Visitenkarten strotzen vor Daten: Name, Adresse, Beruf, Telefonnummer. Darf man die Kärtchen überhaupt noch auf Messen oder Veranstaltungen austauschen, seit die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist?
Welche Probleme gibt es beim Austausch von Visitenkarten?
Die gute Nachricht: Visitenkarten auszutauschen, sei laut Hans M. Wulf, Fachanwalt für IT-Recht und Datenschutzauditor, aus datenschutzrechtlicher Sicht grundsätzlich kein Problem. Wer die Kontaktdaten aber speichere und weiterverarbeite, müsse sich um den Datenschutz kümmern. Zum Beispiel muss man dann seiner Informationspflicht (Artikel 13 DSGVO) nachkommen.
Das heißt: Eigentlich müsste jeder, der eine Visitenkarte annimmt und die Daten speichern will, sein Gegenüber darüber aufklären: Was passiert mit den Daten? An wen werden sie weitergegeben? Wann werden sie gelöscht? „Das ist wenig praxisnah und eigentlich unzumutbar“, meint Wulf. Wer könne schon bei der Visitenkartenübergabe einen zweiseitigen DSGVO-Belehrungsbogen aus der Tasche ziehen? „Trotzdem ist es gesetzlich so vorgeschrieben.“
Sie knüpfen auf Messen viele Kontakte, doch im Nachhinein fehlen Ihnen wichtige Informationen? Mit der Vorlage haben Sie alles auf einen Blick – exklusiv für impulse-Mitglieder zum Download: Messegespräche: Mit dem Kontaktbogen die Erfolgsquote steigern
Und selbst wenn Sie Ihrer Informationspflicht nachkommen – die Daten dürfen Sie nur unter bestimmten Bedingungen speichern, die in Artikel 6 der DSGVO festgehalten sind.
Wie gehen Sie nun also am besten vor, wenn Sie sich an die DSGVO-Vorgaben halten wollen? Das Wichtigste im Überblick:
Unter diesen Bedingungen dürfen Sie Daten verarbeiten
Was müssen Sie tun, wenn Sie Daten von Visitenkarten speichern wollen? Die Antwort findet sich in Artikel 6 der DSGVO. Dort ist genau aufgelistet, unter welchen Bedingungen sie verarbeitet werden dürfen. Zum Beispiel:
Zur Person
Hans M. Wulf
ist Fachanwalt für IT-Recht und Datenschutzauditor (TÜV) nach EU-DSGVO und Salaried Partner der Kanzlei
Heuking Kühn Lüer Wojtek.
Es gibt eine Einwilligung
Eine schriftliche Einwilligung, dass Daten gespeichert und verarbeitet werden dürfen, ist nach Meinung des Juristen ein rechtssicherer Weg. Theoretisch könne man sich die Erlaubnis aber auch mündlich holen. „Das Problem einer mündlichen Einwilligung ist nur, dass sie sich schwer beweisen lässt“, so der Jurist. Im Zweifelsfall müsse aber jeder, der Daten erhebt, nachweisen können, dass es eine Erlaubnis gab (Art. 6 DSGVO). „Hat man nichts Schriftliches, ist es sinnvoll, Zeugen zu haben, die den Vorgang bestätigen können“, sagt Wulf.
Es gibt einen Vertrag
Die Daten dürfen auch verarbeitet werden, wenn es laut Artikel 6 DSGVO um „die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist“, geht. Das gelte laut Wulf, wenn der Vertrag nur mit Hilfe der Daten erfüllt werden könne. Zum Beispiel: Online-Shops benötigen die Kundenadresse, um die Ware liefern zu können – deswegen müssen sie nicht mehr nach einer Erlaubnis fragen, sondern dürfen die Adressdaten nutzen. Daten zur Anbahnung eines Vertrags zu nutzen, sei laut Wulf ebenfalls zulässig. „Allerdings gilt der Austausch von Visitenkarten auf Messen noch nicht als Vertragsanbahnung“, sagt der Jurist.
Es gibt ein berechtigtes Interesse
Ob die Daten auf der Visitenkarte weiterverarbeitet werden dürfen, ist auch eine Frage der Interessenabwägung (Artikel 6 DSGVO): Gibt es ein berechtigtes Interesse, die Daten der Visitenkarte zu speichern? Und: Hat der Betroffene ein schutzwürdiges Interesse, dass höher zu gewichten ist als das eigene? „Im Fall von Visitenkarten dürfte das schutzwürdige Interesse des Messeteilnehmers niedriger zu bewerten sein und das berechtigte Interesse des Unternehmens daher überwiegen“, sagt Wulf. „Schließlich bekommt man die Karte normalerweise freiwillig überreicht.“
So erfüllen Sie die DSGVO-Informationspflicht
Per E-Mail
Wer auf Messen oder Veranstaltungen seine Kunden nicht mit DSGVO-Fragen behelligen möchte, für den gibt es eine andere Lösung – diesmal aus dem Bundesdatenschutzgesetz (BDSG). Demnach kann man die Informationspflicht innerhalb von zwei Wochen nachholen (§32, Abs. 3 BDSG). Das geht am einfachsten, indem man eine E-Mail verschickt.
In der könnte zum Beispiel stehen: Vielen Dank für das nette Gespräch bei der Messe. Ich habe Ihre Daten von der Visitenkarte in unsere Datenbank aufgenommen, damit wir in Kontakt bleiben können. Bitte beachten Sie den unten stehenden Link, dort finden Sie unsere Datenschutzerklärung.
„Wichtig ist, dass die E-Mail einen gesonderten Datenschutzhinweis für Daten, die in die Datenbank einfließen, enthält“, sagt Wulf. „Darin müssen die einzelnen Informationen nach Artikel 13 der DSGVO eingebunden sein.“
Allerdings gibt es einen Haken: „Wenn ich eine Visitenkarte auf der Messe bekomme und daraufhin eine E-Mail schreibe, ist das gemäß ständiger Rechtsprechung bereits eine Werbemail“, sagt Wulf. E-Mails mit Werbeinhalt dürfen nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) nur verschickt werden, wenn eine ausdrückliche Einwilligung des Adressaten vorliegt – es sei denn, es besteht eine Kundenbeziehung (§ 7 UWG).
Doch Wulf gibt Entwarnung: „Das ist ein rechtlicher Graubereich“, sagt er. „Man kann bei der Visitenkarte schon davon ausgehen, dass eine Einwilligung vorliegt, denn man hat die Karte ja freiwillig bekommen.“
Per Post
Wer unsicher ist, könnte zum Telefon greifen, denn dafür braucht es aus datenschutzrechtlicher Sicht nur eine mutmaßliche Einwilligung. Am Telefon könnte man dann nachfragen, ob eine E-Mail mit den Datenschutzhinweisen in Ordnung ist, und falls der Angerufene Ja sagt, die E-Mail sofort hinterherschicken und auf den Anruf beziehen, damit das Besprochene nicht in Vergessenheit gerät. Das Problem sei hier nur wieder die Beweisbarkeit, meint Wulf. Er empfiehlt deswegen: „Wer für die Einwilligung keinen Nachweis vorlegen kann und absolut rechtssicher unterwegs sein will, nimmt per Post Kontakt auf.“
In dem Brief könnte zum Beispiel stehen: Ich möchte Sie gerne per E-Mail anschreiben, bitte bestätigen Sie mir, das ich das darf. Gern auch per E-Mail.
Visitenkarten strotzen vor Daten: Name, Adresse, Beruf, Telefonnummer. Darf man die Kärtchen überhaupt noch auf Messen oder Veranstaltungen austauschen, seit die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist?
Welche Probleme gibt es beim Austausch von Visitenkarten?
Die gute Nachricht: Visitenkarten auszutauschen, sei laut Hans M. Wulf, Fachanwalt für IT-Recht und Datenschutzauditor, aus datenschutzrechtlicher Sicht grundsätzlich kein Problem. Wer die Kontaktdaten aber speichere und weiterverarbeite, müsse sich um den Datenschutz kümmern. Zum Beispiel muss man dann seiner Informationspflicht (Artikel 13 DSGVO) nachkommen.
Das heißt: Eigentlich müsste jeder, der eine Visitenkarte annimmt und die Daten speichern will, sein Gegenüber darüber aufklären: Was passiert mit den Daten? An wen werden sie weitergegeben? Wann werden sie gelöscht? „Das ist wenig praxisnah und eigentlich unzumutbar“, meint Wulf. Wer könne schon bei der Visitenkartenübergabe einen zweiseitigen DSGVO-Belehrungsbogen aus der Tasche ziehen? „Trotzdem ist es gesetzlich so vorgeschrieben.“
Sie knüpfen auf Messen viele Kontakte, doch im Nachhinein fehlen Ihnen wichtige Informationen? Mit der Vorlage haben Sie alles auf einen Blick – exklusiv für impulse-Mitglieder zum Download: Messegespräche: Mit dem Kontaktbogen die Erfolgsquote steigern
Und selbst wenn Sie Ihrer Informationspflicht nachkommen – die Daten dürfen Sie nur unter bestimmten Bedingungen speichern, die in Artikel 6 der DSGVO festgehalten sind.
Wie gehen Sie nun also am besten vor, wenn Sie sich an die DSGVO-Vorgaben halten wollen? Das Wichtigste im Überblick:
Unter diesen Bedingungen dürfen Sie Daten verarbeiten
Was müssen Sie tun, wenn Sie Daten von Visitenkarten speichern wollen? Die Antwort findet sich in Artikel 6 der DSGVO. Dort ist genau aufgelistet, unter welchen Bedingungen sie verarbeitet werden dürfen. Zum Beispiel:
Es gibt eine Einwilligung
Eine schriftliche Einwilligung, dass Daten gespeichert und verarbeitet werden dürfen, ist nach Meinung des Juristen ein rechtssicherer Weg. Theoretisch könne man sich die Erlaubnis aber auch mündlich holen. „Das Problem einer mündlichen Einwilligung ist nur, dass sie sich schwer beweisen lässt“, so der Jurist. Im Zweifelsfall müsse aber jeder, der Daten erhebt, nachweisen können, dass es eine Erlaubnis gab (Art. 6 DSGVO). „Hat man nichts Schriftliches, ist es sinnvoll, Zeugen zu haben, die den Vorgang bestätigen können“, sagt Wulf.
Es gibt einen Vertrag
Die Daten dürfen auch verarbeitet werden, wenn es laut Artikel 6 DSGVO um "die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist", geht. Das gelte laut Wulf, wenn der Vertrag nur mit Hilfe der Daten erfüllt werden könne. Zum Beispiel: Online-Shops benötigen die Kundenadresse, um die Ware liefern zu können – deswegen müssen sie nicht mehr nach einer Erlaubnis fragen, sondern dürfen die Adressdaten nutzen. Daten zur Anbahnung eines Vertrags zu nutzen, sei laut Wulf ebenfalls zulässig. „Allerdings gilt der Austausch von Visitenkarten auf Messen noch nicht als Vertragsanbahnung“, sagt der Jurist.
Es gibt ein berechtigtes Interesse
Ob die Daten auf der Visitenkarte weiterverarbeitet werden dürfen, ist auch eine Frage der Interessenabwägung (Artikel 6 DSGVO): Gibt es ein berechtigtes Interesse, die Daten der Visitenkarte zu speichern? Und: Hat der Betroffene ein schutzwürdiges Interesse, dass höher zu gewichten ist als das eigene? „Im Fall von Visitenkarten dürfte das schutzwürdige Interesse des Messeteilnehmers niedriger zu bewerten sein und das berechtigte Interesse des Unternehmens daher überwiegen“, sagt Wulf. „Schließlich bekommt man die Karte normalerweise freiwillig überreicht.“
So erfüllen Sie die DSGVO-Informationspflicht
Per E-Mail
Wer auf Messen oder Veranstaltungen seine Kunden nicht mit DSGVO-Fragen behelligen möchte, für den gibt es eine andere Lösung – diesmal aus dem Bundesdatenschutzgesetz (BDSG). Demnach kann man die Informationspflicht innerhalb von zwei Wochen nachholen (§32, Abs. 3 BDSG). Das geht am einfachsten, indem man eine E-Mail verschickt.
In der könnte zum Beispiel stehen: Vielen Dank für das nette Gespräch bei der Messe. Ich habe Ihre Daten von der Visitenkarte in unsere Datenbank aufgenommen, damit wir in Kontakt bleiben können. Bitte beachten Sie den unten stehenden Link, dort finden Sie unsere Datenschutzerklärung.
„Wichtig ist, dass die E-Mail einen gesonderten Datenschutzhinweis für Daten, die in die Datenbank einfließen, enthält“, sagt Wulf. „Darin müssen die einzelnen Informationen nach Artikel 13 der DSGVO eingebunden sein.“
Allerdings gibt es einen Haken: „Wenn ich eine Visitenkarte auf der Messe bekomme und daraufhin eine E-Mail schreibe, ist das gemäß ständiger Rechtsprechung bereits eine Werbemail“, sagt Wulf. E-Mails mit Werbeinhalt dürfen nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) nur verschickt werden, wenn eine ausdrückliche Einwilligung des Adressaten vorliegt – es sei denn, es besteht eine Kundenbeziehung (§ 7 UWG).
Doch Wulf gibt Entwarnung: „Das ist ein rechtlicher Graubereich“, sagt er. „Man kann bei der Visitenkarte schon davon ausgehen, dass eine Einwilligung vorliegt, denn man hat die Karte ja freiwillig bekommen.“
Per Post
Wer unsicher ist, könnte zum Telefon greifen, denn dafür braucht es aus datenschutzrechtlicher Sicht nur eine mutmaßliche Einwilligung. Am Telefon könnte man dann nachfragen, ob eine E-Mail mit den Datenschutzhinweisen in Ordnung ist, und falls der Angerufene Ja sagt, die E-Mail sofort hinterherschicken und auf den Anruf beziehen, damit das Besprochene nicht in Vergessenheit gerät. Das Problem sei hier nur wieder die Beweisbarkeit, meint Wulf. Er empfiehlt deswegen: „Wer für die Einwilligung keinen Nachweis vorlegen kann und absolut rechtssicher unterwegs sein will, nimmt per Post Kontakt auf.“
In dem Brief könnte zum Beispiel stehen: Ich möchte Sie gerne per E-Mail anschreiben, bitte bestätigen Sie mir, das ich das darf. Gern auch per E-Mail.