DSGVO beim B2B-Scraping 2026 — was erlaubt ist und was Bußgeld kostet

Disclaimer vorneweg

Dieser Artikel ist keine Rechtsberatung. Er fasst die aktuelle Rechtslage nach meinem Verständnis zusammen und basiert auf veröffentlichter Rechtsprechung und den Einschätzungen eines spezialisierten Anwalts mit dem ich regelmäßig arbeite. Für konkrete Fälle in deinem Unternehmen brauchst du einen eigenen rechtlichen Check.

Was der Artikel ist: Eine Übersicht was ich in der Praxis als sicher betrachte und was nicht. Das ist für deutsche Firmen, B2B-Kontext, Stand April 2026.

Die Grundfrage — Personenbezogen oder nicht?

Die DSGVO greift ab dem Moment wo du personenbezogene Daten verarbeitest. Das ist jede Information die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht.

Konsequenz für B2B:

• "info@firma.de" ist meist keine personenbezogene Daten — sondern eine Funktionsadresse
• "geschaeftsfuehrer@firma.de" ist Grenzfall — wenn die Firma einen einzigen GF hat ist sie durch Zuordnung identifizierbar
• "max.mustermann@firma.de" ist eindeutig personenbezogene Daten
• "Max Mustermann, CEO bei XYZ" ist auch personenbezogene Daten, egal wo du das gefunden hast

Zwischenfazit: Reine Firmen-Kontakte (info@, kontakt@) sind am entspanntesten. Personenspezifische Daten brauchen eine Rechtsgrundlage nach Art. 6 DSGVO.

Die relevanten Rechtsgrundlagen im B2B

Für B2B-Outreach kommen aus dem Art.-6-Katalog realistisch zwei in Frage:

Art. 6 Abs. 1 lit. b — Vertragsanbahnung

Wenn du aktiv angeschrieben wurdest oder wenn ein Kontakt so kommt dass ein Geschäftsinteresse besteht (z.B. auf deinem Stand auf einer Messe, durch einen Anruf), kannst du die Daten verarbeiten um einen Vertrag anzubahnen.

Bei dir initiiertem Kontakt ohne vorherige Beziehung ist das wackelig. Die Rechtsgrundlage greift im engen Sinn, wenn du wirklich auf einen Vertragsschluss hinarbeitet. Für reine Akquise-Mails ist es nicht trivial.

Art. 6 Abs. 1 lit. f — Berechtigte Interessen

Das ist der meist genutzte Grund für B2B-Cold-Outreach. Die Voraussetzungen:

1. Berechtigtes Interesse — dein legitimer Geschäftszweck (z.B. Kundengewinnung) ist legitim
2. Erforderlichkeit — die Verarbeitung ist geeignet und nötig um das Interesse zu erreichen
3. Abwägung — deine Interessen überwiegen die Interessen der betroffenen Person

Die Abwägung ist der kritische Punkt. Bei B2B-Kontakten an geschäftliche Adressen im thematisch passenden Segment überwiegen die Geschäfts-Interessen meistens. Bei Spam an Privatmails klar nicht.

Das UWG-Problem neben der DSGVO

Cold-E-Mail hat nicht nur eine DSGVO-Dimension — sondern auch eine wettbewerbsrechtliche. § 7 UWG regelt unerlaubte Belästigung durch elektronische Post:

• B2C: Werbung per E-Mail braucht immer Einwilligung (Opt-In)
• B2B: Werbung an geschäftliche Kontakte ist erlaubt, wenn ein sachlicher Bezug zur geschäftlichen Tätigkeit besteht und die Adresse aus öffentlichen Quellen stammt

Das heißt: Eine E-Mail an info@klempner-mueller.de mit einem Angebot für Handwerks-Software ist nach § 7 UWG in der Regel zulässig. Eine E-Mail an info@klempner-mueller.de mit einem Angebot für Yoga-Kurse ist es nicht (kein sachlicher Bezug).

Konkret — was du tun darfst

Öffentliche Firmenregister abfragen

Erlaubt. Handelsregister, Genossenschaftsregister, Vereinsregister sind öffentliche Quellen zum Zweck der öffentlichen Einsicht. Die Daten systematisch zu sammeln ist kein Rechtsverstoß — aber das automatische Scraping mit hohem Volumen kann an den jeweiligen Portal-Nutzungsbedingungen scheitern.

Handelsregister.de hat seit 2022 Bulk-Abruf-Optionen — nutz die statt aggressivem Scraping.

Impressums-Daten von Firmenwebseiten lesen

Erlaubt. Impressum ist zwingend vorhanden (nach TMG bzw. nun DDG) und dient genau dem Zweck der Kontaktaufnahme. Die Daten sammeln und verwenden ist legal.

Ausnahme: Wenn die Webseite robots.txt oder explizite Nutzungsbedingungen hat die Scraping verbieten, verletzt du mindestens die Webseite-Nutzungsbedingungen (nicht automatisch DSGVO, aber zivilrechtlich problematisch).

Daten aus Xing-Firmenprofilen (öffentliche Profile)

Begrenzt erlaubt. Die öffentlichen Profile sind frei zugänglich. Aber XINGs Nutzungsbedingungen verbieten das systematische automatische Auslesen. Einzelabrufe sind okay, Bulk-Scraping ist Vertragsbruch gegenüber XING.

LinkedIn-Daten (Firmen- oder Personenprofile)

Kritisch. LinkedIn hat eindeutige Klauseln gegen Scraping. Das hiQ-Labs-Urteil aus den USA ist in Deutschland nicht bindend. LinkedIn hat mehrfach erfolgreich gegen Scraper in Deutschland geklagt.

Plus: Die Daten sind oft personenbezogen (Namen, Berufsbezeichnungen, Arbeitgeber). Die rechtliche Grundlage für das Sammeln ist zweifelhaft.

Meine Empfehlung: LinkedIn-Scraping lassen.

Cold-E-Mails an info@-Adressen im thematisch passenden B2B-Kontext

Erlaubt, wenn:

• Die Adresse aus öffentlicher Quelle stammt (Impressum, Handelsregister)
• Der angebotene Service sachlich zur Empfänger-Firma passt
• Die E-Mail als "Werbung" erkennbar ist
• Ein funktionierender Abmelde-Link enthalten ist
• Du eine Datenschutz-Erklärung hast die die Verarbeitung erklärt

Cold-E-Mails an personenbezogene Adressen (name@firma.de)

Grauzone. Technisch erlaubt mit ähnlichen Voraussetzungen wie oben — aber die Abwägung wird strenger. Die Person hat ihre Adresse nicht für deine Werbung hinterlassen.

Praxis: Viele große Firmen (Daimler, SAP, etc.) blocken generische Cold-E-Mails aktiv über Spam-Filter und einige haben Abmahn-Strukturen. Im kleinen Mittelstand ist die Praxis entspannter.

Meine Linie: Ja, aber nur hoch-personalisiert (Bezug auf konkrete öffentliche Aussage der Person), und Abmelde-Link prominent.

Was du nicht tun solltest

E-Mail-Permutationen aufstellen und testen

Die Methode "firstname.lastname@company.com" zu raten und zu testen ob existiert — das erzeugt automatisiert viele ungewollte Kontaktversuche, und die Daten hast du ohne rechtliche Grundlage erhoben.

Bußgeld-Risiko: Real, vor allem wenn ein Empfänger sich beschwert und die Aufsichtsbehörde deine Infrastruktur prüft.

Massive Cold-Cascade-Sequencing

Tools wie Apollo.io oder Lemlist können Automatisch-Follow-Up-Sequenzen einrichten. Wenn du ohne sauberes Opt-In 7 Nachrichten an dieselbe Person schickst — das ist klar Belästigung nach UWG.

Meine Linie: Max 3 Mails über 6 Wochen. Dann ist Schluss.

Gekaufte Email-Lists

Klar illegal unter DSGVO. Du bist Verantwortlicher für Datenqualität und rechtliche Grundlage. Eine gekaufte Liste aus dubioser Quelle erfüllt das nicht, auch wenn der Anbieter das behauptet. Bußgelder bis 4 Prozent des Jahresumsatzes sind möglich.

Tracking-Pixel und Open-Rate-Messung

Sehr verbreitet, oft rechtlich falsch behandelt.

Rechtslage: Das Einbetten eines Tracking-Pixels in eine kommerzielle E-Mail fällt unter § 25 TTDSG (jetzt TDDDG) — das ist der "Cookie-Paragraph." Ein solches Tracking braucht Einwilligung.

Im B2B-Werbemail-Kontext argumentieren viele "berechtigtes Interesse" nach Art. 6 f DSGVO — aber das wird von Aufsichtsbehörden teilweise angezweifelt.

Meine Linie: Wenn ich Tracking einsetze, steht das in der Datenschutz-Erklärung explizit drin. Und ich nutze es nur für statistische Auswertung (Gesamtzahl Opens pro Kampagne), nicht für personenbezogene Profile pro Empfänger.

Dokumentations-Pflicht

Art. 30 DSGVO — Verzeichnis von Verarbeitungstätigkeiten. Du musst dokumentieren:

• Welche Daten du verarbeitest
• Auf welcher Rechtsgrundlage
• Wie lange du sie speicherst
• An wen sie weitergegeben werden
• Welche technischen und organisatorischen Maßnahmen zum Schutz gelten

Für Cold-Outreach-Daten sollte ein eigener Eintrag im Verarbeitungsverzeichnis sein. Beim Datenschutz-Audit wird das geprüft.

Löschfristen

Wenn jemand nicht antwortet, wann müssen die Daten weg?

Gute Faustregel: 6 Monate nach letzter Kontaktaufnahme ohne Response. Danach ist die Datennutzung nicht mehr verhältnismäßig — die Person hat durch Nicht-Reagieren implizit Desinteresse signalisiert.

Bei Widerspruch (Art. 21 DSGVO, z.B. "Bitte keine weiteren E-Mails"): sofort aus der Liste, dokumentiert, und technisch verhindert dass die Adresse erneut reinkommt.

Was Aufsichtsbehörden konkret geprüft haben (2024-2025)

Eine Sammlung aus Fällen die öffentlich wurden:

• Bußgeld gegen eine deutsche Personaldienstleistung: 50.000 Euro für unzureichende Informationspflichten bei B2B-Kaltakquise
• Unterlassungsaufforderung gegen ein SaaS-Unternehmen: Automatisierte LinkedIn-Scraping-Pipeline aufgedeckt, Abmahnung plus Anpassung der Datenschutz-Erklärung
• Geldbuße 12.000 Euro: Tracking-Pixel in Cold-E-Mails ohne Erwähnung in der Datenschutz-Erklärung

Die Größenordnung ist für Mittelständler schmerzhaft, für Kleinunternehmen existenzgefährdend.

Meine Checkliste für saubere B2B-Cold-Outreach

Daten-Sammlung
[ ] Nur aus öffentlichen Quellen (Register, Impressum)
[ ] Rate-Limit respektiert beim Scraping
[ ] Bulk-APIs genutzt wo angeboten
[ ] Keine LinkedIn-Scraping-Tools im Einsatz
[ ] Kein Permutations-Testing von E-Mail-Adressen

Versand
[ ] Nur E-Mails mit sachlichem B2B-Bezug
[ ] Max 3 Mails über 6 Wochen pro Empfänger
[ ] Funktionierender Abmelde-Link
[ ] Werbe-Charakter erkennbar
[ ] Impressum plus Link zur Datenschutz-Erklärung

Daten-Verwaltung
[ ] Verarbeitungsverzeichnis gepflegt
[ ] Löschfrist 6 Monate nach letzter Aktivität
[ ] Widerspruch-Handling innerhalb 48 Stunden
[ ] Kein Tracking-Pixel ohne Offenlegung

Weiterlesen

Der praktische Teil zu Lead-Gen selbst: 500 B2B-Leads legal in einer Woche. Die Copy-Seite: Outreach-Copy mit Claude. Für DSGVO-Grundlagen bei LLM-Nutzung siehe ChatGPT-Alternativen für deutsche Firmen.

Konkrete rechtliche Fragen in deiner Situation? Zone "Lead-Gen & B2B" im Discord — wir diskutieren anonymisierte Cases, aber echte rechtliche Beratung hol dir von einem spezialisierten Anwalt.