Datenschutzerklärung für Lead Forensics

Darum ist Lead Forensics datenschutzrechtlich relevant

Unternehmen erhalten über Lead Forensics Firmendaten wie

• den Geschäftsnamen,
• E-Mail-Adressen von Entscheidern,
• Telefonnummern,
• Branchen und
• Umsatz.

Um diese Daten zu erhalten, erfasst Lead Forensics zunächst die IP-Adresse des Webseitenbesuchers und gleicht diese mit seiner Datenbank ab. Auf diese Weise kann es identifizieren, ob es sich dabei um eine Firma handelt und dementsprechend die oben genannten Daten zur Verfügung stellen. Um diesen Vorgang datenschutzrechtlich zulässig zu gestalten, müssen Unternehmen verschiedene Pflichten aus der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) beachten.

Lead Forensics datenschutzkonform verwenden

Um Lead Forensics datenschutzkonform zu verwenden, müssen Unternehmen diese Vorgaben berücksichtigen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen sammeln über Lead Forensics Userdaten wie die IP-Adresse und geben diese an den dahinterstehenden, gleichnamigen Anbieter weiter. Dafür müssen sie mit Lead Forensics einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Der Vertrag sollte festhalten,

• welche Userdaten Lead Forensics speichert,
• wie lange Lead Forensics die Userdaten speichert,
• zu welchem Zweck Lead Forensics die Daten verarbeitet und
• welche sonstigen Rechte und Pflichten beide Parteien haben.

Datenschutzerklärung anpassen

Unternehmen müssen in ihrer Datenschutzerklärung darüber informieren, wie und warum sie Lead Forensics verwenden. Dabei sollten sie verständlich erklären,

• dass sie über Lead Forensics Nutzerdaten erheben, speichern und verarbeiten,
• dass sie die Daten an Lead Forensics weitergeben,
• welche Rechtsgrundlage die Datenerhebung und -weitergabe erlaubt (Art. 6 Abs. 1 lit. f DSGVO),
• dass sie dafür mit Lead Forensics einen AV-Vertrag geschlossen haben und
• dass User der Datenerhebung jederzeit widersprechen können.

Standardvertragsklauseln abschließen?

Nach dem Austritt Großbritanniens aus der EU hat das Königreich sein Datenschutzrecht kaum verändert. Es hat die Regeln der DSGVO in Form der „UK General Data Protection Regulation“ (UK-GDPR) und dem „Data Protection Act 2018“ nahezu in identischer Form in nationales Recht umgesetzt. Bisher können Unternehmen also Daten nach Großbritannien versenden, ohne zusätzlich für die Sicherheit der Daten, wie zum Beispiel in Form von EU-Standardvertragsklauseln, sorgen zu müssen.

Einige Monate nach dem EU-Austritt hat UK jedoch Änderungen am Datenschutz vorgestellt, die es zeitnah umsetzen will. Dazu zählen unter anderem Änderungen im Bereich der Rechtsgrundlagen für die Datenverarbeitung sowie Änderungen im Bereich Compliance. Diese potenziellen Änderungen könnten Auswirkungen darauf haben, ob die UK ein sicheres Drittland bleibt. Unternehmen sollten daher die Entwicklungen im Auge behalten und reagieren, sobald Großbritannien die geplanten Änderungen umsetzt.

Rechtsprechung zu Lead Forensics

Für den Einsatz von Lead Forensics ist diese Rechtsprechung relevant:

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Unternehmen droht ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes, wenn sie keinen AV-Vertrag mit Dritten schließen. Das schreibt Art. 83 Abs. 4 lit. a DSGVO vor. Der Fußballclub VfB Stuttgart musste daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro zahlen. Dieser hatte zwischen 2016 und 2018 wiederholt mehrere zehntausend Mitgliederdaten an Dritte zur weisungsgebundenen Verarbeitung weitergereicht. Dafür lag jedoch kein AV-Vertrag vor. Das stufte die Datenschutzbehörde Baden-Württemberg als schweren DSGVO-Verstoß ein.

Datenschutzbehörde Hamburg zum AV-Vertrag

Auch ein deutsches Versandunternehmen musste ein Bußgeld zahlen, weil es keinen AV-Vertrag mit einem spanischen Postdienstleister abgeschlossen hatte. Die Datenschutzbehörde Hamburg sprach dabei im Dezember eine Strafe in Höhe von 5.000 Euro aus.