Winterzeit ist Messezeit. Aussteller*innen und Messebesucher*innen strömen in Scharen auf Messen, um die neusten Innovationen zu branchenspezifischen Bereichen zu entdecken und sich zu vernetzen.

Insbesondere Aussteller verarbeiten auf Messen eine Vielzahl von Besucherdaten durch das „Sammeln“ von Visitenkarten. Auf diesen sind in der Regel personenbezogene Daten wie Namen, Adresse, Beruf, Position und Unternehmen aufgeführt. Der Austausch von Visitenkarten ist ein „alltäglicher“ Vorgang. Doch stellt sich die Frage, auf welche Rechtsgrundlage dieser gestützt werden kann.

Wie es nach der ersten Kontaktaufnahme weitergeht und zu welchen Zwecken die personenbezogene Daten von Visitenkarten verarbeitet werden könnten, lesen Sie in diesem Beitrag.

Es ist zu unterscheiden

Im B2C Bereich kann die Verarbeitung der Besucherdaten auf die Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden, da diese Daten zur Durchführung von vorvertraglichen Maßnahmen zwischen Aussteller und dem Besucher erforderlich sind.

Im Gegensatz dazu greift im B2B Bereich die Rechtsgrundlage des Art. 6 Abs.1 S.1 lit. f DSGVO. Das berechtigte Interesse des Ausstellers liegt darin, mit dem Ansprechpartner des jeweiligen Unternehmens zu kommunizieren und unter Umständen einen Vertrag mit der juristischen Person abschließen zu können.

Diese Informationen reichen Ausstellern oftmals nicht aus, um bestmögliche Kundenakquise und Marketing betreiben zu können. Deshalb werden in vielen Fällen erhobene personenbezogene Daten über öffentlich zugänglichen Quellen und Datenbanken zusätzlich angereichert.

Für die Gewinnung (Scraping) von personenbezogenen Daten aus öffentlich zugänglichen Quellen könnte auf die Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO abgestellt werden. Das berechtigte Interesse des Unternehmens könnte darin liegen, eine möglichst große Datenbank mit berufsbezogenen Daten der betroffenen Personen zu pflegen, damit ein möglichst vollständiges Bild von Unternehmen oder Personen gepflegt und Marketingmaßnahmen individuell ausgestaltet werden können. Herangezogen werden kann auch Erwägungsgrund 47 der DSGVO. Danach muss für die betroffene Person zum Zeitpunkt der Erhebung der Daten vernünftigerweise eine Verarbeitung zu dem entsprechenden Zweck absehbar sein. Dies kann bei der Veröffentlichung personenbezogener Daten im frei zugänglichen Netz durchaus vorliegen, sollte aber stets im Einzelfall geprüft werden. Hinzuweisen ist jedoch an dieser Stelle, dass die Grundsätze des Datenschutzes zwingend beachtet werden müssen. Laut der spanischen Datenschutzaufsichtsbehörde AEPD sind vor allem die Grundsätze der Zweckbindung (Art. 5 Abs. b DSGVO), Datenminimierung (Art. 5 Abs. c DSGVO) und Richtigkeit der Daten (Art. 5 Abs. d DSGVO) zu gewährleisten (vgl. Taeger/Pohle ComputerR-HdB/Hense Teil 3. 33.2 Rn. 62, 65; vgl. Dallmann/Busse: Verarbeitung von öffentlich zugänglichen personenbezogenen Daten, ZD 2019, 394 (396)).

Darüber hinaus unterliegt der Aussteller als Verantwortlicher der gesetzlichen Verpflichtung aus Art. 13 DSGVO (Direkterhebung) und Art. 14 DSGVO (Dritterhebung) die betroffenen Personen über die Verarbeitung der Besucherdaten umfassend zu informieren. Die Erfüllung dieser Verpflichtung gestaltet sich in der Praxis oftmals schwierig. Denkbar wäre bspw. ein Aushang oder QR-Code am Messestand.