Sind geschäftliche Kontaktdaten auch personenbezogene Daten?
Ein DSGVO-Check.
Auch nach über fünf Jahren DSGVO schwebt in vielen Unternehmen noch das Fragezeichen: Fallen geschäftliche Kontaktdaten unter die DSGVO? Sind sie als personenbezogene Daten zu behandeln?
In diesem Blogartikel gebe ich Ihnen einen Überblick über die datenschutzrechtlichen Hintergründe und Regelungen zu diesem Thema und zeige Ihnen, was Sie beachten müssen.
Personenbezogene VS. geschäftliche Daten: Ein Blick hinter die Datenschutzkulisse
Sind alle geschäftlichen Kontaktdaten personenbezogene Daten? Nein! Aber es ist wichtig, den Unterschied zu kennen.
IN DER DEUTSCHEN RECHTSORDNUNG GIBT ES ZWEI ARTEN VON PERSONEN
- Die natürliche Person als einzelner Mensch.
- Die juristische Person als Personenmehrheit (Organisation)
Die DSGVO schützt individuelle Daten, die einem einzelnen Menschen zugeordnet werden können. Das heißt, geschäftliche Kontaktdaten fallen nur dann unter die DSGVO, wenn sie eine natürliche Person identifizieren, wie es z.B. bei der E-Mail-Adresse max.mustermann@firma.de der Fall ist. Im Gegensatz dazu sind E-Mail-Adressen wie etwa info@firma.de oder die Telefonnummer der Zentrale eines Unternehmens nicht personenbezogen.
Jetzt wird es aber noch einmal knifflig: Wenn nämlich z.B. eine konkrete Person hinter dem Unternehmen „Max Mustermann GmbH“ steckt (alleiniger Geschäftsführer oder Gesellschafter der nach ihm benannten GmbH), dann beziehen sich diese Daten unmittelbar auf die Person und unterliegen der DSGVO. Dasselbe gilt für Einzelkaufmänner und Einzelkauffrauen, aber z.B. auch Notare, Anwälte usw. Auch Daten einer OHG oder GbR können unter das Datenschutzgesetz fallen.
Wie gehe ich mit geschäftlichen Kontaktdaten um?
Verarbeitung mit Personenbezug? Dann gelten die gleichen DSGVO-Regeln wie für private Daten. D.h. auch bei der Verarbeitung von geschäftlichen Kontaktdaten mit einem Personenbezug ist ein Zweck und eine Rechtsgrundlage erforderlich. Die Einwilligung der betroffenen Person kann als solche Rechtsgrundlage dienen. Oder nehmen wir an, die Rechtsgrundlage fußt darauf, dass die Daten direkt mit einem Vertragspartner verwoben sind bzw. gar eine geschäftliche Beziehung im Entstehen begriffen ist.
Klar ist: Das gilt nur, wenn die betreffenden Daten einer natürlichen Person zugeordnet sind, wie bei einem Selbstständigen. Anders sieht die Sache aus, wenn es um die Verarbeitung von Mitarbeitendendaten einer GmbH geht – hier passt die direkte Vertragsbeziehung nicht als Rechtsgrundlage. Stattdessen kommt eine sorgfältige Interessenabwägung ins Spiel. Da geschäftliche Kontaktdaten meist nur eine lose Verbindung zur Privatsphäre haben, ist ihre Verarbeitung auf der Basis des berechtigten Interesses oft vertretbar – besonders, wenn sie für die Aufrechterhaltung oder den Aufbau einer Geschäftsbeziehung erforderlich sind.
Das heißt aber nicht, dass Sie willkürlich Kaltakquise betreiben dürfen und sich als Rechtsgrundlage ganz einfach auf ihr berechtigtes Interesse beziehen. Damit werden Sie bei keinem Gericht durchkommen. Denken Sie auch daran: Newsletter dürfen Sie nur mit der Rechtsgrundlage einer vorherigen Einwilligung versenden (das sogenannte „Double Opt-in Verfahren“).
Wenn Sie sich auf eine Einwilligung als Rechtsgrundlage stützen, ist die Weitergabe dieser Daten, z.B. das Verkaufen dieser Adressen, dennoch nicht erlaubt! Auch beim Weiterleiten von geschäftlichen E-Mails müssen Sie vorher prüfen, auf welcher Rechtsgrundlage diese Daten weitergegeben werden dürfen. Einwilligung? Vertrag? Berechtigtes Interesse?
BEACHTEN SIE AUCH
Nicht für jedes Dokument, das die Namen von Mitarbeitenden eines Geschäftspartners enthält, ist eine separate Datenverarbeitung notwendig. Solche Dokumente und die damit verbundenen personenbezogenen Informationen werden im Verarbeitungsverzeichnis (VVT) unter der jeweiligen Kategorie geführt, die ihrem Zweck entspricht, inklusive der festgelegten Aufbewahrungsfristen. Rechnungen von Geschäftspartnern zum Beispiel, fallen in den Bereich der Finanzbuchhaltung im VVT. Entsprechend sind diese Daten zu löschen, sobald der Erhebungszweck entfällt und müssen auch im Löschkonzept enthalten sein.
Informationspflicht: Wann muss ich informieren?
Die DSGVO spricht von Informationspflichten bei der „Erhebung“ von Daten – dies gilt auch für geschäftliche Kontaktdaten mit Personenbezug. Die betroffene Person ist also über die Verarbeitung der Daten zu informieren. Idealerweise haben Sie hierfür ein Informationsdokument erstellt, dass Sie dem Betroffenden zur Verfügung stellen können.
Es gilt allerdings zu unterscheiden, wie Sie die Daten erhalten haben: Bekommen Sie z.B. eine Visitenkarte übergeben, ist es nicht zielführend, ein Datenschutz-Informationsblatt zu überreichen. Auch beim Empfang einer geschäftlichen E-Mail werden Sie bestimmt nicht sofort eine Information über die Verarbeitung der Daten des Absenders zurückschicken.
Wann tritt die Informationspflicht dann in Kraft?
Die Informationspflicht tritt in Kraft, sobald personenbezogene Daten erhoben werden – so schreibt es die DSGVO vor. Doch was bedeutet „Erhebung“ konkret, wenn die DSGVO selbst diesen Punkt nicht explizit definiert?
Die Bayerische Aufsichtsbehörde für den Datenschutz (BayLDA) bietet eine Orientierungshilfe und präzisiert: Eine Erhebung findet statt, wenn der Verantwortliche aktiv Daten anfordert – ein klarer Akt, der den Wunsch nach diesen Daten signalisiert. Dies wird als „aktives Handeln“ bezeichnet.
PRAXISTIPP
In der Praxis bedeutet das: Erhalten Sie z.B. Bewerbungsunterlagen oder werden in einem Ihrer Formulare spezifische Daten erbeten, ist dies eine Erhebung, und die betreffende Person muss informiert werden. Doch nicht jede Datenübermittlung fällt darunter. Die passive Entgegennahme einer Visitenkarte oder das Empfangen einer E-Mail sind keine aktiven Handlungen. Diese begründen also noch keine Erhebung und somit auch keine Informationspflicht, da hier die Initiative vom Betroffenen ausgeht. Ändert sich allerdings der Kontext und der Verantwortliche fordert später zusätzliche Daten an, dann wird die Schwelle zur Erhebung überschritten, und der Betroffene muss entsprechend informiert werden – es sei denn, er ist bereits über die Datenverarbeitung aufgeklärt.
Zu beachten ist auch die Möglichkeit der „Dritterhebung der personenbezogenen Daten des Betroffenen“, wenn Daten nicht direkt vom Betroffenen, sondern aus anderen Quellen beschafft werden.
Informationspflicht bei Dritterhebungen von personenbezogenen Daten
Wann also ist der Verantwortliche gehalten, die Betroffenen zu informieren, wenn er ihre personenbezogenen Daten nicht direkt von ihnen selbst erhält?
Die DSGVO verlangt hier nichts Unmögliches. Sie erkennt an, dass die Informationspflicht unter bestimmten Umständen entfallen kann. Insbesondere dann, wenn die Informationserteilung unmöglich ist oder nur mit einem unverhältnismäßigen Aufwand realisiert werden kann. Es gilt, das Informationsinteresse der betroffenen Person gegen den Aufwand für den Verantwortlichen abzuwägen. Zudem muss natürlich hier auch das Risiko, das die Datenverarbeitung für die Rechte und Freiheiten des Betroffenen darstellt, in Betracht gezogen werden.
Um die Notwendigkeit einer Informationspflicht zu beurteilen, sollten Sie sich überlegen, welche Daten Sie aus welchem Grund erheben und verarbeiten. Wenn Sie zum Beispiel nur den Vor- und Nachnamen eines Mitarbeiters Ihres Geschäftspartners für einen Vertrag oder eine Rechnung benötigen und diese Informationen online suchen müssen, besteht keine Notwendigkeit, den Betroffenen über diese Dritterhebung zu informieren.
Informationspflicht der nachgelagerten Verarbeitung
Bei der nachträglichen Verarbeitung, wie etwa dem Einscannen von Visitenkarteninformationen entsteht nicht zwingend eine Informationspflicht. Dies liegt daran, dass, wie bereits erwähnt, keine eigentliche Datenerhebung vorliegt und die betroffene Person normalerweise davon ausgeht, dass die Informationen seiner Visitenkarte für zukünftige Kontakte gespeichert werden. Des Weiteren ist der Schutzbedarf für Daten auf Visitenkarten üblicherweise als niedrig einzustufen. Außerdem hat die betroffene Person jederzeit das Recht, Auskunft über die Verarbeitung seiner Daten zu verlangen, diese löschen zu lassen oder der Verarbeitung zu widersprechen.
FAZIT
- Eine sorgfältige Prüfung ist notwendig, um zu bestimmen, ob Daten als personenbezogen einzustufen sind.
- Generische geschäftliche Kontaktdaten, wie Unternehmensadressen oder allgemeine E-Mail-Adressen, zählen nicht zu personenbezogenen Daten, demnach findet die DSGVO hier keine Anwendung.
- Geschäftsdaten mit Personenbezug sind personenbezogene Daten und dann auch datenschutzrechtlich als solche zu behandeln.
- Bei personenbezogenen Daten muss der Verarbeitungszweck klar definiert und eine solide Rechtsgrundlage vorhanden sein. Zusätzlich ist zu klären, in welcher Form und in welchem Umfang die betroffene Person über die Verarbeitung ihrer Daten zu informieren ist.
- Werden geschäftliche Kontaktdaten proaktiv zur Verfügung gestellt, können Sie diese ohne Informationspflicht verarbeiten.
- Bei alle dem gilt es, den gesunden Menschenverstand nicht zu verlieren und pragmatisch im Rahmen der datenschutzrechtlichen Bestimmungen zu handeln.
Sie haben noch Fragen zum Thema, wollen mehr Transparenz in Ihre Daten und Verarbeitungen bringen oder benötigen ein maßgeschneidertes Löschkonzept für Ihr Unternehmen? Dann kontaktieren Sie mich doch gerne über das Kontaktformular, senden mir eine E-Mail an nfolchert@emodeon.de oder melden sich telefonisch unter +4915229429858. Ich freue mich auf Ihre Anfrage!
__________________________________________________________
Rechtsgrundlagen des Blogartikels: Artikel 12, 13, 14 inkl. Erwähnungsgründe