Der Online-Marketing-Blog von LUMITOS

Vorsicht Falle: Dürfen Sie Sales-Leads von Ihrer Website überhaupt nutzen?
Stefan Knecht gibt wertvolle Tipps, wie Sie Ihr Leadformular DSGVO-konform gestalten.
19.02.19 | 0 Kommentare | Author: Stefan Knecht

Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in allen 28 EU-Mitgliedsstaaten in Kraft. Jede Art von Information, die einer natürlichen Person zugeordnet ist, gilt als “personenbezogene Daten” und fällt damit unter die DSGVO. Dazu zählen E-Mail-Adressen ebenso wie Telefonnummern und selbstverständlich Postadressen. Die Generierung von Sales-Leads im B2B stellt somit den Umgang mit personenbezogenen Daten dar und unterliegt den Regeln der DSGVO. Viele B2B-Unternehmen scheinen sich dessen aber nicht bewusst zu sein. Täglich begegnen mir Formulare auf Unternehmenswebseiten, die auf verschiedene Weise gegen die DSGVO verstoßen. Damit sind die generierten Leads wertlos. Die Unternehmen dürfen sie nicht nutzen.

In meinem heutigen Beitrag möchte ich Ihnen anhand von Praxisbeispielen vor Augen führen, worauf es in einem Leadformular ankommt, damit es DSGVO-konform ist und Sie Ihre Leads überhaupt nutzen dürfen.

Nicht verpassen: Erfahren Sie im 45-minütigen Webinar von Stefan Knecht, wie Sie Sales-Leads auf Ihrer Firmen-Website DSGVO-konform generieren können. Mehr erfahren

DSGVO: Verarbeitung personenbezogener Daten grundsätzlich verboten

Bevor wir uns der Praxis zuwenden, hier ein kleiner Exkurs zu den Rechtsgrundlagen: Laut §6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich verboten – es sei denn

  1. Sie verfügen über die Einwilligung des Nutzers und / oder
  2. es existiert ein Vertrag oder eine vertragsähnliche Verbindung zwischen Ihrem Unternehmen und dem Nutzer und / oder
  3. es gibt ein berechtigtes Interesse Ihres Unternehmens an der Verwendung der Daten (z. B. für Direktwerbung)
Verbotsprinzip der DSGVO

Die DSGVO erlaubt nur wenige explizite Ausnahmen vom Verbot der Verarbeitung personenbezogener Daten

 

Im Fall der Leadgenerierung im B2B treffen Regel Nr. 2 und Nr. 3 nicht zu: Sie haben weder einen Vertrag mit dem Interessenten, noch haben Sie zum Zeitpunkt der Kontaktaufnahme ein sogenanntes “berechtigtes Interesse”, seine Daten in Ihrem Unternehmen zu speichern oder zu verarbeiten.

Verwendung von Leads: Nur mit Zustimmung des Interessenten

Bleibt Ausnahme Nr. 1: Sie holen eine Einwilligung des Interessenten ein. Nur wenn der Interessent seine Zustimmung gegeben hat, dürfen Sie Leads von Ihrer Website nutzen. Die Einwilligungserklärung holen Sie mit dem Leadformular ein.

Schon für die Angaben, die Sie in diesem Formular abfragen, macht die DSGVO klare Vorgaben. Sie müssen

  • für festgelegte, eindeutige und legitime Zwecke erhoben werden;
  • dem Zweck angemessen und auf das notwendige Maß beschränkt sein (Stichwort „Datenminimierung“). In Leadformularen dürfen Sie also nur diejenigen Daten vom Interessenten abfragen, die Sie konkret für die Bearbeitung des Leads benötigen;
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es der Zweck, zu dem sie erhoben wurden, erfordert.

Regeln für die Einwilligung durch den Interessenten

Die DSGVO stellt detaillierte Anforderungen an die Formulierung und Anwendung von Einwilligungserklärungen. Missachten Sie diese, laufen Sie Gefahr, dass die gesamte Einwilligung im Streitfall für ungültig erklärt wird. Laut Artikel 7 der Verordnung gelten folgende Bedingungen:

  • Die Pflicht liegt bei Ihnen nachzuweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat;
  • das Ersuchen um Einwilligung muss offensichtlich erfolgen;
  • die Einwilligungserklärung muss in leicht zugänglicher Form vorliegen und in klarer und einfacher Sprache verfasst sein. Es ist nicht zulässig, die Einwilligungserklärung, z. B. in Datenschutzbestimmungen oder AGBs, mehr oder weniger versteckt unterzubringen oder sie in unverständlichem Juristendeutsch zu formulieren;
  • die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.

Ob und wie Sie Angaben aus Ihren Leadformularen nutzen dürfen, hängt davon ab, ob Sie die Einwilligungserklärung inhaltlich und formal korrekt formuliert haben. Der Nutzer stimmt mit der Erklärung lediglich der Verarbeitung seiner Daten zu konkreten und explizit beschriebenen Zwecken zu. Deshalb ist es wichtig, sich von vornherein gut zu überlegen, welche Datennutzung die Einwilligungserklärung abdecken soll.

Das Leadformular aus diesem Beispiel ist nicht DSGVO-konform.

Praxisbeispiel 1: Widerrufsrecht

 

Dieses Leadformular weckt auf den ersten Blick den Eindruck, DSGVO-konform zu sein: Zwei Checkboxen, als Pflichtfeld markiert, erfordern die Zustimmung zu datenschutzrelevanten Regelungen. Doch der Schein trügt.

Schauen wir uns die Formulierung neben der ersten Checkbox an: „…im Rahmen meines Anliegens sammeln, verwenden und weitergeben darf“. Diese Erklärung beschreibt nicht, wie und wozu das Unternehmen die erhobenen Daten verwenden wird. Auch fehlen Angaben darüber, an wen die Daten weitergegeben werden dürfen. Eine pauschale Einwilligung zur Weitergabe von Daten ist nicht DSGVO-konform.

Schließlich fehlt in dieser Erklärung der Hinweis auf das Recht des Interessenten, seine erteilte Einwilligung in der Zukunft jederzeit zu widerrufen. Es reicht nicht aus, diesen Hinweis in der verlinkten Datenschutzerklärung aufzuführen. Die DSGVO fordert für die Einwilligungserklärung eine leicht zugängliche, einfache und klare Formulierung und kein Verstecken in AGBs oder Datenschutzerklärungen. Fazit: Diese Einwilligungserklärung ist ungültig.

Auch dieses Leadformular ist nicht DSGVO-konform.

Praxisbeispiel 2: Datennutzung explizit benennen

 

In diesem Leadformular wird nicht klar, welcher Art der Datenverarbeitung der Interessent genau zustimmt. Er muss zwar bestätigen, einen Datenschutzhinweis gelesen und akzeptiert zu haben, und er willigt auch in die Speicherung und Verarbeitung seiner Daten ein. Doch wie genau werden seine Daten zum Zwecke der Kundenbetreuung und -information genutzt? Darf er per Telefon- oder E-Mail kontaktiert werden oder darf ihm gar ein E-Newsletter zugesendet werden? Die Antwort lautet ganz klar “NEIN!”

Alle Formen der Datennutzung hätten explizit in der Einwilligungserklärung aufgeführt werden müssen. Auch in diesem Formular fehlt zudem der Hinweis auf die Widerrufsmöglichkeit. Fazit: Die Einwilligung ist ungültig.

Praxisbeispiel 3: Weitergabe an Dritte

 

Als Interessent willige ich hier in die vertrauliche Behandlung meiner Daten ein. Das ist eine Selbstverständlichkeit im Sinne der DSGVO, die nicht explizit genannt werden muss.
Die Erklärung führt explizit nur die Übersendung von “Produktinformationen” auf. Auf welchem Weg die Zusendung erfolgen darf, also per E-Mail oder Post, bleibt ungeklärt. Das ist ein Schwachpunkt dieser Einwilligungserklärung. Deutlich kritischer für Sie als Unternehmen ist die Tatsache, dass Sie dem Interessenten weder ein Angebot zusenden noch Ihn anrufen dürfen. Dazu beinhaltet die Erklärung keine Einwilligung des Interessenten.

Mit diesem Formular wird zudem explizit die Weitergabe der Nutzerdaten an Dritte ausgeschlossen. Damit dürfen Sie die Daten des Interessenten z. B. auch nicht an Ihre Handelspartner und Distributoren weitergeben, denn diese sind Dritte.

Schließlich fehlt auch in dieser Einwilligungserklärung der Hinweis auf das Widerrufsrecht. Fazit: Die gesamte Einwilligung ist ungültig.

Praxisbeispiel 4: versteckt und unzugänglich

 

In diesem Leadformular wird überhaupt keine Einwilligung vom Nutzer eingeholt. Der Interessent muss lediglich einen Hinweis des Unternehmens auf dessen Datenschutzerklärung ankreuzen. Allerdings enthält dieser Hinweis keinen Link zu der Datenschutzerklärung – der Nutzer müsste sie selbst suchen. Dieses Leadformular verstößt unter mehreren Gesichtspunkten gegen die DSGVO. Es fehlt die klare Formulierung dessen, in was der Nutzer einwilligt, ein Link auf die Datenschutzerklärung und der Hinweis auf den Widerruf. Die erwähnte Datenschutzerklärung sowie die möglicherweise darin verborgene Einwilligungserklärung sind alles andere als “leicht zugänglich”. Fazit: Eine Nutzung der Leads aus diesem Formular ist definitiv nicht erlaubt.

Wenige B2B-Leadformulare sind DSGVO-konform

Die oben gezeigten vier Praxisbeispiele von Leadformularen auf Unternehmenswebseiten sind leider keine seltenen Ausnahmen, nach denen ich lange hätte suchen müssen. Mein Eindruck ist: Ein Großteil der Leadformulare auf B2B-Firmenwebseiten ist bis heute nicht DSGVO-konform. Das ist umso verwunderlicher, da mit relativ geringem Aufwand eine korrekte Einwilligungserklärung formuliert und direkt im Leadformular angezeigt werden kann.

Empfehlung für eine Einwilligungserklärung

Eine pauschale und allgemeingültige Einwilligungserklärung für alle Anwendungsszenarien eines Leadformulars zu formulieren, ist leider nicht möglich. Sie sollten Ihren Rechtsanwalt zu Rate ziehen, um die Einwilligungserklärung genau auf Ihre Anwendung anzupassen. Das folgende Beispiel kann Ihnen jedoch als Muster dafür dienen, wie die Erklärung aufgebaut sein sollte.

Beispiel für eine Einwilligungserklärung nach DSGVO

DSGVO-konforme Einwilligungserklärung für Leadformulare

 

Zeigen Sie diese Einwilligungserklärung direkt unterhalb Ihres Leadformulars an, idealerweise über dem Button zum Absenden des Formulars. So ist Ihre Leadgenerierung DSGVO-konform und Sie können die eingegangenen Leads bedenkenlos für die typischen Anwendungsszenarien in Ihrem Unternehmen nutzen.

 

Kommentar abgeben
Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *
Kategorie
Blog teilen