DSGVO - Technisch-organisatorische Maßnahmen

Personalisierte Kontaktdaten der Mitarbeiter von Geschäftspartnern – Ein datenschutzrechtliches Problem?

Je detaillierter Datenverarbeitungsvorgänge in der Unternehmenspraxis betrachtet werden, desto mehr datenschutzrechtliche Probleme scheinen sich zu ergeben. Wie sieht es denn z.B. mit der Verwendung von personalisierten Kontaktdaten aus, die meinem Unternehmen von Geschäftspartnern übermittelt wurden und den Arbeitnehmern des Geschäftspartners zugeordnet sind?

Zur leichteren Behandlung sei hier folgendes Beispiel gewählt. Laura Müller ist eine Mitarbeiterin eines Geschäftspartners unseres Unternehmens und ihre E-Mail-Adresse lautet Laura.Müller@musterfirma.de . Diese E-Mail-Adresse hat der Geschäftspartner nun unserem Unternehmen übermittelt, da Laura Müller unsere Ansprechpartnerin und für die konkrete Zusammenarbeit zwischen den Unternehmen zuständig ist. Ohne ihre E-Mail-Adresse wäre diese Zusammenarbeit unmöglich beziehungsweise sehr erschwert.

Handelt es sich hierbei überhaupt ein datenschutzrechtliches Problem?

Entgegen einer weitverbreiteten Meinung sind auch unternehmensbezogenen, aber personalisierte Kontaktdaten personenbezogene Daten und unterfallen den datenschutzrechtlichen Vorgaben. So ist die E-Mail-Adresse eindeutig der Mitarbeiterin Laura Müller zuzuordnen und demzufolge auch ein personenbezogenes Datum.

Diese Einordnung hat zur Folge, dass unser Unternehmen diese E-Mail-Adresse nicht einfach nach Gutdünken nutzen kann, sondern nur insoweit die Datenschutzgrundverordnung hierfür eine Rechtsgrundlage bereithält. Dies gilt selbst dann, wenn unser Geschäftspartner die personalisierten Kontaktdaten übermittelt hat, um die Geschäftsbeziehung abzuwickeln.

Rechtsgrundlage der Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO

Auf den ersten Blick könnte man auf die Idee kommen, die Verwendung der E-Mail-Adresse auf die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO zu stützen. Schließlich liegt in dem hier geschilderten Beispiel ein Vertrag zwischen unserem Unternehmen und dem Geschäftspartner vor und die Verarbeitung ist auch erforderlich für die Erfüllung dieses Vertragsverhältnisses.

Doch hier ist ein sorgfältiger Blick ins Gesetz notwendig. Nach Art. 6 Abs. 1 lit. b DSGVO darf ein personenbezogenes Datum nur verarbeitet werden, sofern dies zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei die betroffene Person ist.

In unserem Beispiel ist Laura Müller jedoch nicht Vertragspartei. Vielmehr ist der grundlegende Vertrag zwischen zwei Unternehmen geschlossen worden. Laura Müller ist hier nur auf Grund Ihres Arbeitsverhältnisses zu unserem Geschäftspartner involviert.

Demzufolge kann die Nutzung der E-Mail-Adresse nicht auf die Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO gestützt werden.

 

Rechtsgrundlage der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO

Auch wenn Art. 6 Abs. 1 lit. b DSGVO nicht einschlägig ist, muss die Nutzung der E-Mail-Adresse nicht unterbunden werden. Die Datenschutzgrundverordnung bietet in Art. 6 Abs. 1 eine Reihe von möglichen Rechtsgrundlagen, die ohne Rangfolge gleichberechtigt nebeneinanderstehen und auf ihre Anwendbarkeit hin untersucht werden können.

Grundsätzlich könnte daher Laura Müller auch um ihre Zustimmung gebeten werden und die Nutzung der E-Mail-Adresse auf die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestützt werden. Von diesem Vorgehen ist aber aus Praktikabilitätsgründen abzuraten. Neben dem hohen Verwaltungsaufwand spricht vor allem die jederzeitige freie Widerrufbarkeit der Einwilligungserklärung gegen diese Vorgehensweise.

Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO

Die beste Lösung dieses datenschutzrechtlichen Problems liegt hier in der Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO. Für die Begründung können hier auch oben aufgeführte Überlegungen zur Vertragserfüllung herangezogen werden. So liegt in den wirtschaftlichen Gründen der Zusammenarbeit zwischen zwei Unternehmen auch ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO.

Demgegenüber sind die Rechte und Freiheiten von Laura Müller im Regelfall nicht als überwiegend anzusehen. So ist die E-Mail-Adresse trotz Personenbezugs der betrieblichen Sphäre zuzuordnen und die Auswirkungen auf das Informationelle Selbstbestimmungsrecht sind als eher gering anzusehen.

Ausnahmen

Die Rechtsgrundlage des berechtigten Interesses bringt es jedoch mit sich, dass nur ein pauschalisierter Regelfall in der Abwägung berücksichtigt wird. So kann es sein, dass im Einzelfall auf Grund besondere Umstände Art. 6 Abs.1 lit. f DSGVO nicht beziehungsweise erst nach einer sorgfältigen Einzelfallprüfung anwendbar ist.

 

Wie sich gezeigt hat, können auch auf den ersten Blick komplexe Sachverhalte einer datenschutzkonformen und praktikablen Lösung zugeführt werden und die Nutzung personalisierter E-Mail-Adresse bleibt auch in Zukunft möglich.

Sie möchten unsere Unterstützung als externe Datenschutzbeauftragte oder Datenschutz-Consultants? Wir helfen Ihnen gerne weiter. Kontaktieren Sie uns telefonisch unter +49 (0) 8505 91927-0 oder über unser Kontaktformular.

 

 

This post is also available in: Englisch