DSGVO-konforme Wettbewerbsbeobachtung: Was du wissen musst

TL;DR Die meisten CI-Tools sind US-basiert und verarbeiten Daten über US-Server — eine Compliance-Lücke, die viele europäische Unternehmen übersehen. DSGVO-konforme CI bedeutet, dass deine Wettbewerbsdaten in Europa bleiben, du nur öffentlich verfügbare Informationen sammelst und dein Anbieter angemessene Auftragsverarbeitungsverträge hat. Das ist nicht nur für die rechtliche Compliance wichtig, sondern auch für das Vertrauen deiner eigenen Kunden.

Warum die DSGVO für Competitive Intelligence relevant ist

Competitive Intelligence umfasst das Sammeln, Verarbeiten und Speichern von Daten — von denen einige personenbezogene Daten enthalten können (Namen in Stellenanzeigen, LinkedIn-Profile von Führungskräften, Kontaktinformationen auf Websites). Unter der DSGVO macht das dein CI-Tool zum Auftragsverarbeiter.

Typische Compliance-Lücken

Datenresidenz

Die meisten CI-Plattformen (Crayon, Klue, Kompyte) sind US-basiert und verarbeiten Daten über US-Infrastruktur. Nach dem Schrems-II-Urteil, das den EU-US Privacy Shield für ungültig erklärte, erfordern Datentransfers in die USA zusätzliche Schutzmaßnahmen, die viele Anbieter uneinheitlich handhaben.

Was CI-Tools typischerweise sammeln

  • Website-Inhalte — Grundsätzlich unbedenklich (öffentlich verfügbar)
  • Stellenanzeigen — Können Recruiter-Namen, Kontaktdaten enthalten
  • LinkedIn-Daten — Profildaten von Unternehmensmitarbeitern
  • Nachrichtenartikel — Können Einzelpersonen referenzieren
  • Social-Media-Posts — Können persönliche Meinungen enthalten, die Einzelpersonen zugeordnet werden

Das Missverständnis "öffentlich verfügbar"

Nur weil Daten öffentlich verfügbar sind, bedeutet das nicht, dass die DSGVO nicht gilt. Öffentlich verfügbare personenbezogene Daten sind weiterhin personenbezogene Daten. Die Rechtsgrundlage für ihre Verarbeitung ist typischerweise das "berechtigte Interesse" (Art. 6 Abs. 1 lit. f DSGVO), das eine Abwägung erfordert.

Wie DSGVO-konforme CI aussieht

Datenverarbeitung

  • Europäisches Hosting — Daten werden innerhalb der EU/EWR gespeichert und verarbeitet
  • Auftragsverarbeitungsvertrag (AVV) — Dein CI-Anbieter muss einen DSGVO-konformen AVV anbieten
  • Zweckbindung — Für CI gesammelte Daten dürfen nur für CI genutzt werden
  • Datenminimierung — Nur sammeln, was für die Wettbewerbsanalyse benötigt wird

Technische Maßnahmen

  • Verschlüsselung im Ruhezustand und bei der Übertragung — Standard, aber verifizieren
  • Zugriffskontrollen — Nur autorisierte Teammitglieder haben Zugang zu Wettbewerbsdaten
  • Datenspeicherungsrichtlinien — Wettbewerbsdaten nicht unbegrenzt speichern
  • Audit-Logging — Nachverfolgen, wer auf welche Daten zugegriffen hat

Organisatorische Maßnahmen

  • CI-Programm dokumentieren im Verzeichnis der Verarbeitungstätigkeiten
  • DSFA durchführen (Datenschutz-Folgenabschätzung) bei großflächigem Monitoring
  • CI-Team schulen zu erlaubten und nicht erlaubten Datenerhebungen

Ein DSGVO-konformes CI-Tool wählen

AnforderungWas du fragen solltest
DatenresidenzWo stehen die Server? Findet alle Verarbeitung in der EU statt?
UnterauftragsverarbeiterWelche Drittanbieter verarbeiten deine Daten? Wo sitzen sie?
AVV-VerfügbarkeitKann vor Beginn ein DSGVO-konformer AVV unterzeichnet werden?
DatenportabilitätKönnen alle Daten auf Anfrage exportiert und gelöscht werden?
SicherheitszertifizierungenSOC 2, ISO 27001 oder gleichwertig?

12signals und die DSGVO

12signals ist für europäische Anforderungen gebaut:

  • Alle Daten auf europäischen Servern gehostet (Supabase EU, Hetzner Deutschland)
  • Kein Datentransfer in US-Infrastruktur
  • AVV auf Anfrage verfügbar
  • Nur öffentlich verfügbare Datenquellen (Websites, Stellenanzeigen, LinkedIn Ad Library, News)
  • Sitz in Düsseldorf, Deutschland
30 Tage kostenlos testen