Wer­den per­so­nen­be­zo­ge­ne Daten erst­ma­lig erho­ben, so muss der Ver­ant­wort­li­che dem Betrof­fe­nen gemäß Arti­kel 13 DSGVO umfang­reich über die geplan­te Ver­ar­bei­tung des­sen Daten und des­sen Rech­te infor­mie­ren. Was für die meis­ten Daten­er­he­bun­gen heu­te längst erprob­te und bewähr­te Pra­xis ist, wirft im Umgang mit dem fast all­täg­li­chen Aus­tausch von Visi­ten­kar­ten immer wie­der die eine oder ande­re Fra­ge auf. 

Trotz die­ser Ent­war­nung, die wohl ohne viel Mühe auf die meis­ten Pra­xis­fäl­le auch außer­halb Baye­ri­scher Behör­den über­tra­gen wer­den kann, bleibt auch im Umgang mit Visi­ten­kar­ten zukünf­tig noch Raum für daten­schutz­recht­li­che Über­le­gun­gen.” – Mat­thi­as Herkert

Die Fra­ge scheint so alt die die DSGVO

In den Mona­ten vor und nach dem 25 Mai 2018 wur­de das The­ma immer wie­der, zum Teil hit­zig und nicht sel­ten auch ein wenig pole­misch dis­ku­tiert. Die Fra­ge, wie der Aus­tausch von Visi­ten­kar­ten im geschäft­li­chen All­tag daten­schutz­recht­lich zu beur­tei­len ist, ist inzwi­schen zwar aus den Medi­en wie­der (weit­ge­hend) ver­schwun­den, bei der Beant­wor­tung der Fra­ge besteht aber bei vie­len Ver­ant­wort­li­chen nach wie vor wenig Sicher­heit und Routine.

Die Suche nach einer Ant­wort beginnt ganz vorne

Völ­lig ein­deu­tig sind auf Visi­ten­kar­ten mehr oder min­der vie­le »per­so­nen­be­zo­ge­ne Daten« i.S.d. Arti­kel 4 Nr. 1 DSGVO abge­druckt. Auch erfüllt das »über­ge­ben« abge­druck­ter Daten den Tat­be­stand der »Ver­ar­bei­tung« i.S.d. Arti­kel 4 Nr. 2 DSGVO, da es sich dabei um eine Erhe­bung han­delt, in deren Rah­men der Emp­fän­ger Kennt­nis von den betref­fen­den Daten  des Betrof­fe­nen erhält.

Wenn soweit klar ist, dass auch beim Umgang mit per­so­nen­be­zo­ge­nen Daten auf Visi­ten­kar­ten grund­sätz­lich daten­schutz­recht­li­che Über­le­gun­gen anzu­stel­len sind, stößt man in Arti­kel 13 Abs. 1 DSGVO auf den Aus­gangs­punkt der ver­meint­li­chen Unsi­cher­hei­ten. Dort ver­pflich­tet der Ver­ord­nungs­ge­ber alle Ver­ant­wort­li­chen, die betrof­fe­ne Per­son »zum Zeit­punkt der Erhe­bung« über die geplan­ten Ver­ar­bei­tun­gen und des­sen Rech­te zu informieren.

Kla­re Posi­tio­nie­rung des Baye­ri­schen Lan­des­be­auf­trag­ten für den Datenschutz

Bereits im Okto­ber 2018 nahm sich der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz, ange­trie­ben durch die Ver­un­si­che­rung        zahl­rei­cher baye­ri­scher öffent­li­cher Stel­len, der Fra­ge an und bezog in sei­nem »Aktu­el­le Kurz-Information 11« sehr deut­lich, wenn auch von der Pra­xis kaum beach­tet, Stel­lung (hier geht es zur Infor­ma­ti­on auf der Home­page des BayLfD).

Ein­lei­tend mit der Fest­stel­lung, dass Visi­ten­kar­ten »bereits vor 200 Jah­ren zu den Hilfs­mit­teln sozia­ler Inter­ak­ti­on« gehör­ten und »bis in das Zeit­al­ter der Digi­ta­li­sie­rung kei­ne ver­nehm­ba­ren Zwei­fel« an ihrer Funk­ti­on als »Merk­hil­fe« bestan­den habe, posi­tio­niert Prof. Dr. Tho­mas Petri in sei­ner Funk­ti­on als Baye­ri­scher Lan­des­be­auf­trag­te für den Daten­schutz bei­na­he humo­ris­tisch sei­ne Behör­de zur Ent­ge­gen­nah­me und der Über­ga­be von Visitenkarten.

Visi­ten­kar­ten ent­ge­gen­neh­men und übergeben

So stel­le die Ent­ge­gen­nah­me von Visi­ten­kar­ten aus der Hand von Gesprächs­part­ner regel­mä­ßig kei­ne eigen­stän­di­ge Erhe­bung der dort ver­merk­ten per­so­nen­be­zo­ge­nen Daten dar, Infor­ma­ti­ons­pflich­ten nach Art. 13 Abs. 1 und 2 DSGVO sei­en daher nicht zu erfüllen.

Wei­ter sei die Über­ga­be »typo­gra­fisch gelun­ge­ner Visi­ten­kar­ten« durch Beschäf­tig­te baye­ri­scher öffent­li­cher Stel­len an Gesprächs­part­ner aus Behör­den, Unter­neh­men oder Bür­ger­schaft ein »freund­li­cher Akt und ein schö­ner Brauch«, der aus daten­schutz­recht­li­cher Sicht kei­ner beson­de­ren Wür­di­gung bedürfe.

Bei so viel Licht gibt es auch etwas Schatten

Trotz die­ser Ent­war­nung, die wohl ohne viel Mühe auf die meis­ten Pra­xis­fäl­le auch außer­halb Baye­ri­scher Behör­den über­tra­gen wer­den kann, bleibt auch im Umgang mit Visi­ten­kar­ten zukünf­tig noch Raum für daten­schutz­recht­li­che Überlegungen.

So soll­ten aus Sicht des BayLfD Beschäf­tig­te in der Lage sein, »bei einer Erhe­bung von Kon­takt­da­ten die nach der Datenschutz-Grundverordnung erfor­der­li­chen Infor­ma­tio­nen zu ertei­len«. Spä­tes­tens jedoch bei Auf­nah­me der Visi­ten­kar­ten­da­ten in Kunden- oder Geschäfts­part­ner­da­tei­en bezie­hungs­wei­se bei erst­ma­li­ger Nut­zung. Bei einer Ver­ar­bei­tung also, die über die Funk­ti­on der Kar­te als »Merk­hil­fe« hin­aus geht,  ist jeden­falls davon aus­zu­ge­hen, dass die Infor­ma­ti­ons­pflich­ten des Arti­kels 13, 14 DSGVO zu beja­hen sein werden.

Erfolgt der Aus­tausch der Visi­ten­kar­ten indes im pri­va­ten Bereich, so greift auch hier das Haus­halts­pri­vi­leg, dass wir bereits an ande­rer Stel­le im Kon­text der Urlaubs­fo­to­gra­fie vor­ge­stellt haben (hier geht es zum Bei­trag »Urlaubs­fo­tos im Zeit­al­ter der Daten­schutz­grund­ver­ord­nung«).

Fazit

Ob die Fra­gen zum Umgang mit per­so­nen­be­zo­ge­nen Daten auf Visi­ten­kar­ten jemals so drän­gend waren, wie sie zum Teil dis­ku­tiert wur­den, oder ob sie zu Beginn der Anwen­dung der DSGVO eher Teil einer nicht immer ganz sach­li­chen Aus­ein­an­der­set­zung mit den ver­meint­lich neu­en Daten­schutz­re­geln waren – die Fra­ge ist aus der Bera­tungs­pra­xis der Daten­schutz­be­auf­trag­ten noch lan­ge nicht verschwunden.

Umso wich­ti­ger ist es, die Ant­wor­ten zu ken­nen – auch wenn man­che davon mit einem Augen­zwin­kern ver­bun­den wer­den darf.

Artikel zum selben Thema:

AI-Act – ein Überblick

20. Juni 2024|

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Die Zulässigkeit digitaler Entgeltabrechnungen

22. Mai 2024|

Die Zuläs­sig­keit digi­ta­ler Ent­gelt­ab­rech­nun­gen Es ist mitt­ler­wei­le üblich, dass wir Rech­nun­gen und Doku­men­te digi­tal erhal­ten. Zu den­ken sind an […]

eAU: Neuerungen für Arbeitgeber

2. Mai 2024|

eAU: Neue­run­gen für Arbeit­ge­ber Seit dem 01.01.2023 gilt für Arbeit­ge­ber die Pflicht, die Arbeits­un­fä­hig­keits­be­schei­ni­gung (AU) ihrer Beschäf­tig­ten digi­tal abzurufen. […]

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter