Visitenkarten & DSGVO

Es ist eindeutig, dass auf Visitenkarten personenbezogene Daten aufgedruck sind: Name, Vorname, Titel, Funktion, Telefonnummer, Adresse, Email-Adresse, Unternehmen ...

Die DSGVO normiert, dass die automatisierte Verarbeitung von personenbezogenen Daten und auch die strukturierte Einordnung in ein Dateisystem (bei nicht automatisierter Verarbeitung) in den Anwendungsberich der DSGVO fallen. Ein "Dateisystem" ist in diesem Fall bereits ein Ordner oder ein Steckbuch, in das Visitenkarten chronologisch oder nach Alphabet eingeordnet werden, damit diese wieder auffindbar sind.

Die Verarbeitung von personenbezogenen Datenn beginnt mit dem "Erheben" oder "Erfassen". Wenn daher eine Visitenkarte in die Handtasche oder das Sakko gesteckt wird, dann ist das mE noch kein Verarbeiten iSd DSGVO. Auch die (unstrukturierte) Ablage auf dem Schreibtisch erfüllt diese Qualifikation noch nicht.

Mit dem Einstecken der Visitenkarte in einen Ordner oder ein Steckbuch oder die Übernahme der Daten (per App, Scan, händisch) in eine Kontaktdatenbank (CRM-System) beginnt die Erhebung/Erfassung der Daten.

Diejenige Peson, die sich entschließt die Daten auf der Visitenkarte in einer Datenbank oder physisch "zu speichern", benötigt einen zulässigen Zweck. Dieser wird in den meisten Fällen die "Kundengewinnung bzw. -bindung" sein, und da Marketing von der DSGVO (siehe ErwG 47: Direktmarketing kann ein berechtigtes Interesse darstellen).

Wenn eine Vertragsbeziehung mit der Person besteht, die die Visitenkarte übergeben hat, dann wird es die "Effizienz der Kommunikation mit Vertragspartnern" sein, die den Zweck darstellt. Ebenso wenn die Person als Beschäftigter oder sonstige Bezugsperson mit dem Vertragspartner verbunden ist. 

Für die Verarbeitung der personenbezogenen Daten, die auf der Visitenkarte gespeichert sind, bieten sich mehrere Rechtsgrundlagen an:

• Vertragsanbahnung (von Seiten der betroffenen Person) oder Vertrag mit der betroffenen Person -> sofern die Verarbeitung der auf der Visitenkarte abgedruckten personenbezogenen Daten "erforderlich" ist. Wenn daher in der eigenen Organisation kein Telefax vorhanden ist, dann wird die Verarbeitung der Telefax-Nummer nicht erforderlich sein, um die Vertragsbeziehung zu erfüllen. 
• Vertragsanbahnung durch einen Dritten (zB das Unternehmen, bei dem die betroffene Person beschäftigt ist) bzw. Vertrag mit einem Dritten , wobei in diesem Fall das "berechtigte Interesse" die Grundlage der Verarbeitung ist, da die Vertragsbeziehung nicht direkt mit der betroffenen Person besteht bzw. von dieser angebahnt wird.
  
• Einwilligung:
• hier stellt sich die Frage der "Nachweisbarkeit" -> daher: Visitenkarten nicht wegschmeißen, sondern darauf vermerken, wann und zu welchem Anlass diese überggeben wurde
• die Freiwilligkeit wird gegeben sein, denn kaum jemand ist gezwungen, eine Visitenkarte "herauszugeben"
• die Widerruflichkeit ist zu beachten, und auf die Widerruflichkeit ist vor / bei Abgabe der Einwilligungserklärung (nachweislich) hinzuweisen -> das wird wohl ablauftechnisch eher zum "Problem" werden, denn kaum jemand möchte seinen Gesprächspartner darauf hinweisen: Sie erteilen mit Übergabe der Vistienkarte eine Einwilligung zur Verarbeitung ihrer Daten. Sie können diese Einwilligung jederzeit widerufen.
  
• Das Gesetz, das lebenswichtige Interesse bzw. das öffentliche Interesse werden als Grundlage wohl eher ausscheiden.
  
• Es verbleibt als mögliche taugliche Rechtsgrundlage das "berechtigte Interesse":
• Das berechtigte Interesse "Kundengewinnung/Kundenbetreuung" oder "effiziente Kommunikaton" oder "Kontaktaufnahme im geschäftlichen Anlassfall" wird als Grundlage für die Verareitung dienen können. 
• Die betroffenen Personen sind über das konkrete berechtigte Interesse zu informieren (siehe Art 13 Abs 1 lit d DSGVO), und zwar im Zeitpunkt der Erhebung (siehe unten: Informationspflicht). 
• Zu beachten ist, dass bei der Verarbeitung von personenbezogenen Daten aufgrund des berechtigten Interesses ein Widerspruchsrecht gem. Art 21 DSGVO besteht.
• Die betroffen Personen (dh der Übergeber der Visitenkarte) muss vom Verantwortlichen ausdrücklich spätestens bei der ersten Kommunikation auf das Widerspruchsrecht hingewiesen werden (siehe Art 21 Abs 4 DSGVO)

Die Erhebung personenbezogener Daten (natürlicher Personen) in direkter Beziehung mit der betroffenen Person löst eine unmittelbare Informationspflicht gem. Art 13 DSGVO aus (siehe dazu allgemein: Wie kann die Informationspflicht erfüllt werden?).

Werden daher die Visitenkarten "strukturiert abgelegt" oder die darauf befindlichen Daten in eine Kontaktdatenbank übertragen, löst diese Erhebung die Informationspflicht gem. Art 13 DSGVO aus, und der Verantwortliche ist verpflichtet, der betroffenen Person "im Zeitpunkt der Erhebung" bestimmte Informationen (siehe Art 13 Abs 1 und Abs 2 DSGVO) mitzuteilen. 

Dies kann zB durch ein "Willkommensemail" an die betroffene Person erfolgen, in dem der Vorgang der Erhebung, der Zweck der Verarbeitung dargelegt wird, und jedenfalls auf das konkrete berechtigte Interesse und das Widerspruchsrecht hingewiesen wird. Durch einen Verweis auf die Datenschutzinformationen auf der Homepage kann die weitere Transparenz hergestellt werden, sofern auf der Homepage auch dieser Verarbeitungsvorgang genannt ist und die notwendigen Informationen des Art 13 DSGVO dort ersichtlich sind. 

Dieses Email stellt mE keine "Direktwerbung" iSd § 107 (2) TKG dar, sodass dafür keine (telekommunikationsrechtliche) Einwilligung notwendig ist.