Hierfür gibt es eine eindeutige Antwort der DSGVO selbst und zwar unter Art. 1 Abs. 2 DSGVO.

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“

Die DSGVO findet daher ausschließlich Anwendung, wenn es um die Daten natürlicher Personen geht. Nun muss man zunächst wissen, was natürliche Personen sind und ob Geschäftspartner hierunter fallen.

Hier kann Erwägungsgrund 14 der DSGVO weiterhelfen. Dort heißt es wie folgt:

Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

In der deutschen Rechtsordnung gibt es zwei Arten von Personen:

  • Die natürliche Person als einzelner Mensch mit Rechten und Pflichten (§ 1 BGB)
  • Die juristische Person als Personenmehrheit (Organisation) mit Rechten und Pflichten (§ 22 BGB)

Folglich findet die DSGVO ausschließlich Anwendung auf Daten, die einem einzelnen Menschen zugeordnet werden können. Im Umkehrschluss bedeutet das somit, dass die DSGVO keine Anwendung findet auf Daten, die einem Unternehmen (wie beispielsweise einer Aktiengesellschaft, Kommanditgesellschaft, Gesellschaft mit beschränkter Haftung), einer Genossenschaft, einer Stiftung, eines eingetragenen Vereins oder sonstiger juristischer Personen zuzuordnen sind.

Was bedeutet das jetzt aber für die Daten meiner Geschäftspartner?

Die Daten meiner Geschäftspartner sind dann datenschutzrechtlich relevant, wenn sie einer ganz bestimmten Person zugeordnet werden können. Insofern sind Daten von Ansprechpartnern der Unternehmen ebenso DSGVO konform zu behandeln wie Daten von Privatpersonen. Neben den Ansprechpartnern der Unternehmen fallen jedoch auch gerade Daten von Personen hierunter die gerade keine juristischen Personen im Sinne der deutschen Rechtsordnung sind. Das können beispielsweise Notare, Anwälte, eingetragene Kaufleute, etc. sein. Insofern ist es für den Anwendungsbereich der DSGVO sogar irrelevant, ob eine Person eine Umsatzsteuer ID hat oder nicht.

Das heißt vereinfacht ausgedrückt: Sowohl die Stammdaten (Name, Adresse und Kontaktdaten) von Max Mustermann als Privatperson als auch die Stammdaten (Name, Adresse und Kontaktdaten) von Max Mustermann als e.K. sind personenbezogene Daten gemäß Art. 4 Nr.1 DSGVO und müssen daher auch datenschutzkonform behandelt werden.

Die DSGVO findet daher sowohl Anwendung, wenn es um private als auch um geschäftliche Daten eines einzelnen Menschen geht.

Davon abweichend können hier grundsätzlich Sammel-E-Mail-Adressen sowie Telefonnummer behandelt werden, sofern sich dahinter nicht immer ein und dieselbe Person aufhält (wie z. B. eine Servicehotline). Ebenso datenschutzrechtlich irrelevant sind sodann Daten die nur dem Unternehmen (wie der GmbH selbst) zugeordnet werden können wie beispielsweise dessen Adresse (Unternehmenssitz) oder auch eine dem Unternehmen zugeordnete IBAN.

Fazit für meine Geschäftspartnerdaten, die einem einzelnen Menschen zugeordnet werden können?

Kommt man nun zum Ergebnis, dass auch die Daten meiner Geschäftspartner personenbezogene Daten nach der Datenschutz-Grundverordnung sind, müssen auch alle Datenschutzgrundsätze bei der Verarbeitung solcher Daten eingehalten werden.

Das heißt, Verantwortliche sollten

  • vor jeder Verarbeitung (erheben, speichern, übermitteln, etc. – Art. 4 Nr. 2 DSGVO) prüfen, ob auch eine Rechtsgrundlage vorliegt.
  • ihre Geschäftspartner transparent über die Datenverarbeitung informieren.
  • sicherstellen, dass auch die Stammdaten der Geschäftspartner durch ordnungsgemäße technische und organisatorische Maßnahmen vor Zugriffen Unbefugter geschützt sind,
  • ihre Geschäftspartnerdaten löschen oder anonymisieren, wenn der Zweck für den sie erhoben wurden, weggefallen ist (einfach gesagt, wenn sie nicht mehr benötigt werden (d. h. der Ansprechpartner ist nicht mehr im Unternehmen tätig, man hat einen neuen Ansprechpartner, usw.)
  • nur die personenbezogenen Daten ihrer Ansprechpartner bzw. Geschäftspartner speichern, die auch für den Zweck erforderlich sind (so wenig wie möglich, so viel wie nötig).