Daten­schutz im B2B-Bereich: Gibt es nicht? Gibt es doch!

„Daten­schutz? Das betrifft doch nur Ver­brau­cher.“ Die kla­re Ant­wort lau­tet: nein. 

Das seit dem 25. Mai 2018 anzu­wen­den­de Daten­schutz­recht in Form der EU-Datenschutz-Grundverordnung („DSGVO“) unter­schei­det nicht zwi­schen den Berei­chen B2C und B2B. Daten­schutz­recht­li­che Anfor­de­run­gen sind zu beach­ten, wenn „per­so­nen­be­zo­ge­ne Daten“ ver­ar­bei­tet wer­den. Es reicht der indi­rek­te Bezug zu einer natür­li­chen Per­son aus. Ob die­se als Unter­neh­mer, gewerb­lich oder aber als Ver­brau­cher han­delt, ist für daten­schutz­recht­li­che Rege­lun­gen ohne Belang.  Nach Auf­fas­sung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht (BayL­DA) stellt z. B. bereits die IP-Adresse des Nut­zers ein daten­schutz­recht­lich rele­van­tes Datum dar (Tätig­keits­be­richt 2017/18, S. 54).

B2B

Auch im B2B-Bereich müs­sen Unter­neh­men daher dar­auf ach­ten, dass für eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, etwa die Ver­wal­tung der Namen und E‑Mail-Adressen von News­let­ter­abon­nen­ten oder Spei­che­rung der Kon­takt­da­ten von Ansprech­part­nern bei Geschäfts­kun­den, die Ein­wil­li­gung der betrof­fe­nen Per­son oder ein ande­rer Erlaub­nis­tat­be­stand vor­liegt. Dar­auf macht der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit in Baden-Württemberg (LfDI Baden-Württemberg) auch in sei­nem aktu­el­len Tätig­keits­be­richt (S. 23 f.) auf­merk­sam. Im B2B-Bereich wei­sen ins­be­son­de­re Zusatz­in­for­ma­tio­nen einen daten­schutz­recht­lich rele­van­ten Per­so­nen­be­zug auf. Bei­spiel­haft nennt er die per­so­na­li­sier­ten E‑Mail-Adressen und Han­dy­num­mern von selb­stän­di­gen Unter­neh­mern, die sowohl geschäft­lich als auch pri­vat genutzt werden.

Für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gilt im Daten­schutz­recht das sog. Ver­bot mit Erlaub­nis­vor­be­halt: die­se Daten dür­fen nur ver­ar­bei­tet wer­den, wenn ein Erlaub­nis­tat­be­stand erfüllt ist. Art. 6 Abs. 1 Satz 1 DSGVO lis­tet die­se auf. Im B2B-Bereich sind dafür beson­ders relevant:

  • die Ein­wil­li­gung der betrof­fe­nen Per­son (Buch­sta­be a),
  • eine gesetz­li­che Vor­schrift, die den Umgang mit den Daten gestat­tet, (Buch­sta­be c),
  • sowie die Ver­ar­bei­tung, die zur Wah­rung der berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen oder eines Drit­ten erfor­der­lich ist und bei der schutz­wür­di­ge Inter­es­sen der Betrof­fe­nen nicht über­wie­gen (Buch­sta­be f).

Der Ver­ant­wort­li­che, also die­je­ni­ge Stel­le, die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten wird, muss zudem die Informations- und Trans­pa­renz­pflich­ten gegen­über den betrof­fe­nen Per­so­nen beach­ten. Spä­tes­tens im Zeit­punkt der Daten­er­he­bung müs­sen sie über die geplan­te Ver­ar­bei­tung ihrer Daten und die Zwe­cke der Ver­ar­bei­tung infor­miert werden. 

In einer Anfra­ge des GDD-Erfa-Kreises Coburg bei dem BayL­DA ging es um Kon­takt­da­ten von B2B-Ansprechpartnern und um die Fra­ge, auf wel­cher Rechts­grund­la­ge die­se ver­ar­bei­tet wer­den dür­fen. Die Auf­sichts­be­hör­de lehnt zunächst Art. 6 Abs. 1 Buch­sta­be b) DSGVO als ein­schlä­gi­ge Rechts­grund­la­ge ab. Dies aus gutem Grund, denn sie kann nur her­an­ge­zo­gen wer­den, wenn die Ver­trags­be­zie­hung zu der betrof­fe­nen Per­son selbst besteht (z.B. Ein­zel­kauf­mann). Besteht die Ver­trags­be­zie­hung hin­ge­gen mit einer juris­ti­schen Per­son, kann die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten des Ansprech­part­ners bzw. Mit­ar­bei­ters auf Art. 6 Abs. 1 Buch­sta­be f) DSGVO gestützt wer­den, „soweit und solan­ge es für die Geschäfts­be­zie­hung zu dem ‚B2B-Partner‘ […] erfor­der­lich ist“ (Daten­schutz news­box, Aus­ga­be 05/2019, S. 10).

Wenn es um das tele­fo­ni­sche Direkt­mar­ke­ting geht, wer­den im B2B-Bereich sog. „Cold calls“ daten­schutz­recht­lich kri­ti­siert. Die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit im Saar­land berich­tet im aktu­el­len Tätig­keits­be­richt von einer Unter­su­chung zu Wer­be­an­ru­fen, die ohne vor­he­ri­gen Geschäfts­kon­takt statt­fan­den (S. 132 ff.). Sie erlies einen Bescheid zur Unter­sa­gung sol­cher Wer­be­an­ru­fe gegen­über dem ver­ant­wort­li­chen Unter­neh­men. Der Ver­wal­tungs­akt wur­de auch vom saar­län­di­schen Ver­wal­tungs­ge­richt bestätigt.

Daten­schutz im Unternehmen

Doch müs­sen Unter­neh­men das The­ma „Daten­schutz“ nicht nur dann beach­ten, wenn es um die Bezie­hung zu drit­ten Per­so­nen außer­halb der eige­nen Orga­ni­sa­ti­on geht. Beson­de­re Pra­xis­re­le­vanz hat sich in den Berei­chen des Beschäf­tig­ten­da­ten­schut­zes gezeigt. Davon erfasst sind nicht nur die eige­nen Mit­ar­bei­ter, son­dern auch Bewer­ber. Die sich in die­sem Zusam­men­hang stel­len­den The­ma­ti­ken sind man­nig­fal­tig und rei­chen von der Fra­ge einer ver­pflich­ten­den Betei­li­gung des Betriebs­ra­tes bei der Ein­füh­rung neu­er Soft­ware oder bei auto­ma­ti­sier­ten Kon­troll­maß­nah­men bis hin zu dem daten­schutz­kon­for­men Ein­satz einer Cloud-basierten Bewer­bungs­soft­ware. Auch die daten­schutz­recht­li­chen Pro­ble­me bezüg­lich der Video­über­wa­chung von Arbeits­plät­zen fül­len die Tätig­keits­be­rich­te der Auf­sichts­be­hör­den und beschäf­ti­gen bereits aus­gie­big die Arbeits­ge­rich­te. Im Beschäf­tig­ten­da­ten­schutz besteht daher für Unter­neh­men, wenn die­ser nicht bereits umge­setzt wird, drin­gen­der Handlungsbedarf.

Idea­ler­wei­se ist der Daten­schutz im Unter­neh­men Teil der Compliance-Strategie oder wird durch einen inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten in der Umset­zung beglei­tet. Mit der DSGVO wur­den den Daten­schutz­auf­sichts­be­hör­den umfang­rei­che­re Sank­ti­ons­mög­lich­kei­ten für die Ahn­dung von Geset­zes­ver­stö­ßen an die Hand gege­ben. Wer­den per­so­nen­be­zo­ge­ne Daten etwa ohne ent­spre­chen­den Erlaub­nis­tat­be­stand ver­ar­bei­tet, hat die zustän­di­ge Behör­de die Befug­nis, ein Buß­geld von bis zu 20 Mio. Euro oder von bis zu 4 % des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jahrs des Unter­neh­mens zu ver­hän­gen. Auch hier unter­schei­det die DSGVO nicht, ob der Ver­stoß im Bereich B2C und B2B liegt. Der Daten­schutz und sei­ne gesetz­li­chen Anfor­de­run­gen stel­len eine Quer­schnitts­ma­te­rie dar, die in der Pra­xis über ver­schie­dens­te Anwen­dungs­ge­bie­te wirkt. Daher soll­te auch eine inter­ne Stra­te­gie oder ein Datenschutz-Management-System die­sen ganz­heit­li­chen Ansatz beachten. 

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.