Umgang mit Visitenkarten

5. September 2018

Unsere Intuition sagt uns, dass Visitenkarten, die auf Messen schon seit jeher gerne und freiwillig verteilt werden, auch unter Datenschutz-Aspekten unproblematisch sein dürften. Nicht zuletzt handelt es sich doch hierbei um B2B-Daten und Erwägungsgrund 14 besagt, dass die DSGVO nur natürliche Personen schützt. Doch auch ein Geschäftsführer, der als Organ dieser juristischen Person handelt, gibt personenbezogene Daten preis, auch wenn deren Schutzbedürfnis niedrig ist. Nehmen wir die Visitenkarte an, gibt es nur eine Möglichkeit, einer Erhebung dieser Daten zu entgehen und damit an die DSGVO gebunden zu sein: Nicht angucken und dem Datenschutz-konformen Aktenvernichter zuführen. Doch wir wollen weiterhin Geschäfte tätigen und sollten daher vier Aspekte berücksichtigen.

1. Einwilligung

Keine Erhebung ohne Rechtsgrundlage. Der vermeintlich einfachste Weg ist dabei die schriftliche oder elektronische Einwilligung (Artikel 6 Abs. 1. Buchstabe a). Natürlich kann man das machen, ob dies dem Aufbau von Geschäftskontakten dienlich ist, sei aber dahingestellt.  Sollten bereits konkrete Gespräche zu einem Auftrag geführt worden sein, könnte man auch Buchstabe b anführen, die Regel werden vorvertragliche Maßnahmen bei dem üblichen Kontext einer Visitenkarte-Übergabe aber nicht sein. Glücklicherweise hat das Bayerische Landesamt für Datenschutzaufsicht sich diesbezüglich bereits geäußert.

Bei der Übergabe von Visitenkarten erfolgen üblicherweise mündliche Erklärungen zum Zweck der Kontaktdaten-Bekanntgabe, z. B. zu Informations- bzw. Werbezusendungen, zur Kontaktaufnahme für Vertragsverhandlungen oder für gemeinsame Projekte, zur Vorbereitung eines Besuches, und vieles mehr. Zu diesen Zwecken ist eine Verarbeitung der Kontaktdaten zulässig nach Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO. (Quelle)

Hiermit sind auch Workarounds wie der Abdruck einer Einverständniserklärung auf der eigenen Visitenkarte unnötig.

2. Dokumentation

Kommt es zu einem Auskunftsanspruch, muss die Herkunft der Daten dokumentiert sein. Ort, Datum und Empfänger der Visitenkarte sollten bei Entgegennahme notiert sein, der Einfachheit halber würde es sich anbieten, dies auf der Visitenkarte selbst zu tun.

3. Informationspflicht

Sobald Daten erhoben werden, ist der Betroffene nach Artikel 13 DSGVO umfassend über die Verarbeitung der Daten zu informieren. Wie in vielen Bereichen, sei es im Buchladen oder in der Arztpraxis, stellen sich dem ganz praktische Überlegungen entgegen. Zwar möchte ich meinen Pflichten als Verantwortlicher nachkommen, den Geschäftskontakt aber auch nicht mit mehrseitigen Datenschutzrichtlinien abschrecken. Peter Schaar, der zehn Jahre als Bundesbeauftragter für den Datenschutz fungierte, geht in seiner Einschätzung sogar so weit, dass er die Informationspflicht in dem Zusammenhang der Visitenkarte-Übergabe als nicht zutreffend ansieht.

Da die Übergabe einer Businesscard regelmäßig durch den Inhaber erfolgt, damit der Empfänger Kontakt mit ihm aufnimmt, ist er damit informiert, dass der Empfänger die Karte auch verwendet und die Kontaktdaten etwa in seinem Adressverzeichnis erfasst. Datenschutzrechtliche Informationspflichten gäbe es nur, wenn die Daten zu anderen Zwecken, etwa zur Überprüfung der Kreditwürdigkeit, herangezogen würden. (Quelle)

Die DSGVO indes kennt solche Einschränkungen nicht

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit (…)

Somit sollte man angehalten sein, seiner Informationspflicht weiterhin nachzukommen. Die Datenschutzerklärung muss nicht unbedingt ausliegen, es muss dem Betroffenen aber bekannt sein wo diese abzurufen ist. Es empfiehlt sich daher das Hinterlegen einer entsprechenden und nicht verlinkten Datenschutzerklärung auf der Internetpräsenz, welche sich auf den Zweck der Erhebung zur geschäftlichen Kontaktaufnahme bezieht. Der Hinweis darauf bietet sich über einen Infozettel mit Link und passendem QR-Code an. Messen wie die Dmexco bieten auch die Aufnahme in ein zentrales Verzeichnis an.

4. Verzeichnis der Verarbeitungstätigkeiten

Je nachdem wie das bestehende Verzeichnis aufgebaut ist, bietet es sich an, die Erhebung von Kundendaten als eigene Verarbeitungstätigkeit oder als Herkunft von Daten innerhalb einer bereits dokumentieren Verarbeitungstätigkeit aufzuführen. Der Zweck der Verarbeitung wäre dabei die Pflege oder der Neuaufbau von Kundenbeziehungen.

 

 

Und wenn ich keine Visitenkarten erhalte sondern frei ausliegende Visitenkarten einstecke?

In dem Falle greift Artikel 14 DSGVO, da es sich dann um eine Erhebung von Daten handelt, die nicht bei betroffenen Person erhoben wurden. Bei Aufnahme in ein CRM oder Karteisystem, wäre ein Versand einer E-Mail mit Verweis auf die oben erwähnte Datenschutzerklärung angebracht.

Gelten diese Pflichten auch für mich, wenn ich die Visitenkarte nur entgegennehme ohne sie zu speichern?

Erwägungsgrund 15 der DSGVO beschreibt den Schutz natürlicher Personen, so deren Daten in ein Dateisystem überführt werden. Artikel 4 DSGVO Ziffer 6 sagt uns, was unter einem Dateisystem zu verstehen ist.

„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird

Hat man zum Zeitpunkt der Entgegennahme also noch gar nicht geplant, die Daten systematisch zu erheben, braucht man der Informationspflicht auch erst nachkommen, so diese Daten in das Dateisystem überführt werden. Allerdings sollte beachtet werden, dass in diesem Falle die Erhebung dokumentiert ist, eine kurze Notiz auf der Visitenkarte ist weiterhin angeraten.

Autor

Nemo Pohle

Nemo Pohle

Datenschutz Quick-Check

Testen Sie jetzt wie Ihr Unternehmen im Datenschutz nach DSGVO aufgestellt ist.

Jetzt testen

Ihre Anfrage

Als Partner für den Datenschutz beraten wir auch Sie gerne. Stellen Sie uns eine unverbindliche Anfrage und wir melden uns bei Ihnen.

Jetzt kontaktieren