Datenschutzkonformes Lead Management: 5 Stolpersteine von Mittelständlern und Großkonzernen bei der Einführung von Marketing und Sales Software

Warum tun sich Mittelständler und Großkonzerne bei der Einführung von innovativer Marketing- und Sales-Software im Vergleich zu Start-ups so schwer? Welche Faktoren entscheiden darüber, ob und wie schnell Entscheidungen zur Einführung getroffen werden? Warum scheitern notwendige Initiativen aus dem Fachbereich (Marketing & Sales) häufig am Datenschutz? Und welche Punkte gilt es zu beachten, um ein DSGVO-konformes Marketing Tool und Lead Management einzuführen?

Diese Fragestellungen beschäftigen Dr. Anna-Kristina Roschek, Expertin für Datenschutzrecht bei PLANIT//LEGAL und Sebastian Hettlage, Experte für B2B-Marketing & Sales bei Leadwunder, tagtäglich.

Zusammen haben sie bereits zahlreiche Kunden dabei unterstützt, typische „Stolpersteine“ zu umgehen und unterstützen beim Einkauf und bei der Einführung von Marketing- und Sales-Tools/Software. In diesem Beitrag beleuchten sie die 5 häufigsten Stolpersteine und geben praxisnahe Tipps zur Optimierung des Lead Managements mit Schwerpunkt Rechtskonformität im Marketing und Datenschutz.

1. Stolperstein: Marketing, Sales & Datenschutz – fremde Welten!
⁠

Sebastian Hettlage (Leadwunder)⁠

Sebastian Hettlage (Leadwunder):
⁠Marketeers, Vertriebler*innen und Datenschützer*innen leben in komplett unterschiedlichen Welten! Sie sprechen verschiedene „Sprachen“ und werden an unterschiedlichen Zielen gemessen. Ich habe schon oft erlebt, dass sie dadurch oft gegeneinander als konstruktiv miteinander arbeiten. Die Folge ist, dass der Austausch oftmals viel zu spät erfolgt, Projekte verzögert oder sogar gestoppt werden und alle Beteiligten frustriert zurückbleiben. Marketing & Vertrieb denkt eher in Chancen, während der Datenschutz stärker in Risiken denkt und dadurch oftmals als „Verhinderer“ wahrgenommen wird. Anna, erlebst du das auch in deiner Beratungspraxis?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL)

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Ja, ich stelle auch fest, dass Marketing, Vertrieb und Datenschutz oft nicht die gleiche Sprache sprechen. Man denke nur an den Inhalt und die Länge von Einwilligungserklärungen. Für Marketeers muss es kurz und knackig sein, Datenschützer*innen brauchen gewisse Mindestangaben, damit die Einwilligung informiert ist. Ich muss allerdings zugeben, dass Datenschützer*innen in ihren Risikobewertungen oft nicht das Risiko des Unternehmens berücksichtigen, bestimmte Dinge nicht zu tun und stattdessen alles beim „Alten“ zu belassen. Das ist auch nicht unbedingt ihre Aufgabe. Datenschützer*innen haben dann natürlich Totschlagargumente auf ihrer Seite. Denn besonders abschreckend für die Geschäftsleitung wirken die Nachrichten zu drohenden Bußgeldern, Abmahnungen oder Reputationsverlust. Ganz ausschließen kann man diese Risiken nicht, aber zumindest auf ein vertretbares Risiko minimieren. Wichtig in diesem Zusammenhang ist, alle Stakeholder frühzeitig auf denselben Kenntnisstand zu holen.

Sebastian Hettlage (Leadwunder):
⁠Rekordbußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) finden häufig große Beachtung in den Medien. Kannst du uns konkrete Beispiele geben?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Ein Beispiel ist die bisher höchste gegen Meta verhängte Geldbuße in Höhe von 1,2 Mrd. EUR, aber auch Google wurde mit einer Geldbuße in Höhe von 50 Mio. EUR belegt. In Deutschland wurde das bisher höchste Bußgeld gegen H&M in Höhe von 35 Mio. EUR verhängt. Auffällig ist, dass vor allem US-Konzerne, deren Geschäftsmodell auf dem Sammeln großer Datenmengen beruht, im Fokus zumindest hoher Bußgelder stehen. Unter folgendem Link wird ein Überblick über die DSGVO-Bußgelder gegeben.

Betrachtet man die in der Masse verhängten Bußgelder, so sind diese in der Regel deutlich geringer als die Rekordbußgelder. Auffällig ist, dass sie häufig wegen „unerlaubter Telefonwerbung“, „E-Mail-Werbung ohne Einwilligung“ und „Videoüberwachung“ verhängt werden.

Sebastian Hettlage (Leadwunder):
⁠Bevor wir uns im nächsten Stolperstein mit der Bedeutung der „Einwilligung“ in den Erhalt von E-Mail-Werbung beschäftigen, noch der Tipp, dass Marketing & Vertrieb die DSGVO als Chance für euch und eure potenziellen Kunden begreifen sollten. Die saubere Kommunikation und die Einhaltung der Datenschutzbestimmungen muss in B2B Kundenbeziehungen als „Trust-Faktor“ eine wichtige Rolle spielen. Eine gute Rechtsberatung für Datenschutz ist daher unerlässlich.

Tipp: Stellt eine enge Zusammenarbeit mit euren Datenschutzbeauftragten her und stimmt euch frühzeitig mit ihnen ab!

2. Stolperstein: Die richtige Wahl - "Berechtigtes Interesse" vs. "Einwilligung"

Sebastian Hettlage (Leadwunder):
⁠Beim Thema „digital Lead Management“ und dem Einsatz unterstützender Software (z.B. MAS, CRM) ist das Thema Datenerhebung, Datenspeicherung und Datenverarbeitung unumgänglich. Im Arbeitsalltag ist es wichtig, die Begriffe „berechtigtes Interesse“ und „Einwilligung“ nicht nur zu kennen, sondern auch sauber voneinander abzugrenzen. Anna, wie lassen sich diese Begriffe korrekt abgrenzen, damit sie nicht zum Stolperstein werden?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Zunächst ist es wichtig zu wissen, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es gibt eine Rechtsgrundlage. Die Rechtsgrundlagen sind im Wesentlichen in der DSGVO geregelt. Die wichtigsten Rechtsgrundlagen für das digitale Lead Management sind das „berechtigte Interesse“ und die „Einwilligung“.

Als Faustformel kann man sich merken: Für E-Mail-Werbung an potenzielle Kunden (Leads) ist grundsätzlich immer eine Einwilligung erforderlich! Das „berechtigte Interesse“ scheidet als Rechtsgrundlage aus, da die Interessen des Leads im Rahmen der bei dieser Rechtsgrundlage erforderlichen Interessenabwägung häufig die Interessen des Werbenden überwiegen. Die Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Direktwerbung unter der DSGVO bietet hier wertvolle Informationen.

Eine wichtige Ausnahme für Unternehmen stellen Anfragen über Kontaktformulare auf der Unternehmenswebsite dar. Ein Kontaktformular vorzuhalten und Anfragen von Leads über das Kontaktformular zu beantworten, lässt sich auf berechtigte Interessen des Unternehmens stützen. Das Unternehmen darf daher auch ohne Einwilligung des Leads auf dessen Anfrage antworten.

Sebastian Hettlage (Leadwunder):
⁠Was ist bei der Formulierung und Länge einer Einwilligungserklärung zu beachten? Kannst Du ein konkretes Beispiel nennen?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Die Einwilligung muss „informiert“ sein, das bedeutet, sie muss bestimmte Angaben enthalten. Dazu zählen unter anderem: die verntwortliche Person, die Kategorien personenbezogener Daten, die Zwecke der Verarbeitung, die Kommunikationsmittel, mit denen der Lead werblich angesprochen werden darf, und die Widerrufsmöglichkeit. Die Kontaktdaten der verantwortlichen Person und gegebenenfalls des Datenschutzbeauftragten sowie eine ausführliche Belehrung über Betroffenenrechte können aus der verlinkten Datenschutzerklärung hervorgehen.

Zu kurze Einwilligungen bergen das Risiko, dass sie unwirksam sind. Unternehmen, die Leads ohne wirksame Einwilligung ansprechen, riskieren hohe Bußgelder.

Eine Einwilligung könnte beispielsweise wie folgt formuliert werden:

☐ Ich willige hiermit ein, dass <UNTERNEHMEN> als Verantwortliche meine Daten wie hier und in Ziffer der Datenschutzerklärung [LINK] beschrieben, verarbeitet, um mich per Telefon oder über die angegebene E-Mail-Adresse werblich anzusprechen, meine Daten ggf. mit weiteren berufsbezogenen Informationen aus öffentlich zugänglichen Quellen anzureichern und meine Lesegewohnheiten zu erkennen und E-Mail-Inhalte interessengerecht darauf abzustimmen. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, z.B. über den Abmeldelink in jeder E-Mail.

Sebastian Hettlage (Leadwunder):
⁠Viele Marketeers fürchten das Double-Opt-In-Verfahren (DOI) zur Einholung von Einwilligungen, da viele Leads verloren gehen, wenn der Bestätigungslink nicht angeklickt wird. Gibt es Fälle, in denen man auf das DOI verzichten kann und warum?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Einwilligungen müssen in der Regel im sog. Double-Opt-In-Verfahren (DOI) eingeholt werden. Auf das DOI kann verzichtet werden, wenn sichergestellt ist, dass der Einwilligende der Inhaber der E-Mail-Adresse bzw. der angegebenen Daten ist. Dies wird der Fall sein, wenn die Einwilligung persönlich eingeholt wird, z.B. auf einer Messe, einer Veranstaltung oder einem Kundentermin. Bei LinkedIn oder anderen sozialen Plattformen könnte man argumentieren, dass sich das Mitglied mit seinem Passwort einloggen muss und der Einwilligungsempfänger daher - anders als z.B. bei einem frei im Internet verfügbaren Newsletter - davon ausgehen kann, dass das Mitglied selbst die Einwilligung erteilt. Auf der sicheren Seite ist man allerdings auch hier nur mit einem DOI. Beantwortet das Unternehmen die Anfrage des potenziellen Kunden z.B. über ein Kontaktformular oder kommt der Bitte um Zusendung angebotener Inhalte nach, wird diese Kommunikation in der Regel auf berechtigte Interessen gestützt werden können.

Sebastian Hettlage (Leadwunder):
⁠Neben der richtigen Formulierung des Einwilligungs-Textes ist aber vor allem auch die Dokumentation der Einwilligungserklärung entscheidend. Marketing-Tools können hierbei unterstützen, indem sie den Prozess der Einholung, Verwaltung und Dokumentation von Einwilligungen automatisieren. Dies ist besonders wichtig, um im Falle von Anfragen oder Audits nachweisen zu können, dass alle Datenschutzvorschriften eingehalten wurden.

3. Stolperstein: Sicherer Datentransfer in die USA - Aktuelle Rechtslage & Handlungsempfehlungen

Sebastian Hettlage (Leadwunder):
⁠Man kommt aktuell bei Marketing & Sales Software kaum an US-Cloud- und SaaS-Anbietern vorbei und Themen wie z.B. „US-Datentransfers“, „Data Privacy Framework“ und standardisierte „DPAs“(Data Processing Agreements) kommen immer wieder auf. Wie ist die aktuelle Rechtslage bei Datentransfers in die USA, worauf ist zu achten, was kann beeinflusst werden und was eher nicht?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Datentransfers in die USA galten seit dem Urteil Schrems II des EuGH als das Datenschutzrisiko schlechthin, wenn US-amerikanische Anbieter genutzt wurden. Dank des „Data Privacy Framework“ sind Datentransfers in die USA derzeit (Stand März 2024) vor allem dann rechtssicher, wenn der US-Anbieter bereits nach dem Data Privacy Framework zertifiziert ist. Aber auch ohne Zertifizierung wird man aufgrund der Executive Order 14086 im Rahmen der Risikoabwägung in der Regel zu dem Ergebnis kommen, dass Datentransfers in die USA möglich sind. Die Executive Order war eine Voraussetzung für den Angemessenheitsbeschluss der EU-Kommission für Unternehmen, die nach dem Data Privacy Framework zertifiziert sind; staatliche Überwachung durch US-Geheimdienste unterliegt nun dem Verhältnismäßigkeitsgrundsatz. Wenn ein US-Anbieter (noch) nicht nach dem Data Privacy Framework zertifiziert ist, müssen weiterhin Standardvertragsklauseln abgeschlossen werden. Nach wie vor ist es von Vorteil, wenn sich der Serverstandort des US-Cloud- oder SaaS-Dienstes in der EU befindet.

Tipp: Hier kannst du zertifizierte Unternehmen einsehen.

Sebastian Hettlage (Leadwunder):
⁠Sollte man Vorkehrungen treffen, falls der EuGH (Europäische Gerichtshof) das Data Privacy Framework zukünftig kippen sollte?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Unternehmen könnten mit nach dem Data Privacy Framework zertifizierten US-Anbietern vorsorglich Standardvertragsklauseln für den Fall einer eventuellen späteren Aufhebung des Data Privacy Framework abschließen.

Sebastian Hettlage (Leadwunder):
⁠Muss das Unternehmen, das ein Marketing-Tool als Cloud- oder SaaS-Dienst einführen möchte, einen Auftragsverarbeitungsvertrag abschließen?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Bei Cloud- und SaaS-Diensten ist der Abschluss eines DPA zwingend, weil eine Auftragsverarbeitung vorliegt. Dabei verwenden Anbieter*innen von standardisierten Diensten auch standardisierte DPAs.

Verhandlungsmöglichkeiten von Standard-DPAs sind nur begrenzt möglich; Veröffentlichungen deutscher Aufsichtsbehörden offenbaren den strengen Prüfungsmaßstab der DPAs von US-Anbietern. Gute Beispiele sind die Handreichung verschiedener deutscher Aufsichtsbehörden zum DPA von Microsoft.

Sebastian Hettlage (Leadwunder):
⁠Was sind typische Regelungen in DPAs von US-Anbietern, die nicht die Anforderungen der DSGVO erfüllen? Welche Formulierungen kann man verhandeln und gibt es Kompromissformulierungen, die bereits von US-Anbietern akzeptiert worden sind?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Die Bestimmungen, die ich in vielen DPAs von US-Anbietern gelesen habe, betreffen die Verarbeitung von Daten außerhalb der Weisungen des, für die Verarbeitung Verantwortlichen. Nach der Datenschutz-Grundverordnung ist dies nur zulässig, wenn der Auftragsverarbeiter aufgrund einer Rechtsvorschrift der Union oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist. Nach Beendigung des Auftragsverarbeitungsverhältnisses sind die personenbezogenen Daten zu löschen. Auch hier lässt die Datenschutz-Grundverordnung eine Ausnahme zu, wenn der Auftragsverarbeiter aufgrund einer Rechtsvorschrift der Union oder eines Mitgliedstaats zur Aufbewahrung der Daten verpflichtet ist. Die DPAs der US-Anbieter erlauben die Verarbeitung außerhalb der Weisung oder die Aufbewahrung der Daten nach Beendigung des Auftragsverarbeitungsverhältnisses auch dann, wenn ein anwendbares Recht dies vorschreibt. Dies macht aus Sicht der US-Anbieter, die häufig global agieren und daher nicht nur der Datenschutz-Grundverordnung unterliegen, Sinn, stellt aber insbesondere deutsche Verantwortliche aufgrund des strengen Prüfungsmaßstabs deutscher Datenschutzbehörden vor Herausforderungen. In der Praxis kann als Kompromiss versucht werden, die ursprüngliche Formulierung beizubehalten und zu ergänzen, dass sich im Anwendungsbereich der Datenschutz-Grundverordnung die Verpflichtung aus dem Unionsrecht oder dem Recht eines Mitgliedstaates ergeben muss.

Sebastian Hettlage (Leadwunder):
⁠Generell gilt: je größer das Unternehmen ist und je mehr es für den Cloud- und SaaS-Dienst von (strategischer) Bedeutung ist, desto höher ist die Chance auf Kompromissformulierungen.

4. Stolperstein: Effektiver Start - Die Vorteile einer zeitlich begrenzten Pilotphase für Marketing & Sales Software

Sebastian Hettlage (Leadwunder):
⁠Wir empfehlen der Fachabteilung vor dem Einkauf, bei der Implementierung einer Marketing- und Sales-Software mit einer zeitlich begrenzten Pilotphase zu starten. Anna, welche Vorteile bietet dieses Vorgehen und welchen zeitlichen Rahmen hältst du für sinnvoll?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Pilotprojekte bieten viele Vorteile für die Kunden. Erstens ermöglichen sie die Sammlung von Erfahrungen. In der Pilotphase können wir den geplanten Datenschutzansatz in der Praxis testen und wertvolle Erkenntnisse für die Optimierung gewinnen. Ein weiterer Vorteil liegt in der Transparenz über Datenströme. Durch die Implementierung in kleinerem Maßstab (Pilotphase) können wir besser verstehen, wie Daten innerhalb des Systems fließen und welche Auswirkungen dies auf den Datenschutz hat.

Als zeitlicher Rahmen haben sich 3-6 Monate bewährt, der exakte Umfang ist jedoch sehr individuell.

Sebastian Hettlage (Leadwunder):
⁠Während des Pilotprojekts können wir also potenzielle Risiken und Chancen sehr genau beobachten und anschließend bewerten. Das ermöglicht eine gezieltere und fundiertere Entscheidungsfindung für den späteren Rollout – und eine hohe Anwender-Akzeptanz!

Tipp: Viele Marketing- & Sales-Software-Anbieter bieten kostenlose Trials an, die dieses Vorgehen unterstützen. Hier findest du eine Übersicht über Marketing und Sales Tools und Software.

5. Stolperstein: Nachhaltige Datenschutzorganisation - Verantwortlichkeiten & Dokumentation

Sebastian Hettlage (Leadwunder):
⁠Wenn ihr oben genannte Stolpersteine zusammen mit dem Datenschutz umschifft habt, sollte eurer Initiative vorerst nichts im Wege stehen. Damit das aber auch nachhaltig so bleibt, muss eine saubere „Datenschutzorganisation“ während und nach dem Pilotprojekt aufgebaut werden. Anna, was gilt es hier zu beachten, was sind Schlüsselaspekte?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Es müssen klare Verantwortlichkeiten festgelegt und z.B. in einer Datenschutzrichtlinie dokumentiert werden. Jede*r im Unternehmen sollte wissen, wer für welche datenschutzrelevanten Aufgaben zuständig ist. Das betrifft nicht nur die Datenschutzbeauftragten, sondern auch die Mitarbeiter*innen in den verschiedenen Abteilungen.

Der Fachbereich spielt eine zentrale Rolle bei der datenschutzgerechten Gestaltung ihrer Verarbeitungsprozesse, etwa der Marketing-Tool-Compliance. Sie können wertvolle Informationen über bestehende Prozesse, Datenverarbeitungen und potenzielle Risiken bereitstellen. Eine enge Zusammenarbeit zwischen Datenschutz, Marketing & Vertrieb ist auch hier unerlässlich, um Datenschutzprinzipien effektiv in den Geschäftsablauf zu integrieren. Denn Papier in Form von Datenschutzrichtlinien oder Ähnlichem ist geduldig. Entscheidend ist es, alle Mitarbeiterinnen und Mitarbeiter an Bord zu haben, sie für das Thema Datenschutz zu begeistern und sie zur aktiven Mitwirkung am Schutz der personenbezogenen Daten des Unternehmens zu bewegen.

Sebastian Hettlage (Leadwunder):
⁠Welchen Zweck haben Datenschutzfolgenabschätzungen in diesem Zusammenhang? Welche Rolle spielt die Dokumentation?

Dr. Anna-Kristina Roschek (PLANIT//LEGAL):
⁠Datenschutzfolgenabschätzungen (DSFA) dienen dazu, mögliche Risiken für die Privatsphäre der betroffenen Personen zu ermitteln, zu bewerten und durch geeignete Gegenmaßnahmen zu mindern. Sie müssen durchgeführt werden, wenn die geplante Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Für jeden Verarbeitungsprozess, insbesondere im Marketing und Vertrieb, sollte geprüft und dokumentiert werden, ob eine Datenschutzfolgenabschätzung durchzuführen ist. Nutzt das Marketing-Tool künstliche Intelligenz, wird in der Regel eine Datenschutzfolgenabschätzung durchzuführen sein. Geht es im B2B-Marketing hauptsächlich um geschäftliche Kontaktdaten, würde ich die Notwendigkeit einer DSFA entspannter sehen.

Eine sorgfältige Dokumentation ist essenziell. Alle Verarbeitungsprozesse sind in einem Verarbeitungsverzeichnis zu dokumentieren. Eine sorgfältige Dokumentation erleichtert nicht nur die interne Kontrolle, sondern dient auch als wichtige Grundlage für Nachweise gegenüber Aufsichtsbehörden.

Sebastian Hettlage (Leadwunder):
⁠Vielen Dank für das Gespräch, liebe Anna! Mit diesem Input kriegen wir den Fachbereich und den Datenschutz doch perfekt zusammen. Jetzt wird es Zeit, auch euren Datenschutz zu optimieren und ggf. vorhandene Lücken nicht nur zu identifizieren, sondern schnell rechtssicher zu beheben.

Diese Tipps sollen euch dabei unterstützen, die typischen Stolpersteine bei dem Einkauf und der Implementierung von Marketing und Sales Software zu umgehen!

Tipps für DSGVO-konforme Marketing-Tools

• Frühzeitige Einbindung aller Stakeholder: Zusammenarbeit mit Datenschutzexpert*innen, um Bedenken auszuräumen und Akzeptanz zu fördern.
• Erfahrene externe Unterstützung: Vermeide unnötige Fehler. Nur ein/e neutrale/r Mediator*in kann zwischen Marketing und Vertrieb fachkundige Expertise einbringen und den Datenschutz rechtssicher bewerten und einbinden.
• Klare Formulierung der Anforderungen: Nutze auch die Expertise deines Teams und setze auf eine klare Kommunikation und Aufgabenverteilung.
• Prüfung der aktuellen Rechtslage: Besonders bei Datentransfers in die USA ist dies von entscheidender Bedeutung.
• Verwendung von (Standard) DPAs: Besonders wichtig bei Cloud- und SaaS-Diensten, unter Berücksichtigung der lokalen Aufsichtsbehörden.
• Sorgfältige Formulierung von Einwilligungen: Achte auf die Informiertheit und dokumentiere Einwilligungen, Abmeldungen und Löschungen.
• Zeitlich begrenzte Pilotprojekte: So könnt ihr Erfahrungen sammeln und Transparenz über Datenströme schaffen.
• Klar festgelegte Verantwortlichkeiten: So schaffst du eine klare Struktur in der Datenschutzorganisation.
• Integration von Datenschutzfolgenabschätzungen: Diese sind in der Datenschutzorganisation unerlässlich und werden häufig vergessen.
• Sorgfältige Dokumentation: Grundlage für interne Kontrolle, Audits und Nachweise sollte eine sorgfältige Dokumentation nicht zu kurz kommen.