+++Datenschutz.org hat uns mit einem Gastbeitrag ihre Einschätzung zu den Auswirkungen der DSGVO zur Verfügung gestellt+++

Der noch jungen Datenschutzgrundverordnung mangelt es an vielen Stellen an konkreter Auslegung. Ohne praktische Rechtsprechung bleiben viele Aussagen über mögliche Stolperfallen der DSGVO unbestätigte Interpretation.
Grundsätzlich gibt es keine Ausnahmen für den Geschäftsverkehr im Bereich Business-to-Business (B2B) und Business-to-Consumer (B2C). Wo der Mangel an praktischer Rechtsprechung für Unklarheiten sorgt, sind die Unternehmen verpflichtet, die Verordnung dem juristischen Grundsatz folgend „nach Treu und Glauben“ umzusetzen.

Eine Einwilligungserklärung auch für Visitenkarten?

Dass Kunden nun ausdrücklich ihr Einverständnis zur Verarbeitung personenbezogener Daten geben müssen, ist bekannt. Dazu ist eine eindeutige und leicht zugängliche Einwilligungserklärung nötig, bei der Betroffene auch selbst das Häkchen setzen müssen.
Beispiel: Eine Person gibt ihre E-Mail-Adresse preis, um einen Newsletter oder ein Whitepaper zu erhalten. Das allein ist noch keine zulässige Zustimmung. Ohne Einwilligungserklärung darf die E-Mail-Adresse nicht gespeichert bzw. in den Verteiler aufgenommen werden. Auch der erstmalige Besuch einer Website gilt (mit oder ohne Cookie-Banner) nicht als Einwilligung.
Diese Form der Zustimmung betrifft nicht nur das Online-Marketing. B2B-Unternehmen sind häufig auf Messen vertreten, rühren dort unter anderem mit besonderen Aktionen die Werbetrommel und nehmen dabei gelegentlich Visitenkarten von Interessenten entgegen. Weil die Kontaktdaten darauf personenbezogen sind, sollte auch hier eine Einwilligungserklärung ausgefüllt werden.
Unklar ist bislang, inwiefern das zutrifft, wenn die Visitenkarte nur den allgemeinen Kontakt des Unternehmens enthält. Denn personenbezogene Daten juristischer Personen sind nach Erwägungsgrund Nr. 14 Satz 2 EU-DSGVO ausgenommen. Welche Daten damit tatsächlich gemeint sind, steht noch nicht fest.

Datenverarbeitung zur Geschäftsanbahnung

Zulässig ist die Datenverarbeitung nur, wenn sie der Geschäftsanbahnung dient. Das heißt, nur Daten, die sich beispielsweise auf Vorverträge und Maßnahmen zur Ausarbeitung der geschäftlichen Vereinbarungen (z. B. Anfrage von Angeboten) beziehen, dürfen verarbeitet werden. Das ändert aber nichts an der Informationspflicht. Die Kunden müssen darüber informiert werden, zu welchem Zweck und in welchem Umfang die Daten verarbeitet werden. Das hat Auswirkungen auf die Weiterreichung von gesammelten Adressen potenzieller Kunden.

Double-Opt-in als Lösung des Problems

Früh hat sich eine Strategie zur Überwindung der Hürden im B2B-Umfeld etabliert: Double-Opt-in. Der Kunde muss standardisierten Formularen aktiv zustimmen, erhält daraufhin einen Link, der zur Bestätigung geöffnet werden muss. Diese Aktion wird anschließend im Customer-Relationship-Management (CRM)- oder Master-Data-Management (MDM)-System gespeichert, und zwar so, dass die Transparenz- und Nachweispflichten im Zweifelsfalle erfüllt wird. Experten zufolge soll ein MDM-System (oder ähnliche zentrale Datenhubs) die Umsetzung der Verordnung erleichtern.

Mehr Informationen zum Thema Datenschutzverordnung gibt es auf datenschutz.org unter dem Stichwort „EU-Datenschutzgrundverordnung.“