Art. 6 Abs. 1 lit. f DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn dies zur Wahrung berechtigter Interessen erforderlich ist. B2B-E-Mail-Prospektierung kann auf dieser Grundlage erfolgen, wenn: der Empfänger in beruflicher Eigenschaft kontaktiert wird, die Nachricht direkt mit seiner Funktion zusammenhängt und ein einfaches Widerspruchsrecht angeboten wird.

Praxisbeispiel: einen Einkaufsleiter für eine Einkaufssoftware anzusprechen ist legitim. Denselben Einkaufsleiter für eine Urlaubsreise anzusprechen ist es nicht — der funktionale Bezug fehlt.

Ein KI-Scoring-System, das natürlichen Personen automatisch Scores zuweist, kann die Pflicht zur Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) auslösen. Aufsichtsbehörden sehen eine DSFA als obligatorisch an, wenn eine 'systematische und umfangreiche Bewertung persönlicher Aspekte' erfolgt.

Bei B2B-Scoring auf Basis firmografischer Daten und beruflicher Signale ohne sensitive Datenkategorien und ohne automatisierte Entscheidungen mit Rechtswirkung ist eine DSFA empfohlen, aber nicht zwingend. Lead-Gene dokumentiert alle 12 Scoring-Kriterien im Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Opt-out muss laut Behördenleitlinien 2024 innerhalb von 72 Stunden wirksam sein. Jede Rekontaktierung nach ausgedrücktem Widerspruch ist ein klarer Verstoß — bis zu 4 % des weltweiten Jahresumsatzes Bußgeld (Art. 83 DSGVO).

Speicherung von B2B-Prospektierungsdaten: maximal 3 Jahre ab letztem Kontakt oder Ende der Geschäftsbeziehung. Opt-out-Listen müssen dauerhaft aufbewahrt werden, um erneute Kontaktaufnahme zu verhindern.

Zur Risikoeinschätzung: 800.000 € (B2B-Prospektierungsbetreiber, systematische Opt-out-Verstöße, 2024), 3,2 Mio. € (B2C-Händler mit B2B-Datenbanken ohne Rechtsgrundlage, 2024), 150.000 € (SaaS-Startup ohne Impressum und Verarbeitungsverzeichnis, 2025).

Datenschutzbehörden haben seit 2024 die Kontrollen automatisierter Systeme verstärkt. Unangekündigte Online-Überprüfungen (Test von Live-Cold-Email-Sequenzen) machen inzwischen 31 % aller Kontrollen aus.

Für Unternehmen, die gleichzeitig in der EU (DSGVO) und der Schweiz (revidiertes Datenschutzgesetz revDSG, seit September 2023) prospektieren, gelten zwei Regime nebeneinander. Das revDSG erlaubt B2B-E-Mail-Prospektierung auf derselben Rechtsgrundlage des berechtigten Interesses wie die DSGVO.

Struktureller Unterschied: Das revDSG sieht Strafen von bis zu CHF 250.000 gegen natürliche Personen vor — also Geschäftsführer und Datenschutzbeauftragte, nicht nur die juristische Person. Empfehlung: den DSGVO-Standard als universelle Baseline auch in der Schweiz anwenden.