Informationspflicht beim Austausch von Visitenkarten?

Fachbeitrag

Die Erfüllung der sich aus der Datenschutz-Grundverordnung (DSGVO) ergebenden, gesteigerten Informationspflichten, bringen für Unternehmen vielerlei praktische Schwierigkeiten mit sich (Stichwort: Medienbruch). Die Problematik soll in diesem Artikel einmal am Beispiel des Austausches von Visitenkarten veranschaulicht werden.

Informationspflichten der Datenschutz-Grundverordnung

Die DSGVO soll mehr Transparenz für den Betroffenen schaffen. Mehr Transparenz bedeutet in diesem Zusammenhang unter anderem, dass eine Person darüber informiert sein soll, welche personenbezogenen Daten, auf welche Weise verarbeitet werden und welche Rechte dieser Person im Zuge der Datenverarbeitung zustehen.

Wie die Informationspflichten zu erfüllen sind, beschreiben insbesondere die Art. 13 und 14 DSGVO. Hier wird man auch darüber aufgeklärt, zu welchem Zeitpunkt informiert werden muss. Art. 13 DSGVO regelt, dass die Information des Betroffenen zum Zeitpunkt der Erhebung der Daten erfolgen soll. Mit anderen Worten: Immer wenn personenbezogene Daten in irgendeiner Weise erhoben oder verarbeitet werden, müssen die vorgeschriebenen Informationen an den Betroffenen, zu Beginn oder am besten noch vor der Verarbeitung, weitergegeben werden.

Was das beim Austausch von Visitenkarten bedeuten würde

Welche praktischen Schwierigkeiten diese Anforderung mit sich bringen kann, zeigt sich am Beispiel des Austausches von Visitenkarten. Auf einer Visitenkarte befinden sich personenbezogene Daten wie Name, Kontaktadresse und E-Mail-Adresse. Richtet man sich streng nach dem Gesetzeswortlaut, so würde das für den Austausch von Visitenkarten Folgendes bedeuten:

Sobald eine Person einer anderen ihre Visitenkarte überreicht, beispielsweise auf einer Messe, sollten alle Informationen an die Person erfolgen, die Art. 13 DSGVO vorschreibt. Liest man sich den Katalog an erforderlichen Informationen durch, so wird einem schnell klar, dass es sich hier nicht nur um 1, 2 Sätze sondern ggf. um eine ganze DIN-A4-Seite handelt. Wie soll man dieser Anforderung also praktisch nachkommen?

Unpraktisch ist es sowohl, jeder Person bei Entgegennahme einer Visitenkarte eine Seite voller Datenschutzhinweise mit der Bitte um schriftliche Bestätigung der Kenntnisnahme in die Hand zu drücken, als auch diese Person mündlich mehrere Minuten aufzuklären. Zumal die letzte Variante zusätzlich ein Problem bezüglich der Nachweisbarkeit ergeben würde.

Informationspflicht tritt erst bei Speicherung ein?

Wie welt.de berichtete löst nach Aussagen eines Sprechers der Berliner Aussichtsbehörde die bloße „Entgegennahme der Visitenkarte für sich genommen noch keine Informationspflicht aus“. Die Informationspflicht würde sich nur in den Fällen ergeben, in denen die darauf enthaltenen Daten gespeichert würden.

Das wäre zwar prinzipiell eine Erleichterung. Doch zum einen ist es gang und gäbe, dass ein Unternehmen die Daten aus Visitenkarten in Ihrem Kundendatenverwaltungsprogramm hinterlegt, um seine Interessen am Ausbau des Partner-und Kundennetzwerks zu verfolgen. Zum anderen teilt die Aufsichtsbehörde nicht die rechtliche Grundlage mit, wie sie zu dieser Ansicht gelangt.

Was also tun?

In Anbetracht der geschilderten praktischen Probleme bei der Entgegennahme von Visitenkarten, muss eine andere Lösung her. Wie welt.de weiter berichtet, empfiehlt die Bitkom-Geschäftsleiterin Dehmel, die Person welche die Visitenkarte herausgegeben hat, zeitnah im Nachgang über die Pflichtangaben nach Art. 13 DSGVO aufzuklären und ihr eine Möglichkeit bietet der Datenverarbeitung zu widersprechen.

Stellungnahme der Aufsichtsbehörden erforderlich

Die von Frau Dehmel vorgeschlagene Lösung ist zwar streng genommen nicht das, was nach dem direkten Wortlaut des Gesetzes gefordert wird, da die Information quasi erst als Follow-up erfolgt, scheint aber aufgrund anderweitiger praktikabler Möglichkeiten gut vertretbar. Wünschenswert wären dennoch in diesem, wie auch in vielen anderen, praktisch schwer umsetzbaren Bereichen, konkrete Stellungnahmen der Aufsichtsbehörden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

20 Kommentare zu diesem Beitrag

  1. wie soll die zeitnahe Benachrichtigung erfolgen? Via eMail?? Dann benötigt man eine Einwilligung nach §7 UWG.
    Fragen über Fragen…

  2. Frage: Erfolgt die Art-13-Information per E-Mail und hat der informierende Absender selbst keine Visitenkarte überreicht, muss dann der Empfänger spätestens beim Erhalt der Info-Mail, die üblicherweise personenbezogene Daten des Absenders enthält, seinerseits informieren?

  3. Ganz ehrlich, so langsam finde ich sollte wir die Kirche mal im Dorf lassen. Wenn ich jemanden meine Visitenkarte gebe, dann weiß ich, das meine Daten gespeichert werden und sie nicht mit einem goldenen Rahmen auf dem Schreibtisch stehen wird.
    Und jedem im Nachgang unterrichten, … Wie gesagt, lasst die Kirche im Dorf.
    Zudem geht es meist beim Austausch von Visitenkarten um B2B Geschäfte und es werden geschäftliche Daten ausgetauscht.

  4. Moment mal – korrigieren Sie mich, bitte. Den Visitenkartenfall halte ich für ein vorzügliches Beispiel. Bislang ist es Gang und Gäbe, dass beispielsweise auf Ausstellungen, Messen, Verbraucherveranstaltungen usw. Visitenkarten zur gefälligen Bedienung frei ausliegen. Jedermann kann sich diese Karten mit Kontaktdaten der Aussteller und deren Ansprechpartner einstecken. Das ist auch sicher so gewollt. Der Zweck solcher Veranstaltungen ist nun einmal die Anbahnung von Geschäften, ob C2B, B2C oder B2B. Mit der Entgegennahme einer solchen Karte, die ja bereits ein physischer Datenträger ist, bin ich in aller Regel in den Besitz persönlicher Daten, bspw. von Firmen, deren Außendienstmitarbeitern oder sonstigen Ansprechpartnern gelangt. Eben diese müsste ich ja nun unverzüglich von diesem Sachverhalt, dass ich nunmehr über deren Daten verfüge, informieren und die ganze umfangreiche Litanei an Belehrungen, Hinweisen usw. abspulen. In diesem Moment, wo ich mit dieser Information meine persönlichen Daten auf Grund gesetzlicher Verpflichtung offenlegen muss, sind diesem Dritten meine Daten ebenfalls bekannt geworden und es ist dieser Dritte ebenfalls verpflichtet, mich davon in Kenntnis zu setzen, dass sich nunmehr auch meine Daten bei ihm im System befinden. Dies hätte nun auch von seiner Seite die ganze Litanei an Belehrungen, Hinweisen usw. zur Folge.
    Ein solches Durcheinander und eine solche gegenseitige Vernichtung produktiver Arbeitszeit zur Erfüllung bürokratischer Pflichten soll vom Verordnungs-/Gesetzgeber gewollt sein?
    Ich denke, diese DSGVO wird noch allen Bürgern ganz ganz böse auf die Füße fallen. Es geht wohl im Sturmschritt ins Reich der Bürokratur und des Legalismus. Muß ich nicht haben, will ich nicht haben.

  5. Eine der hier beschriebenen Vorgehensweisen wird es genau so wenig geben wie das Verlesen der Informationspflichten, wenn ich mit einem Arzt telefoniere, um dort einen Termin zu bekommen. Der Medienbruch wird sich durchsetzen, es wird immer irgendwo einen Hinweis geben wie: „Ihre Informationspflichten können Sie unter beispiel.de oder telefonisch unter 0800… abrufen.

  6. Meines Erachtens ist die Informationspflicht auch nach der DSGVO gesetzeskonform.
    Die DSGVO greift bei der (automatisierten) Verarbeitung personenbezogener Daten. Und auch bei einer strukturierten Dateiablage in Papierform. So weit, so gut.
    Die Entgegennahme einer Visitenkarte ist das, was es ist: eine Entgegennahme. So wie der unaufgeforderte Empfang von irgendwelchen Daten. Ich bekomme die Visitenkarte, ich hole sie mir nicht. Dann stecke ich diese Karte in eine Jackett-Innentasche (Anekdote am Rande: die Schreibweise ohne Bindestriche würde wahrscheinlich eine Genderdiskussion über Jacketts auslösen). Ein Schelm, der denkt, das (insbesondere meine Jaskett-Innentasche) wäre eine strukturierte Ablage.
    Im Office schmeiße ich das Teil weg (weil ich bei der Entgegennahme nur höflich sein wollte) oder ich möchte die Daten in meinen Systemen erfassen. Dann spricht aber auch gar nichts über eine nette Bestätigungsmail (Vielen Dank für Ihr Interesse an…, gern nehmen wir Sie in unser System auf, wenn Sie uns dazu eine kurze Rückbestätigung senden. Unsere Datenschutzhinweise dazu können Sie hier nachlesen: Link).
    Dieses Thema ist ehrlicherweise ein Sturm im Wasserglas. Wir (bzw. die Aufsichtsbehörden) haben bzgl. DSGVO aktuell zu wichtigeren Themen Stellung zu beziehen.

  7. Ich versuche hier, mit dem § 32 Absatz 1, Nr. 1 BDSG zur Verarbeitung analoger Daten zu argumentieren, in dem es heißt:
    „Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung eine Weiterverarbeitung analog gespeicherter Daten betrifft, bei der sich der Verantwortliche durch die Weiterverarbeitung unmittelbar an die betroffene Person wendet, der Zweck mit dem ursprünglichen Erhebungszweck gemäß der Verordnung (EU) 2016/679 vereinbar ist, die Kommunikation mit der betroffenen Person nicht in digitaler Form erfolgt und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere mit Blick auf den Zusammenhang, in dem die Daten erhoben wurden, als gering anzusehen ist.“

    Dabei gibt es m. E. zwei Punkte, die beachtet werden müssen:
    1. Sobald die Informationen von der Visitenkarte digitalisiert werden, muss dann doch informiert werden. Sofern hier eine E-Mailadresse angegeben ist, kann diese auch zur Information genutzt werden.
    2. Dieser Paragraph stammt aus dem neuen BDSG und ich bin mir noch nicht sicher, ob das nicht den Vorgaben des DSGVO widerspricht. In diesem Fall wäre der Paragraph ungültig. Daneben gilt die Regelung nur für Deutschland.

  8. Hier würde ich es aber darauf ankommen lassen. Die Frage ist doch sicherlich auch ob Kontaktdaten die ggf. auch öffentlich zugänglich sind wie die beruflichen Kontaktdaten die häufig auch auf der Firmenwebsite zu finden sind überhaupt als schützenswerte Daten behandelt werden. Zumindest regelt Artikel 6 (2) e das diese Daten auch nicht zwingend Zweckgebunden genutzt werden müssen. Das Überreichen der Visitenkarte würde ich als konkludentes Handeln werten da der Empfänger ja schon ein Speichermedium (Papier) vom Betroffenen erhält. Es erfolgt lediglich eine Übertragung auf ein anderes Speichermedium. Spannend bleibt die Frage wie ggf. Aufsichtsbehörden, Gerichte etc. dies Bewerten. Generell kann gesagt werden: Gut gemeint (DS-GVO) ist nicht automatisch gut gemacht (DS-GVO).

  9. Hallo,
    ich teile nicht die Ansicht aus dem Artikel.
    Art. 13 (und 14) sprechen bzgl. den Informationspflichten nur dann von dieser, wenn Daten „erhoben“ wurden.
    Ein Entgegennehmen der Visitenkarte ist kein erheben. Auch die anschließende Verarbeitung ist unerheblich.
    Der Betroffene weiß (und will) dass der Entgegennehmende diese seine Daten verarbeitet. Damit entfällt auch der Zweck der Information.
    Unabhängig davon besteht das Recht gem. Art 15.

  10. Woran es fehlt ist meiner Ansicht nach eine Klarstellung des Gesetzgebers bzw. Verordnungsgebers, etwa in der Form dass alle im Rahmen von B2B-Geschäftsbeziehungen betroffenen Daten (Namen von Sachbearbeitern, geschäftliche Kontaktdaten wie z.B. e-mail Adressen, etc.) von der Verordnung nicht betroffen sein sollen. Alles andere ist schlicht praxisfern und wird sich im wahren (B2B-)Leben nicht durchsetzen.

  11. Offensichtlich greift der bürokratische Schwachsinn erbarmungslos um sich. Geht es eigentlich noch? Wer da mitmacht ist selbst schuld.

  12. Eine Visitenkarte ist doch keine Datei iSd DSGVO. Allein deren Entgegennahme ist daher noch keine Verarbeitung. Erst das Abspeichern in einer Datei oder das Ablegen in einem zB alphabetisch geordneten Visitenkartenbuch ist ein Verarbeiten iSd DSGVO, weswegen es ausreichend sein sollte, die Information zu erteilen, wenn man den Verarbeitungsvorgang setzt.

  13. Laut ehem. Bundesbeauftragten für Datenschutz besteht die Informationspflicht nur, wenn die Verarbeitung der Kontaktdaten zu anderen Zwecken als der Kontaktaufnahme stattfindet:
    heise.de/newsticker/meldung/Analyse-zur-DSGVO-von-Peter-Schaar-Die-notwendige-Zumutung-Datenschutz-4057260.html

  14. Die Aussage der Aufsichtsbehörde (BY) ist klar:
    1 Übergabe der Visitenkarte = Einwilligung des Betroffenen
    2 der Informationspflicht ist nachzukommen
    Zu (2) gibt es zwei Möglichkeiten:
    – Messeleads: „Lesen Sie umseitig unsere Datenschutzinformation …“ (mal ehrlich: nachdem das jetzt lesbar ist, kann ich nun unterscheiden, wohin meine Daten – und seien sie nur geschäftlich – gesendet werden; wenn da eine lange Liste steht, heißt es bei mir : „Nein, danke!“)
    – Sonstige Visitenkarten: Nett, wie der Vertrieb ist, schickt er eine Dankesmail mit dem Link auf die Datenschutzinformation.
    Schwieriger ist die „Erziehung“ des Otto-Normal-Angestellten, der sich nun auch bei der Erfassung seiner Visitenkartensammlung an die Infomail erinnern soll.
    Lösung: Zentrale Datenerfassung durch Teamassistenz / Sekretariat o.ä. Das hat durchaus Vorteile: Qualität im Adresswesen, z. B. komplette Adresse erfasst, gleichförmige Telefonnummern….
    … und schließlich – Technik macht`s möglich – wie wär`s mit einer Mailvorlage (falls kein CMR-Workflow vorhanden)?

    • Lieber dsgvo-Fan,
      Wir sind ein Unternehmen mit 5-stelliger MA-Zahl. Meine Vorstellung war Visitenkarten, ähnlich einer Lieferantendatenbank an einer zentralen Stelle im Unternehmen zu erfassen und allen MAs zur Verfügung zu stellen.
      Was spricht aus dsgvo-Sicht dagegen.
      Aus meiner Sicht spricht dafür – die Daten werden nur einmal erfasst und nicht an x-beliebigen Stellen mehrmals
      Das spart Zeit – multipliziert mit den MAs die eine Karte erfassen gehe ich von ca. 15 min aus, auch mit einem Scanner.
      Ich möchte das unserer IT / Datenschützern vorstellen, aber erst die Rahmenbedingungen klären.
      Herzlichen Dank
      WalliBlo

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.