F1: Ist B2B-Cold-E-Mail unter der DSGVO 2026 legal? Ja, unter Bedingungen. Artikel 6.1.f der DSGVO (berechtigtes Interesse) erlaubt B2B-E-Mail-Prospecting, wenn drei Bedingungen erfüllt sind: (1) die Kommunikation steht in direktem Zusammenhang mit der beruflichen Funktion des Empfängers, (2) die Identität des Absenders ist klar erkennbar, (3) ein funktionierender Opt-out-Mechanismus ist in jeder Nachricht vorhanden.

F2: Was ist der Unterschied zwischen B2B-Cold-E-Mail und Spam? Spam ist ein ungezielter, unaufgeforderter Versand ohne Relevanz für den Empfänger. Legale B2B-Cold-E-Mail ist zielgerichtet (definiertes ICP), relevant (an die Funktion gebunden), identifiziert (klarer Absender) und reversibel (Opt-out). Die CNIL unterscheidet beide auf Grundlage dieser Kriterien.

F3: Darf man eine generische E-Mail-Adresse kontaktieren (contact@, info@)? Ja, denn diese Adressen sind nicht personenbezogene Daten im Sinne der DSGVO. Sie repräsentieren keine identifizierbare natürliche Person. Für ihre Kontaktaufnahme ist keine besondere Rechtsgrundlage erforderlich.

F4: Muss im B2B vorab eine Einwilligung eingeholt werden? Nein, anders als im B2C. Im B2B ist das berechtigte Interesse (Art. 6.1.f) die angemessene Rechtsgrundlage. Die Einwilligung (Art. 6.1.a) ist für berufliches Prospecting, das an eine Funktion und nicht an eine Person als Verbraucher gerichtet ist, nicht erforderlich.

F5: Sind die Regeln je nach EU-Land unterschiedlich? Ja, einige Mitgliedstaaten wenden über die ePrivacy-Richtlinie strengere Regeln an. Deutschland verlangt selbst im B2B eine ausdrückliche Einwilligung für elektronische Kommunikation (§ 7 UWG). Belgien und die Niederlande folgen den DSGVO-Standardleitlinien. Frankreich (CNIL) folgt der Auslegung des berechtigten Interesses für strenges B2B.

F6: Woher darf man B2B-E-Mails legal beziehen? Legale Quellen: LinkedIn (öffentliche Daten beruflicher Profile), offizielle Unternehmensregister (SIRENE, Infogreffe, Bundesanzeiger, KvK), Unternehmenswebsites ('Team'-, 'Kontakt'-Seiten), Branchenverzeichnisse, Datenbanken von Plattformen wie Apollo oder Kaspr (die ihre Quellen offenlegen). Illegale Quellen: gekaufte Datenbanken ohne Nachverfolgbarkeit der Quellen, aus Leaks extrahierte Daten.

F7: Muss man Interessenten darüber informieren, dass ihre Daten verarbeitet werden? Ja, dies kann jedoch in der ersten E-Mail geschehen (Angabe der Datenquelle, des Zwecks, der Rechte). Eine gesonderte vorherige Benachrichtigung ist nicht erforderlich. Die Angabe im ersten Kontakt ist gemäß den CNIL-Leitlinien ausreichend.

F8: Wie lange darf man die Daten eines Interessenten aufbewahren? Maximal 3 Jahre ab dem letzten aktiven Kontakt gemäß den CNIL-Empfehlungen (Referenzrahmen für kommerzielle Ansprache 2023). Für Interessenten, die ein Opt-out verlangt haben: sofortige und dauerhafte Löschung, Aufnahme in eine Sperrliste.

F9: Braucht man ein Verzeichnis der Verarbeitungstätigkeiten für das Prospecting? Ja. Jede Organisation, die personenbezogene Daten zu kommerziellen Zwecken verarbeitet, muss ein Verzeichnis führen (Art. 30 DSGVO). Mindestinhalt: Zweck (B2B-Prospecting), Datenkategorien (Name, berufliche E-Mail, Funktion, Unternehmen), Rechtsgrundlage, Aufbewahrungsdauer, Sicherheitsmaßnahmen.

F10: Darf man automatisiertes LinkedIn-Scraping nutzen, um E-Mails zu sammeln? LinkedIn verbietet Scraping in seinen Nutzungsbedingungen. Aus DSGVO-Sicht können öffentliche LinkedIn-Profildaten unter berechtigtem Interesse verarbeitet werden, doch ihre automatisierte Extraktion birgt ein Risiko eines vertraglichen Rechtsstreits mit LinkedIn. Konforme Tools nutzen die offizielle LinkedIn-API oder zertifizierte Partner.

F11: Wie implementiert man ein konformes Opt-out? Das Opt-out muss: (1) in jeder E-Mail vorhanden sein (anklickbarer Link oder klare Anweisung wie 'Antworten Sie STOP'), (2) funktionieren (tatsächlich zur Abmeldung führen), (3) kostenlos und ohne Bedingungen sein, (4) sofort wirksam sein. Opt-outs müssen in einer dauerhaften Sperrliste zentralisiert werden, die mit allen Versandtools synchronisiert ist.

F12: Was tun, wenn ein Interessent die Löschung seiner Daten verlangt? Recht auf Löschung (Art. 17 DSGVO): alle personenbezogenen Daten innerhalb einer angemessenen Frist löschen (CNIL-Empfehlung: innerhalb von 30 Tagen). Ausnahme: die E-Mail auf einer Opt-out-Sperrliste behalten, um eine erneute Kontaktaufnahme zu vermeiden.

F13: Kann ein Interessent verlangen, die Daten einzusehen, die Sie über ihn halten? Ja, das ist das Auskunftsrecht (Art. 15 DSGVO). Antwortfrist: 1 Monat (bei komplexen Anfragen auf 3 Monate verlängerbar). Inhalt: alle personenbezogenen Daten, ihre Quelle, der Zweck und die Aufbewahrungsdauer.

F14: Darf man einen Interessenten nach einem Opt-out erneut kontaktieren? Nein. Das Opt-out ist für den betreffenden Kanal dauerhaft. Eine Reaktivierung kann nur erfolgen, wenn der Interessent einen neuen Kontakt initiiert hat (Antwort auf eine spätere E-Mail, Website-Besuch, Demo-Anfrage), der eine neue Grundlage für berechtigtes Interesse darstellt.

F15: Sind die persönlichen Kontaktdaten eines Geschäftsführers (z. B. Geschäftsführer eines Kleinstunternehmens) personenbezogene Daten? Ja. Auch im B2B ist die E-Mail eines Geschäftsführers eines Kleinstunternehmens (jean.dupont@sein-unternehmen.fr) eine personenbezogene Daten im Sinne der DSGVO, da sie eine natürliche Person identifiziert. Die DSGVO-Regeln gelten vollumfänglich, einschließlich berechtigtem Interesse und Recht auf Löschung.

F16: Unterliegt das KI-Scoring von Leads der DSGVO? Ja, wenn das Scoring auf personenbezogenen Daten basiert. Artikel 22 DSGVO regelt automatisierte Entscheidungen: Führt das Scoring zu einer erheblichen Entscheidung, die die Person betrifft (z. B. dauerhafter Ausschluss aus einem Vertriebsprozess), muss ein Recht auf Erläuterung vorgesehen werden.

F17: Muss man in E-Mails angeben, dass das Scoring von einer KI durchgeführt wird? Nein, nicht zwingend. Die Erwähnung einer KI in Kommunikationen ist von der DSGVO für Standard-Marketing-Scoring nicht vorgeschrieben. Sie kann jedoch das Vertrauen stärken. Lead-Gene-Plattformen erwähnen die Grundlage des berechtigten Interesses, aber nicht den internen technischen Mechanismus.

F18: Wie reguliert man die Nutzung von Drittdaten (Intent-Daten von Bombora, 6sense)? Prüfen, ob der Datenanbieter über eine gültige Rechtsgrundlage für die Erhebung und Übermittlung dieser Daten verfügt. Eine DSGVO-Konformitätsbescheinigung anfordern und die Standardvertragsklauseln (SCC) prüfen, falls der Anbieter außerhalb der EU sitzt.

F19: Darf man Interessentendaten an in den USA gehostete Tools übermitteln (HubSpot, Salesforce)? Ja, unter Bedingungen: Diese Übermittlungen müssen durch Standardvertragsklauseln (SCC) oder einen Auftragsverarbeitungsvertrag (AVV) abgesichert sein. HubSpot und Salesforce bieten konforme AVV an. Prüfen, ob der AVV vor jeder Übermittlung unterzeichnet ist.

F20: Ist ein Datenschutzbeauftragter (DSB) für den Aufbau einer Lead-Maschine verpflichtend? Nicht systematisch. Die DSB-Pflicht gilt für Organisationen, die Daten in großem Umfang oder sensible Daten verarbeiten. Für ein KMU, das Standard-B2B-Prospecting betreibt, genügen in der Regel ein aktuelles Verarbeitungsverzeichnis und eine konforme Datenschutzerklärung.

F21: Welche Sanktionen drohen für eine nicht konforme Cold-E-Mail-Kampagne? Die CNIL kann eine Abmahnung, eine Verwarnung und dann ein Bußgeld von bis zu 4 % des weltweiten Umsatzes oder 20 Mio. € verhängen (je nachdem, welcher Betrag höher ist). In der Praxis treffen Sanktionen für nicht konformes B2B-Prospecting vor allem Organisationen mit großen Volumina oder Wiederholungsfällen. Die häufigsten Ergebnisse für KMU sind Abmahnungen ohne sofortiges Bußgeld.

F22: Wie weist man im Kontrollfall die DSGVO-Konformität einer Kampagne nach? Aufbewahren: das Verarbeitungsverzeichnis, die Dokumentation der Datenquellen, Opt-out-Nachweise (Zeitstempel und Bestätigungs-E-Mail), unterzeichnete AVV mit Auftragsverarbeitern, Versandprotokolle mit Zeitstempeln. Lead-Gene generiert automatisch ein exportierbares Verzeichnis.

F23: Ist DSGVO-konformes Prospecting in der Schweiz (DSG) möglich? Ja. Die Schweiz verfügt über ihr eigenes Gesetz (revidiertes DSG, anwendbar seit September 2023). Die Grundsätze ähneln der DSGVO: berechtigtes Interesse für B2B, verpflichtendes Opt-out, Verarbeitungsverzeichnis. Die Schweiz gilt von der EU als angemessenes Land, was Datenübermittlungen erleichtert.

F24: Schnelle Checkliste vor dem Versand einer konformen Cold-E-Mail-Kampagne. ✅ Legale und dokumentierte Datenquelle. ✅ Ausschließlich berufliche E-Mail-Adressen (kein @gmail, @yahoo). ✅ Beruflicher Bezug geprüft (definiertes ICP). ✅ Identifizierter Absender (Vorname, Nachname, Unternehmen, physische Adresse). ✅ Funktionierender Opt-out-Link in jeder E-Mail. ✅ Aktuelles Verarbeitungsverzeichnis. ✅ AVV mit jedem KI-Auftragsverarbeiter unterzeichnet. ✅ Angemessene Frequenz (max. 5 Touchpoints / 30 Tage).

F25: Wo findet man die offiziellen Leitlinien zum E-Mail-Prospecting? CNIL: Leitlinien zur kommerziellen Ansprache auf elektronischem Weg (2023). EDSA (Europäischer Datenschutzausschuss): Stellungnahme 5/2019 zum berechtigten Interesse. Für einen vollständigen Leitfaden zur KI-Konformität siehe unseren Artikel KI-Prospecting & DSGVO 2026.