Visitenkarten-Austausch als datenschutzrechtliches Problem

Odoo • A picture with a caption

Nach Pressebericht soll nach Aussagen eines Sprechers der Berliner Aussichtsbehörde die bloße „Entgegennahme der Visitenkarte für sich genommen noch keine Informationspflicht auslösen“. Die Informationspflicht würde sich nur in den Fällen ergeben, in denen die darauf enthaltenen Daten gespeichert würden.

Das wäre zwar prinzipiell eine Erleichterung, macht es aber noch nicht nachvollziehbar, da es doch zum gang und gäbe ist, dass ein Unternehmen die Daten aus Visitenkarten in Ihrem Kundendatenverwaltungsprogramm hinterlegt (letztendlich werden die Dinger doch genau zu dem Zweck gedruckt und verteilt). Durch die Einbeziehung auch papierner „Datensammlungen“ in den Datenschutz macht die Unterscheidung m.E. auch gar keinen Sinn. Bezeichnender Weise unterzieht sich die Behörde auch nicht der Mühe, eine Rechtsgrundlage zu benennen.

Die Bitkom-Geschäftsleiterin Dehmel empfiehlt, die Person welche die Visitenkarte herausgegeben hat, zeitnah im Nachgang über die Pflichtangaben nach Art. 13 DSGVO aufzuklären und so die Möglichkeit zu bieten, der Datenverarbeitung zu widersprechen. Gesetzeskonform ist dies nicht, geht zudem noch an der Praxis vollends vorbei. Solange sich die Datenschutz-Behörden jedoch nicht explizit geäußert haben, scheint es noch die bestmögliche Lösung.

Vorschlag für den Inhalt einer solchen Information:

Erklärung zur Informationspflicht bei Erhebung von personenbezogenen Daten gemäß Art. 13 DS-GVO durch Überreichen Ihrer Visitenkarte

1.         Name und Kontaktdaten des Verantwortlichen

Verantwortlicher im Sinne des Art. 13 Abs. 1 lit. a) DS-GVO ist:

[Firmenangaben]

Ggf. Kontaktdaten des Datenschutzbeauftragten:

2.         Zwecke und Rechtsgrundlage der Verarbeitung

Wir verarbeiten die Daten Ihrer Visitenkarte zum Zweck der Kontaktpflege, ggf. Vertragsanbahnung.

3.         Empfänger der personenbezogenen Daten

Wenn Daten weitergegeben werden (wenn in Drittland bitte deutlich kenntlich machen), bitte hier angeben (z.B. Hosting der Daten in Rechenzentrum)

4.         Speicherdauer

Sofern nicht gesetzliche Aufbewahrungsfristen entgegenstehen, löschen wir die Daten nach Ablauf von 2 Jahren nach der letzten Kontaktaufnahme.

5.         Ihnen steht ein Recht auf

Auskunft (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung (Art.  16 DS-GVO) oder  Löschung (Art. 17 DS-GVO) oder auf Einschränkung der Verarbeitung (Art. 18 DS-GVO) oder ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) zu.

Der Betroffene hat das Recht, seine datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Es steht ferner ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu.