Fachnews Datenschutz: Die Übergabe von Visitenkarten „ist ein freundlicher Akt“ Montag, 07. Oktober 2019
Werden personenbezogene Daten erstmalig erhoben, so muss der Verantwortliche dem Betroffenen gemäß Artikel 13 DSGVO umfangreich über die geplante Verarbeitung dessen Daten und dessen Rechte informieren. Was für die meisten Datenerhebungen heute längst erprobte und bewährte Praxis ist, wirft im Umgang mit dem fast alltäglichen Austausch von Visitenkarten immer wieder die eine oder andere Frage auf. Die Frage scheint so alt die die DSGVO In den Monaten vor und nach dem 25 Mai 2018 wurde das Thema immer wieder, zum Teil hitzig und nicht selten auch ein wenig polemisch diskutiert. Die Frage, wie der Austausch von Visitenkarten im geschäftlichen Alltag datenschutzrechtlich zu beurteilen ist, ist inzwischen zwar aus den Medien wieder (weitgehend) verschwunden, bei der Beantwortung der Frage besteht aber bei vielen Verantwortlichen nach wie vor wenig Sicherheit und Routine. Die Suche nach einer Antwort beginnt ganz vorne Völlig eindeutig sind auf Visitenkarten mehr oder minder viele »personenbezogene Daten« i.S.d. Artikel 4 Nr. 1 DSGVO abgedruckt. Auch erfüllt das »übergeben« abgedruckter Daten den Tatbestand der »Verarbeitung« i.S.d. Artikel 4 Nr. 2 DSGVO, da es sich dabei um eine Erhebung handelt, in deren Rahmen der Empfänger Kenntnis von den betreffenden Daten des Betroffenen erhält. Wenn soweit klar ist, dass auch beim Umgang mit personenbezogenen Daten auf Visitenkarten grundsätzlich datenschutzrechtliche Überlegungen anzustellen sind, stößt man in Artikel 13 Abs. 1 DSGVO auf den Ausgangspunkt der vermeintlichen Unsicherheiten. Dort verpflichtet der Verordnungsgeber alle Verantwortlichen, die betroffene Person »zum Zeitpunkt der Erhebung« über die geplanten Verarbeitungen und dessen Rechte zu informieren. Klare Positionierung des Bayerischen Landesbeauftragten für den Datenschutz Bereits im Oktober 2018 nahm sich der Bayerische Landesbeauftragte für den Datenschutz, angetrieben durch die Verunsicherung zahlreicher bayerischer öffentlicher Stellen, der Frage an und bezog in seinem »Aktuelle Kurz-Information 11« sehr deutlich, wenn auch von der Praxis kaum beachtet, Stellung (hier geht es zur Information auf der Homepage des BayLfD). Einleitend mit der Feststellung, dass Visitenkarten »bereits vor 200 Jahren zu den Hilfsmitteln sozialer Interaktion« gehörten und »bis in das Zeitalter der Digitalisierung keine vernehmbaren Zweifel« an ihrer Funktion als »Merkhilfe« bestanden habe, positioniert Prof. Dr. Thomas Petri in seiner Funktion als Bayerischer Landesbeauftragte für den Datenschutz beinahe humoristisch seine Behörde zur Entgegennahme und der Übergabe von Visitenkarten. Visitenkarten entgegennehmen und übergeben So stelle die Entgegennahme von Visitenkarten aus der Hand von Gesprächspartner regelmäßig keine eigenständige Erhebung der dort vermerkten personenbezogenen Daten dar, Informationspflichten nach Art. 13 Abs. 1 und 2 DSGVO seien daher nicht zu erfüllen. Weiter sei die Übergabe »typografisch gelungener Visitenkarten« durch Beschäftigte bayerischer öffentlicher Stellen an Gesprächspartner aus Behörden, Unternehmen oder Bürgerschaft ein »freundlicher Akt und ein schöner Brauch«, der aus datenschutzrechtlicher Sicht keiner besonderen Würdigung bedürfe. Bei so viel Licht gibt es auch etwas Schatten Trotz dieser Entwarnung, die wohl ohne viel Mühe auf die meisten Praxisfälle auch außerhalb Bayerischer Behörden übertragen werden kann, bleibt auch im Umgang mit Visitenkarten zukünftig noch Raum für datenschutzrechtliche Überlegungen. So sollten aus Sicht des BayLfD Beschäftigte in der Lage sein, »bei einer Erhebung von Kontaktdaten die nach der Datenschutz-Grundverordnung erforderlichen Informationen zu erteilen«. Spätestens jedoch bei Aufnahme der Visitenkartendaten in Kunden- oder Geschäftspartnerdateien beziehungsweise bei erstmaliger Nutzung. Bei einer Verarbeitung also, die über die Funktion der Karte als »Merkhilfe« hinaus geht, ist jedenfalls davon auszugehen, dass die Informationspflichten des Artikels 13, 14 DSGVO zu bejahen sein werden. Erfolgt der Austausch der Visitenkarten indes im privaten Bereich, so greift auch hier das Haushaltsprivileg, dass wir bereits an anderer Stelle im Kontext der Urlaubsfotografie vorgestellt haben (hier geht es zum Beitrag »Urlaubsfotos im Zeitalter der Datenschutzgrundverordnung«). Fazit Ob die Fragen zum Umgang mit personenbezogenen Daten auf Visitenkarten jemals so drängend waren, wie sie zum Teil diskutiert wurden, oder ob sie zu Beginn der Anwendung der DSGVO eher Teil einer nicht immer ganz sachlichen Auseinandersetzung mit den vermeintlich neuen Datenschutzregeln waren – die Frage ist aus der Beratungspraxis der Datenschutzbeauftragten noch lange nicht verschwunden. Umso wichtiger ist es, die Antworten zu kennen – auch wenn manche davon mit einem Augenzwinkern verbunden werden darf. Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. Oktober 2024 Datenschutz Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz von zentraler Bedeutung. Primär steht zwar der Verantwortliche in der Haftung, doch auch die anderen Akteure unterliegen strengen … Weiterlesen … Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA < >