Praxis

Geschäftskontaktdaten und Datenschutz: Sind B2B-Daten Personendaten?

ComplianceCore Editorial··5 min read

Ja — Geschäftskontaktdaten sind Personendaten. hans.mueller@firma-xyz.ch ist ein Personendatum von Hans Müller als natürlicher Person, nicht von Firma XYZ. Das revDSG schützt ausschliesslich natürliche Personen — und die Person hinter jedem Geschäftskontakt ist genau das. Jedes CRM, jede Vertriebsliste und jede LinkedIn-Kontaktliste ist damit voller Personendaten — mit allen Datenschutzpflichten, die daraus folgen.

JA

B2B-Kontakte sind Personendaten

Art. 5

Definition Personendaten im DSG

30 Tage

Frist für Auskunftsbegehren

Warum B2B-Daten trotzdem Personendaten sind

Das revDSG hat den Geltungsbereich gegenüber dem alten DSG von 1992 verändert: Juristische Personen sind nicht mehr geschützt — nur natürliche Personen. Das könnte den falschen Eindruck erwecken, B2B-Daten seien «herausgefallen». Das Gegenteil ist der Fall.

ℹ️

Das Prinzip: Person schlägt Firma. Wenn Sie anna.keller@muster-ag.ch speichern, speichern Sie ein Datum von Anna Keller als Privatperson. Dass sie gerade in ihrer beruflichen Rolle agiert, ändert nichts. Entscheidend: Lässt sich eine natürliche Person identifizieren? Bei personalisierten Firmen-E-Mails: eindeutig ja.

Als Personendaten gelten im B2B-Kontext

  1. Personalisierte Firmen-E-Mails (vorname.nachname@firma.ch)
  2. Direkttelefonnummern von Mitarbeitenden
  3. Namen von Ansprechpersonen mit Firma und Position
  4. LinkedIn-Profile (auch berufliche)
  5. Fotos von Mitarbeitenden auf Firmenwebsites

Nicht als Personendaten gelten

  1. Allgemeine Firmen-E-Mails (info@firma.ch) — sofern keiner bestimmten Person zugeordnet
  2. Firmenname, Firmenadresse, UID-Nummer (Angaben zur juristischen Person)

Implikationen für Ihr CRM

Jedes Vertriebsteam mit CRM betreibt per Definition eine Datenverarbeitung von Personendaten — auch bei «rein beruflichen» Kontakten. Die Datenschutzpflichten des revDSG gelten vollumfänglich.

PrüfpunktWas giltTypischer Status
VVT-Eintrag für CRMPflicht (Art. 12 DSG)Oft fehlend
AVV mit CRM-AnbieterPflicht (Art. 9 DSG)Meist vorhanden
Informationspflicht bei Lead-ErfassungPflicht (Art. 19 DSG)Oft fehlend
Löschfristen für inaktive LeadsBest PracticeMeist nicht definiert
Zugriffsrechte nach RollenPrivacy by Default (Art. 7 DSG)Oft zu weit offen

Visitenkarten und Messe-Kontakte

Beim Eingeben von Messekontakten ins CRM bearbeiten Sie Personendaten. Eine Information der betroffenen Person ist gemäss Art. 19 DSG grundsätzlich erforderlich. Empfehlung in der Praxis: Bei Messe-Kontakten genügt eine kurze Follow-up-E-Mail, die gleichzeitig über die Datenspeicherung informiert und den Opt-out ermöglicht.

Gekaufte Adresslisten

Der Kauf von B2B-Adresslisten ist in der Schweiz nicht grundsätzlich verboten. Aber: Der Käufer übernimmt die Datenschutzpflichten. Bei der ersten Kontaktaufnahme muss klar kommuniziert werden, woher die Daten stammen (Art. 19 Abs. 2 DSG).

⚠️

LinkedIn-Scraping: Das automatisierte Auslesen von LinkedIn-Profilen ist problematisch auf zwei Ebenen: LinkedIn verbietet es in seinen AGB, und die DSGVO stellt hohe Anforderungen an Datenerhebung ohne Kenntnis der betroffenen Person bei EU-Kontakten.

Entscheidungsbaum: Welche Pflichten gelten für Ihren Kontakt?

?Personalisierte E-Mail oder Name vorhanden?
JA → Personendatum ✓ — Informationspflicht, VVT, AVV prüfen
NEIN (info@firma.ch, Firmenname) → Kein Personendatum
?Wohnsitz / Arbeitsort der Person in der EU?
JA → Auch DSGVO prüfen (Marktortprinzip Art. 3 DSGVO)
NEIN → Nur revDSG anwendbar
?Person direkt kontaktiert?
JA → Informationspflicht bei erster Kontaktaufnahme erfüllt?
NEIN → Informationspflicht noch offen

Häufige Fragen

Gilt das revDSG auch für unsere EU-Geschäftskontakte?+
Das revDSG gilt für alle Datenbearbeitungen durch Unternehmen mit Sitz in der Schweiz — unabhängig davon, wo die betroffenen Personen wohnen. Wenn die betroffene Person in der EU wohnt und Ihr Unternehmen ihr Waren oder Dienstleistungen anbietet, kann zusätzlich die DSGVO gelten (Marktortprinzip, Art. 3 Abs. 2 DSGVO).
Brauche ich für jeden Kontakt eine explizite Einwilligung?+
Nein. Das revDSG kennt keinen generellen Erlaubnisvorbehalt. Die Datenbearbeitung ist grundsätzlich erlaubt, solange sie nicht gegen das Gesetz verstösst und die Informationspflichten eingehalten werden. Eine Einwilligung ist vor allem bei besonders sensiblen Daten oder bei der Übermittlung ins Ausland relevant.
Was passiert, wenn ein B2B-Kontakt die Löschung seiner Daten verlangt?+
Der Betroffene hat nach Art. 32 DSG ein Recht auf Löschung, wenn die Verarbeitung unrechtmässig ist oder die Daten unrichtig sind. Bei einem aktiven Geschäftskontakt können berechtigte Interessen dagegenstehen. Bei einem inaktiven Kontakt ohne laufende Geschäftsbeziehung empfiehlt sich die Löschung. Dokumentieren Sie die Entscheidung.
Muss ich mein CRM im VVT aufführen?+
Ja. Das CRM bearbeitet Personendaten für Kundenpflege und Vertrieb — damit ist es VVT-pflichtig (Art. 12 DSG). Der Eintrag umfasst mindestens: Verantwortlicher, Zweck, Kategorien betroffener Personen, Tools, Aufbewahrungsfristen und AVV-Status.
Muss ich für mein Cloud-CRM einen AVV abschliessen?+
Ja. Cloud-CRM-Anbieter sind Auftragsbearbeiter im Sinne von Art. 9 DSG. Die meisten grossen Anbieter (Salesforce, HubSpot, Pipedrive) stellen Standardverträge zur Verfügung.

CRM-Compliance in 30 Minuten strukturieren

ComplianceCore erfasst Ihre Tools — inklusive CRM — mit AVV-Status, Serverstandort und Aufbewahrungsfristen im VVT. Audit-sicher bei der nächsten Grosskunden-Due-Diligence.

Jetzt Beta-Zugang sichern →

This content is for informational purposes only and does not constitute legal advice.

Related Articles

Pflichten

Auftragsbearbeitungsvertrag (AVV): Wann brauche ich einen und was muss rein?

Read article →
Pflichten

Betroffenenrechte nach revDSG: Auskunft, Berichtigung, Löschung richtig umsetzen

Read article →
Risiko

Bussen und persönliche Haftung unter dem revDSG: Was Geschäftsführer wissen müssen

Read article →