Worauf muss ein Unternehmen achten, wenn es B2B-Adressdaten von Acxiom kauft, und ist es akzeptabel, wenn Acxiom keine Mitverantwortung für die DSGVO-Einhaltung übernimmt?

Beim Kauf von B2B-Adressdaten (auch „Firmendaten“) von Acxiom ist DSGVO-rechtlich vor allem zu prüfen, **ob und in welchem Umfang personenbezogene Daten** enthalten sind (z. B. Namen, direkte Durchwahlen, E‑Mail-Adressen wie `vorname.nachname@…`, Rollenprofile, LinkedIn-URLs). Sobald das der Fall ist, greifen die üblichen DSGVO-Pflichten voll. ## Worauf du achten solltest (Checkliste) 1. **Rollen klären (Controller/Processor)** - Häufig sind **beide Parteien Verantwortliche** (du für deine Nutzung; Acxiom für Erhebung/Anreicherung/Verkauf). Dann braucht es **keinen AV-Vertrag**, sondern klare vertragliche Zusicherungen und Informationspflichten. - Nur wenn Acxiom Daten **ausschließlich in deinem Auftrag** verarbeitet (typisch eher bei Hosting/CRM-Services), wäre ein **Auftragsverarbeitungsvertrag (AVV)** nötig. 2. **Rechtsgrundlage für deine Nutzung** - Für B2B-Marketing wird oft **Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)** genutzt; dafür brauchst du: - dokumentierte **Interessenabwägung (LIA)**, - **Datenminimierung** (nur was du wirklich brauchst), - **Widerspruchsmöglichkeit** und saubere Prozesse. - Für **E‑Mail-Marketing** gelten zusätzlich nationale Regeln (in DE v. a. UWG/„Spam“-Regeln). DSGVO allein reicht nicht. 3. **Transparenz/Informationspflichten (Art. 14 DSGVO)** - Bei „indirekt“ erhobenen Daten musst du Betroffene grundsätzlich **informieren** (Fristen/ Ausnahmen eng). Das ist in B2B-Listen der häufigste Compliance-Knackpunkt. - Vertraglich absichern, dass du die nötigen Infos bekommst (Datenquellenkategorien, Zwecke, Kategorien, Empfänger, Speicherdauer etc.). 4. **Nachweise zur Datenherkunft und -qualität** - Lass dir schriftlich geben: - **Quellenkategorien** (öffentlich, Partner, eigene Erhebung etc.), - **Aktualisierungszyklen**, Dubletten-/Korrekturprozesse, - Umgang mit **Bounces**, Rollenwechseln, Sperrlisten, - ob **Opt-outs/Widersprüche** bereits berücksichtigt werden. 5. **Zweckbindung & Nutzungsrechte** - Vertraglich klar: **welche Zwecke** (z. B. Lead-Generierung, postalische Ansprache, Telefon, E‑Mail), **welche Kanäle**, **welche Länder**, **Weitergabe** an Dritte/Agenturen, **Anreicherung** mit eigenen Daten, **Profiling/Scoring** ja/nein. 6. **Datenübermittlungen in Drittländer** - Prüfen, ob Daten/Support/Hosting außerhalb EWR laufen. Dann brauchst du passende **Transfermechanismen** (z. B. SCC) und ggf. zusätzliche Maßnahmen. 7. **Sicherheit & Zugriff** - Technische/organisatorische Maßnahmen, Rollen-/Rechtekonzept, Logging, Verschlüsselung, Löschkonzept, Incident-Prozess. 8. **Sperrlisten & Betroffenenrechte** - Prozess für **Auskunft, Löschung, Widerspruch**. - Wichtig: **Suppression Lists** (Sperrlisten) dürfen/ müssen oft aufbewahrt werden, um erneute Ansprache zu verhindern (sauber begründen und absichern). ## Ist es „OK“, wenn Acxiom keine Mitverantwortung für DSGVO-Einhaltung trägt **So pauschal: nein, das ist ein rotes Tuch.** Zwar kann ein Vertrag regeln, dass **du** für **deine** Nutzung verantwortlich bist. Aber Acxiom kann sich nicht wirksam „freizeichnen“, soweit Acxiom selbst **Verantwortlicher** für Erhebung/Anreicherung/Weitergabe ist. Die DSGVO-Verantwortung folgt der tatsächlichen Rolle, nicht der Vertragsformulierung. **Praktisch akzeptabel** ist eine Klausel, die sagt: - du bist verantwortlich für **deine Zwecke/Kommunikation/Compliance in deinem System**, **und** - Acxiom sichert zu, dass **die Daten rechtmäßig erhoben/weitergegeben** wurden, Betroffenenrechte/Opt-outs berücksichtigt werden, Informationspflichten unterstützt werden, Transfers abgesichert sind etc., plus **Haftungs-/Freistellungsregelungen** bei Verstößen in Ac