Die europäische Datenschutz-Grundverordnung hat das Ziel, die Betroffenenrechte zu stärken und öffentliche und nichtöffentliche hinsichtlich des Umgangs mit personenbezogenen Daten zu sensibilisieren. Schon in den ersten Monaten der Umsetzung zeigte sich jedoch in vielen Bereichen, dass praktikable Lösungen oft fehlen – bis heute. Die Folge ist stete Unsicherheit.
Auch im Bereich des Networking zeigen sich in der praktischen Anwendung der DSGVO Schwächen. Ob Messen, Kongresse, geschäftliche Treffen: Der Austausch von Visitenkarten ist hier Usus, um das eigene Netzwerk zu erweitern. Doch wie sieht es mit den Informationspflichten? Müssen zum Zeitpunkt der Übergabe umfassende Datenschutzhinweise gegeben werden? Strenge Rechtsauslegung: Informationspflicht bei automatisierter Erhebung der Daten
Gemäß Artikel 13 DSGVO unterliegen öffentliche und nichtöffentliche Stellen bei der Erhebung personenbezogener Daten einer umfassenden Informationspflicht. Der Betroffene muss mindestens folgende Hinweise erhalten:
- Kontaktdaten des Verantwortlichen, dessen Vertreters und – sofern vorhanden – des zuständigen Datenschutzbeauftragten
- Zweck der Erhebung inklusive Rechtsgrundlage
- im Falle der Weitergabe an Dritte die jeweiligen Empfänger
- Angaben zur Dauer der Speicherung
- Betroffenenrechte
- Folgen bei Nichtherausgabe der für den Vertragsabschluss ggf. notwendig erforderlichen personenbezogenen Daten
Die Informationspflichten sind damit sehr umfangreich und passen kaum auf ein einzelnes A4-Blatt. Müssen Sie nun also jedes Mal, wenn Sie die Daten einer entgegengenommenen Visitenkarte erheben und verarbeiten, entsprechende Hinweise an den Betroffenen herausgeben? Im Grunde ja.
Die einfache Entgegennahme einer Visitenkarte hingegen begründet die Informationspflicht noch nicht. Erst wenn Sie die Daten etwa in Ihre Kundenkartei aufnehmen wollen, bedarf es dem Grunde nach einer entsprechenden Erklärung.
Ganz nah am Text der DSGVO orientiert bedeutet das: Wissen Sie bei Entgegennahme der Visitenkarte, dass Sie die hierauf enthaltenen personenbezogenen Daten automatisiert speichern und verarbeiten wollen, ist dem Betroffenen ein entsprechender Datenverarbeitungshinweis vorzulegen und ggf. eine Einwilligung einzuholen. Ein stillschweigendes, vermutetes Einverständnis, das sich in der Herausgabe der Visitenkarte äußern könnte, genügt nicht.
Weniger strenggenommen kann ein entsprechender Hinweis zur Datenverarbeitung jedoch im Rahmen des ersten Kontakts mittels der in der Visitenkarte vorhandenen Daten erfolgen (z. B. als E-Mail-Anhang). Ist der Betroffene so über seine Rechte aufgeklärt, kann er der weiteren Kontaktaufnahme auch widersprechen. Berechtigtes Interesse kann Kontaktaufnahme ohne vorherige Einwilligung begründen
Artikel 6 DSGVO führt unterschiedliche Voraussetzungen auf, aufgrund derer die automatisierte Erhebung und Verarbeitung von personenbezogenen Daten gestattet ist. Die Verwirrung nach der Umsetzung der EU-Datenschutz-Grundverordnung war hier besonders groß. Plötzlich meinten alle, es bedürfe stets einer Einwilligung des Betroffenen. Doch tatsächlich ist diese nicht immer erforderlich, auch dann nicht, wenn die verarbeiteten personenbezogenen Daten von Visitenkarten stammen. Unter folgenden Bedingungen ist die automatisierte Erhebung und Verarbeitung gestattet:
- Die personenbezogenen Daten sind zur Erfüllung eines Vertrages oder einer Dienstleistung erforderlich.
- Der Datenverarbeiter kann ein berechtigtes Interesse nachweisen. Hier bedarf es jedoch der gewissenhaften Abwägung, ob das berechtigte Interesse tatsächlich die schutzwürdigen Interessen des Betroffenen überwiegt.
- Der Betroffene hat hierin eingewilligt. Die Einwilligung muss dabei eindeutig, informiert und vor allem freiwillig sein. Gerade an letzterem Punkt scheitert es oft. Verlangt z. B. ein Arzt eine Einwilligung für die Verarbeitung von Patientendaten, die allein für die medizinische Betreuung erforderlich sind, und würde bei fehlendem Einverständnis die Behandlung verweigert, kann von Freiwilligkeit keine Rede mehr sein. Die Wirksamkeit der Einverständniserklärung verfällt (was nicht bedeutet, dass die Patientendaten dann nicht trotzdem verarbeitet werden dürften). Weiterführende Informationen zu DSGVO und dem neuen Bundesdatenschutzgesetz finden Sie auf datenschutz.org