ai-finden.de
Startseite Ratgeber Wann betreibt dein KMU Profiling – und welche DSGVO-Pflichte…
Ratgeber 17. Juni 2026

Wann betreibt dein KMU Profiling – und welche DSGVO-Pflichten entstehen dabei?

A. Blick Redaktion: A. Blick  ·  Stand: 17. Juni 2026  ·  Lesezeit: 9 Min.

Kurze Antwort

Profiling im Sinne von Art. 4 Nr. 4 DSGVO ist jede automatisierte Verarbeitung personenbezogener Daten, die bestimmte Aspekte einer Person bewertet – also auch das Lead-Scoring im CRM, Engagement-Auswertungen im E-Mail-Tool oder Nutzerprofile durch Retargeting-Pixel. Wer solche Funktionen einsetzt, betreibt Profiling und muss es im Verarbeitungsverzeichnis dokumentieren, in der Datenschutzerklärung offenlegen und ein funktionierendes Widerspruchsrecht anbieten. Nicht jedes Profiling fällt unter Art. 22 DSGVO (vollautomatisierte Entscheidungen), aber alle DSGVO-Grundpflichten gelten trotzdem – so der EDPB in seinen Guidelines WP251rev.01.

Wichtig: Ein hoher DSGVO-Score bedeutet nicht automatisch, dass der Einsatz eines Tools ohne Weiteres unbedenklich ist. Entscheidend sind auch die konkrete Nutzung, ein AVV mit dem Anbieter und interne Datenschutzprozesse. Der Einsatz jedes Tools muss individuell geprüft werden.

Hinweis: Dieser Artikel ist eine allgemeine Orientierungshilfe für KMU und kein Rechtsgutachten. Für verbindliche Einschätzungen empfehlen wir, einen Datenschutzbeauftragten oder Rechtsanwalt hinzuzuziehen.

Praxisregeln für KMU

Was mit Rechtsgrundlage und Opt-out in der Regel möglich ist:

  • CRM-Segmentierung nach Kaufhistorie oder Aktivität, solange Mitarbeitende die finale Entscheidung treffen
  • E-Mail-Engagement-Scoring zur Kampagnenoptimierung bei berechtigtem Interesse oder Einwilligung
  • Website-Statistiken ohne Personenbezug (z.B. cookiefreie Analytics-Konfiguration)

⚠️ Was eine DSFA, einen AVV oder eine ausdrückliche Einwilligung voraussetzt:

  • Retargeting-Pixel (Meta, Google Ads, LinkedIn) – Einwilligung über Consent-Banner zwingend erforderlich
  • Automatisierte Aktionen auf Basis von Scoring (Rabattentzug, Zugangssperrung, automatische Kündigung)
  • Scoring mit besonderen Datenkategorien nach Art. 9: Gesundheit, Herkunft, politische Meinung
  • Dynamische Preisgestaltung auf Basis von Nutzerprofilen

Wann betreibst du unwissentlich Profiling?

Die meisten KMU denken bei “Profiling” an Kreditscoring-Algorithmen oder Überwachungssoftware. Tatsächlich findet Profiling in vielen Unternehmen täglich statt – ohne dass die Verantwortlichen es so nennen würden.

CRM-Systeme und Lead-Scoring: Wer Kontakte nach Kaufwahrscheinlichkeit bewertet, Klick-Aktivitäten speichert oder Leads in Segmente einteilt, betreibt Profiling nach Art. 4 Nr. 4 DSGVO. Das gilt auch dann, wenn der finale Anruf vom Vertrieb ausgeht – das automatisierte Erstellen des Profils selbst ist bereits die relevante Verarbeitung.

E-Mail-Marketing: Tools, die automatisch Öffnungsraten, Klickverhalten und Inaktivität auswerten, um Kontakte zu bewerten oder in Versand-Segmente zu sortieren, bewerten personenbezogene Daten automatisiert. Der EDPB hält in WP251rev.01 fest, dass das unabhängig von der Größe der Segmente unter den Profiling-Begriff fällt.

Analytics und Retargeting: Google Analytics 4, der Meta Pixel oder LinkedIn Insight Tags erstellen automatisch Nutzerprofile auf Basis des Surfverhaltens. Laut EDPB (WP251rev.01) kann Retargeting in bestimmten Konfigurationen eine “erhebliche Beeinträchtigung” im Sinne von Art. 22 darstellen. Der Consent-Banner ist für Retargeting-Pixel aus DSGVO-Sicht in jedem Fall Pflicht – er stellt die Einwilligung sicher, die Art. 6 und gegebenenfalls Art. 22 DSGVO verlangen.

Dynamische Preise: Wer Preise automatisiert nach Nutzerprofilen anpasst (Standort, Gerät, Kaufhistorie), betreibt Profiling mit finanzieller Auswirkung – eine der Kernkategorien, die laut EDPB unter Art. 22 fallen kann.

Was muss ich dokumentieren? (Art. 30 DSGVO)

Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist die Pflicht-Dokumentation für jede Verarbeitungstätigkeit – einschließlich Profiling. KMU mit weniger als 250 Mitarbeitern sind grundsätzlich ausgenommen, aber nicht, wenn die Verarbeitung ein Risiko für Rechte und Freiheiten birgt oder nicht nur gelegentlich erfolgt. Profiling im CRM oder E-Mail-Marketing findet in der Regel nicht nur gelegentlich statt – das Verarbeitungsverzeichnis ist damit für die meisten KMU faktisch Pflicht.

Für jede Profiling-Aktivität gehören folgende Angaben ins Verarbeitungsverzeichnis:

  • Zweck: z.B. “Lead-Scoring zur Vertriebspriorisierung”
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f (berechtigtes Interesse) oder lit. a (Einwilligung)
  • Kategorien betroffener Personen und Daten: z.B. “Kontakte, Kaufhistorie, Klickverhalten”
  • Auftragsverarbeiter: Name des Tools, Serverstandort laut Anbieter, AVV-Status
  • Löschfristen und technisch-organisatorische Maßnahmen (TOMs)

Praktisch bedeutet das: Für jedes Tool, das Profiling betreibt, gibt es einen eigenen Eintrag im Verarbeitungsverzeichnis.

Wann brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?

Die DSFA nach Art. 35 DSGVO ist erforderlich, wenn Profiling voraussichtlich ein hohes Risiko für Betroffene erzeugt. Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe DSFA (Oktober 2020) konkrete Kriterien benannt:

  • Systematisches Profiling mit Auswirkungen auf den Zugang zu Dienstleistungen, Tarifen oder Produkten
  • Automatisierte Entscheidungen nach Art. 22 ohne menschliche Überprüfung
  • Profiling mit besonderen Datenkategorien nach Art. 9 (Gesundheit, Herkunft, Religion)
  • Großmaßstäbliche Verarbeitung – viele Betroffene und/oder viele Datenpunkte

Für ein KMU, das HubSpot-Lead-Scoring nur intern für die Prioritätenliste des Vertriebs nutzt und alle Entscheidungen von Mitarbeitenden treffen lässt, ist eine DSFA in der Regel nicht erforderlich. Wer aber automatisiert auf Basis von Scores Vertragskonditionen ändert, Kunden deaktiviert oder Preise variiert, kann in die DSK-Blacklist-Kategorien geraten – und muss eine DSFA durchführen, bevor die Verarbeitung startet.

Datenschutzerklärung anpassen: Profiling-Hinweis und Widerspruchsrecht

Wer Profiling betreibt, muss das in der Datenschutzerklärung offenlegen. Art. 13 und 14 DSGVO verlangen folgende Angaben:

  • Beschreibung des Profilings: Welches Tool erstellt welche Profile zu welchem Zweck?
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f (berechtigtes Interesse) oder lit. a (Einwilligung)?
  • Widerspruchsrecht nach Art. 21 DSGVO: Muss bei Profiling auf Basis berechtigten Interesses explizit genannt werden
  • Bei Art. 22: Recht auf menschlichen Eingriff, Recht zur Darlegung des eigenen Standpunkts und Recht zur Anfechtung

Bei E-Mail-Marketing gilt Art. 21 Abs. 2 besonders streng: Das Widerspruchsrecht gegen Profiling für Direktwerbung muss jederzeit und uneingeschränkt möglich sein. Laut Erwägungsgrund 70 DSGVO muss dieses Recht spätestens zum Zeitpunkt der ersten Kommunikation erwähnt werden – der Abmelde-Link in jeder Marketing-Mail ist die rechtlich geforderte technische Umsetzung. Das Opt-out muss genauso einfach sein wie die ursprüngliche Einwilligung (Art. 7 Abs. 3 DSGVO).

Checkliste für die Datenschutzerklärung:

  • Alle profiling-fähigen Tools aufgeführt?
  • Rechtsgrundlage je Verarbeitungszweck benannt?
  • Widerspruchsrecht (Art. 21) ausdrücklich erwähnt?
  • Consent-Banner für Retargeting-Pixel eingebunden?
  • Speicherdauer der Profildaten angegeben?

Wann greift Art. 22 DSGVO?

Art. 22 DSGVO ist der strengste Teil des Profiling-Rechts – aber er gilt nur unter zwei kumulativen Voraussetzungen: Die Entscheidung wird ausschließlich automatisiert getroffen (kein Mensch greift ein), und sie hat eine rechtliche Wirkung oder beeinträchtigt die Person in ähnlicher Weise erheblich – etwa durch eine automatische Kreditabsage, eine gesperrte Mitgliedschaft oder einen entzogenen Zugang zu einem Dienst.

Nicht jedes Profiling ist eine automatisierte Entscheidung nach Art. 22. Aber jedes Profiling unterliegt den allgemeinen DSGVO-Grundpflichten (Art. 5, 13, 14, 15, 21) – das hat der EDPB in WP251rev.01 ausdrücklich klargestellt.

SituationProfiling?Art. 22 DSGVO?
CRM segmentiert Kontakte, Vertrieb entscheidet manuell✅ Ja❌ Nein
CRM entzieht automatisch Rabatt bei “inaktiv”-Score✅ Ja✅ Ja
E-Mail-Öffnungsraten für Versandoptimierung✅ Ja❌ Nein
Retargeting-Werbung (Meta Pixel, Google Ads)✅ Ja⚠️ Möglich (laut EDPB)
Automatische Preisanpassung nach Nutzerprofil✅ Ja✅ Ja

Wenn Art. 22 greift, braucht es eine der Ausnahmen aus Art. 22 Abs. 2: Vertragserfüllung (lit. a), gesetzliche Erlaubnis (lit. b) oder ausdrückliche Einwilligung (lit. c). Zusätzlich muss die betroffene Person das Recht haben, eine natürliche Person einzuschalten, ihren Standpunkt darzulegen und die Entscheidung anzufechten.

ToolHauptfunktionDSGVO-ScorePreis
HubSpotCRM, Lead-Scoring, E-Mail-Marketing6.5/10kostenloser Plan vorhanden; Bezahlpreise beim Anbieter prüfen
ActiveCampaignCRM + Marketing-Automation6.5/10ab 15 €/Monat
MailchimpE-Mail-Marketing, Engagement-Scoringbeim Anbieter prüfen (Stand: 2026-06)beim Anbieter prüfen
UsercentricsConsent-Management-Plattformbeim Anbieter prüfen (Stand: 2026-06)beim Anbieter prüfen
MatomoDatenschutzfreundliche Analyticsbeim Anbieter prüfen (Stand: 2026-06)beim Anbieter prüfen

Warum diese Tools?

HubSpot ist in unserer Methodik vor allem aufgrund seiner US-amerikanischen Konzernstruktur und eines möglichen Cloud Act-Risikos mit 6.5/10 bewertet worden. Ein AVV ist abschließbar; als Übertragungsgrundlage kommt das EU-US Data Privacy Framework (DPF) oder alternativ Standardvertragsklauseln (SCCs) in Betracht – beides muss individuell geprüft werden. Der kostenlose Plan eignet sich für den Einstieg in CRM und einfache Kontaktsegmentierung; wachsende Marketing-Teams, die erweiterte Lead-Scoring-Funktionen und Automation benötigen, stoßen dort schnell an Grenzen und benötigen die kostenpflichtigen Professional-Tarife.

ActiveCampaign erreicht denselben DSGVO-Score von 6.5/10, ebenfalls in erster Linie aufgrund US-amerikanischer Konzernstruktur und Cloud Act-Risiko. Der Einstiegspreis liegt bei 15 €/Monat; ein AVV ist verfügbar. Bezahlpreise für höhere Tarife beim Anbieter prüfen.

Consent-Management-Plattformen wie Usercentrics oder Borlabs Cookie sind für alle KMU relevant, die Retargeting-Pixel oder andere profiling-fähige Drittanbieter einsetzen. Ohne technisch einwandfreies Consent-Management gilt die Einwilligung nach Art. 7 DSGVO als nicht wirksam erteilt.

Was andere Tools problematisch macht

Bei Retargeting-Tools von US-Anbietern (Meta Pixel, Google Ads Tags, LinkedIn Insight Tag) besteht kein unmittelbares Cloud Act-Risiko durch eine EU-Niederlassung, jedoch ein mittelbares Risiko durch die jeweilige US-Muttergesellschaft. Zusätzlich entsteht bei fehlendem oder manipulativ gestaltetem Consent-Banner (Dark Patterns) ein Verstoß gegen Art. 7 DSGVO (Anforderungen an die Einwilligung) – Datenschutzbehörden haben solche Konstellationen in mehreren EU-Ländern beanstandet.

Tools, die KI-Training mit Nutzerdaten ohne expliziten Opt-out ermöglichen, können zusätzliches Profiling-Risiko erzeugen, da das Trainieren von Modellen auf Basis von Nutzerverhalten ebenfalls unter Art. 4 Nr. 4 DSGVO fallen kann.

Bußgeldrisiken bei fehlendem Opt-out

Fehlende Widerspruchsmöglichkeiten und intransparentes Profiling gehören zu den häufigsten Bußgeldfaktoren bei KMU. Datenschutzbehörden in der EU haben wiederholt Unternehmen sanktioniert, die keinen funktionierenden Abmeldelink in Marketing-Mails hatten, das Consent-Banner so gestalteten, dass Ablehnen schwerer war als Zustimmen, oder Profiling in der Datenschutzerklärung vollständig verschwiegen haben.

Verstöße gegen Art. 13/14 (fehlende Transparenz über Profiling) und Art. 21 (fehlendes Widerspruchsrecht) können nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Verstöße bei vollautomatisierten Entscheidungen nach Art. 22 ohne Rechtsgrundlage fallen unter Art. 83 Abs. 5 – bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes.

Datenschutzbehörden prüfen bei Beschwerden in der Regel zuerst, ob die Datenschutzerklärung vollständig ist und ob ein Opt-out tatsächlich funktioniert. Beide Punkte lassen sich mit überschaubarem Aufwand umsetzen und senken das Bußgeldrisiko deutlich.

Methodik

Die DSGVO-Scores auf ai-finden.de basieren auf unserer Bewertungsmethodik: Wir analysieren Datenschutzerklärungen, AVV-Verfügbarkeit, Serverstandort, Konzernzugehörigkeit, Cloud-Act-Risiken und Klauseln zum KI-Training mit Nutzerdaten. Alle Scores sind Risikoeinschätzungen, keine Rechtsaussagen – sie beschreiben den Stand zum Zeitpunkt der Recherche und können sich durch Änderungen beim Anbieter verschieben. Behördenquellen dieses Artikels: EDPB Guidelines WP251rev.01, DSK OH KI (Mai 2023), DSK OH Scoring (Juli 2023), DSK OH DSFA (Oktober 2020).

Fazit & Empfehlung

Profiling findet in jedem KMU statt, das CRM, E-Mail-Marketing oder Analytics einsetzt. Die wichtigste Erkenntnis: Profiling ist nicht verboten – es muss aber dokumentiert, transparent gemacht und mit einem funktionierenden Widerspruchsrecht abgesichert werden.

Die fünf wichtigsten Schritte für KMU:

  1. Alle Profiling-Aktivitäten ins Verarbeitungsverzeichnis aufnehmen (Art. 30)
  2. Datenschutzerklärung um Profiling-Beschreibung und Widerspruchsrecht ergänzen (Art. 13/21)
  3. Consent-Banner für alle Retargeting-Pixel technisch korrekt einrichten
  4. Prüfen, ob eine DSFA erforderlich ist – besonders bei automatisierten Aktionen auf Scoring-Basis (Art. 35)
  5. Mit allen eingesetzten Tools einen AVV abschließen

Du willst nicht jeden Vertrag selbst prüfen? Unsere Tooltests zeigen pro KI-Tool: AVV, DPA, KI-Training, Cloud-Act-Risiko, DSGVO-Score.

🛡️ Im Artikel erwähnte Tools — bewertet nach unserer Methodik

War dieser Artikel hilfreich?

Welches Tool passt zu dir?

Unser KI-Finder empfiehlt das optimale Tool für deine Situation — in 2 Minuten.

KI-Finder starten →