DSGVO und Lead-Kauf: Was Handwerksbetriebe rechtlich beachten müssen

Der Kauf von Anfragen ist für Handwerksbetriebe grundsätzlich rechtlich zulässig, wenn der Interessent vor der Weitergabe seiner Daten ausdrücklich und nachweisbar eingewilligt hat. Entscheidend ist nicht, dass du Leads einkaufst, sondern wie sauber der Anbieter sie generiert: Es braucht eine informierte Einwilligung in die Datenweitergabe an deinen Betrieb, eine separate Werbeeinwilligung für telefonische oder elektronische Kontaktaufnahme und einen lückenlosen Herkunftsnachweis. Fehlt diese Grundlage, trägst du als kontaktierender Betrieb das Haftungsrisiko mit. Genau deshalb ist die Auswahl des Anbieters die wichtigste rechtliche Stellschraube beim Lead-Kauf.

Hinweis vorweg: Dieser Beitrag erklärt die allgemeinen Rahmenbedingungen und ersetzt keine Rechtsberatung. Für deinen konkreten Fall solltest du die Verträge und Prozesse anwaltlich oder über deinen Datenschutzbeauftragten prüfen lassen.

Ist der Kauf von Leads überhaupt DSGVO-konform?

Ja, der Lead-Kauf ist zulässig, solange die Datenverarbeitung auf einer gültigen Rechtsgrundlage beruht. Die DSGVO verbietet nicht den Handel mit Kontaktdaten an sich, sondern die Verarbeitung personenbezogener Daten ohne legitime Grundlage. Beim Kauf von Anfragen ist diese Grundlage in aller Regel die Einwilligung des Interessenten nach Artikel 6 Absatz 1 lit. a DSGVO.

Das heißt konkret: Der Interessent muss wissen, dass seine Daten an einen Fachbetrieb wie deinen weitergegeben werden, und dem aktiv zustimmen. Eine pauschale, versteckte oder vorangekreuzte Zustimmung reicht nicht. Genauso wenig genügt es, wenn ein Anbieter Daten aus undurchsichtigen Quellen zusammenkauft und als "Lead" weiterreicht. Sauber ist eine Anfrage nur, wenn die Person selbst und freiwillig den Kontakt angestoßen hat.

Für dich als kaufenden Betrieb bedeutet das: Du wirst zum Verantwortlichen im Sinne der DSGVO, sobald du die Daten verarbeitest, also den Interessenten anrufst, anschreibst oder ein Angebot erstellst. Deshalb kannst du dich nicht darauf zurückziehen, dass "der Anbieter das schon geregelt hat". Du musst dir die Sauberkeit der Generierung zusichern und belegen lassen.

Was ist der Unterschied zwischen Einwilligung und Werbeeinwilligung?

Es gibt zwei getrennte Zustimmungen, die du nicht verwechseln darfst: die Einwilligung in die Datenweitergabe (DSGVO) und die Werbeeinwilligung für die Kontaktaufnahme (UWG).

Die erste Einwilligung erlaubt, dass die Daten des Interessenten überhaupt an deinen Betrieb übermittelt und dort verarbeitet werden dürfen. Die zweite, die Werbeeinwilligung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG), entscheidet darüber, ob du den Interessenten per Telefon, E-Mail oder SMS kontaktieren darfst. Gerade der Anruf ist heikel: Telefonwerbung gegenüber Verbrauchern ist ohne vorherige ausdrückliche Einwilligung unzulässig.

Bei einem hochwertigen Lead-Prozess fragt der Anbieter beide Zustimmungen aktiv und getrennt ab. Wird der Interessent dann zusätzlich telefonisch vorqualifiziert, ist der spätere Erstkontakt durch dich nicht nur rechtlich abgesichert, sondern auch deutlich erwartet, weil die Person mit einem Rückruf rechnet.

Welche Rolle spielt der Herkunftsnachweis?

Der Herkunftsnachweis dokumentiert, woher eine Anfrage stammt und welche Zustimmungen wann erteilt wurden, und er ist dein wichtigster Schutz im Streitfall. Ohne ihn kannst du im Zweifel nicht beweisen, dass der Kontakt rechtmäßig zustande kam.

Die DSGVO kennt eine Rechenschaftspflicht (Artikel 5 Absatz 2): Wer Daten verarbeitet, muss die Rechtmäßigkeit nachweisen können. Ein seriöser Anbieter liefert dir deshalb pro Lead nachvollziehbare Informationen, idealerweise:

• Zeitpunkt und Quelle der Anfrage (z.B. konkrete Landingpage oder Kampagne)
• Wortlaut der Einwilligungstexte, denen der Interessent zugestimmt hat
• Bestätigung der separaten Werbeeinwilligung für Telefon/E-Mail
• Protokoll der Zustimmung (Double-Opt-in oder vergleichbare Dokumentation)

Wer die Herkunft einer Anfrage nicht belegen kann, kauft kein Geschäft, sondern ein Risiko.

Bei generischen Datenbeständen oder weiterverkauften Adressen lässt sich diese Kette meist nicht mehr sauber rekonstruieren. Das ist der zentrale Grund, warum die Art der Generierung beim Anbieter über deine Rechtssicherheit entscheidet.

Worauf solltest du beim Vertrag mit dem Lead-Anbieter achten?

Der Vertrag muss klären, wer datenschutzrechtlich verantwortlich ist und wie die Daten erhoben wurden. Zwei Konstellationen sind üblich: Der Anbieter handelt als eigenständig Verantwortlicher, der dir Daten mit Einwilligung übermittelt, oder ihr seid gemeinsam Verantwortliche. In beiden Fällen brauchst du klare vertragliche Zusicherungen.

Folgende Punkte solltest du vor Vertragsabschluss prüfen oder prüfen lassen:

1. 1Rechtsgrundlage: Auf welcher Basis werden die Leads erhoben und weitergegeben? Liegt eine ausdrückliche Einwilligung vor?
2. 2Exklusivität: Wird die Anfrage nur an dich weitergegeben oder mehrfach verkauft? Mehrfachverkauf erhöht Beschwerderisiko und Wettbewerb.
3. 3Werbeeinwilligung: Ist die Erlaubnis zur telefonischen Kontaktaufnahme ausdrücklich eingeholt?
4. 4Nachweisbarkeit: Bekommst du auf Anfrage die Dokumentation der Einwilligung?
5. 5Haftung: Wer haftet, wenn eine Einwilligung fehlt oder unwirksam ist?
6. 6Verarbeitungsvereinbarung: Gibt es eine AV oder eine Vereinbarung zur gemeinsamen Verantwortlichkeit, wo nötig?

Vergleich: Saubere Lead-Generierung vs. eingekaufte Adressdaten

Die folgende Tabelle zeigt, woran du rechtssichere Anfragen von riskanten Datenbeständen unterscheidest.

Der praktische Unterschied ist groß: Eine einwilligungsbasierte, telefonisch vorqualifizierte Anfrage erwartet deinen Anruf. Eine kalt eingekaufte Adresse weiß im Zweifel gar nichts von dir, was rechtlich und für deine Abschlussquote ungünstig ist.

Wie dokumentierst du den Lead-Kauf in deinem Betrieb richtig?

Du solltest jede Anfrage so ablegen, dass du im Zweifel die Rechtmäßigkeit der Verarbeitung belegen kannst. Die Dokumentationspflicht trifft auch dich, nicht nur den Anbieter.

Praktisch heißt das: Speichere zu jedem gekauften Lead die vom Anbieter gelieferten Nachweise, ergänze dein Verarbeitungsverzeichnis um die Kategorie "gekaufte Anfragen" und definiere intern Löschfristen für Daten, aus denen kein Auftrag wird. Wenn ein Interessent der Verarbeitung widerspricht oder Auskunft verlangt, musst du reagieren können. Halte dafür einen einfachen Prozess bereit, idealerweise mit einer festen Zuständigkeit im Team.

Für wen lohnt sich der Lead-Kauf trotz der Auflagen?

Lohnenswert ist der Lead-Kauf für Betriebe, die planbar mehr qualifizierte Anfragen wollen und keine Kapazität haben, Generierung und rechtssaubere Erfassung selbst aufzubauen. Statt eigene Kampagnen, Formulare und Einwilligungsprozesse zu betreiben, verlagerst du den heikelsten Teil, die rechtssichere Erstgenerierung, an einen spezialisierten Anbieter.

Das ergibt vor allem dann Sinn, wenn die Anfragen exklusiv sind, telefonisch vorqualifiziert wurden und die Einwilligungskette belegbar ist. Genau das ist der Anspruch von Anfragenfluss: Wir erzeugen Anfragen über eigene Werbeanzeigen und eigene Lead-Generierung mit aktiver Einwilligung und qualifizieren sie telefonisch vor, bevor sie exklusiv an deinen Betrieb gehen. Wie das in der Praxis aussieht, zeigen unsere Referenzen und Kundenstimmen.

Checkliste: DSGVO-konformer Lead-Kauf

Diese Punkte solltest du vor und während der Zusammenarbeit mit einem Anbieter abhaken:

• [ ] Wurde die Anfrage aktiv vom Interessenten ausgelöst (kein Adresskauf)?
• [ ] Liegt eine ausdrückliche Einwilligung in die Datenweitergabe an deinen Betrieb vor?
• [ ] Gibt es eine separate Werbeeinwilligung für die telefonische Kontaktaufnahme?
• [ ] Kannst du pro Lead den Herkunfts- und Einwilligungsnachweis erhalten?
• [ ] Ist geregelt, ob der Lead exklusiv oder mehrfach verkauft wird?
• [ ] Sind Haftung und Verantwortlichkeiten im Vertrag eindeutig geklärt?
• [ ] Hast du die Anfragen in deinem Verarbeitungsverzeichnis erfasst?
• [ ] Gibt es einen Prozess für Auskunfts-, Widerspruchs- und Löschanfragen?
• [ ] Wurden Verträge und Einwilligungstexte rechtlich geprüft?

Die wichtigste Entscheidung beim Lead-Kauf triffst du nicht beim Preis, sondern bei der Frage, wie sauber der Anbieter generiert.

Wenn du auch nur bei einem Punkt unsicher bist, prüfe ihn, bevor du Daten verarbeitest. Die Mühe ist klein gegen das Risiko einer Abmahnung oder eines Datenschutzverstoßes.

Willst du Anfragen, deren Herkunft du belegen kannst und die deinen Anruf erwarten? Dann lass uns deine aktuelle Lead-Situation in einem kostenlosen Erstgespräch durchgehen. Wir zeigen dir, wie unsere einwilligungsbasierte, telefonisch vorqualifizierte Generierung funktioniert und welche Nachweise du pro Anfrage bekommst. Starte direkt über unseren Konfigurator oder nimm Kontakt auf, dann klären wir gemeinsam, ob das zu deinem Betrieb passt.