Trade Show PRO

Funktionen

Lead-Erfassung Messestand-Management CRM-Integrationen Team-Gamification Ziel-Tracking Offline-First Analyse & Einblicke
Blog Preise Anmelden
Jetzt starten
DSGVO Messe-Lead-Erfassung europäische Messen Datenschutz Compliance

DSGVO-konforme Lead-Erfassung auf europäischen Messen

Trade Show PRO Team ·

DSGVO-konforme Lead-Erfassung auf europäischen Messen

Wenn Sie auf Messen in Europa ausstellen, ist jeder erfasste Lead ein DSGVO-relevanter Vorgang.

Jede Visitenkarte, die Sie scannen, jedes Badge, das Sie einlesen, jedes Kontaktformular, das jemand an Ihrem Stand ausfüllt — all das fällt unter die Datenschutz-Grundverordnung. Und die Konsequenzen bei Verstößen sind nicht theoretisch. Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes betragen, und der Reputationsschaden durch eine Datenpanne oder Beschwerde kann weit schlimmer sein.

Dennoch behandeln die meisten Aussteller die DSGVO-konforme Lead-Erfassung als Nebensache. Sie scannen Badges ohne ausdrückliche Einwilligung, speichern Kontaktdaten auf US-Servern und haben keinen Prozess für Löschungsanfragen.

Dieser Leitfaden erklärt, was die DSGVO von Messeausstellern verlangt, welche Fehler am häufigsten gemacht werden und wie Sie einen konformen Lead-Erfassungsprozess aufbauen, der Ihren Standbetrieb nicht ausbremst.

Was die DSGVO für Messeaussteller bedeutet

Die DSGVO gilt, wann immer Sie personenbezogene Daten von Personen im Europäischen Wirtschaftsraum (EWR) erheben oder verarbeiten. Auf einer Messe umfassen personenbezogene Daten:

  • Namen, Berufsbezeichnungen und Firmennamen
  • E-Mail-Adressen und Telefonnummern
  • Badge-Scan-Daten (die typischerweise all dies enthalten)
  • Informationen von Visitenkarten
  • Fotos oder Videos, die Personen identifizieren
  • Notizen über Gespräche, die identifizierbare Personen betreffen

Zentrale DSGVO-Grundsätze für Aussteller:

  1. Rechtsgrundlage. Sie brauchen eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Für die Lead-Erfassung auf Messen ist das fast immer Einwilligung oder berechtigtes Interesse — und die Einwilligung ist die sicherste Wahl.
  2. Zweckbindung. Sie dürfen die Daten nur für den Zweck verwenden, den Sie bei der Erhebung angegeben haben. Wenn Sie jemandem versprochen haben, Produktinformationen zu senden, dürfen Sie ihn nicht einfach in Ihren allgemeinen Marketing-Newsletter aufnehmen.
  3. Datenminimierung. Erheben Sie nur, was Sie brauchen. Wenn Sie die Telefonnummer einer Person nicht benötigen, erfassen Sie sie nicht.
  4. Speicherbegrenzung. Bewahren Sie Daten nicht länger auf als nötig. Wenn ein Lead nach 6 Monaten kalt wird, sollten Sie einen Prozess zur Löschung oder Archivierung seiner Daten haben.
  5. Integrität und Vertraulichkeit. Sie müssen die Daten mit angemessenen Sicherheitsmaßnahmen schützen — Verschlüsselung, Zugriffskontrollen und sichere Speicherung.

Häufige DSGVO-Fehler auf Messen

Badges scannen ohne Einwilligung

Auf vielen europäischen Messen wird die Badge-Scan-Technologie vom Veranstalter bereitgestellt. Aussteller scannen Besucher-Badges, um deren Kontaktinformationen zu erfassen. Das Problem: Einen Badge zu scannen ist nicht gleichbedeutend mit einer Einwilligung.

Der Besucher hat bei der Registrierung eingewilligt, seine Daten mit dem Veranstalter zu teilen. Er hat nicht unbedingt eingewilligt, sie mit jedem Aussteller zu teilen, der einen Scanner auf ihn richtet.

Best Practice: Bevor Sie ein Badge scannen, sagen Sie dem Besucher ausdrücklich, was Sie mit seinen Daten tun werden, und holen Sie seine mündliche oder schriftliche Zustimmung ein. Ein einfaches „Ich würde gerne Ihr Badge scannen, damit wir Ihnen die besprochenen Informationen zusenden können — ist das in Ordnung?” reicht aus.

Daten auf US-gehosteten Cloud-Diensten speichern

Viele Messe-Lead-Erfassungs-Apps speichern Daten auf US-Servern (AWS us-east, Google Cloud us-central usw.). Unter der DSGVO erfordert die Übermittlung personenbezogener Daten außerhalb des EWR spezifische Schutzvoraussetzungen.

Obwohl Mechanismen wie Standardvertragsklauseln (SVK) US-Datentransfers technisch ermöglichen, ist die Rechtslage komplex und entwickelt sich ständig weiter. Europäische Datenschutzbehörden prüfen diese Transfers zunehmend kritisch.

Best Practice: Verwenden Sie Tools, die Daten innerhalb der EU speichern. Das ist einfacher, rechtlich besser vertretbar und beseitigt transferbezogene Rechtsrisiken.

Kein Nachweis der Einwilligung

Wenn eine betroffene Person (deren Daten Sie erhoben haben) oder eine Aufsichtsbehörde fragt, wie Sie die Einwilligung eingeholt haben, müssen Sie Belege vorlegen können. „Die Person hat mir ihre Visitenkarte gegeben” ist keine ausreichende Dokumentation.

Best Practice: Ihr Lead-Erfassungsprozess sollte dokumentieren, wann die Einwilligung erteilt wurde, wozu die Person eingewilligt hat und wie sie eingewilligt hat (mündlich, Checkbox, schriftlich).

Leads ohne Erlaubnis auf Marketing-Listen setzen

Die Erfassung personenbezogener Daten auf einer Messe berechtigt Sie nicht, die Person in Ihre E-Mail-Marketing-Liste aufzunehmen. Die Einwilligung muss für jeden Zweck spezifisch sein.

Best Practice: Wenn Sie jemanden in Ihren Newsletter oder Ihre Marketing-Automatisierung aufnehmen möchten, benötigen Sie eine separate, ausdrückliche Einwilligung. Integrieren Sie diese als klares Opt-in in den Erfassungsprozess.

Kein Prozess für Löschungsanfragen

Unter der DSGVO haben Personen das Recht auf Löschung ihrer personenbezogenen Daten (das „Recht auf Vergessenwerden”). Wenn jemand, den Sie auf einer Messe getroffen haben, Ihnen drei Wochen später eine E-Mail schickt und die Löschung seiner Daten verlangt, müssen Sie innerhalb von 30 Tagen nachkommen.

Best Practice: Haben Sie einen dokumentierten Prozess für die Bearbeitung von Löschungsanfragen, einschließlich der Frage, wie Sie Daten in allen Systemen finden und entfernen können, in denen sie möglicherweise vorhanden sind (CRM, Tabellenkalkulationen, E-Mail, Lead-Erfassungs-Apps).

Einwilligung am Stand einholen

Die Einwilligung ist das Fundament der DSGVO-konformen Lead-Erfassung. So setzen Sie sie praktisch um, ohne Ihren Standbetrieb lahmzulegen.

Was als gültige Einwilligung zählt

Unter der DSGVO muss die Einwilligung sein:

  • Freiwillig. Die Person muss eine echte Wahl haben. „Wir können Ihnen nur eine Produktprobe geben, wenn Sie uns Ihr Badge scannen lassen” ist zwanghaft und wahrscheinlich ungültig.
  • Spezifisch. Die Einwilligung für einen Zweck erstreckt sich nicht auf andere. Die Einwilligung zum Empfang von Produktinformationen ist keine Einwilligung für Marketing-E-Mails.
  • Informiert. Die Person muss wissen, wer ihre Daten erhebt, wofür sie verwendet werden und wie lange sie gespeichert werden.
  • Eindeutig. Eine klare aktive Handlung — mündliche Bestätigung, Ankreuzen einer Checkbox, Tippen auf einen Button. Vorangekreuzte Felder sind keine gültige Einwilligung.

Praktischer Einwilligungs-Workflow

Hier ist ein realistischer Workflow, der Compliance mit Standeffizienz in Einklang bringt:

  1. Gespräch führen. Führen Sie die natürliche Messeinteraktion — besprechen Sie Bedürfnisse, zeigen Sie das Produkt, beantworten Sie Fragen.
  2. Einwilligung vor der Erfassung einholen. „Ich würde gerne Ihre Kontaktdaten speichern, damit wir das Besprochene weiterverfolgen können. Wir werden Ihre Daten verwenden, um Ihnen die technischen Spezifikationen zuzusenden, nach denen Sie gefragt haben. Ist das in Ordnung?”
  3. Lead digital erfassen. Scannen Sie das Badge oder die Visitenkarte, oder lassen Sie die Person ein Formular ausfüllen. Die digitale Erfassung sollte eine Einwilligungs-Checkbox oder -Aufzeichnung enthalten.
  4. Option für zusätzliche Kommunikation anbieten. „Möchten Sie außerdem unsere vierteljährlichen Branchen-Updates erhalten?” Dies ist eine separate Einwilligung von der Folgekontakt-Einwilligung.
  5. Einwilligung dokumentieren. Ihr Lead-Erfassungstool sollte den Zeitstempel, den/die Einwilligungszweck(e) und die Methode protokollieren.

Einwilligung bei Visitenkarten

Wenn Ihnen jemand auf einer Messe seine Visitenkarte gibt, ist das ein impliziter Ausdruck von Interesse. Unter strenger DSGVO-Auslegung ist der Erhalt einer Visitenkarte jedoch nicht gleichbedeutend mit der Einwilligung zur Verarbeitung der Daten für alle Zwecke.

Praktischer Ansatz: Wenn Sie eine Visitenkarte erhalten, bestätigen Sie mündlich den Zweck: „Vielen Dank — ich werde die Daten nutzen, um Ihnen die besprochene Fallstudie zuzusenden. Gibt es noch etwas, das Sie von uns benötigen?” Das etabliert den spezifischen Zweck und gibt der Person die Möglichkeit, den Umfang einzuschränken oder zu erweitern.

Wenn Sie die Visitenkarte digitalisieren (durch Scannen in Ihr Lead-Erfassungstool), dokumentieren Sie die Einwilligungsgrundlage zusammen mit den Kontaktdaten.

Anforderungen an die Datenspeicherung

Wo und wie Sie Messe-Lead-Daten speichern, ist genauso wichtig wie die Art der Erhebung.

EU-Datenresidenz

Die Speicherung personenbezogener Daten innerhalb des EWR ist der einfachste Weg, Komplikationen durch Datentransfers zu vermeiden. Bei der Bewertung von Messe-Tools fragen Sie:

  • Wo stehen die Server? Achten Sie auf EU-Rechenzentren (Deutschland, Irland, Niederlande, Schweden usw.).
  • Wo werden Backups gespeichert? Wenn der Primärspeicher in der EU liegt, aber Backups in die USA repliziert werden, haben Sie immer noch ein Transferproblem.
  • Hat das Unternehmen Unterauftragsverarbeiter außerhalb des EWR? Drittanbieter-Dienste, die mit den Daten in Berührung kommen (Analytics, E-Mail-Zustellung), können Transferprobleme verursachen.

Verschlüsselung

Die DSGVO verlangt „angemessene technische Maßnahmen” zum Schutz personenbezogener Daten. Für Messe-Lead-Daten bedeutet das:

  • Verschlüsselung im Ruhezustand. Auf Servern gespeicherte Daten sollten mit starken Algorithmen verschlüsselt sein (AES-256 oder vergleichbar).
  • Verschlüsselung bei der Übertragung. Alle Datentransfers (von der Erfassungs-App zum Server, vom Server zu Ihrem CRM) sollten TLS/HTTPS verwenden.
  • Zugriffskontrollen. Nur autorisierte Teammitglieder sollten Lead-Daten einsehen können. Rollenbasierte Zugriffskontrolle verhindert unnötige Offenlegung.

Datenisolierung

In Multi-Tenant-Software (bei der mehrere Unternehmen dieselbe Plattform nutzen) sollten Ihre Daten logisch von den Daten anderer Kunden getrennt sein. Fragen Sie Ihren Tool-Anbieter:

  • Sind die Daten pro Organisation getrennt?
  • Kann ein Administrator eines anderen Kunden jemals unsere Leads sehen?
  • Wie werden die Daten behandelt, wenn wir exportieren oder unser Konto kündigen?

Das Recht auf Löschung: Löschungsanfragen bearbeiten

Artikel 17 der DSGVO gibt Personen das Recht auf Löschung ihrer personenbezogenen Daten. Für Messe-Leads bedeutet das:

Wann Sie löschen müssen

Sie müssen einer Löschungsanfrage nachkommen, es sei denn, Sie haben eine gesetzliche Aufbewahrungspflicht (z. B. für steuerliche oder buchhalterische Zwecke). In der Praxis unterliegen die meisten Messe-Lead-Daten keiner solchen Aufbewahrungspflicht.

Wie Sie eine Anfrage bearbeiten

  1. Anfrage innerhalb von 72 Stunden bestätigen. Teilen Sie der Person mit, dass Sie ihre Anfrage erhalten haben.
  2. Alle Instanzen ihrer Daten lokalisieren. Das umfasst Ihr Lead-Erfassungstool, CRM, Ihre E-Mail-Marketing-Plattform, Tabellenkalkulationen, E-Mail-Verläufe und alle Exporte.
  3. Aus allen Systemen innerhalb von 30 Tagen löschen. Die Frist beginnt mit dem Erhalt der Anfrage.
  4. Löschung bestätigen. Teilen Sie der Person mit, dass ihre Daten entfernt wurden.

Löschung praktisch umsetzen

Die größte Herausforderung besteht darin, alle Instanzen der Daten einer Person in Ihren Tools zu finden. Das ist deutlich einfacher, wenn:

  • Sie ein zentralisiertes Lead-Erfassungssystem statt verstreuter Tabellenkalkulationen verwenden
  • Ihr CRM über eine ordnungsgemäße Such- und Löschfunktion verfügt
  • Sie eine dokumentierte Datenlandkarte haben, die zeigt, wohin Lead-Daten nach der Erfassung fließen

DSGVO-konforme Messesoftware auswählen

Nicht alle Messe- und Lead-Erfassungstools sind mit der DSGVO im Blick entwickelt. Verwenden Sie diese Checkliste bei der Bewertung:

Compliance-Checkliste

  • EU-gehostete Infrastruktur. Server und Backups innerhalb des EWR.
  • Verschlüsselung im Ruhezustand und bei der Übertragung. AES-256 oder vergleichbar für die Speicherung, TLS für die Übertragung.
  • Einwilligungs-Tracking. Das Tool dokumentiert, wann und wie die Einwilligung für jeden Lead eingeholt wurde.
  • Datenisolierung pro Unternehmen. Ihre Daten sind von anderen Kunden getrennt.
  • Datenexport-Möglichkeit. Sie können jederzeit alle Ihre Daten in einem Standardformat (CSV, JSON) exportieren.
  • Löschungs-Unterstützung. Sie können einzelne Datensätze und alle zugehörigen Daten löschen.
  • Auftragsverarbeitungsvertrag (AVV). Der Anbieter stellt einen DSGVO-konformen AVV bereit, der seine Rolle als Auftragsverarbeiter definiert.
  • Transparenz bei Unterauftragsverarbeitern. Der Anbieter offenbart alle Drittanbieter-Dienste, die Ihre Daten verarbeiten.
  • Zugriffskontrollen. Rollenbasierte Berechtigungen, damit nicht jeder in Ihrem Team alle Daten sehen kann.
  • Audit-Protokollierung. Aufzeichnungen darüber, wer Daten eingesehen, geändert oder gelöscht hat, für die Nachvollziehbarkeit.

Fragen an Anbieter

  • Wo werden unsere Daten physisch gespeichert?
  • Operieren Unterauftragsverarbeiter außerhalb des EWR?
  • Wie wird die Einwilligung in Ihrem System dokumentiert?
  • Kann ich einzelne Leads und alle zugehörigen Daten löschen?
  • Stellen Sie einen Auftragsverarbeitungsvertrag bereit?
  • Was geschieht mit unseren Daten, wenn wir unser Konto kündigen?

Wie TradeShowPro die DSGVO handhabt

[TradeShowPro](/de/) wurde in der EU, für den EU-Markt, mit der DSGVO als Fundament entwickelt — nicht als nachträgliche Ergänzung.

  • EU-gehostete Infrastruktur. Alle Daten werden innerhalb der Europäischen Union gespeichert und verarbeitet. Keine Datentransfers in die USA oder andere Drittstaaten.
  • Standardmäßig verschlüsselt. Alle Daten werden im Ruhezustand und bei der Übertragung verschlüsselt. Keine Konfiguration erforderlich.
  • Datenisolierung pro Unternehmen. Die Daten jeder Organisation sind logisch getrennt. Es gibt keine gemeinsame Datenschicht zwischen Kunden.
  • Einwilligungsbewusste Lead-Erfassung. Die Lead-Erfassungsfunktion umfasst Einwilligungs-Tracking — wenn ein Lead erfasst wird, wird die Einwilligungsgrundlage zusammen mit den Kontaktdaten dokumentiert.
  • Datenexport und Löschung. Koordinatoren können jederzeit alle Eventdaten exportieren und einzelne Datensätze oder ganze Events löschen.
  • AVV verfügbar. Ein DSGVO-konformer Auftragsverarbeitungsvertrag wird allen Kunden bereitgestellt.

Für europäische Aussteller eliminiert die Wahl eines EU-nativen Tools die größte Kategorie von DSGVO-Risiken: grenzüberschreitende Datentransfers. Sie müssen keine SVK, Angemessenheitsbeschlüsse oder Transfer-Folgenabschätzungen bewerten. Ihre Daten bleiben in der EU.

DSGVO-Compliance praktisch umsetzen

DSGVO-Compliance auf Messen muss nicht schmerzhaft sein. Die Grundprinzipien sind klar:

  1. Fragen Sie, bevor Sie erfassen. Eine kurze mündliche Einwilligung dauert 5 Sekunden und schützt Sie.
  2. Verwenden Sie Tools, die Daten in der EU speichern. Das ist der größte einzelne Risikoreduzierer.
  3. Dokumentieren Sie, wozu Personen eingewilligt haben. Ihr Erfassungstool sollte dies automatisch tun.
  4. Verwenden Sie Daten nicht über den genannten Zweck hinaus. Verfolgen Sie nach, was besprochen wurde. Fügen Sie Personen nicht zu Listen hinzu, denen sie nicht zugestimmt haben.
  5. Haben Sie einen Löschungsprozess. Wissen Sie, wo Daten liegen und wie Sie sie auf Anfrage entfernen.

Europäische Messen gehören zu den größten und wertvollsten Veranstaltungen der Welt. Die DSGVO ist keine Hürde für die Teilnahme — sie ist ein Rahmenwerk, das bei Einhaltung Vertrauen bei den anspruchsvollen Käufern aufbaut, die Sie erreichen möchten.

Entdecken Sie die DSGVO-konforme Lead-Erfassung mit TradeShowPro — oder starten Sie eine kostenlose Testversion, um zu sehen, wie es bei Ihrem nächsten europäischen Event funktioniert.

Bereit, Ihre nächste Messe zu transformieren?

Starten Sie mit Trade Show PRO — Festpreis 990 € pro Messe.

Jetzt starten