Das Messejahr scheint dieses Jahr zwar nicht im gewohnten Umfang stattfinden zu können, trotzdem erreichen uns immer wieder Anfragen zu Themen wie Informationspflichten am Messestand, Kundenakquise und der Umgang mit Visitenkarten. Im Post-Coronazeitalter werden wieder viele Gewerbetreibende auf Messen strömen und dort um die Gunst neuer Kunden buhlen. Hierbei kommen Sie unausweichlich mit personenbezogenen Daten in Kontakt. Es folgt eine Übersicht was bei typischen Messeszenarien zu beachten ist.
Der Inhalt im Überblick
Der überzeugte Kunde
Wir nehmen an, Sie sind Aussteller einer großen Automobilmesse. An ihrem Stand liegen verschiedene Kataloge und Infomaterialien zu ihren Flaggschiffen Auto A, Auto B und Auto C aus.
Sie konnten einen Besucher ihres Standes aufgrund ihres Verkaufsgeschick von Auto A überzeugen. Kurzerhand entschließt er sich, dass Fahrzeug noch vor Ort zu erwerben. Sie zücken das Bestellformular für Neukunden und nehmen seine Daten auf. Irrelevant ist hierbei, ob Sie zum Erfassen ein good-old Papierformular oder eine digitale Variante einsetzen. Was gilt es nun zu beachten?
Es gilt: So viel wie nötig, so wenig wie möglich
Zunächst ist der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO zu beachten. Sie dürfen daher nur diejenigen personenbezogenen Daten abfragen, die Sie auch tatsächlich zur Abwicklung der Kundenbestellung benötigen. In der Regel dürfte der Name, die Lieferanschrift und eine Kontaktmöglichkeit ausreichend sein. Der ausgeübte Beruf? Der Familienstand? Es ist, wie so oft, eine Frage von Fall zu Fall. Sofern mit dem Autokauf etwa zeitgleich auch ein Finanzierungsdarlehen einhergeht, erweitert sich die zulässige Abfrage etwa auch auf Daten, die Rückschlüsse über die Bonität des Kunden geben können. Überlegen Sie stets, welche Daten sind tatsächlich zur Erbringung meiner vertraglichen Leistungen erforderlich?
Informationspflichten am Messestand
Nach Art.13 DSGVO muss ihr Kunde im Zeitpunkt der Erhebung seiner Daten alle diejenigen Informationen erhalten, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Durch das Dokument beantworten Sie als verantwortlicher Datenverarbeiter typische W-Fragen: Wer verarbeitet hier? Welche Zwecke verfolge ich dabei? Wer erhält die Daten noch? Wie lange werden sie gespeichert? Welche Rechte hat mein Kunde?
In unserem Beispiel bietet sich eine abgedruckte Erklärung an. Diese kann als Anhang dem Vertrag oder der Bestellbestätigung beigefügt werden und dem Kunden so dauerhaft zur Verfügung gestellt werden. In der Printversion sicherlich die rechtssicherste Variante. Nicht notwendig ist jedoch, dass der Kunde den Erhalt der Informationen mittels Unterschrift oder Checkbox bestätigt. Um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu genügen, ist vielmehr entscheidend, dass der gesamte Prozess so organisiert ist, dass jeder Kunde letztlich die Möglichkeit der Kenntnisnahme hat. Sofern die Daten digital erhoben werden und die Bestellbestätigung etwa per Mail an den Kunden verschickt wird, kann es zweckmäßig sein, die Erklärung zusätzlich als Anhang zu verschicken.
Rechtsgrundlage für die Verarbeitung
Die rechtliche Grundlage in diesem Fallbeispiel ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die bei Bestellung des Autos verarbeiteten Daten sind zur Vertragserfüllung notwendig. Eine explizite Einwilligung des Kunden bedarf es an dieser Stelle nicht.
Der zweifelnde Kunde
In diesem Fall konnten Sie trotz intensivster Bemühungen den Besucher vom Kauf eines ihrer Autos noch nicht vollends überzeugen. Er interessiert sich sowohl für Modell A, als auch für Modell B und wünscht weitere Informationen. Auch hierzu haben Sie ein Formular (print oder digital). Um dem Kunden die Kaufentscheidung zu erleichtern, bieten Sie ihm den Versand einer Hochglanzbroschüre per Post oder in digitaler Form per E-Mail an. Je nachdem welche Art der Besucher wählt, dürfen sie entsprechend Daten erheben. Zum Versand brauchen Sie zwingend die Anschrift, aber wohl nicht die Mailadresse. Sofern die Broschüre per Mail gewünscht ist, brauchen Sie nicht zwingend die Anschrift.
Berechtigte Interessen an der Verarbeitung?
Sollte es bereits zu konkreten Verkaufsgesprächen gekommen sein, halte ich hier ebenfalls Art. 6 Abs. 1 S. 1 lit. b DSGVO aufgrund der Vertragsanbahnung für vertretbar. Hier kann die Abgrenzung im Einzelfall jedoch schwierig sein. Jedenfalls haben Sie ein berechtigtes Interesse an der Verarbeitung der Daten ihres potenziellen Kunden gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Sie selbst haben ein wirtschaftliches Interesse an der Zusendung des Infomaterials, da Sie sich erhoffen, den Besucher überzeugen zu können und so einen Neukunden zu gewinnen. Die erforderliche Interessenabwägung dürfte in diesem Fall zu ihren Gunsten ausgehen. Die Anfrage, das gewünschte Infomaterial zu erhalten, ist vom Besucher selbst ausgegangen. Ihm ist bewusst und er kann absehen, dass seine Daten gerade zu diesem Zweck verwendet werden und erforderlich sind. Der Besucher hat mithin ein eigenes Interesse an der Verarbeitung seiner Daten zur Beantwortung seiner Broschürenanfrage.
Ein dauerhafter Messe-Lead?
Dürfen Sie die so gewonnen Daten nun dauerhaft nutzen? Nach Art. 5 Abs. 1 lit. b DSGVO gilt ein strenger Zweckbindungsgrundsatz. Sie dürfen personenbezogene Daten nur solange verarbeiten, wie auch der Erhebungszweck fortbesteht. Danach sind die Daten zu löschen. In diesem Fall wäre der Zweck nach der Zusendung des gewünschten Materials zu entfallen. An dieser Stelle begehrt die Marketingabteilung regelmäßig auf. Man habe doch noch weitere tolle Angebote und Informationen für potenzielle Kunden. Können wir die einmal erhobenen Daten nicht auch für weitere werbliche Maßnahmen nutzen?
Einwilligungserfordernis für Werbenewsletter
Zwar kann ein berechtigtes Interesse von Ihnen als Aussteller sein, die am Messestand gewonnen E-Mail oder Kontaktdaten auch weiterhin zu Werbezwecken zu verwenden. Neben der DSGVO müssen Sie jedoch beachten, dass nach § 7 UWG eine werbliche Ansprache per E-Mail grundsätzlich nur mit vorheriger ausdrücklicher Einwilligung des Besuchers möglich ist. Es gilt daher streng zu unterscheiden, zwischen der vom Kunden gewünschten Infos zu Auto A und Auto B und darüber hinaus gehender Werbemails etwa zu Auto C oder Zubehör XYZ.
Wollen Sie dem Besucher also im Nachgang zur Messe über seine konkreten Broschürenwunsch hinaus weiterführende Werbung wie z.B. den Unternehmens-Newsletter per Email zusenden, sollten Sie sich hierfür zuvor eine Einwilligungserklärung einholen. Das kann mittels Checkbox auf dem Formular oder in einer Digitalversion erfolgen.
Double Opt-In und Protokollierung beachten
Durch das Double-Opt-In-Verfahren stellen Sie sicher, dass nur diejenigen E-Mail-Adressen beworben werden deren Inhaber dies auch wünschen. Nur wenn der Inhaber der Mailadresse eine Bestätigungsmail erhält und den darin enthaltenen Aktivierungslink klickt, haben Sie einen Nachweis über seine Einwilligung. Achten Sie darauf, dass die Bestätigungsmail keine werblichen Inhalte enthalten. Ein Firmenlogo oder Impressum, welches die Seriosität ihres Anliegens verdeutlicht, ist zulässig.
Der Großkunde
An ihrem Stand erscheint ein Unternehmer aus dem Taxigewerbe. Zunächst Interessiert er sich für die aktuell angebotene Flotte. Er möchte aber auch künftig informiert bleiben – benötigt er doch regelmäßig Fahrzeuge in hoher Stückzahl. Er überreicht Ihnen seine Visitenkarte. Man möge doch bitte in Kontakt bleiben.
Informationspflichten adäquat erfüllen
Sofern Sie jetzt die Visitenkartendaten in ihr CRM-System übertragen wollen, bestehen erneut die Informationspflichten aus Art. 13 DSGVO. Nun wird kaum ein Besucher Lust dazu haben, von jedem Stand an dem er seine Visitenkarte hinterlässt, im Austausch eine ausgedruckte Erklärung in die Hand gedrückt zu bekommen. Diese Pflicht können Sie daher durch Informationsschilder oder ausgelegten Flyern nachkommen. Gerade bei B2B-Kontakten wird man in der Regel davon ausgehen dürfen, dass der Besucher mit einer Verarbeitung der Kontaktdaten nach der Messe rechnet und dies sogar erwünscht ist. Sollte die Kartenübergabe mit einer konkreten Anfrage zu Produkten oder dem Erhalt von Informationen verbunden ist, erscheint es zudem zweckmäßig bei erstmaliger Kontaktaufnahme auf den Umgang mit Kundendaten hinzuweisen. Dies kann dann entweder per Link auf die Erklärung oder als Mailanhang erfolgen. Aber Achtung: Für weiterführende Werbemails über ein konkretes Angebot oder Anfrage hinaus gilt auch für Geschäftskunden das strenge Einwilligungserfordernis.
Pragmatische Lösungen sind gefragt
Grundsätzlich hat die Datenschutz-Grundverordnung bei der praktikablen Erfüllung von Informationspflichten strukturelle Schwächen. Denken Sie zum Beispiel an die Warenbestellung per Telefon. Ein Vorlesen der Informationspflichten vor Aufnahme der Kontaktdaten wäre unzumutbar. Die Information über Transparenz und Fairness der Verarbeitung müssen hier auf die gegebenen Umstände des Geschäftslebens angepasst werden, ohne ihre Sinnhaftigkeit zu verlieren. Im Zweifel hilft Ihnen ihr Datenschutzbeauftragter bei einer praxisgerechten Umsetzung sicher gerne weiter.
… „Die Information über Transparenz und Fairness der Verarbeitung müssen hier auf die gegebenen Umstände des Geschäftslebens angepasst werden, ohne ihre Sinnhaftigkeit zu verlieren.“ …
Dazu ein weiterer Artikel mit Praxisbeispielen wäre sicherlich hilfreicher als der Hinweis: „Im Zweifel hilft Ihnen ihr Datenschutzbeauftragter bei einer praxisgerechten Umsetzung sicher gerne weiter.“
Zur Leserschaft werden sicherlich viele betriebl. Datenschutzbeauftragte gehören, die „hauptberuflich“ andere Aufgaben in den KMU’s wahrnehmen. Denen bringen Artikel mit Fallbeispielen und Lösungen mehr, als ausschweifende „Rechtsgutachten“.
In dem Artikel werden drei praxisnahe Fallbeispiele mit Lösungsansätzen beschrieben. Gleichwohl erhebt der Artikel nicht den Anspruch die einzig möglichen Lösungen zu präsentieren sondern soll und kann lediglich eine Hilfestellung sein. Die konkrete Umsetzung der gesetzlichen Anforderungen ist zudem stark einzelfallabhängig. Wir hoffen dennoch, dass das Sie etwas nützliches mitnehmen konnten.