Trade Show PRO

Funktionen

Lead-Erfassung Messestand-Management CRM-Integrationen Team-Gamification Ziel-Tracking Offline-First Analyse & Einblicke
Blog Preise Anmelden
Jetzt starten
DSGVO Messe-Lead-Erfassung europaische Messen Datenschutz Compliance

DSGVO-konforme Lead-Erfassung auf europaischen Messen

Trade Show PRO Team ·

DSGVO-konforme Lead-Erfassung auf europaischen Messen

Wenn Sie auf Messen in Europa ausstellen, ist jeder erfasste Lead ein DSGVO-relevanter Vorgang.

Jede Visitenkarte, die Sie scannen, jedes Badge, das Sie einlesen, jedes Kontaktformular, das jemand an Ihrem Stand ausfullt — all das fallt unter die Datenschutz-Grundverordnung. Und die Konsequenzen bei VerstoBen sind nicht theoretisch. BuBgelder konnen bis zu 4 % des weltweiten Jahresumsatzes betragen, und der Reputationsschaden durch eine Datenpanne oder Beschwerde kann weit schlimmer sein.

Dennoch behandeln die meisten Aussteller die DSGVO-konforme Lead-Erfassung als Nebensache. Sie scannen Badges ohne ausdruckliche Einwilligung, speichern Kontaktdaten auf US-Servern und haben keinen Prozess fur Loschungsanfragen.

Dieser Leitfaden erklart, was die DSGVO von Messeausstellern verlangt, welche Fehler am haufigsten gemacht werden und wie Sie einen konformen Lead-Erfassungsprozess aufbauen, der Ihren Standbetrieb nicht ausbremst.

Was die DSGVO fur Messeaussteller bedeutet

Die DSGVO gilt, wann immer Sie personenbezogene Daten von Personen im Europaischen Wirtschaftsraum (EWR) erheben oder verarbeiten. Auf einer Messe umfassen personenbezogene Daten:

  • Namen, Berufsbezeichnungen und Firmennamen
  • E-Mail-Adressen und Telefonnummern
  • Badge-Scan-Daten (die typischerweise all dies enthalten)
  • Informationen von Visitenkarten
  • Fotos oder Videos, die Personen identifizieren
  • Notizen uber Gesprache, die identifizierbare Personen betreffen

Zentrale DSGVO-Grundsatze fur Aussteller:

  1. Rechtsgrundlage. Sie brauchen eine rechtliche Grundlage fur die Verarbeitung personenbezogener Daten. Fur die Lead-Erfassung auf Messen ist das fast immer Einwilligung oder berechtigtes Interesse — und die Einwilligung ist die sicherste Wahl.
  2. Zweckbindung. Sie durfen die Daten nur fur den Zweck verwenden, den Sie bei der Erhebung angegeben haben. Wenn Sie jemandem versprochen haben, Produktinformationen zu senden, durfen Sie ihn nicht einfach in Ihren allgemeinen Marketing-Newsletter aufnehmen.
  3. Datenminimierung. Erheben Sie nur, was Sie brauchen. Wenn Sie die Telefonnummer einer Person nicht benotigen, erfassen Sie sie nicht.
  4. Speicherbegrenzung. Bewahren Sie Daten nicht langer auf als notig. Wenn ein Lead nach 6 Monaten kalt wird, sollten Sie einen Prozess zur Loschung oder Archivierung seiner Daten haben.
  5. Integritat und Vertraulichkeit. Sie mussen die Daten mit angemessenen SicherheitsmaBnahmen schutzen — Verschlusselung, Zugriffskontrollen und sichere Speicherung.

Haufige DSGVO-Fehler auf Messen

Badges scannen ohne Einwilligung

Auf vielen europaischen Messen wird die Badge-Scan-Technologie vom Veranstalter bereitgestellt. Aussteller scannen Besucher-Badges, um deren Kontaktinformationen zu erfassen. Das Problem: Einen Badge zu scannen ist nicht gleichbedeutend mit einer Einwilligung.

Der Besucher hat bei der Registrierung eingewilligt, seine Daten mit dem Veranstalter zu teilen. Er hat nicht unbedingt eingewilligt, sie mit jedem Aussteller zu teilen, der einen Scanner auf ihn richtet.

Best Practice: Bevor Sie ein Badge scannen, sagen Sie dem Besucher ausdrucklich, was Sie mit seinen Daten tun werden, und holen Sie seine mundliche oder schriftliche Zustimmung ein. Ein einfaches „Ich wurde gerne Ihr Badge scannen, damit wir Ihnen die besprochenen Informationen zusenden konnen — ist das in Ordnung?” reicht aus.

Daten auf US-gehosteten Cloud-Diensten speichern

Viele Messe-Lead-Erfassungs-Apps speichern Daten auf US-Servern (AWS us-east, Google Cloud us-central usw.). Unter der DSGVO erfordert die Ubermittlung personenbezogener Daten auBerhalb des EWR spezifische Schutzvoraussetzungen.

Obwohl Mechanismen wie Standardvertragsklauseln (SVK) US-Datentransfers technisch ermoglichen, ist die Rechtslage komplex und entwickelt sich standig weiter. Europaische Datenschutzbehorden prufen diese Transfers zunehmend kritisch.

Best Practice: Verwenden Sie Tools, die Daten innerhalb der EU speichern. Das ist einfacher, rechtlich besser vertretbar und beseitigt transferbezogene Rechtsrisiken.

Kein Nachweis der Einwilligung

Wenn eine betroffene Person (deren Daten Sie erhoben haben) oder eine Aufsichtsbehorde fragt, wie Sie die Einwilligung eingeholt haben, mussen Sie Belege vorlegen konnen. „Die Person hat mir ihre Visitenkarte gegeben” ist keine ausreichende Dokumentation.

Best Practice: Ihr Lead-Erfassungsprozess sollte dokumentieren, wann die Einwilligung erteilt wurde, wozu die Person eingewilligt hat und wie sie eingewilligt hat (mundlich, Checkbox, schriftlich).

Leads ohne Erlaubnis auf Marketing-Listen setzen

Die Erfassung personenbezogener Daten auf einer Messe berechtigt Sie nicht, die Person in Ihre E-Mail-Marketing-Liste aufzunehmen. Die Einwilligung muss fur jeden Zweck spezifisch sein.

Best Practice: Wenn Sie jemanden in Ihren Newsletter oder Ihre Marketing-Automatisierung aufnehmen mochten, benotigen Sie eine separate, ausdruckliche Einwilligung. Integrieren Sie diese als klares Opt-in in den Erfassungsprozess.

Kein Prozess fur Loschungsanfragen

Unter der DSGVO haben Personen das Recht auf Loschung ihrer personenbezogenen Daten (das „Recht auf Vergessenwerden”). Wenn jemand, den Sie auf einer Messe getroffen haben, Ihnen drei Wochen spater eine E-Mail schickt und die Loschung seiner Daten verlangt, mussen Sie innerhalb von 30 Tagen nachkommen.

Best Practice: Haben Sie einen dokumentierten Prozess fur die Bearbeitung von Loschungsanfragen, einschlieBlich der Frage, wie Sie Daten in allen Systemen finden und entfernen konnen, in denen sie moglicherweise vorhanden sind (CRM, Tabellenkalkulationen, E-Mail, Lead-Erfassungs-Apps).

Einwilligung am Stand einholen

Die Einwilligung ist das Fundament der DSGVO-konformen Lead-Erfassung. So setzen Sie sie praktisch um, ohne Ihren Standbetrieb lahmzulegen.

Was als gultige Einwilligung zahlt

Unter der DSGVO muss die Einwilligung sein:

  • Freiwillig. Die Person muss eine echte Wahl haben. „Wir konnen Ihnen nur eine Produktprobe geben, wenn Sie uns Ihr Badge scannen lassen” ist zwanghaft und wahrscheinlich ungultig.
  • Spezifisch. Die Einwilligung fur einen Zweck erstreckt sich nicht auf andere. Die Einwilligung zum Empfang von Produktinformationen ist keine Einwilligung fur Marketing-E-Mails.
  • Informiert. Die Person muss wissen, wer ihre Daten erhebt, wofur sie verwendet werden und wie lange sie gespeichert werden.
  • Eindeutig. Eine klare aktive Handlung — mundliche Bestatigung, Ankreuzen einer Checkbox, Tippen auf einen Button. Vorangekreuzte Felder sind keine gultige Einwilligung.

Praktischer Einwilligungs-Workflow

Hier ist ein realistischer Workflow, der Compliance mit Standeffizient in Einklang bringt:

  1. Gesprach fuhren. Fuhren Sie die naturliche Messeinteraktion — besprechen Sie Bedurfnisse, zeigen Sie das Produkt, beantworten Sie Fragen.
  2. Einwilligung vor der Erfassung einholen. „Ich wurde gerne Ihre Kontaktdaten speichern, damit wir das Besprochene weiterverfolgen konnen. Wir werden Ihre Daten verwenden, um Ihnen die technischen Spezifikationen zuzusenden, nach denen Sie gefragt haben. Ist das in Ordnung?”
  3. Lead digital erfassen. Scannen Sie das Badge oder die Visitenkarte, oder lassen Sie die Person ein Formular ausfullen. Die digitale Erfassung sollte eine Einwilligungs-Checkbox oder -Aufzeichnung enthalten.
  4. Option fur zusatzliche Kommunikation anbieten. „Mochten Sie auBerdem unsere vierteljahlichen Branchen-Updates erhalten?” Dies ist eine separate Einwilligung von der Folgekontakt-Einwilligung.
  5. Einwilligung dokumentieren. Ihr Lead-Erfassungstool sollte den Zeitstempel, den/die Einwilligungszweck(e) und die Methode protokollieren.

Einwilligung bei Visitenkarten

Wenn Ihnen jemand auf einer Messe seine Visitenkarte gibt, ist das ein impliziter Ausdruck von Interesse. Unter strenger DSGVO-Auslegung ist der Erhalt einer Visitenkarte jedoch nicht gleichbedeutend mit der Einwilligung zur Verarbeitung der Daten fur alle Zwecke.

Praktischer Ansatz: Wenn Sie eine Visitenkarte erhalten, bestatigen Sie mundlich den Zweck: „Vielen Dank — ich werde die Daten nutzen, um Ihnen die besprochene Fallstudie zuzusenden. Gibt es noch etwas, das Sie von uns benotigen?” Das etabliert den spezifischen Zweck und gibt der Person die Moglichkeit, den Umfang einzuschranken oder zu erweitern.

Wenn Sie die Visitenkarte digitalisieren (durch Scannen in Ihr Lead-Erfassungstool), dokumentieren Sie die Einwilligungsgrundlage zusammen mit den Kontaktdaten.

Anforderungen an die Datenspeicherung

Wo und wie Sie Messe-Lead-Daten speichern, ist genauso wichtig wie die Art der Erhebung.

EU-Datenresidenz

Die Speicherung personenbezogener Daten innerhalb des EWR ist der einfachste Weg, Komplikationen durch Datentransfers zu vermeiden. Bei der Bewertung von Messe-Tools fragen Sie:

  • Wo stehen die Server? Achten Sie auf EU-Rechenzentren (Deutschland, Irland, Niederlande, Schweden usw.).
  • Wo werden Backups gespeichert? Wenn der Primarspeicher in der EU liegt, aber Backups in die USA repliziert werden, haben Sie immer noch ein Transferproblem.
  • Hat das Unternehmen Unterauftragsverarbeiter auBerhalb des EWR? Drittanbieter-Dienste, die mit den Daten in Beruhrung kommen (Analytics, E-Mail-Zustellung), konnen Transferprobleme verursachen.

Verschlusselung

Die DSGVO verlangt „angemessene technische MaBnahmen” zum Schutz personenbezogener Daten. Fur Messe-Lead-Daten bedeutet das:

  • Verschlusselung im Ruhezustand. Auf Servern gespeicherte Daten sollten mit starken Algorithmen verschlusselt sein (AES-256 oder vergleichbar).
  • Verschlusselung bei der Ubertragung. Alle Datentransfers (von der Erfassungs-App zum Server, vom Server zu Ihrem CRM) sollten TLS/HTTPS verwenden.
  • Zugriffskontrollen. Nur autorisierte Teammitglieder sollten Lead-Daten einsehen konnen. Rollenbasierte Zugriffskontrolle verhindert unnotige Offenlegung.

Datenisolierung

In Multi-Tenant-Software (bei der mehrere Unternehmen dieselbe Plattform nutzen) sollten Ihre Daten logisch von den Daten anderer Kunden getrennt sein. Fragen Sie Ihren Tool-Anbieter:

  • Sind die Daten pro Organisation getrennt?
  • Kann ein Administrator eines anderen Kunden jemals unsere Leads sehen?
  • Wie werden die Daten behandelt, wenn wir exportieren oder unser Konto kundigen?

Das Recht auf Loschung: Loschungsanfragen bearbeiten

Artikel 17 der DSGVO gibt Personen das Recht auf Loschung ihrer personenbezogenen Daten. Fur Messe-Leads bedeutet das:

Wann Sie loschen mussen

Sie mussen einer Loschungsanfrage nachkommen, es sei denn, Sie haben eine gesetzliche Aufbewahrungspflicht (z. B. fur steuerliche oder buchhalterische Zwecke). In der Praxis unterliegen die meisten Messe-Lead-Daten keiner solchen Aufbewahrungspflicht.

Wie Sie eine Anfrage bearbeiten

  1. Anfrage innerhalb von 72 Stunden bestatigen. Teilen Sie der Person mit, dass Sie ihre Anfrage erhalten haben.
  2. Alle Instanzen ihrer Daten lokalisieren. Das umfasst Ihr Lead-Erfassungstool, CRM, Ihre E-Mail-Marketing-Plattform, Tabellenkalkulationen, E-Mail-Verlaufe und alle Exporte.
  3. Aus allen Systemen innerhalb von 30 Tagen loschen. Die Frist beginnt mit dem Erhalt der Anfrage.
  4. Loschung bestatigen. Teilen Sie der Person mit, dass ihre Daten entfernt wurden.

Loschung praktisch umsetzen

Die groBte Herausforderung besteht darin, alle Instanzen der Daten einer Person in Ihren Tools zu finden. Das ist deutlich einfacher, wenn:

  • Sie ein zentralisiertes Lead-Erfassungssystem statt verstreuter Tabellenkalkulationen verwenden
  • Ihr CRM uber eine ordnungsgemaBe Such- und Loschfunktion verfugt
  • Sie eine dokumentierte Datenlandkarte haben, die zeigt, wohin Lead-Daten nach der Erfassung flieBen

DSGVO-konforme Messesoftware auswahlen

Nicht alle Messe- und Lead-Erfassungstools sind mit der DSGVO im Blick entwickelt. Verwenden Sie diese Checkliste bei der Bewertung:

Compliance-Checkliste

  • EU-gehostete Infrastruktur. Server und Backups innerhalb des EWR.
  • Verschlusselung im Ruhezustand und bei der Ubertragung. AES-256 oder vergleichbar fur die Speicherung, TLS fur die Ubertragung.
  • Einwilligungs-Tracking. Das Tool dokumentiert, wann und wie die Einwilligung fur jeden Lead eingeholt wurde.
  • Datenisolierung pro Unternehmen. Ihre Daten sind von anderen Kunden getrennt.
  • Datenexport-Moglichkeit. Sie konnen jederzeit alle Ihre Daten in einem Standardformat (CSV, JSON) exportieren.
  • Loschungs-Unterstutzung. Sie konnen einzelne Datensatze und alle zugehorigen Daten loschen.
  • Auftragsverarbeitungsvertrag (AVV). Der Anbieter stellt einen DSGVO-konformen AVV bereit, der seine Rolle als Auftragsverarbeiter definiert.
  • Transparenz bei Unterauftragsverarbeitern. Der Anbieter offenbart alle Drittanbieter-Dienste, die Ihre Daten verarbeiten.
  • Zugriffskontrollen. Rollenbasierte Berechtigungen, damit nicht jeder in Ihrem Team alle Daten sehen kann.
  • Audit-Protokollierung. Aufzeichnungen daruber, wer Daten eingesehen, geandert oder geloscht hat, fur die Nachvollziehbarkeit.

Fragen an Anbieter

  • Wo werden unsere Daten physisch gespeichert?
  • Operieren Unterauftragsverarbeiter auBerhalb des EWR?
  • Wie wird die Einwilligung in Ihrem System dokumentiert?
  • Kann ich einzelne Leads und alle zugehorigen Daten loschen?
  • Stellen Sie einen Auftragsverarbeitungsvertrag bereit?
  • Was geschieht mit unseren Daten, wenn wir unser Konto kundigen?

Wie TradeShowPro die DSGVO handhabt

TradeShowPro wurde in der EU, fur den EU-Markt, mit der DSGVO als Fundament entwickelt — nicht als nachtragliche Erganzung.

  • EU-gehostete Infrastruktur. Alle Daten werden innerhalb der Europaischen Union gespeichert und verarbeitet. Keine Datentransfers in die USA oder andere Drittstaaten.
  • Standardmassig verschlusselt. Alle Daten werden im Ruhezustand und bei der Ubertragung verschlusselt. Keine Konfiguration erforderlich.
  • Datenisolierung pro Unternehmen. Die Daten jeder Organisation sind logisch getrennt. Es gibt keine gemeinsame Datenschicht zwischen Kunden.
  • Einwilligungsbewusste Lead-Erfassung. Die Lead-Erfassungsfunktion umfasst Einwilligungs-Tracking — wenn ein Lead erfasst wird, wird die Einwilligungsgrundlage zusammen mit den Kontaktdaten dokumentiert.
  • Datenexport und Loschung. Koordinatoren konnen jederzeit alle Eventdaten exportieren und einzelne Datensatze oder ganze Events loschen.
  • AVV verfugbar. Ein DSGVO-konformer Auftragsverarbeitungsvertrag wird allen Kunden bereitgestellt.

Fur europaische Aussteller eliminiert die Wahl eines EU-nativen Tools die groBte Kategorie von DSGVO-Risiken: grenzuberschreitende Datentransfers. Sie mussen keine SVK, Angemessenheitsbeschlusse oder Transfer-Folgenabschatzungen bewerten. Ihre Daten bleiben in der EU.

DSGVO-Compliance praktisch umsetzen

DSGVO-Compliance auf Messen muss nicht schmerzhaft sein. Die Grundprinzipien sind klar:

  1. Fragen Sie, bevor Sie erfassen. Eine kurze mundliche Einwilligung dauert 5 Sekunden und schutzt Sie.
  2. Verwenden Sie Tools, die Daten in der EU speichern. Das ist der groBte einzelne Risikoreduzierer.
  3. Dokumentieren Sie, wozu Personen eingewilligt haben. Ihr Erfassungstool sollte dies automatisch tun.
  4. Verwenden Sie Daten nicht uber den genannten Zweck hinaus. Verfolgen Sie nach, was besprochen wurde. Fugen Sie Personen nicht zu Listen hinzu, denen sie nicht zugestimmt haben.
  5. Haben Sie einen Loschungsprozess. Wissen Sie, wo Daten liegen und wie Sie sie auf Anfrage entfernen.

Europaische Messen gehoren zu den groBten und wertvollsten Veranstaltungen der Welt. Die DSGVO ist keine Hurde fur die Teilnahme — sie ist ein Rahmenwerk, das bei Einhaltung Vertrauen bei den anspruchsvollen Kaufern aufbaut, die Sie erreichen mochten.

Entdecken Sie die DSGVO-konforme Lead-Erfassung mit TradeShowPro — oder starten Sie eine kostenlose Testversion, um zu sehen, wie es bei Ihrem nachsten europaischen Event funktioniert.

Bereit, Ihre nächste Messe zu transformieren?

Starten Sie mit Trade Show PRO — kostenlos testen, Festpreis pro Messe.

Kostenlos starten