Auf Stippvisite?

Jeder kennt die Situation: Auf einer Messe steckt man entweder in der Haut des Besuchers, oder der des Ausstellers. In beiden Fällen überreicht man in regelmäßigen Abständen Visitenkarten. Seit dem Inkrafttreten der DSGVO fragt sich der ein oder andere, ob die Verwendung der Karte und die anschließende Kontaktaufnahme noch rechtens?

Auf einer Visitenkarte befinden sich , der Natur der Sache geschuldet, personenbezogene Daten wie Name, Kontakt- und E-Mail-Adresse. Aus diesem Grund muss auch in diesem Fall die betroffene Person über die Verarbeitung informiert werden. Eine Ausnahme besteht nur dann, wenn die betroffene Person bereits über diese Informationen verfügt. Inwieweit man von einer Kenntnis der Information ausgehen kann, ist hingegen strittig. Ein Großteil der Informationen (Art der Daten, Zweck der Verarbeitung, usw.) dürfte bekannt sein, da die Person diese ja gezielt zur Kontaktaufnahme selbst via Visitenkarte übergeben hat.

Betroffenenrechte auch bei Visitenkarte wichtig

Dagegen kann nicht immer davon ausgegangen werden, dass die Kenntnis über die Betroffenenrechte vorhanden ist. Insofern ist es ratsam, zumindest über die Betroffenenrechte zusätzlich zu informieren.

Grundsätzlich muss zum Zeitpunkt der Erhebung der Daten die Information der betroffenen Person erfolgen. Hierzu schreibt die Berliner Aufsichtsbehörde, dass eine Pflicht nach Artikel 13 DSGVO und Artikel 14 DSGVO erst dann besteht, wenn die auf den Visitenkarten enthaltenen Daten in einem System gespeichert werden. Andere Vertreter der Literatur sind der Ansicht, dass zumindest zeitnah nach Erhalt der Visitenkarte die betroffene Person über die Pflichtangaben aufzuklären ist und ihr die Möglichkeit eines Widerspruchs zur Datenverarbeitung gegeben werden muss.

Infolge dessen würden wir betroffenen Unternehmen zwei mögliche Varianten empfehlen:

  1. Es wird eine zentrale Sammelbox für alle Visitenkarten auf dem Messestand aufgestellt. Werden die Daten im Nachgang gesammelt in ein System übertragen, so hat der Betroffene hierüber informiert zu werden. Dies geschieht beispielsweise durch das Versenden entsprechender Informationen an den Betroffenen per E-Mail. Zu diskutieren wäre hier, ob die Übergabe einer Visitenkarte im Regelfall als Einwilligung in die werbliche Ansprache durch das Unternehmen gesehen werden kann. Aufgrund der „manuellen“ Einwilligung würde hier das Double-Opt-In-Verfahren entfallen.
  2. Alternativ besteht die Möglichkeit, einen Besuchsbericht zu erstellen, bei dem die Kontaktdaten des Besuchers eingetragen oder die Visitenkarte angeheftet wird. Zusätzlich sind der Grund des Besuchs und die gewünschte Handlung zu notieren (Rückruf, Angebot, Newsletter etc.).

Informationspflicht vor dem Speichern

Unabhängig davon, für welche Variante man sich letzten Endes entscheidet, sollte dem Betroffenen im Nachgang der Messe bzw. spätestens beim Speichern der Daten in einem CRM-System eine E-Mail mit entsprechenden Informationen zugesendet werden. Möglich wäre eine Formulierung mithilfe eines Deep-Links[1] wie folgt:

Über Ihren Besuch auf unserem Stand auf der Messe XY haben wir uns gefreut. Wir haben Ihre personenbezogenen Daten aus Ihrer Visitenkarte zum Zwecke der Kontaktaufnahme in unserem CRM-System gespeichert. Weitere Informationen zum Umgang mit Ihren personenbezogenen Daten finden Sie unter: www.firmamustermann.de/datenschutzinfo_visitenkarte

Auch für den Austausch von Visitenkarten ist eine Rechtsgrundlage notwendig, auf welche die Verarbeitung der personenbezogenen Daten gestützt wird. Da die Übergabe eine eindeutige aktive Handlung ist, kann sich auf eine Einwilligung im Sinne von Artikel 6 Absatz 1a DS-GVO gestützt werden.


[1] Vgl: https://www.datenschutz-guru.de/warum-ich-einen-deep-link-bei-der-link-losung-fur-dsgvo-informationspflichten-empfehle/