„Datenschutz? Das betrifft doch nur Verbraucher.“ Die klare Antwort lautet: nein.
Das seit dem 25. Mai 2018 anzuwendende Datenschutzrecht in Form der EU-Datenschutz-Grundverordnung („DSGVO“) unterscheidet nicht zwischen den Bereichen B2C und B2B. Datenschutzrechtliche Anforderungen sind zu beachten, wenn „personenbezogene Daten“ verarbeitet werden. Es reicht der indirekte Bezug zu einer natürlichen Person aus. Ob diese als Unternehmer, gewerblich oder aber als Verbraucher handelt, ist für datenschutzrechtliche Regelungen ohne Belang. Nach Auffassung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) stellt z. B. bereits die IP-Adresse des Nutzers ein datenschutzrechtlich relevantes Datum dar (Tätigkeitsbericht 2017/18, S. 54).
B2B
Auch im B2B-Bereich müssen Unternehmen daher darauf achten, dass für eine Verarbeitung personenbezogener Daten, etwa die Verwaltung der Namen und E‑Mail-Adressen von Newsletterabonnenten oder Speicherung der Kontaktdaten von Ansprechpartnern bei Geschäftskunden, die Einwilligung der betroffenen Person oder ein anderer Erlaubnistatbestand vorliegt. Darauf macht der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI Baden-Württemberg) auch in seinem aktuellen Tätigkeitsbericht (S. 23 f.) aufmerksam. Im B2B-Bereich weisen insbesondere Zusatzinformationen einen datenschutzrechtlich relevanten Personenbezug auf. Beispielhaft nennt er die personalisierten E‑Mail-Adressen und Handynummern von selbständigen Unternehmern, die sowohl geschäftlich als auch privat genutzt werden.
Für die Verarbeitung personenbezogener Daten gilt im Datenschutzrecht das sog. Verbot mit Erlaubnisvorbehalt: diese Daten dürfen nur verarbeitet werden, wenn ein Erlaubnistatbestand erfüllt ist. Art. 6 Abs. 1 Satz 1 DSGVO listet diese auf. Im B2B-Bereich sind dafür besonders relevant:
- die Einwilligung der betroffenen Person (Buchstabe a),
- eine gesetzliche Vorschrift, die den Umgang mit den Daten gestattet, (Buchstabe c),
- sowie die Verarbeitung, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und bei der schutzwürdige Interessen der Betroffenen nicht überwiegen (Buchstabe f).
Der Verantwortliche, also diejenige Stelle, die die personenbezogenen Daten verarbeiten wird, muss zudem die Informations- und Transparenzpflichten gegenüber den betroffenen Personen beachten. Spätestens im Zeitpunkt der Datenerhebung müssen sie über die geplante Verarbeitung ihrer Daten und die Zwecke der Verarbeitung informiert werden.
In einer Anfrage des GDD-Erfa-Kreises Coburg bei dem BayLDA ging es um Kontaktdaten von B2B-Ansprechpartnern und um die Frage, auf welcher Rechtsgrundlage diese verarbeitet werden dürfen. Die Aufsichtsbehörde lehnt zunächst Art. 6 Abs. 1 Buchstabe b) DSGVO als einschlägige Rechtsgrundlage ab. Dies aus gutem Grund, denn sie kann nur herangezogen werden, wenn die Vertragsbeziehung zu der betroffenen Person selbst besteht (z.B. Einzelkaufmann). Besteht die Vertragsbeziehung hingegen mit einer juristischen Person, kann die Verarbeitung der personenbezogenen Daten des Ansprechpartners bzw. Mitarbeiters auf Art. 6 Abs. 1 Buchstabe f) DSGVO gestützt werden, „soweit und solange es für die Geschäftsbeziehung zu dem ‚B2B-Partner‘ […] erforderlich ist“ (Datenschutz newsbox, Ausgabe 05/2019, S. 10).
Wenn es um das telefonische Direktmarketing geht, werden im B2B-Bereich sog. „Cold calls“ datenschutzrechtlich kritisiert. Die Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland berichtet im aktuellen Tätigkeitsbericht von einer Untersuchung zu Werbeanrufen, die ohne vorherigen Geschäftskontakt stattfanden (S. 132 ff.). Sie erlies einen Bescheid zur Untersagung solcher Werbeanrufe gegenüber dem verantwortlichen Unternehmen. Der Verwaltungsakt wurde auch vom saarländischen Verwaltungsgericht bestätigt.
Datenschutz im Unternehmen
Doch müssen Unternehmen das Thema „Datenschutz“ nicht nur dann beachten, wenn es um die Beziehung zu dritten Personen außerhalb der eigenen Organisation geht. Besondere Praxisrelevanz hat sich in den Bereichen des Beschäftigtendatenschutzes gezeigt. Davon erfasst sind nicht nur die eigenen Mitarbeiter, sondern auch Bewerber. Die sich in diesem Zusammenhang stellenden Thematiken sind mannigfaltig und reichen von der Frage einer verpflichtenden Beteiligung des Betriebsrates bei der Einführung neuer Software oder bei automatisierten Kontrollmaßnahmen bis hin zu dem datenschutzkonformen Einsatz einer Cloud-basierten Bewerbungssoftware. Auch die datenschutzrechtlichen Probleme bezüglich der Videoüberwachung von Arbeitsplätzen füllen die Tätigkeitsberichte der Aufsichtsbehörden und beschäftigen bereits ausgiebig die Arbeitsgerichte. Im Beschäftigtendatenschutz besteht daher für Unternehmen, wenn dieser nicht bereits umgesetzt wird, dringender Handlungsbedarf.
Idealerweise ist der Datenschutz im Unternehmen Teil der Compliance-Strategie oder wird durch einen internen oder externen Datenschutzbeauftragten in der Umsetzung begleitet. Mit der DSGVO wurden den Datenschutzaufsichtsbehörden umfangreichere Sanktionsmöglichkeiten für die Ahndung von Gesetzesverstößen an die Hand gegeben. Werden personenbezogene Daten etwa ohne entsprechenden Erlaubnistatbestand verarbeitet, hat die zuständige Behörde die Befugnis, ein Bußgeld von bis zu 20 Mio. Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens zu verhängen. Auch hier unterscheidet die DSGVO nicht, ob der Verstoß im Bereich B2C und B2B liegt. Der Datenschutz und seine gesetzlichen Anforderungen stellen eine Querschnittsmaterie dar, die in der Praxis über verschiedenste Anwendungsgebiete wirkt. Daher sollte auch eine interne Strategie oder ein Datenschutz-Management-System diesen ganzheitlichen Ansatz beachten.
zurück