Visitenkarten – datenschutzrechtlich eine Falle?

orangefarbenes Hexagon mit einem weißen Textzettel in der Mitte und einem Häkchen COMPLIANCE,

Sanjin Dautovic

Digital Solutions Sales VACE Systemtechnik GmbH

E-Mail schreiben

Die aktuelle Situation lässt hoffen, dass Messen und Events in absehbarer Zeit nicht nur virtuell, sondern auch wieder persönlich stattfinden können.

Nun gibt es auf jeder Messe Personen (verstärkt Vertriebsmitarbeiter), die sich mit so vielen Teilnehmern wie möglich vernetzen und somit neue Kunden akquirieren wollen. Das Ziel ist klar: Visitenkarten austauschen! Die DSGVO hat hier in der Vergangenheit immer wieder für Verwirrung gesorgt. Darf man denn nun Visitenkarten austauschen? Ab wann spricht man von Datenverarbeitung im Sinne der DSGVO und welche Paragrafen erlauben mir als Messeteilnehmer datenschutzrechtlich konform zu agieren?

Zunächst einmal die direkte Antwort auf die Frage, ob man Visitenkarten grundsätzlich austauschen darf: JA, dies ist erlaubt!

Man spricht im Allgemeinen hier noch nicht von Datenverarbeitung im Sinne der DSGVO. Erst wenn die Daten auf der Visitenkarte weiterverarbeitet werden und beispielsweise in ein CRM-System eingetragen werden, muss man einige Punkte beachten.

Man darf die Visitenkarten betrieblich verarbeiten, und zwar aufgrund Artikel 6 Absatz 1 f) DSGVO, da es sich um einen klassischen Fall von berechtigtem Interesse handelt. Dieses berechtigte Interesse liegt darin, um Kunden strukturiert zu betreuen, Kontakte zu pflegen und Interessenten zu akquirieren. Da der Betroffene die Visitenkarte mit seinen Kontaktdaten selbst überreicht hat, stehen die Interessen, Grundrechte und Freiheiten des Betroffenen nicht entgegen. Somit ist der Zweck zur Kontaktaufnahme gegeben und man kann ungehindert die Visitenkarte annehmen und verarbeiten.

Nun gibt es immer auch noch die Informationspflicht nach Artikel 13. Muss man jede Person darüber informieren, was mit ihren Daten geschieht? Als Messeteilnehmer wird man kaum jeden Interessenten eine eigenständige Einwilligung unterschreiben lassen. Schneller könnte man einen potenziellen Neukunden nicht verjagen.

Laut Artikel 13 besteht also eine Informationspflicht, die folgendermaßen ohne großen Aufwand erfüllt werden kann:

  1. In der Datenschutzerklärung auf der Website kann man einen Passus zu Interessentendaten aufnehmen und erklären wozu man die personenbezogenen Daten auf Visitenkarten nutzt. Ein mündlicher Verweis auf die Datenschutzerklärung ist hier notwendig.
  2. Im Idealfall informiert man den Interessenten schriftlich, wie seine Daten verarbeitet werden. Dies kann über E-Mail geschehen, in der man auf die Datenschutzerklärung auf der Website verweist.

Jetzt stellt sich die Frage welche Daten denn überhaupt verarbeitet werden dürfen.

Beispielsweise erwähnt Ihr möglicher Geschäftspartner in einem Nebensatz, dass er lieber woanders wäre, weil er ja heute Geburtstag hätte. Dürfen Sie dann diese Information in Ihrem CRM-System einpflegen? Die klare Antwort lautet hier nur mit der Einwilligung des Betroffenen, da es dafür keinen bestimmten Zweck gibt, das Datum zu speichern. Sie dürfen somit nur die Daten verarbeiten, die auch zur Kontaktaufnahme des Interessenten benötigt werden. Beschränken Sie sich beim Verarbeiten von Visitenkarten auf Titel, Name, Telefonnummer, E-Mail, Firmenadresse und die geschäftlich relevanten Details des Anbahnungsgespräches, die auch im Interesse des potenziellen Geschäftspartners liegen. Diverse CRM-Software-Hersteller geben dem User nicht einmal die Chance Geburtsdaten zu speichern. Dies ist die beste Möglichkeit die Daten nur auf das Nötigste zu beschränken.

Fazit und Empfehlungsmaßnahmen

Sie müssen sich also beim nächsten Messebesuch keine Sorgen machen Visitenkarten anzunehmen und diese zu verarbeiten, solange Ihre Datenschutzerklärung auf der Website gut gepflegt ist. Sprechen Sie am besten mit Ihrem Datenschutzverantwortlichen darüber. VACE bietet hierzu auch Unterstützung und kann Ihre Datenschutzerklärung auf der Website für genau solche Zwecke aktualisieren und sauber halten. Werfen Sie zur Sicherheit auch einen Blick auf die Datenschutzerklärung Ihres Gegenübers. Sofern diese ausreichend genug über den Zweck der Datenverarbeitung informiert, können Sie beruhigt auf Messen „netzwerken“ und Visitenkarten austauschen. Bei der nachfolgenden Datenverarbeitung achten Sie darauf nur die nötigsten Daten für die Kontaktaufnahme zu speichern. Viele CRM-Systeme lassen sich individuell gestalten, reden Sie mit Ihrem Systemadministrator, unnötige Datenfelder, die nicht den Zweck der Datenverarbeitung erfüllen, vom Eingabeformular zu entfernen.