Die DSGVO beim Austausch von Visitenkarten
Die DSGVO beim Austausch von Visitenkarten
In den letzten Wochen gingen viele Schreckensmeldungen über die DSGVO durch die Medien und durch die Social-Networks. Eine davon war, dass man auch beim Austausch von Visitenkarten eine schriftliche Einwilligung benötige. Was ist an der Sache dran?
Stellen Sie sich vor, Sie sind auf einem Geschäftstermin und tauschen mit den anwesenden Personen Visitenkarten aus. Die Visitenkarten bewahren Sie in Ihrem Portmonee auf und legen sie dann in Ihrem Büro alphabetisch sortiert in einem Visitenkarten-Ordner ab.
Braucht man jetzt mit der DSGVO eine Einwilligung zur Datenverarbeitung, wenn man jemanden seine Visitenkarte überreicht?
Oder muss man dem Gegenüber zumindest eine Datenschutzerklärung bei der Annahme von Visitenkarten überreichen, auf der über mehreren Seiten beschrieben wird, wie mit den Daten von der Visitenkarte verfahren wird?
Das könnte tatsächlich so sein, wenn man die DSGVO ernst nimmt. Unser Mitarbeiter Georg-Theophil Müller, seines Zeichens externer Datenschutzbeauftragter (IHK) und Student der Rechtswissenschaften in Heidelberg, geht der Sache auf den Grund.
Anwendungsbereich der DSGVO
Erst einmal müsste unser Fall überhaupt vom Anwendungsbereich der DSGVO umfasst sein. Tatsächlich wird in Art. 2 Abs. 1 DSGVO auch die “nicht-automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen” genannt. Daten nach der DSGVO sind demnachnicht nur elektronische Daten, sondern können auch auf Papier, oder wie in unserem Beispiel auf einer Visitenkarte stehen.
Weiterhin müssten diese Daten in einem Dateisystem gespeichert werden. Hier käme schon das Portmonee als “Datenspeicher” in Betracht. Dem Portmonee fehlt es sicherlich an der Eigenschaft einer systematischen Ablage von Visitenkarten. Der alphabetisch sortierte Visitenkarten-Ordner im Büro erfüllt diesen Anspruch aber mit Sicherheit. Das gleiche gilt übrigens auch für Mitarbeiterakten, die in Papierform alphabetisch oder in anderer Form systematisch sortiert sind.
Auch müssten die Visitenkarten gemäß Art. 2 Abs. 2 lit. c DSGVO nicht ausschließlich für persönliche oder familiäre Tätigkeiten genutzt werden. Wenn Daten nur im privaten Umfeld genutzt werden, interessiert uns die DSGVO erst gar nicht.
In unserem Beispiel werden die Visitenkarten auf einem Geschäftstermin ausgetauscht. In der Regel werden Visitenkarten geschäftlich genutzt. Wir sind also voll drin im Anwendungsbereich der DSGVO.
Rechtmäßigkeit der Verarbeitung
Um überhaupt Daten verarbeiten zu können, muss nach der DSGVO eine Rechtsgrundlage bestehen. Die DSGVO verbietet erst einmal jede Verarbeitung von Daten, erlaubt sie aber unter bestimmten Bedingungen. Unter Juristen nennt man das auch ein „Verbot mit Erlaubnistatbestand”.
Im Art. 6 Abs. 1 DSGVO sind gleich mehrere solche Erlaubnistatbestände aufgelistet. Sollte mindestens eine dieser Bedingungen erfüllt sein, dürfen die Visitenkarten alphabetisch im Ordner sortiert werden.
Gleich die erste (lit. a) der dort genannten Bedingungen beschäftigt sich mit einer Einwilligung zur Datenverarbeitung, welche die betroffene Person erteilen kann.
Welche Bedingungen so eine Einwilligung erfüllen muss, sagt uns Art. 7 DSGVO. Prinzipiell muss so eine Einwilligung nicht schriftlich erfolgen und kann auch mündlich geschlossen werden. Auf jeden Fall muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, nach Art. 7 Abs. 1 DSGVO. Das ist schriftlich und mit Unterschrift auf jeden Fall die einfachste Methode. Wenn die Einwilligung aber schriftlich erfolgt, dann muss das nach Art. 7 Abs. 2 DSGVO in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen. Um wirklich sicher zu gehen, bräuchten wir bei unserem Beispiel also doch eine schriftliche Einwilligung mit Unterschrift.
Um diese Zettelwirtschaft kommen wir vielleicht doch noch herum, denn in Art. 6 Abs. 1 DSGVO sind ja noch weitere Erlaubnistatbestände aufgelistet. Diese machen uns das Ganze vielleicht einfacher. Hier (lit. b) wird nämlich weiterhin als Rechtsgrundlage die Verarbeitung von Daten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen genannt. Wir wissen nicht eindeutig, was genau bei unserem Geschäftstermin besprochen wurde. Sicherlich drehte sich das Gespräch um bestehende oder noch abzuschließende Verträge. Dass wir anschließend mit den Gesprächspartnern in Kontakt bleiben möchten und dafür die Daten der Gesprächspartner brauchen, versteht sich von selbst. Damit hätten wir den genannten Erlaubnistatbestand erfüllt. Eine Einwilligung wäre nicht nötig.
In jedem Fall steht uns noch der letzte Erlaubnistatbestand (lit. f) zur Seite. In diesem ist von berechtigten Interessen des Verantwortlichen die Rede. Mit Geschäftspartnern in Kontakt zu bleiben ist selbstverständlich ein berechtigtes Interesse eines jeden Unternehmens. Anders würde es ja auch nicht gehen.
Die Rechtsgrundlage der berechtigten Interessen macht es uns aber nochmal ein bisschen schwerer. Wenn wir damit arbeiten wollen, müssen wir noch eine Abwägung der Interessen, Grundrechte und Grundfreiheiten der betroffenen Person durchführen. Ein berechtigtes Interesse könnte man sich sonst ziemlich einfach mit etwas Kreativität für jeden Fall ausdenken. Die hier geforderte Interessenabwägung kann es durchaus in sich haben. Man muss dafür vergleichsweise tief auf juristisches Fachwissen zugreifen. Allein die Grundrechte und Grundfreiheiten der Europäischen Union zu kennen, kann von einem juristischen Laien nicht erwartet werden. Am Ende steht dann eine Art Besinnungsaufsatz, der in den von Art. 30 DSGVO geforderten Verzeichnissen der Verarbeitungstätigkeiten archiviert werden muss. Hier hilft einem ein Datenschutzbeauftragter mit entsprechender Ausbildung.
Um eine schriftliche Einwilligung kommen wir also im Ergebnis schon einmal herum.
Transparenz
Der Papierkrieg könnte allerdings mit einer sogenannten Datenschutzerklärung weiter gehen.
Zum Zeitpunkt der Erhebung von Daten muss der Verantwortliche dem Betroffenen nach Art. 13 DSGVO eine Vielzahl an Informationen über die Verwendung und Verarbeitung seiner Daten mitteilen. Das muss in der Regel schriftlich oder elektronisch erfolgen.
Unter einer Erhebung von Daten bezeichnet man das Sammeln und Auswerten von Daten. Das Sammeln von Visitenkarten entspricht somit auch dem Sammeln von Daten. Wenn man also die Visitenkarte ins Portmonee steckt, spätestens jedoch wenn man die Karte im Büro einsortiert, muss eine Datenschutzerklärung ausgehändigt werden.
Sicherheitshalber sollte man somit immer einen Stapel Datenschutzerklärungen auf Papier dabei haben und diese bei der Entgegennahme von Visitenkarten dem Gegenüber zur Unterzeichnung überreichen, so die wortwörtliche Aussage der DSGVO.
Die spinnen doch, die EU-Parlamentarier!
Das klingt alles verrückt, oder? Will uns die EU hier wieder eine übertriebene Regelung auferlegen?
Nach einer wortwörtlichen Anwendung der DSGVO müsste man folglich wie eben beschrieben vorgehen, sonst würde man sich der Gefahr von gewaltigen Bußgeldern aussetzen, die nach Art. 83 DSGVO nun verhängt werden können. Das kann bis zu 20 Millionen Euro oder gar bis zu vier % des gesamten weltweit erzielten Jahresumsatzes sein.
Die Anwendung von Gesetzen ist jedoch nicht nur auf den reinen Wortlaut begrenzt. Wir Juristen nutzen eine Vielzahl von erweiterten Auslegungsmethoden, um das Recht anwendbar zu machen. Nicht immer reicht der Wortlaut eines Gesetzes aus, um für einen individuellen Einzelfall eine Lösung zu finden. So müssen unter anderem Gerichtsentscheide, der Vergleich mit anderen Gesetzesnormen, die Intention des Gesetzgebers und auch der verfolgte Zweck des Gesetzes herangezogen werden. Auch Wertungen aus höherrangigen Gesetzen, wie dem Grundgesetz, müssen in eine solche umfassende Auslegung einbezogen werden.
Reboot: Mehr als nur der Wortlaut zählt!
Betrachten wir den eben geschilderten Sachverhalt also noch einmal unter Hinzuziehung von Auslegungsmethoden, die über den reinen Wortlaut hinaus gehen.
Eine Besonderheit der DSGVO ist, dass sie neben den gesetzlichen Normen noch einmal 173 sogenannte Erwägungsgründe enthält. Diese erklären detailliert die Intentionen des Gesetzes und nennen sogar praktische Anwendungsbeispiele. Von Visitenkarten ist hier leider nicht die Rede, also müssen wir weiter suchen.
Schon in Erwägungsgrund 2 finden wir einige Ausführungen zum Zweck des Gesetzes, in denen von einer Wirtschaftsunion, vom wirtschaftlichen Fortschritt sowie der Stärkung und dem Zusammenwachsen der Volkswirtschaften zu lesen ist. Gleichzeitig wird aber auch das Wohlergehen und der Schutz natürlicher Personen erwähnt. Wir stellen fest, es geht hier um einen Ausgleich der Interessen zwischen der Wirtschaft, die heute mehr und mehr Macht durch den Einsatz von Daten gewinnt, und Privatpersonen, die durch den Missbrauch von Daten gefährdet sind. Die Grundrechte und europäischen Grundfreiheiten werden hier ebenfalls aufgeführt. Die EU-Grundrechtecharta erwähnt in Artikel 8 explizit den Schutz personenbezogener Daten. Auch die Achtung des Privat- und Familienlebens wird in Artikel 7 genannt. Ebenfalls die in Artikel 10 zu findende Gedanken-, Gewissens- und Religionsfreiheit oder die Freiheit der Meinungsäußerung und Informationsfreiheit aus Artikel 11 können durch den missbräuchlichen Einsatz von Daten bedroht sein. Vergleichbare Normen finden sich auch im deutschen Grundgesetz.
Auf der anderen Seite wird aber auch die unternehmerische Freiheit in Artikel 16 garantiert. Die vier europäischen Grundfreiheiten sind vor allem Freiheiten, die dem Wirtschaftsleben in der EU dienen sollen. Unternehmen sollen ihre Geschäftsmodelle weitgehend ungehemmt am Markt etablieren können. Innovative Geschäftsmodelle sind heute weitgehend datengetrieben. Ohne den Einsatz von Daten würden Teile unseres Wirtschaftssystems zusammenbrechen und das Wirtschaftswachstum würde quasi lahmgelegt werden.
Hier prallen verschiedene Interessen aufeinander, die jedoch alle ihre Berechtigung haben. Ziel der DSGVO ist es, diese Interessen in Einklang zu bringen und die Grundrechte von Privatpersonen und Unternehmen zu gleichen Teilen zu berücksichtigen. Keine Seite soll also übermäßig bevorteilt oder benachteiligt werden. Das Aushändigen von seitenlangen Datenschutzerklärungen würde einen Nachteil für Unternehmen darstellen sowie einen deutlichen Mehraufwand für beide Seiten bedeuten.
Wie man schon an den teilweise sehr bedeutungsschwangeren Ausführungen von Grundrechten und Grundfreiheiten erkennt; in der DSGVO geht es vor allem um große Themen wie Meinungsfreiheit und Schutz der Privatsphäre. Da passen Visitenkarten nicht so richtig rein. Es ist schwer erkennbar wie einfache Visitenkarten ein Ungleichgewicht in diesen Bereichen herstellen könnten. Der Missbrauch von Visitenkarten-Daten ist sehr unwahrscheinlich. Zum einen stehen dort keine besonders sensiblen Daten drauf. Kontaktdaten von Geschäftspartnern sind kein großes Geheimnis. Zum anderen können Visitenkarten nur von einem sehr beschränkten Personenkreis eingesehen werden, meist sogar nur die Person, der die Visitenkarte übergeben wurde und deren Kollegen. Wenn man bei einer banalen Tätigkeit, wie dem Austausch von Visitenkarten, verlagen würde umfangreiche Datenschutzerklärungen zu überreicht werden, würde dies Unternehmen übermäßig benachteiligen, ohne dass dadurch ein echter Mehrwert zum Schutz persönlicher Daten geschaffen werden würde.
Wie wir hier feststellen müssen, haben wir in diesem konkreten Einzelfall ein Wertungswiderspruch zwischen dem Wortlaut des Gesetzes und dem Sinn und Zweck des Gesetzes. Um diesem Widerspruch Herr zu werden, tun wir Juristen nun etwas total verrücktes: Wir wenden die einzelne kritische Norm für den Einzelfall gar nicht an und tun so, als würde sie gar nicht existieren. Hier spricht man in der juristischen Fachsprache von einer sogenannten teleologischen Reduktion. Legitimiert wird dieses Vorgehen damit, dass der vom Gesetz verfolgte Zweck in sein Gegenteil verkehrt werden würde, würde die Norm eins zu eins nach dem Wortlaut angewendet werden. Die eben dargestellten Wertungen aus den Grundrechten und Grundfreiheiten stehen über der DSGVO. Somit kann die DSGVO im Sinne der Grundrechten und Grundfreiheiten modifiziert werden. Wohlgemerkt ist ein solches Vorgehen nur bei einem individuellen Einzelfall möglich.
In unserem Fall, der Aufbewahrung von Visitenkarten, müssen folglich die Transparenzpflichten aus Art.13 DSGVO und die Anforderungen an die Rechtmäßigkeit einer Verarbeitung aus Art. 6 DSGVO nicht angewendet werden. Visitenkarten können also nach wie vor problemlos ausgetauscht werden.
Die Situation kann sich allerdings ganz schnell wieder ändern, wenn der Einzelfall sich ändert. Sobald die Daten von der Visitenkarte in ein elektronisches System eingeben werden, kippt unsere eben durchgeführte Interessenabwägung im Sinne der Grundrechte. Sobald Daten in einem elektronischen System sind, sind sie anfällig gegen Hackerangriffe, können beliebig oft kopiert und weitergegeben werden und können in Kombinationen mit anderen Daten in komplexen Algorithmen zur Profilbildung der betroffenen Person missbraucht werden. An diesem Punkt müssen wir wieder voll auf die umfangreichen Regelungen der DSGVO zurückgreifen, denn genau für solche Fälle wurde sie gemacht.
Handlungsempfehlung
Erst sobald Sie Daten von Visitenkarten in Ihr CRM oder elektronisches Adressbuch aufnehmen, sollten Sie der betroffenen Person eine Datenschutzerklärung zukommen lassen. Das kann mit der richtigen Software vollautomatisch nach Speichern des Kontakts passieren. Somit macht das Ganze nicht mehr Aufwand als bisher.
Wichtig ist allerdings, dass dieses Vorgehen sauber funktioniert, in den Verzeichnissen der Verarbeitungstätigkeiten dokumentiert ist und die Datenschutzerklärung alle wichtigen Punkte abdeckt. Hier steht Ihnen Ihr Datenschutzbeauftragter zur Seite.
Fazit
Die DSGVO macht es uns nicht leicht. Wie oben dargelegt, lassen sich aber vertretbare Wege finden mit dem Gesetz umzugehen. Dass eine so banale Sache wie der Austausch von Visitenkarten so viel Aufwand für Vorüberlegungen bedeutet, spricht sicher nicht für die DSGVO. Die Komplexität von Datenverarbeitung in ein abstraktes Gesetz zu gießen und dabei die unterschiedlichen Interessen aller Beteiligten zu berücksichtigen, war sicher keine leichte Aufgabe für den EU-Gesetzgeber.
Letztendlich ist die Diskussion um Visitenkarten vor allem akademischer Natur, auch wenn eine undifferenzierte Berichterstattung darüber für Clickbait-News oder populistische Anti-EU-Stimmungsmache ein gefundenes Fressen war.
Keine Aufsichtsbehörde wird ernsthaft Bußgelder wegen Visitenkarten verhängen, noch würde die Konkurrenz daraus abmahnfähige Wettbewerbsverletzungen ableiten können. Die wahren Herausforderungen lauern ganz woanders. Allein schon eine realistische Risikobewertung würde Überlegungen zu diesem Thema also unnötig machen.
In jedem Fall eignete sich unser Beispiel wunderbar um die Tücken der DSGVO und die Intention des Gesetzes aufzuzeigen und somit hoffentlich etwas Licht ins Dunkel des Datenschutzrechts zu bringen.
PS: Sicher sind auch andere Meinungen zu diesem Thema vertretbar als die hier dargelegte Meinung. Dass Juristen sich über Meinungen streiten, ist nichts neues, sondern Teil des Systems. Nicht umsonst heißt es: zwei Juristen, drei Meinungen.
Im Datenschutzrecht herrscht aufgrund der Neuheit der DSGVO aktuell noch viel Verwirrung. Viele Fragen sind noch offen und bedürfen einer höchstrichterlichen Klärung. So zählt zur Zeit vor allem, dass man Probleme erkennt und sich nach bestem Gewissen darauf einstellt und diese Maßnahmen und Gedanken auch protokollieren kann. Bei diesen Prozessen unterstützt sie zuallererst Ihr Datenschutzbeauftragter.