Empfehlungen, Fragen und weitere Unbillen

 

Im Allgemeinen ist an der Empfehlung etwas dran, nur die Fragen zu stellen, auf die man die Antwort hören/lesen möchte. 

Hier hat sich aber nun die Gesellschaft für Datenschutz und Datensicherheit e.V.  Erfa-Kreise Coburg aus dem Fenster gestürzt und die folgende Frage den bayerischen Landesdatenschützern gestellt: 

 

Wenn Kontaktdaten von Ansprechpartner der B2B-Kunden verarbeitet werden, wie z. B. die Geschäfts-E-Mail-Adresse und Name, handelt es sich hierbei ja auch um personenbezogene Daten (wenn die E-Mail-Adresse aus Vor- und Nachnamen) besteht. Die Ansprechpartner werden im Rahmen des E-Mailkontaktes bei Datenerhebung bzgl. der Punkte des Art. 13 EU-DSGVO in einem PDF hingewiesen. Es wird als Rechtsgrundlage Art. 6 Absatz 1 lit. b DSGVO angegeben, da die Kontaktdaten der Ansprechpartner zur Durchführung des Rechtsgeschäftes mit dem Kunden benötigt werden. Ist die Rechtsgrundlage korrekt?

 

Die Antwort war nicht wirklich befriedigend. Und lautete wie folgt: 

 

„Artikel 6 Absatz 1 Buchstabe b DSGVO als Rechtsgrundlage ist nur einschlägig, wenn die Vertragsbeziehung
zu der natürlichen Person selbst besteht
, um deren Daten es geht, also

zum Beispiel bei einem Einzelkaufmann oder anderen Einzelpersonen (zum Beispiel Selbständigen). Wenn die Vertragsbeziehung dagegen zum Beispiel zu einer GmbH besteht, und es werden personenbezogene (Kontakt-)Daten von Mitarbeitern dieser GmbH gespeichert, wäre Artikel 6 Absatz 1 Buchst. f der DSGVO die „richtige“ Rechtsgrundlage,
aufgrund derer der Verantwortliche die (Kontakt-)Daten dieser Mitarbeiter verarbeiten darf, soweit und solange
es für die Geschäftsbeziehung zu dem „B2B-Partner“ (also zum Beispiel zu der GmbH) erforderlich ist.“

 

Bedeutet dann doch, dass insbesondere im B2B Bereich eigentlich keine "richtige" Rechtsgrundlage hergestellt werden kann. Aha. Und nun? 

 

Nun streiten sich die Geister - oder auch nicht und es werden weitere berechtigte Interessen aus dem
Bereich Bundesdatenschutzgesetz Beschäftigten-Datenschutz und ähnliche 
herangezogen.  Vorschläge 

wie zum Beispiel die Einrichtung einer Sammel-Mail-Stelle um zu verhindern, dass als personenbezogenes 

Datum die geschäftliche E-Mail Adresse des Mitarbeiters dem Kunden oder Lieferanten zu Augen kommt. 

 

Lang und gut - es wogen die Wellen. Und also sprach kein Zarathustra. 

 

Dann also meine persönliche datenschutzbeseelte und eher pragmatische Meinung dazu. 

 

Zum einen: Ich habe einen Mitarbeiter eingestellt, der im Vertrieb arbeitet.  Da empfiehlt es
sich, dass er seine geschäftlichen Kontaktdaten mit 
seinen (potentiellen) Kunden teilt.
Alles andere wäre schlicht Unsinn. 
Als sorgsamer Arbeitgeber weist man den Mitarbeiter
darauf (und auf 
andere Datensammlungen) im Rahmen des Mitarbeiter-Verhältnisses natürlich 
hin. Eine gesonderte Einwilligung dazu sehe ich als nicht notwendig bzw. eher überflüssig an. 

Denn theoretisch könnte man argumentieren, dass sich der Mitarbeiter dagegen nicht
wehren kann. Sogenannt oder auch "Zwang" die Grundlage der 
Einwilligung darstellt. Meiner
Ansicht nach bewegen wir uns dann sachte auf die 
Klingel-Schilder zu. Es ist ein bisschen absurd,
wenn ich die DSGVO an dieser 
Stelle buchstabengetreu auslege. Der Sinn des Datenschutzes ist
es nicht, 
die Geschäftswelt mehr oder weniger in die Illegalität zu treiben. Auch wenn mancher
das argwöhnen oder so auslegen möchte.

 

Mitarbeiter-Wechsel sind in unserer Zeit an der Tagesordnung - und die vorliegende Stellungnahme
würde auch bedeuten, man müsste permanent alle Geschäftspartner 
über den Weggang eines
Mitarbeiters informieren und um Löschung bitten. Nur 
erfasst mich schon ein leichtes
Schwindelgefühl. 

 

Aber nun gut. Tapfer weiter. Nun haben wir je nach Betrieb nicht nur einen sondern eine Vielzahl
von Vertrags- oder vorvertraglichen Maßnahmen. Nicht nur einen 
Ansprechpartner sondern
mehrere. 

 

Grundsätzlich ist Verantwortlicher für die Löschung der Daten jeweils der, der sie speichert,
verarbeitet etc. 
Sprich - auf der einen Seite das Unternehmen des Mitarbeiters, auf der anderen
Seite
das Unternehmen, welches den Mitarbeiter als Ansprechpartner hatte. Hier gilt für
mein Empfinden - aktiv plus X. Zum Beispiel 1 Jahr, wenn man üblicherweise 1-2 mal
im Jahr Kontakt hatte. Früher, wenn der Kontakt häufiger stattfand, man also früher
merken könnte, dass ein neuer Ansprechpartner angegeben wird, sich meldet, etc. 

 

Für den Schutz bzw. die Löschung der Mitarbeiter-Daten ist auf der anderen Seite natürlich
die Unternehmung per se zuständig. 

 

Sollte es zu irgendeinem Zeitpunkt eine Verlautbarung mit gesetzlicher Relevanz dazu geben,
passe ich meine Ansicht dieser dann gerne an. Aber so lange gilt - nicht den Ansprechpartner
mit der DSGVO ausschütten.