Wer­den per­so­nen­be­zo­ge­ne Daten erst­ma­lig erho­ben, so muss der Ver­ant­wort­li­che dem Betrof­fe­nen gemäß Arti­kel 13 DSGVO umfang­reich über die geplan­te Ver­ar­bei­tung des­sen Daten und des­sen Rech­te infor­mie­ren. Was für die meis­ten Daten­er­he­bun­gen heu­te längst erprob­te und bewähr­te Pra­xis ist, wirft im Umgang mit dem fast all­täg­li­chen Aus­tausch von Visi­ten­kar­ten immer wie­der die eine oder ande­re Fra­ge auf.

Trotz die­ser Ent­war­nung, die wohl ohne viel Mühe auf die meis­ten Pra­xis­fäl­le auch außer­halb Baye­ri­scher Behör­den über­tra­gen wer­den kann, bleibt auch im Umgang mit Visi­ten­kar­ten zukünf­tig noch Raum für daten­schutz­recht­li­che Über­le­gun­gen.” – Mat­thi­as Her­kert

Die Fra­ge scheint so alt die die DSGVO

In den Mona­ten vor und nach dem 25 Mai 2018 wur­de das The­ma immer wie­der, zum Teil hit­zig und nicht sel­ten auch ein wenig pole­misch dis­ku­tiert. Die Fra­ge, wie der Aus­tausch von Visi­ten­kar­ten im geschäft­li­chen All­tag daten­schutz­recht­lich zu beur­tei­len ist, ist inzwi­schen zwar aus den Medi­en wie­der (weit­ge­hend) ver­schwun­den, bei der Beant­wor­tung der Fra­ge besteht aber bei vie­len Ver­ant­wort­li­chen nach wie vor wenig Sicher­heit und Rou­ti­ne.

Die Suche nach einer Ant­wort beginnt ganz vor­ne

Völ­lig ein­deu­tig sind auf Visi­ten­kar­ten mehr oder min­der vie­le »per­so­nen­be­zo­ge­ne Daten« i.S.d. Arti­kel 4 Nr. 1 DSGVO abge­druckt. Auch erfüllt das »über­ge­ben« abge­druck­ter Daten den Tat­be­stand der »Ver­ar­bei­tung« i.S.d. Arti­kel 4 Nr. 2 DSGVO, da es sich dabei um eine Erhe­bung han­delt, in deren Rah­men der Emp­fän­ger Kennt­nis von den betref­fen­den Daten  des Betrof­fe­nen erhält.

Wenn soweit klar ist, dass auch beim Umgang mit per­so­nen­be­zo­ge­nen Daten auf Visi­ten­kar­ten grund­sätz­lich daten­schutz­recht­li­che Über­le­gun­gen anzu­stel­len sind, stößt man in Arti­kel 13 Abs. 1 DSGVO auf den Aus­gangs­punkt der ver­meint­li­chen Unsi­cher­hei­ten. Dort ver­pflich­tet der Ver­ord­nungs­ge­ber alle Ver­ant­wort­li­chen, die betrof­fe­ne Per­son »zum Zeit­punkt der Erhe­bung« über die geplan­ten Ver­ar­bei­tun­gen und des­sen Rech­te zu infor­mie­ren.

Kla­re Posi­tio­nie­rung des Baye­ri­schen Lan­des­be­auf­trag­ten für den Daten­schutz

Bereits im Okto­ber 2018 nahm sich der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz, ange­trie­ben durch die Ver­un­si­che­rung        zahl­rei­cher baye­ri­scher öffent­li­cher Stel­len, der Fra­ge an und bezog in sei­nem »Aktu­el­le Kurz-Information 11« sehr deut­lich, wenn auch von der Pra­xis kaum beach­tet, Stel­lung (hier geht es zur Infor­ma­ti­on auf der Home­page des BayLfD).

Ein­lei­tend mit der Fest­stel­lung, dass Visi­ten­kar­ten »bereits vor 200 Jah­ren zu den Hilfs­mit­teln sozia­ler Inter­ak­ti­on« gehör­ten und »bis in das Zeit­al­ter der Digi­ta­li­sie­rung kei­ne ver­nehm­ba­ren Zwei­fel« an ihrer Funk­ti­on als »Merk­hil­fe« bestan­den habe, posi­tio­niert Prof. Dr. Tho­mas Petri in sei­ner Funk­ti­on als Baye­ri­scher Lan­des­be­auf­trag­te für den Daten­schutz bei­na­he humo­ris­tisch sei­ne Behör­de zur Ent­ge­gen­nah­me und der Über­ga­be von Visi­ten­kar­ten.

Visi­ten­kar­ten ent­ge­gen­neh­men und über­ge­ben

So stel­le die Ent­ge­gen­nah­me von Visi­ten­kar­ten aus der Hand von Gesprächs­part­ner regel­mä­ßig kei­ne eigen­stän­di­ge Erhe­bung der dort ver­merk­ten per­so­nen­be­zo­ge­nen Daten dar, Infor­ma­ti­ons­pflich­ten nach Art. 13 Abs. 1 und 2 DSGVO sei­en daher nicht zu erfül­len.

Wei­ter sei die Über­ga­be »typo­gra­fisch gelun­ge­ner Visi­ten­kar­ten« durch Beschäf­tig­te baye­ri­scher öffent­li­cher Stel­len an Gesprächs­part­ner aus Behör­den, Unter­neh­men oder Bür­ger­schaft ein »freund­li­cher Akt und ein schö­ner Brauch«, der aus daten­schutz­recht­li­cher Sicht kei­ner beson­de­ren Wür­di­gung bedür­fe.

Bei so viel Licht gibt es auch etwas Schat­ten

Trotz die­ser Ent­war­nung, die wohl ohne viel Mühe auf die meis­ten Pra­xis­fäl­le auch außer­halb Baye­ri­scher Behör­den über­tra­gen wer­den kann, bleibt auch im Umgang mit Visi­ten­kar­ten zukünf­tig noch Raum für daten­schutz­recht­li­che Über­le­gun­gen.

So soll­ten aus Sicht des BayLfD Beschäf­tig­te in der Lage sein, »bei einer Erhe­bung von Kon­takt­da­ten die nach der Datenschutz-Grundverordnung erfor­der­li­chen Infor­ma­tio­nen zu ertei­len«. Spä­tes­tens jedoch bei Auf­nah­me der Visi­ten­kar­ten­da­ten in Kunden- oder Geschäfts­part­ner­da­tei­en bezie­hungs­wei­se bei erst­ma­li­ger Nut­zung. Bei einer Ver­ar­bei­tung also, die über die Funk­ti­on der Kar­te als »Merk­hil­fe« hin­aus geht,  ist jeden­falls davon aus­zu­ge­hen, dass die Infor­ma­ti­ons­pflich­ten des Arti­kels 13, 14 DSGVO zu beja­hen sein wer­den.

Erfolgt der Aus­tausch der Visi­ten­kar­ten indes im pri­va­ten Bereich, so greift auch hier das Haus­halts­pri­vi­leg, dass wir bereits an ande­rer Stel­le im Kon­text der Urlaubs­fo­to­gra­fie vor­ge­stellt haben (hier geht es zum Bei­trag »Urlaubs­fo­tos im Zeit­al­ter der Daten­schutz­grund­ver­ord­nung«).

Fazit

Ob die Fra­gen zum Umgang mit per­so­nen­be­zo­ge­nen Daten auf Visi­ten­kar­ten jemals so drän­gend waren, wie sie zum Teil dis­ku­tiert wur­den, oder ob sie zu Beginn der Anwen­dung der DSGVO eher Teil einer nicht immer ganz sach­li­chen Aus­ein­an­der­set­zung mit den ver­meint­lich neu­en Daten­schutz­re­geln waren – die Fra­ge ist aus der Bera­tungs­pra­xis der Daten­schutz­be­auf­trag­ten noch lan­ge nicht ver­schwun­den.

Umso wich­ti­ger ist es, die Ant­wor­ten zu ken­nen – auch wenn man­che davon mit einem Augen­zwin­kern ver­bun­den wer­den darf.

Artikel zum selben Thema:

Corona Pandemie: Pflicht zur Datenübermittlung

29. März 2020|

Neben den grund­sätz­li­chen Fra­gen zum Umgang mit per­so­nen­be­zo­ge­nen Daten der Beschäf­tig­ten im Rah­men der Pan­de­mie des Coro­na­vi­rus SARS-CoV‑2 (HIER […]

Corona-Pandemie: Gesundheitsfragen im Arbeitsverhältnis

26. März 2020|

In vie­len Unter­neh­men und Ein­rich­tun­gen wer­den der­zeit im Zusam­men­hang mit dem CoronavirusSARS-CoV‑2 Gesund­heits­da­ten von Beschäf­tig­ten ver­ar­bei­tet. Da hier­bei regel­mä­ßig […]

Autor des Arti­kels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter