Erstkontakt erfüllt
• ☑ Widerspruchsmöglichkeit in jeder Kommunikation
• ☑ Suppression-Liste für Widersprüche gepflegt
• ☑ Auftragsverarbeitungsvertrag mit Datenanbieter geschlossen
• ☑ Verzeichnis der Verarbeitungstätigkeiten aktualisiert
• ☑ Datenschutzerklärung auf Website aktuell
• ☑ Löschkonzept für veraltete Daten vorhanden

Fazit: B2B-Marketing unter der DSGVO ist möglich

Die DSGVO macht B2B-Marketing nicht unmöglich – sie setzt lediglich klare Spielregeln, die für Transparenz und Fairness sorgen. Mit dem richtigen Wissen und einer sorgfältigen Dokumentation können Sie B2B-Leads kaufen und nutzen, ohne rechtliche Risiken einzugehen. Der Schlüssel liegt in der korrekten Anwendung des berechtigten Interesses, der Erfüllung der Informationspflicht und dem Respekt vor den Rechten der Betroffenen.

Praxisbeispiel: DSGVO-konforme Dialogpost-Kampagne

Ein mittelständisches Softwareunternehmen möchte Firmenadressen kaufen und für eine Dialogpost-Kampagne nutzen. So sieht ein DSGVO-konformer Prozess aus:

Schritt 1: Datenbeschaffung

Das Unternehmen kauft 2.000 Firmenadressen mit Ansprechpartner-Daten bei LeadBase24. Im Vertrag ist dokumentiert, dass die Daten aus öffentlichen Quellen stammen und DSGVO-konform erhoben wurden. Ein Auftragsverarbeitungsvertrag (AVV) wird geschlossen.

Schritt 2: Interessenabwägung

Das Unternehmen erstellt eine schriftliche Interessenabwägung: Das berechtigte Interesse an der Direktwerbung überwiegt die Interessen der Betroffenen, da es sich um geschäftliche Kontakte handelt, die Werbung einen sachlichen Bezug zur Tätigkeit der Empfänger hat, und die Belastung durch postalische Werbung gering ist.

Schritt 3: Informationspflicht erfüllen

Im Dialogpost-Mailing wird ein kurzer Datenschutzhinweis integriert, der über die Quelle der Daten, den Zweck der Verarbeitung und das Widerspruchsrecht informiert. Zusätzlich wird auf die vollständige Datenschutzerklärung auf der Website verwiesen.

Schritt 4: Widersprüche bearbeiten

Alle Widersprüche werden umgehend bearbeitet und die betroffenen Adressen auf die interne Sperrliste gesetzt. Dies stellt sicher, dass bei zukünftigen Kampagnen keine unerwünschte Werbung versendet wird.

Dieses Vorgehen zeigt: DSGVO-konformes B2B-Marketing ist kein Hexenwerk. Mit einer sorgfältigen Planung, korrekter Dokumentation und der Nutzung seriöser Datenquellen wie LeadBase24 können Sie Ihren Vertrieb rechtssicher und erfolgreich gestalten.

Auftragsverarbeitungsvertrag: Wann ist er nötig?

Beim Kauf von Firmenadressen stellt sich die Frage, ob ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich ist. Die Antwort hängt von der Art der Datenverarbeitung ab:

• AVV erforderlich: Wenn der Datenanbieter personenbezogene Daten in Ihrem Auftrag verarbeitet (z.B. regelmäßige Datenanreicherung, Adresspflege als Service)
• Kein AVV nötig: Beim einmaligen Kauf von Firmenadressen, bei dem der Anbieter die Daten als eigenverantwortliche Stelle erhebt und an Sie weitergibt

Im Zweifelsfall empfehlen wir, immer einen AVV abzuschließen. Seriöse Anbieter wie LeadBase24 stellen standardmäßig einen DSGVO-konformen AVV zur Verfügung.

Betroffenenrechte im B2B-Kontext

Auch im B2B-Marketing müssen Sie die Betroffenenrechte nach DSGVO gewährleisten. Die wichtigsten Rechte im Überblick:

• Auskunftsrecht (Art. 15): Betroffene können Auskunft über die gespeicherten Daten verlangen
• Berichtigungsrecht (Art. 16): Fehlerhafte Daten müssen auf Verlangen korrigiert werden
• Löschungsrecht (Art. 17): Unter bestimmten Umständen können Betroffene die Löschung verlangen
• Widerspruchsrecht (Art. 21): Betroffene können der Verarbeitung für Direktwerbung widersprechen – diesem Widerspruch müssen Sie immer nachkommen
• Datenübertragbarkeit (Art. 20): Betroffene können ihre Daten in einem strukturierten Format anfordern

Implementieren Sie klare interne Prozesse, um Anfragen zu Betroffenenrechten zeitnah und korrekt zu bearbeiten. Die Frist beträgt in der Regel einen Monat ab Eingang der Anfrage. Dokumentieren Sie alle Anfragen und Ihre Reaktionen sorgfältig – dies ist im Falle einer Prüfung durch die Aufsichtsbehörde wichtig.

DSGVO-Bußgelder in der Praxis: Aktuelle Fälle

Ein Blick auf aktuelle DSGVO-Bußgelder zeigt, dass Datenschutzverstöße auch im B2B-Marketing ernst genommen werden. Einige Beispiele aus der jüngsten Vergangenheit illustrieren die Risiken:

• Ein Berliner Unternehmen erhielt ein Bußgeld von 14.500 Euro, weil es E-Mail-Werbung ohne Einwilligung versendete und Widersprüche ignorierte
• Ein Hamburger Marketingunternehmen wurde mit 35.000 Euro bestraft, weil es personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeitete
• Ein süddeutscher Softwareanbieter zahlte 8.000 Euro, weil er die Informationspflicht nach Art. 14 DSGVO nicht erfüllt hatte

Diese Fälle zeigen: Die Einhaltung der DSGVO ist nicht nur eine rechtliche Pflicht, sondern auch wirtschaftlich sinnvoll. Die Kosten einer korrekten Umsetzung sind deutlich geringer als potenzielle Bußgelder, Anwaltskosten und Reputationsschäden. Mit seriösen Datenquellen wie LeadBase24 und einer sauberen Dokumentation minimieren Sie Ihr Risiko auf ein Minimum.

DSGVO im internationalen Kontext

Wenn Sie neben deutschen auch internationale B2B-Daten nutzen möchten, beachten Sie die zusätzlichen Regelungen für den internationalen Datentransfer. Seit dem EU-US Data Privacy Framework ist der Datenaustausch mit zertifizierten US-Unternehmen wieder vereinfacht. Für andere Drittländer ohne Angemessenheitsbeschluss müssen Standardvertragsklauseln (SCC) vereinbart werden. Für den deutschen B2B-Markt empfehlen wir, auf Anbieter mit reinem EU-Hosting zu setzen – wie LeadBase24, das ausschließlich mit deutschen Rechenzentren arbeitet.