LeadRebel & GDPR

Datenschutzkonforme Nutzung von LeadRebel^® unter Berücksichtigung der DSGVO und ePrivacy-Richtlinie

Die Kanzlei Schürmann Rosenthal Dreyer PartmbB hat das Produkt LeadRebel^® datenschutzrechtlich geprüft und den Einsatz des Tools im Versionstand Dezember für rechtmäßig erachtet. Die rechtlichen Prüfungsergebnisse sind auch in die Produktentwicklung eingeflossen.

Warum LeadRebel^®?

Zahlreiche Unternehmen erstellen umfangreiche Statistiken über den Besuch ihrer Website. Im B2B-Bereich besteht dabei ein gesteigertes Interesse daran, zu ermitteln, welche Unternehmen und somit potentielle Geschäftspartner oder Kunden zu den Besuchern der Website zählen.

LeadRebel^® ist ein B2B-Analysetool, das auf Websites von Unternehmen eingesetzt wird und der Generierung von Business-Leads dient. Zu diesem Zweck erfasst LeadRebel^® IP-Adressen sowie weitere Nutzungsdaten von Websitebesuchern und reichert diese mit öffentlich verfügbaren Unternehmensinformationen an. Websitebetreiber werden so in die Lage versetzt, nachvollziehen zu können, welche Unternehmen die eigene Website besucht und daher ggf. Interesse am Produkt, der Dienstleistung oder an einer Zusammenarbeit haben.

Um in den Genuss dieser Vorteile zu kommen, bedarf es der Integrierung eines Javascript-basierten Tracking-Codes in den Quellcode der jeweiligen Website.

Funktionsweise von LeadRebel^®

LeadRebel^® verfolgt für Sie einen dreigeteilten, modularen Aufbau:

Modul 1 ermittelt IP-Adressen-basiert, welchem Unternehmen ein Website-Besucher zuzuordnen ist. Es handelt sich hierbei um ein passives Standardverfahren, bei dem die Informationen vom Browser – wie bei einer HTTP-Anfrage – automatisch übermittelt werden. Der Einsatz dieses Moduls ist obligatorisch. Ein Fingerprinting oder andere Methoden zur Wiedererkennung von Websitebesuchern finden nicht statt.

Modul 1 stellt auch das Herzstück von LeadRebel^® dar. Mithilfe der IP-Adresse ermittelt LeadRebel^® im Backend über eine Whois-Abfrage, das sog. Reverse-DNS-Lookup-Verfahren und einen Datenbankabgleich den Firmennamen des besuchenden Unternehmens. Bei einem Treffer wird der Eintrag mit weiteren Unternehmensdaten angereichert und den Kunden von LeadRebel^® in einem Dashboard zur Verfügung gestellt.

Auf Wunsch der Kunden von LeadRebel^® können auch öffentlich verfügbare Kontaktinformationen von Mitarbeitern des besuchenden Unternehmens automatisiert zusammengestellt werden. Diese Daten werden nicht gespeichert, sondern bei jeder Anfrage neu generiert.

Nicht zuordenbare IP-Adressen bzw. solche, die einem privaten Anschlussinhaber zuzuordnen sind, werden aussortiert und in eine Blacklist übertragen.

Modul 2erweitert die Funktionalitäten von LeadRebel^® durch den Einsatz optionaler Analyse-Cookies. Mithilfe dieser Cookies können wiederkehrende Websitebesucher („clientID“) und die jeweilige Sitzung („sessionID“) erkannt, aber auch der angemeldete Benutzer identifiziert („auth“) werden. Damit Websitebesucher nicht (mehr) getrackt werden, besteht auch die Möglichkeit, ein Optout-Cookie („optout“) zu setzen.

Modul 3 dient der optionalen Erfassung der Mauscursor-Bewegungen, um zu ermitteln, welche Bereiche der Websitebesucher angeschaut bzw. angeklickt hat. Diese Bewegungen werden in einem Video festgehalten.

Selbstverständlich hat LeadRebel^® zum Schutz seiner Systeme und der verarbeiteten Daten zahlreiche technische und organisatorische Maßnahmen nach Art. 32 DSGVO getroffen, um eine angemessenes Datenschutzniveau zu gewährleisten.

Datenschutzkonformer Einsatz von LeadRebel^®

LeadRebel^® beherzigt die Prinzipien Privacy by Design und Privacy by Default nach Art. 25 DSGVO und ist auf einen DSGVO-konformen Einsatz ausgelegt. Die Websitebetreiber agieren dabei als datenschutzrechtlich verantwortliche Stelle gem. Art. 4 Nr. 7 DSGVO und der Betreiber von LeadRebel^® als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Nachfolgend werden die datenschutzrechtlichen Anforderungen beschrieben, die nach der Einschätzung von LeadRebel^® beim Einsatz des Produkts zu beachten sind.

Datenverarbeitung bei Einsatz der Module

Die rein passive Erhebung von IP-Adressen im Rahmen vonModul 1 unterliegt nach unserer Auffassung nicht dem Einwilligungserfordernis aus der sog. ePrivacy-Richtlinie, da kein Zugriff auf Endgeräteinformationen erfolgt. Auch bedarf es regelmäßig keiner Rechtsgrundlage nach DSGVO, daunternehmensbezogene IP-Adressen nach überzeugender Einschätzung nicht personenbezogen bzw. -beziehbar sind und daher schon der sachliche Anwendungsbereich der DSGVO nicht eröffnet ist.

Falls allerdings eine Zuordnung zu einem Unternehmen nicht (zweifelsfrei) möglich ist und es sich insofern um einen privaten Anschlussinhaber handeln könnte, sind IP-Adressen nach der Rechtsprechung (mittelbar) personenbeziehbar. Da solche IP-Adressen von LeadRebel^® jedoch sofort aussortiert und gerade nicht weiterverarbeitet werden, lässt sich die Verarbeitung auf die berechtigten Interessen des Websitebetreibers nach Art. 6 Abs. 1 lit. f DSGVO stützen, da die hierbei erforderliche Interessenabwägung regelmäßig zu Gunsten ausfällt. Berechtigte Interessen des Websitebetreibers stellen insbesondere Reichweitenmessung und die kommerzielle Auswertung und Nutzung unternehmensbezogener Besucherdaten dar.

Zu berücksichtigen sind hierbei folgende Aspekte:

Es kommt zu keiner umfassenden Auswertung personenbezogener Daten oder einer Website-übergreifenden Zusammenführung von Daten, welche Ihre Besucher identifizierbar machen würden.

Im Rahmen der Abwägung sind die „vernünftigen Erwartungen der betroffenen Personen“ zu berücksichtigen. Es entspricht dem heutigen technologischen Standard, dass bei einem Websitebesuch IP-Adresse und Browserinformationen zum Zwecke der Datenübertragung notwendigerweise ausgelesen werden. Ihr Websitebesucher erwartet dies nicht nur, sondern intendiert dies.

Das o. g. Aussortieren dient einer möglichst datensparsamen Verarbeitung i. S. d. Art. 5 Abs. 1 lit. c DSGVO. Auch werden die Risiken für die hinter den IP-Adressen stehenden Personen auf ein absolutes Minimum reduziert.

Durch Sicherheitsvorkehrungen, die die Verfügbarkeit und die Belastbarkeit der Systeme von LeadRebel^® betreffen, wird das Risiko für Datenpannen minimiert.

Soll Modul 2 eingesetzt werden, ist zunächst zu berücksichtigen, dass das OptOut-Cookie ohne Einwilligung genutzt werden kann. Der Einsatz der übrigen Cookies hingegen unterliegt derzeit dem Einwilligungserfordernis aus § 15 Abs. 3 TMG i. V. m. Art. 5 Abs. 3 ePrivacy-Richtlinie. Das bedeutet, dass Sie Modul 2 grundsätzlich datenschutzkonform einsetzen können, wenn Sie vor Beginn der Datenverarbeitung über das Cookie-Banner eine Einwilligung für den Einsatz dieser Analyse-Cookies einholen.

Soll Modul 3 eingesetzt werden, bedarf es auch hierfür einer vor Beginn der Aufzeichnung der Cursor-Bewegungen einzuholenden Einwilligung. Das Einwilligungs-Management erfolgt Cookie-basiert, d. h. Websitebesucher müssen auch hier über einen Banner in das Setzen eines Cookies einwilligen. Dieses Cookie wiederum stellt gewissermaßen die Einwilligung Ihrer Websitebesucher in die Aufzeichnung der Cursor-Bewegung dar. Das Einwilligungserfordernis ergibt sich hier aus dem Umstand, dass sich die Cursor-Bewegungen auf einen spezifischen Website-Aufruf beziehen und daher mit der IP-Adresse des Besuchers (Modul 1) und den übrigen zum Websitebesuch ermittelten Daten verknüpft werden.

Datenverarbeitung im Backend

Auch die in Backend von LeadRebel^® durchgeführten Verarbeitungen von personenbezogenen bzw. -beziehbaren Daten lassen sich auf einschlägige Rechtsgrundlagen stützen.

Hinsichtlich des Abgleichs der nicht-unternehmensbezogenen IP-Adressen mit Unternehmensdatenbanken stellt auch hier Art. 6 Abs. 1 lit. f DSGVO die valide Rechtsgrundlage dar. Dadurch, dass LeadRebel^® eventuell personenbeziehbare IP-Adressen ausnahmslos aussortiert, fällt die Interessenabwägung zu Gunsten der Datenverarbeitung aus. Gleichermaßen liegt auch die Ermittlung der Kontaktdaten von Mitarbeitern des identifizierten Unternehmens regelmäßig im berechtigten Interesse der Websitebetreiber nach Art. 6 Abs. 1 lit. f DSGVO. Hierfür sprechen insbesondere folgende Gründe:

LinkedIn und XING informieren ihre Nutzer über ihre Datenschutzhinweise darüber, dass ggf. Daten in Suchmaschinen auffindbar und von Dritten eingesehen werden können (entsprechende Profileinstellungen vorausgesetzt).

Dadurch, dass die Mitarbeiter freiwillig ihr berufliches Profil öffentlich abrufbar machen, kann jeder problemlos ihre Unternehmenszugehörigkeit ermitteln. LeadRebel^® vereinfacht insofern lediglich den Such-Prozess und stellt die Informationen gebündelt zur Verfügung.

Es erfolgt keine Speicherung der ermittelten Kontaktinformationen in den Systemen von LeadRebel^®.

Die Funktionalität ist optional und steht Ihren Kunden nur auf Wunsch zur Verfügung.

Datenschutzrechtliche Rollenverteilung

Die Nutzung von LeadRebel^® ist als sog. Auftragsverarbeitung i. S. v. Art. 4 Nr. 8, 28 DSGVO einzustufen, sodass es zunächst des Abschlusses eines Auftragsverarbeitungsvertrages bedarf den die Pulserio AG ihren Kunden bereitstellt. Die Pulserio AG handelt als weisungsgebundenen Auftragsverarbeiter. Sie behalten die volle Entscheidungshoheit über die Zwecke und Mittel der Datenverarbeitung. LeadRebel^® verarbeitet außerdem keine Daten aus dem Auftragsverhältnis zu eigenen Zwecken.

4. Datenverarbeitung durch Subunternehmen

Bei einem Teil der Dienstleister von LeadRebel^® handelt es sich um US-Unternehmen. In seiner richtungsweisenden „Schrems II“-Entscheidung hat der Europäische Gerichtshof das EU-US-Privacy-Shield für unwirksam erklärt. Diese Entscheidung berücksichtigt LeadRebel^® beim Einsatz von Subunternehmen selbstverständlich. Daher legitimieren LeadRebel^® die entsprechenden Datenübermittlungen grundsätzlich über die sog. Standardvertragsklauseln und prüft auch, ob diese von den Dienstleistern eingehalten werden. Darüber hinaus sorgt LeadRebel^® durch den Einsatz dem Stand der Technik entsprechender technischer und organisatorischer Maßnahmen für eine Reduzierung etwaiger Risiken hinsichtlich der Datenübermittlung in die USA. Zusätzlich kann die Datenübermittlung in die USA durch eine entsprechende Einwilligungserklärung im Cookie-Banner der Websitebetreiber abgesichert werden.