LeadRebel

Datenschutzkonforme Nutzung von LeadRebel unter Berücksichtigung der DSGVO und ePrivacy-Richtlinie

Stand: August 2023

A. Was ist LeadRebel?

Zahlreiche Unternehmen erstellen umfangreiche Statistiken über den Besuch ihrer Website. Im B2B-Bereich besteht dabei ein gesteigertes Interesse daran, zu ermitteln, welche Unternehmen und somit potenzielle Geschäftspartner oder Kunden zu den Besuchern der Website zählen.

LeadRebel ist ein B2B-Analysetool, das auf Websites von Unternehmen eingesetzt wird und der Generierung von Business-Leads dient. Zu diesem Zweck erfasst LeadRebel IP-Adressen sowie weitere Nutzungsdaten von Websitebesuchern und reichert diese mit öffentlich verfügbaren Unternehmensinformationen an. Websitebetreiber werden so in die Lage versetzt, nachvollziehen zu können, welche Unternehmen die eigene Website besucht und daher ggf. Interesse am Produkt, der Dienstleistung oder an einer Zusammenarbeit haben.

Um in den Genuss dieser Vorteile zu kommen, bedarf es der Integrierung eines Javascript-basierten Codes in den Quellcode der jeweiligen Website.

B. Funktionsweise von LeadRebel

Damit die Kunden von LeadRebel sich zur Nutzung des Tools mit ihrem Account einloggen und die Einstellungen verwalten können, wird ein notwendiges Cookie zur Anmeldung und Authentifizierung auf dem Endgerät der Beschäftigten der Kunden gespeichert („auth“). LeadRebel verfolgt für Sie im Rahmen des Tools folgenden modularen Aufbau:

Modul 1 ermittelt IP-Adressen-basiert, welchem Unternehmen ein Website-Besucher zuzuordnen ist. Es handelt sich hierbei um ein passives Standardverfahren, bei dem die Informationen vom Browser – wie bei einer HTTP-Anfrage – automatisch übermittelt werden. Dieses Modul erfolgt dabei technisch vollständig ohne den Einsatz von Cookies. Der Einsatz dieses Moduls ist obligatorisch. Ein Fingerprinting oder andere Methoden zur Wiedererkennung von Websitebesuchern finden nicht statt. Es wird lediglich ermittelt, ob ein Besucher neu ist oder schon einmal auf der Website war. Für die Kernfunktionen von LeadRebel werden Einträge im Web Storage des Browsers angelegt, deren Einsatz durch Maßnahmen zum Schutz des Endnutzers begleitet werden (siehe Abschnitt E).

Modul 1 stellt auch das Herzstück von LeadRebel dar. Mithilfe der IP-Adresse ermittelt LeadRebel im Backend über eine Whois-Abfrage, das sog. Reverse-DNS-Lookup-Verfahren und einen Datenbankabgleich den Firmennamen des besuchenden Unternehmens. Bei einem Treffer wird der Eintrag mit weiteren Unternehmensdaten angereichert und den Kunden von LeadRebel in einem Dashboard zur Verfügung gestellt. Die IP-Adresse wird nach Ermittlung der Unternehmensinformationen für 3 Monate gespeichert, um die Whois-Abfragen zu reduzieren und die Performance zu erhöhen.

Auf Wunsch der Kunden von LeadRebel können auch öffentlich verfügbare Kontaktinformationen von Mitarbeitern des besuchenden Unternehmens automatisiert zusammengestellt werden. Diese Daten werden nicht gespeichert, sondern bei jeder Anfrage neu generiert.

Nicht zuordenbare IP-Adressen bzw. solche, die einem privaten Anschlussinhaber zuzuordnen sind, werden aussortiert und in eine Blacklist übertragen.

Modul 2 dient der optionalen Erfassung der Mauscursor-Bewegungen, um zu ermitteln, welche Bereiche der Websitebesucher angeschaut bzw. angeklickt hat. Diese Bewegungen werden über eine Sitzungs-ID zugeordnet und in einem Video festgehalten. Dabei sind sämtliche Eingabefelder ausgeblendet. Dieses Modul ist per Default aktiviert, kann aber von den Kunden jederzeit und unkompliziert deaktiviert werden. Die Videos werden für zwei Wochen gespeichert und anschließend gelöscht. Auf dem Endgerät werden weder Cookies gespeichert noch Elemente im Web Storage angelegt. Eine Zuordnung der Aufzeichnung zu einer natürlichen Person ist mangels Identifier nicht möglich. Es erfolgt keine Profilbildung desselben Besuchers.

Die Module 1 und 2 können durch eine Einstellung des Kunden von der Einwilligung der Websitebesucher abhängig gemacht werden. Dabei werden die Module nur eingesetzt, soweit der Besucher zugestimmt hat und dadurch ein Opt-in-Cookie („allow tracking“) gesetzt wird, welches dem Tool signalisiert, dass die Daten verarbeitet bzw. die Zugriffe und Speicherungen erfolgen dürfen. Um die Verwendung der Module zu unterbinden, besteht auch die Möglichkeit, ein Opt-out-Cookie („optout“) zu setzen.

Modul 3 besteht aus zwei Teilen: Teil 1 ermöglicht Ihnen die Suche nach Mitarbeitern der Unternehmen, die durch LeadRebel erkannt wurden. Hierfür nimmt LeadRebel die Liste der Unternehmen, die für einen bestimmten Zeitraum durch LeadRebel für einen konkreten Kunden erkannt wurden, fragt bei einem Google API und Hunter.io API an und generiert (beispielsweise aus den öffentlichen Daten aus LinkedIn oder XING) eine Liste der Mitarbeiter für die Unternehmen, ggf. einschließlich der Positionsbezeichnung der Mitarbeiter. Diese Mitarbeiter-Liste wird automatisch als Excel-File an Sie gesendet. Weder die Unternehmensdaten noch die Mitarbeiterdaten werden von LeadRebel gespeichert. Es findet eine direkte automatische Weiterleitung der Mitarbeiterdaten an Sie statt. Teil 2 ermöglicht Ihnen die Suche nach Mitarbeitern aus einer Excel-Liste. Sie können eine Excel-Liste mit beliebigen Unternehmen hochladen und für diese Liste eine entsprechende Mitarbeiterliste erhalten. Auch hier findet eine direkte automatische Weiterleitung der Mitarbeiterdaten an Sie statt, ohne dass LeadRebel diese speichert.

C. Technische und Organisatorische Maßnahmen

Selbstverständlich hat LeadRebel zum Schutz seiner Systeme und der verarbeiteten Daten zahlreiche technische und organisatorische Maßnahmen nach Art. 32 DSGVO getroffen, um eine angemessenes Datenschutzniveau zu gewährleisten.

Insbesondere hat LeadRebel die folgenden technischen und organisatorischen Maßnahmen getroffen:

• Verwendung verschlüsselter Passwörter;
• Sicherung der Vertraulichkeit, insbesondere durch Zutrittskontrollen, Zugangskontrolle, Zugriffskontrollen und der Trennung von Test- und Produktivsystemen;
• Sicherung der Datenintegrität, insbesondere Einspielen neuer Releases und Patches auf Grundlage eines Release/Patchmanagement sowie der Durchführung von Funktionstests bei Installation und Releases:
• Sicherung der Verfügbarkeit und Belastbarkeit, insbesondere Implementierung von Datensicherungsverfahren;
• Verwendung von Servern in Deutschland.
• Regelmäßige Evaluation der datenschutzrechtlichen Anforderungen.

D. Datenschutzkonformer Einsatz von LeadRebel nach der DSGVO

LeadRebel beherzigt die Prinzipien Privacy by Design und Privacy by Default nach Art. 25 DSGVO und ist auf einen DSGVO-konformen Einsatz ausgelegt. Die Websitebetreiber agieren dabei als datenschutzrechtlich verantwortliche Stelle gem. Art. 4 Nr. 7 DSGVO und der Betreiber von LeadRebel als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Nachfolgend werden die datenschutzrechtlichen Anforderungen beschrieben, die nach der Einschätzung von LeadRebel beim Einsatz des Produkts zu beachten sind.

1. Datenverarbeitung bei Einsatz der Module

Es bedarf regelmäßig in Bezug auf den Einsatz des Moduls 1 keiner Rechtsgrundlage nach DSGVO, da unternehmensbezogene IP-Adressen nach überzeugender Einschätzung nicht personenbezogen bzw. -beziehbar sind und daher schon der sachliche Anwendungsbereich der DSGVO nicht eröffnet ist; im Übrigen wird auf Abschnitt E zur Zulässigkeit aus Sicht des § 25 TTDSG verwiesen.

Falls allerdings eine Zuordnung zu einem Unternehmen nicht (zweifelsfrei) möglich ist und es sich insofern um einen privaten Anschlussinhaber handeln könnte, sind IP-Adressen nach der Rechtsprechung (mittelbar) personenbeziehbar. Da solche IP-Adressen von LeadRebel jedoch sofort aussortiert und gerade nicht weiterverarbeitet werden, lässt sich die Verarbeitung auf die berechtigten Interessen des Websitebetreibers nach Art. 6 Abs. 1 lit. f DSGVO stützen, da die hierbei erforderliche Interessenabwägung regelmäßig zu Gunsten ausfällt. Berechtigte Interessen des Websitebetreibers stellen insbesondere Reichweitenmessung und die kommerzielle Auswertung und Nutzung unternehmensbezogener Besucherdaten dar.

Zu berücksichtigen sind hierbei folgende Aspekte:

• Es kommt zu keiner umfassenden Auswertung personenbezogener Daten oder einer Website-übergreifenden Zusammenführung von Daten, welche Ihre Besucher identifizierbar machen würden.
• Im Rahmen der Abwägung sind die „vernünftigen Erwartungen der betroffenen Personen“ zu berücksichtigen. Es entspricht dem heutigen technologischen Standard, dass bei einem Websitebesuch IP-Adresse und Browserinformationen zum Zwecke der Datenübertragung notwendigerweise ausgelesen werden. Ihr Websitebesucher erwartet dies nicht nur, sondern intendiert dies.
• Das o. g. Aussortieren dient einer möglichst datensparsamen Verarbeitung i. S. d. Art. 5 Abs. 1 lit. c DSGVO. Auch werden die Risiken für die hinter den IP-Adressen stehenden Personen auf ein absolutes Minimum reduziert.
• Durch Sicherheitsvorkehrungen, die die Verfügbarkeit und die Belastbarkeit der Systeme von LeadRebel betreffen, wird das Risiko für Datenpannen minimiert.

Modul 2 erzeugt insofern eine Datenverarbeitung, als dass sich die Cursor-Bewegungen und die Video-Aufnahmen auf einen spezifischen Website-Aufruf beziehen und daher mit der (im Rahmen der üblichen Verbindungsdaten übermittelten) IP-Adresse des Besuchers jedenfalls temporär personenbezogen sind. Dieser Personenbezug wird jedoch aufgehoben, sobald die Video-Aufnahmen ohne Zuordnung zu einem Identifier gespeichert werden. Auch werden die Aufnahmen nach zwei Wochen gelöscht und eine Wiedererkennung desselben Besuchers findet nicht statt. Daher trifft LeadRebel Maßnahmen im Rahmen von Privacy by Design und Default, um die Datenverarbeitung zu begrenzen. Bevor Kunden Modul 2 einsetzen, bedarf es aus datenschutzrechtlicher Sicht einer Prüfung, ob die Verarbeitung von den berechtigten Interessen des Kunden umfasst ist und die Interessen der Besucher am Ausbleiben der Verarbeitung nicht überwiegen. Angesichts der vorgenommenen Maßnahmen ist es vertretbar, die Verarbeitung der Daten auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO zu stützen. Wenn hingegen Zweifel beim Kunden bestehen, sollte auf den Einsatz des Moduls verzichtet oder dieses nur mit Einwilligung der Websitebesucher verwendet werden; im Übrigen wird auf Abschnitt E zur Zulässigkeit aus Sicht des § 25 TTDSG verwiesen.

Modul 3 geht mit einer temporären Datenverarbeitung der Mitarbeiterdaten durch LeadRebel einher, welche die Weiterleitung der Daten mit theoretischer Zugriffsmöglichkeit betrifft. Dabei handelt es sich um die Verarbeitung öffentlich zugänglicher Daten von Beschäftigten der Unternehmen, die über die Google API bzw. das Hunter.io API aus den Unternehmenslisten ermittelt werden. Die DSGVO kennt zwar kein Privileg für die Verarbeitung öffentlicher Daten, jedoch ist die Öffentlichkeit maßgeblich in die Interessenabwägung im Rahmen der Rechtsgrundlage der berechtigten Interessen miteinzubeziehen. Unter Berücksichtigung der implementierten technischen und organisatorischen Maßnahmen und der Tatsache, dass die Mitarbeiterdaten von LeadRebel nicht gespeichert werden, kann die Verarbeitung mithilfe von Modul 3 daher regelmäßig auf die berechtigten Interessen des Websitebetreibers nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden.

2. Datenverarbeitung im Backend

Auch die in Backend von LeadRebel durchgeführten Verarbeitungen von personenbezogenen bzw. -beziehbaren Daten lassen sich auf einschlägige Rechtsgrundlagen stützen.

Hinsichtlich des Abgleichs der nicht-unternehmensbezogenen IP-Adressen mit Unternehmensdatenbanken stellt auch hier Art. 6 Abs. 1 lit. f DSGVO die valide Rechtsgrundlage dar. Dadurch, dass LeadRebel eventuell personenbeziehbare IP-Adressen ausnahmslos aussortiert, fällt die Interessenabwägung zu Gunsten der Datenverarbeitung aus.

Gleichermaßen liegt auch die Ermittlung der Kontaktdaten von Mitarbeitern des identifizierten Unternehmens regelmäßig im berechtigten Interesse der Websitebetreiber nach Art. 6 Abs. 1 lit. f DSGVO. Hierfür sprechen insbesondere folgende Gründe:

• LinkedIn und XING informieren ihre Nutzer über ihre Datenschutzhinweise darüber, dass ggf. Daten in Suchmaschinen auffindbar und von Dritten eingesehen werden können (entsprechende Profileinstellungen vorausgesetzt).
• Dadurch, dass die Mitarbeiter freiwillig ihr berufliches Profil öffentlich abrufbar machen, kann jeder problemlos ihre Unternehmenszugehörigkeit ermitteln. LeadRebel vereinfacht insofern lediglich den Such-Prozess und stellt die Informationen gebündelt zur Verfügung.
• Es erfolgt keine Speicherung der ermittelten Kontaktinformationen in den Systemen von LeadRebel.
• Die Funktionalität ist optional und steht Ihren Kunden nur auf Wunsch zur Verfügung.

3. Datenschutzrechtliche Rollenverteilung

Die Nutzung von LeadRebel ist als sog. Auftragsverarbeitung i. S. v. Art. 4 Nr. 8, 28 DSGVO einzustufen, sodass es zunächst des Abschlusses eines Auftragsverarbeitungsvertrages bedarf, den die Pulserio AG ihren Kunden bereitstellt. Die Pulserio AG handelt als weisungsgebundener Auftragsverarbeiter. Sie behalten die volle Entscheidungshoheit über die Zwecke und Mittel der Datenverarbeitung. LeadRebel verarbeitet außerdem keine Daten aus dem Auftragsverhältnis zu eigenen Zwecken.

4. Datenverarbeitung durch Subunternehmen

Bei einem Teil der Dienstleister von LeadRebel handelt es sich um US-Unternehmen. In seiner richtungsweisenden „Schrems II“-Entscheidung hat der Europäische Gerichtshof das EU-US-Privacy-Shield für unwirksam erklärt. Diese Entscheidung berücksichtigt LeadRebel beim Einsatz von Subunternehmen selbstverständlich. Daher legitimiert LeadRebel die entsprechenden Datenübermittlungen grundsätzlich über die sog. Standardvertragsklauseln und prüft auch, ob diese von den Dienstleistern eingehalten werden. Darüber hinaus sorgt LeadRebel durch den Einsatz dem Stand der Technik entsprechender technischer und organisatorischer Maßnahmen für eine Reduzierung etwaiger Risiken hinsichtlich der Datenübermittlung in die USA. Zusätzlich kann die Datenübermittlung in die USA durch eine entsprechende Einwilligungserklärung im Cookie-Banner der Websitebetreiber abgesichert werden. LeadRebel stellt dabei bei Bedarf eine Formulierung zur Verfügung, die gemäß Art. 49 Abs. 1 S. 1 lit. a DSGVO auf die Risiken derartiger Datenübermittlungen hinweist.

Mit dem Angemessenheitsbeschluss zum EU-US Data Privacy Framework vom 10.07.2023, dem sich US-Unternehmen anschließen können, wird die Übermittlung in die USA zeitnah abgesichert werden. Zudem sind bei Übermittlungen auf Grundlage der Standardvertragsklauseln die neuen Prozesse und Richtlinien zur Beschränkung der Datenverarbeitung durch US-Geheimdienste sowie der neue Rechtsbehelfsmechanismus für betroffene Personen aus der Executive Order 14086 gebührend zu berücksichtigen.

E. Zulässigkeit des Einsatzes von LeadRebel nach § 25 TTDSG

Nach § 25 TTDSG, der Art. 5 Abs. 3 der ePrivacy-Richtlinie umsetzt, erfordert der Zugriff auf oder die Speicherung von Informationen im Endgerät grundsätzlich eine informierte Einwilligung (Abs. 1). Ausnahmsweise ist keine Einwilligung erforderlich, wenn der Zugriff oder die Speicherung für die Bereitstellung eines ausdrücklich gewünschten Dienstes unbedingt erforderlich ist (Abs. 2 Nr. 2). Die Umsetzung der Anforderungen des § 25 TTDSG ist in Hinblick auf die Ausnahme von der Einwilligungspflicht in der Praxis höchst umstritten und muss in Bezug auf die konkrete Funktionsweise einzelfallabhängig betrachtet werden.

Zunächst ist festzustellen, dass die automatische (passive) Übermittlung der Informationen aus dem HTTP-Header, einschließlich der IP-Adressen und des User-Agent, nicht dem Anwendungsbereich des § 25 TTDSG unterliegt (so auch Datenschutzkonferenz (DSK), Orientierungshilfe Telemedien 2021, V. 1.1, Rn. 21 f.). Soweit darüber hinaus jedoch Informationen auf dem Endgerät gespeichert oder auf sie zugegriffen wird, muss eine konkrete Abwägung erfolgen.

Modul 1 erfordert im Ergebnis nicht zwingend die Einholung einer Einwilligung nach § 25 Abs. 1 TTDSG. Zunächst ist es vertretbar, den Einsatz von LeadRebel als von den Endnutzern ausdrücklich gewünscht anzusehen, da es für B2B-Unternehmenswebsites essenziell ist festzustellen, welche anderen Unternehmen als potentielle Kunden die Website besucht haben, um Business-Leads generieren zu können. Dies ist insbesondere für allein online auftretende Unternehmen wichtig. Ob die Funktionen von LeadRebel im Einzelnen unbedingt erforderlich sind, muss differenziert geprüft werden: Einerseits werden keine Cookies gespeichert und durch JavaScript lediglich die IP-Adresse und die Browser-Informationen ausgewertet, die ohnehin automatisch übermittelt werden. Andererseits erfolgt jedoch eine Speicherung von Informationen im sogenannten Web-Storage des Browsers, die dem Anwendungsbereich des § 25 TTDSG unterliegt.

Dabei handelt es sich auf der einen Seite um einen Eintrag im Session Storage, welcher der unmittelbaren Funktionsweise des Moduls 1 dient, nur von LeadRebel ausgelesen werden kann und nach dem Ende der Sitzung sofort gelöscht wird. Nach Ansicht der Aufsichtsbehörden sind die Zugriffsmöglichkeiten und die Speicherdauer maßgebliche Kriterien dafür, ob eine Speicherung als unbedingt erforderlich angesehen werden kann, wobei dies bei einer Speicherung für die Dauer der Sitzung regelmäßig der Fall sein kann (vgl. DSK, Orientierungshilfe Telemedien 2021, V. 1.1, Rn. 78).

Auf der anderen Seite wird ein Eintrag im Local Storage gespeichert, um festzustellen, ob ein Besucher neu ist oder die Website schon einmal besucht hat. Dabei findet jedoch kein Tracking statt, da die Sitzungsvorgänge des wiederkehrenden Besuchers nicht zusammengeführt werden. Die Speicherung dient stattdessen allein dazu, die Relevanz des besuchenden Unternehmens zwischen einmaligen und mehrmaligen Aufrufen zu differenzieren. Um den Schutz der Endnutzer beim Einsatz des Local Storage sicherzustellen, werden verschiedene Maßnahmen getroffen, die im Rahmen der Abwägung zu berücksichtigen sind: Das Local Storage wird gar nicht angelegt, wenn die IP-Adresse nicht unternehmensbezogen ist, und im Übrigen lediglich für eine Woche gespeichert. Darüber hinaus beachtet LeadRebel das sogenannte „Do Not Track“ (DNT) des Browsers, wodurch der Eintrag im Local Storage nicht angelegt wird, wenn der Endnutzer dies durch eine Einstellung im Browser ausdrücklich nicht wünscht. DNT kann in allen Browsern (wie z.B. Chrome, Firefox, Edge und Opera) einfach aktiviert werden, meist in den Einstellungen unter Datenschutz / Cookies. Damit hat es jeder Endnutzer in der Hand, den Einsatz des Local Storage zu unterbinden.

Insgesamt ist es daher in Hinblick auf Modul 1 vor dem Hintergrund der getroffenen Maßnahmen aus unserer Sicht gut vertretbar, keine Einwilligung des Endnutzers nach § 25 Abs. 1 TTDSG einzuholen. Kunden von LeadRebel müssen jedoch stets auch prüfen, ob die jeweiligen Voraussetzungen für ihre konkrete Website vorliegen.

Modul 2 führt zum Auslesen von Informationen im Endgerät, explizit zum Erfassen der Position des Mauscursors im Browserfenster bzw. auf der Website. Dies stellt einen Zugriff im Sinne des § 25 TTDSG dar und liegt somit im Anwendungsbereich des Gesetzes. Eine Einwilligung kann daher nur entfallen, wenn dieser Zugriff ausdrücklich gewünscht und unbedingt erforderlich ist. Die Prüfung dieser Anforderungen obliegt dem Kunden. Wenn Zweifel beim Kunden hinsichtlich der Erfüllung der Anforderungen bestehen, sollte auf den Einsatz des Moduls verzichtet oder dieses nur mit Einwilligung der Websitebesucher verwendet werden; im Übrigen wird auf Abschnitt D zur Zulässigkeit aus Sicht der DSGVO verwiesen.

Für die Verwendung der Opt-in- und Opt-out-Cookies bedarf es keiner Einwilligung, denn die Speicherung der Cookies für die Zustimmung zum Einsatz der Module 1 und 2 (Opt-in) und für den Widerruf der Einwilligung (Opt-out) ist ausdrücklich gewünscht und unbedingt erforderlich ist, um die Entscheidung des Endnutzers festzuhalten.

Modul 3 berührt den Anwendungsbereich des § 25 TTDSG nicht, da es nur um die Weiterleitung bzw. -verarbeitung der bereits erhobenen Daten geht.

Insgesamt werden daher die Anforderungen aus § 25 TTDSG beim Einsatz des Moduls 1 von LeadRebel angemessen berücksichtigt. Hinsichtlich des Moduls 2 sollte eine konkrete Prüfung der Anforderungen durch den Kunden erfolgen.