Leads einkaufen und verwenden - wie geht das DSGVO-konform?

Leads einkaufen und verwenden - wie geht das DSGVO-konform?
10 min
Beitrag vom: 12.06.2025

Leads sind potentielle Kunden und deshalb ein hohes Gut. Wer sie nicht selbst generieren möchte, kann Leads von Dritten kaufen. Doch ist der Erwerb von Leads und deren Verwendung nur schwierig DSGVO-konform möglich. Mehr dazu in diesem Beitrag.

Was sind Leads?

Leads sind Kontakte zu potentiellen Kunden, welche ein generelles oder spezifisches Interesse an den Produkten und Leistungen eines Unternehmens haben. Ziel eines Unternehmens ist, seine Leads durch weitere Maßnahmen zu Kunden zu machen, also einen Vertragsabschluss zu erreichen (sog. Conversion).

Kontakte werden einerseits zu Leads, wenn sie dem Unternehmen gegenüber Interesse an dessen Produkten bzw. Leistungen signalisieren und ihre Kontaktdaten übermittelt haben. Andererseits können Kontakte auch zu Leads werden, indem sie ihr Interesse an bestimmten Unternehmen, Produkten und/oder Leistungen gegenüber Dritten gezeigt und diesen ihre Kontaktdaten übermittelt haben.

Der Kontakt erfolgt dabei etwa durch Ausfüllen eines Formulars, Anmeldung zu einem E-Mail-Newsletter, Teilnahme an einem Gewinnspiel oder Anforderung eines Angebots zu den Produkten und Leistungen eines Unternehmens.

Praxis-Beispiele für Leads sind:

  • Ein Website-Besucher füllt das Kontaktformular auf der Website eines Unternehmens aus und bittet um Kontaktaufnahme per E-Mail oder Telefon, um Antworten auf seine Fragen zu den Produkten und Leistungen des Unternehmens zu bekommen.
  • Ein Interessent bitte ein Unternehmen per E-Mail, ein Angebot über dessen Produkte abzugeben.
  • Ein Nutzer klickt bei einem Werbevideo auf einen Link und meldet sich daraufhin für ein kostenloses Seminar an, in dem die Produkte eines Unternehmens vorgestellt werden.

Wie können Leads generiert werden?

Im Grundsatz können Unternehmen Leads durch eigene Maßnahmen generieren oder von Dritten erwerben.

1. Eigene Lead-Generierung

Durch gezielte Marketingmaßnahmen können Unternehmen Leads selbst generieren. In der Praxis sind etwa folgende Maßnahmen zur Lead-Generierung etabliert:

  • SEO-Optimierung: Steigerung der Bekanntheit der Unternehmens-Website mittels Anpassung der Website durch deren inhaltliche, grafische und technische Optimierung, so dass die Website von Suchmaschinen wie Google und Bing besser bzw. häufiger gefunden und höher gelistet werden.
  • Banner-Werbung: Kostenpflichtige Schaltung von Online-Werbung auf bekannten Plattformen bzw. Websites mit Reichweite bei der gewünschten Zielgruppe (z.B. Banner-Werbung bei Google oder auf Nachrichtenportalen).
  • E-Mail-Newsletter: Einrichtung eines E-Mail-Newsletters, in dem regelmäßig über die Produkte und Leistungen des Unternehmens informiert wird.
  • Gratis-Content: Bereitstellung von kostenlosen Inhalten, die entweder die Produkte und Leistungen des Unternehmens teasern oder einen sonstigen Reiz setzen, wobei die Interessenten ihre Kontaktdaten übermitteln.
  • Events: Durchführung von Präsenz- und Online-Events, die inhaltlich direkt die gewünschte Zielgruppe adressieren.
LegalScan Pro – Ihr Warnsystem für produktspezifische Rechtspflichten

2. Verwendung von Leads von Dritten

Wer nicht über genug Zeit, Personal oder Marketing-Know-How verfügt, kann Leads auch von Dritten bzw. Drittanbietern erwerben.

Neben der Qualität der Leads für die Verwendung zu eigenen Zwecken sind dabei aber einige - nicht nur geringe - rechtliche Hürden zu nehmen.

Drittanbieter von Leads generieren diese im Hinblick auf bestimmte Unternehmen, Produkte oder Leistungen

  • ggf. direkt zur Verwendung durch andere Unternehmen oder
  • haben Leads vielleicht ursprünglich einmal zu eigenen Zwecken generiert, wollen diese aber möglicherweise weiter verwerten.

Dabei unterscheidet sich die Lead-Generierung durch die Drittanbieter grundsätzlich nicht von der Generierung von Leads zu eigenen Zwecken, erfolgt also durch ähnliche Maßnahmen.

Können Leads auch gekauft werden?

Ja, in der Praxis können Leads auch gekauft bzw. erworben werden.

Hierzu existiert ein Markt hierauf spezialisierter Anbieter, die die Leads in der Regel nach bestimmten qualitativen Kriterien segmentiert bzw. aufbereitet haben und auf diese Weise Unternehmen solche Leads anbieten können, die mit erhöhter Wahrscheinlichkeit zu Conversions hinsichtlich der Leistungen des Unternehmens führen.

Solche Leads beinhalten häufig:

  • Kontaktinformationen: Vor- und Nachname, Anschrift, E-Mail-Adresse, Telefonnummer der Leads
  • Interessen der Leads: Produkte, Hobbies, etc.
  • Einwilligungen der Leads zum Kontakt bzw. Kontaktaufnahme zu Werbe- und Marketingzwecken

Was ist beim Erwerb von Leads gemäß DSGVO zu beachten?

Leads müssen in dreierlei Hinsicht datenschutzkonform sein, damit ihre spätere Verwendung durch den Erwerber der Leads am Ende nicht zu einem DSGVO-Verstoß führt:

  • Generierung von Leads: Bereits die Generierung von Leads muss in datenschutzkonformer Weise erfolgen und erfordert - insbesondere in Anbetracht der späteren Verwendung der Leads zu Werbezwecken - einer datenschutzkonformen Einwilligung der Leads.
  • Erwerb und Übertragung von Leads: Weiter muss auch der Erwerb bzw. die Übertragung eines Leads vom Veräußerer (z.B. dem Anbieter von Leads) an den Erwerber datenschutzrechtlich zulässig sein und in datenschutzkonformer Weise erfolgen. Die Übermittlung von personenbezogenen Daten vom Veräußerer an den Empfänger ist aus datenschutzrechtlicher Sicht eine Datenverarbeitung, die einer hinreichenden Rechtsgrundlage bedarf, was in der Regel eine DSGVO-konforme Einwilligung sein muss.
  • Verwendung von Leads: Schließlich muss auch die spätere Verwendung der Leads durch den Erwerber datenschutz- und auch in sonstiger Weise rechtskonform sein, insbesondere etwa nicht gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen.

Erwerbern von Leads ist dringend zu empfehlen, bei von Dritten angebotenen Leads besonders auf folgende Punkte zu achten:

  • Vorliegen von wirksamen datenschutzrechtlichen Einwilligungen der Leads
  • DSGVO-Konformität der Einwilligungen, insbesondere auch im Hinblick auf die Verwendung durch Dritte, einschließlich dem Erwerber
  • Übermittlung auch der einzelnen datenschutzrechtlichen Einwilligungen samt Datum und Zeitstempel der Einwilligungen zusammen mit den Leads, bei E-Mail-Leads etwa die Protokollierungen deren Double-Opt-Ins (samt IP-Adresse und Zeitstempel)
  • Übermittlung auch der Datenschutzerklärungen, die den Leads bei Erhebung ihrer Daten vorgelegt worden ist.

Was ist bei der Verwendung von Leads zu beachten?

Die Verwendung von Leads umfasst einerseits deren Speicherung im Customer Relationship Management-System (CRM-System), andererseits dann vor allem auch das Kontaktieren der Leads zu Werbe-, also Marketing- und Vertriebszwecken. Im Zusammenhang mit der Verarbeitung personenbezogener Daten ist dabei nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Gesetzes gegen den unlauteren Wettbewerb (UWG) insbesondere Folgendes zu beachten:

1. Assessment der Leads

Unternehmen sollten vor der Verwendung von Leads genau prüfen, ob ihre Leads so beschaffen sind, dass sie überhaupt und ggf. zu welchen konkreten Werbezwecken und -maßnahmen rechtskonform verwendet werden können.

Dies bedeutet insbesondere, zu prüfen, ob die Leads originär in rechtskonformer Weise generiert worden sind und anschließend auch die etwaige Übertragung der Leads auf das eigene Unternehmen rechtmäßig gewesen ist. Falls Leads z.B. DSGVO-widrig generiert oder übertragen worden sind, können sie in aller Regel bereits deshalb nicht rechtmäßig verwendet werden.

2. Einwilligung als Rechtsgrundlage

Weiter ist die Verarbeitung von personenbezogenen Daten bei Marketing- und Werbemaßnahmen - und damit die Kontaktaufnahme zu den Leads - nur zulässig, wenn hierfür eine hinreichende Rechtsgrundlage nach der DSGVO vorliegt.

In der Regel bedarf dies einer datenschutzrechtlichen Einwilligung der Leads nach Art. 6 Abs. 1 Buchst. a, Art. 7 DSGVO, die zugleich auch aus lauterkeitsrechtlicher Sicht gemäß § 7 UWG für viele Arten von Werbemaßnahmen benötigt wird. Eine solche Einwilligung muss von den betroffenen Personen freiwillig, spezifisch und informiert abgegeben worden sein.

Ausnahmen sieht das UWG allerdings unter bestimmten Voraussetzungen bei bestimmten B2B-Werbeanrufen und auch bei E-Mail- bzw. elektronischer Werbung gegenüber Bestandskunden vor, allerdings nur unter Einhaltung bestimmter strenger Voraussetzungen.

3. Dokumentation der DSGVO-Einwilligung

Aus datenschutzrechtlicher Sicht genügt zudem nicht, wenn die Leads in der Vergangenheit einmal eine DSGVO-Einwilligung in bestimmte Marketing- und Werbemaßnahmen erteilt haben.

Vielmehr muss das Unternehmen, das die Leads verwendet, jederzeit nachweisen können, dass eine hinreichende Einwilligung der Leads erteilt worden ist und noch immer vorliegt. Daher muss die Einholung von Einwilligungen so dokumentiert werden (Dokumentationspflicht), dass sie jederzeit auf Nachfrage nachgewiesen werden können, etwa auf Anfrage von Datenschutzbehörden. Dabei muss auch nachweisbar sein, wann, wie und zu welchem Zweck die einzelne Einwilligung erfolgt ist.

4. Datenschutzhinweise in der Datenschutzerklärung

Neben einer DSGVO-Einwilligung bedarf es zusätzlich auch einer DSGVO-Datenschutzerklärung gemäß Art. 13 bzw. 14 DSGVO, in der die Leads über die Verarbeitung ihrer Daten informiert werden. Dabei ist u.a. auch über die Herkunft der personenbezogenen Daten, also etwa über deren Quelle hinzuweisen.

Bei erworbenen bzw. gekauften Leads besteht die Besonderheit, dass das Unternehmen, das die Leads verwenden möchte, die betroffenen Personen mangels Kontakt bislang noch nicht über die Verarbeitung ihrer Daten im Rahmen einer eigenen Datenschutzerklärung informieren konnte. Dies muss das Unternehmern dann bei Herstellung des Erstkontakts mit dem Lead nachholen, also im Zusammenhang mit der Kontaktierung auch eine entsprechende Datenschutzerklärung bereitstellen.

Wir stellen unseren Mandanten, die eines unseres Schutzpakete gebucht haben, abmahnsichere Datenschutzerklärungen bereit.

Sprechen Sie uns bei Fragen hierzu gerne an.

5. Wahrung der DSGVO-Betroffenenrechte

Wer Leads verwendet, um diesen Werbung auszuspielen, etwa per E-Mail, WhatsApp, SMS, Telefon oder Briefpost, muss darauf vorbereitet sein, dass einzelne Adressaten sich hierüber wundern und weiter auch hinterfragen werden, woher das werbende Unternehmen ihre Kontaktdaten hat und gegenüber dem Unternehmen Auskunft verlangen oder sonstige DSGVO-Betroffenenrechte (z.B. Löschung nach Art. 17 DSGVO, Widerspruch nach Art. 21 DSGVO) geltend machen.

Daher sollten unternehmensinterne Prozesse eingerichtet und Muster vorgesehen werden, um auf die Geltendmachung von Betroffenenrechten im Einklang mit den Vorgaben der DSGVO zu reagieren, etwa im Hinblick auf Inhalt, Form und Frist.

6. Beachtung der UWG-Vorgaben

Schließlich müssen Werbende auch die sonstigen Vorgaben des UWG beachten.

Neben dem grundsätzlichen Erfordernis der vorherigen Einwilligung der Adressaten bei Werbung via elektronischer Nachrichten (z.B. E-Mails, WhatsApp, SMS) und bei Werbeanrufen nach § 7 Abs. 2 Nr. 1 und Nr. 2 UWG, umfasst diese weitere Vorgaben.

Hierzu zählt nach § 7 Abs. 3 UWG etwa:

  • In einer Werbenachricht darf die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, nicht verschleiert oder verheimlicht werden.
  • Werbenachrichten müssen die Pflichtinformationen nach § 6 Abs. 1 des Digitale-Dienste-Gesetzes (DDG) beinhalten bzw. dürfen nicht dazu auffordern, Websites aufzusuchen, die gegen diese Kennzeichnungspflichten verstoßen.
  • Es muss eine gültige Adresse vorhanden sein, an die der Empfänger der Werbenachricht eine Aufforderung zur Einstellung solcher Nachrichten richten kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Wir unterstützen unsere Mandanten, die eines unserer Schutzpakete gebucht haben, nicht nur bei der Erstellung und Pflege eines abmahnsicheren Impressums und weiterer Rechtstexte, sondern auch mit vielen weiteren Informationen.

Im Mandantenportal und auf unserer Website stellen wir viele und umfangreiche Leitfäden, Muster und sonstige Hinweise bereit, mit denen unsere Mandanten ihre Werbemaßnahmen rechtskonform und abmahnsicher gestalten können.

Buchen Sie noch heute eines unserer Schutzpakete oder sprechen Sie uns gerne an, wenn Sie noch Fragen hierzu haben.

Welche Folgen bei DSGVO-widrigen Leads?

1. Zivilrecht

Wer Leads erwirbt, die nicht im Einklang mit dem Datenschutzrecht generiert oder auf ihn als Erwerber übertragen worden sind, dem können je nach den Umständen des jeweiligen Einzelfalles deswegen möglicherweise Mängelansprüche wegen Rechtsmängeln des Kaufgegenstandes zustehen.

Betroffene Personen, deren personenbezogenen Daten rechtswidrig erhoben, verarbeitet und / oder übertragen worden sind, könnten zudem Schadensersatzansprüche wegen Verletzung ihres Persönlichkeitsrechts zustehen.

2. Datenschutzrecht

Bei DSGVO-Verstößen drohen nicht nur hohe Bußgelder durch Datenschutzbehörden von bis zu EUR 20 Millionen oder 4 Prozent des Jahresumsatzes, sondern auch DSGVO-Schadensersatzansprüche von betroffenen Personen, deren personenbezogene Daten datenschutzwidirig verarbeitet worden sind.

Daneben können Datenschutzbehörden bei Datenschutzverstößen auch weitere Maßnahmen ergreifen, wie beispielsweise datenschutzrechtliche Untersuchungen sowie Untersagungen von Datenverarbeitungen.

3. Lauterkeitsrecht (UWG)

Bei unzulässigen Marketing- und Werbemaßnahmen drohen zudem kostspielige Abmahnungen durch Mitbewerber sowie Branchen- und Verbraucherschutzverbände.

Das Wichtigste in Kürze

  • Gute Leads sind extrem viel wert - auch, weil sie auf rechtmäßige Weise schwer zu bekommen sind.
  • Die Generierung von Leads ist bei Beachtung bestimmter Regeln zwar vergleichsweise einfach in rechtskonformer Weise umsetzbar, aber nicht selten mit viel Aufwand verbunden. Dagegen verspricht der Erwerb von Leads von Dritten den einfachen und schnellen Erfolg, ist aber insbesondere aus datenschutzrechtlicher Sicht nicht leicht umsetzbar.
  • Häufig sind von Dritten erworbene Leads vor allem deshalb problematisch, weil sie nicht in DSGVO-konformer Weise generiert und übertragen worden sind und deswegen nicht datenschutzkonform verwendet werden können.
  • Dadurch drohen DSGVO-Bußgelder und -Schadensersatzansprüche wegen Datenschutzverstößen sowie Abmahnungen durch Mitbewerber und Branchen- und Verbraucherschutzverbänden wegen unlauterer und deswegen unzulässiger Werbung.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: PeopleImages.com - Yuri A / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

Abmahnungen wegen Warenkorbabbrecher-Mails vermeiden
(03.06.2025, 14:58 Uhr)
Abmahnungen wegen Warenkorbabbrecher-Mails vermeiden
E-Mail-Verschlüsselung zwischen Unternehmen Pflicht?
(11.01.2024, 11:51 Uhr)
E-Mail-Verschlüsselung zwischen Unternehmen Pflicht?
Ist das Überreichen einer Visitenkarte bereits eine Einwilligung in Werbung per E-Mail?
(20.10.2023, 12:15 Uhr)
Ist das Überreichen einer Visitenkarte bereits eine Einwilligung in Werbung per E-Mail?
Aufgepasst: Werbliche Inhalte machen Abwicklungsemails rechtlich angreifbar
(27.09.2022, 14:24 Uhr)
Aufgepasst: Werbliche Inhalte machen Abwicklungsemails rechtlich angreifbar
AG Kassel: Bestätigungs-Mail beim Double-Opt-In Verfahren ist kein Spam
(07.09.2022, 15:24 Uhr)
AG Kassel: Bestätigungs-Mail beim Double-Opt-In Verfahren ist kein Spam
LAG Köln: Zugang einer E-Mail muss Absender beweisen
(17.03.2022, 09:38 Uhr)
LAG Köln: Zugang einer E-Mail muss Absender beweisen
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei