Das Angebot an Vorträgen, Seminaren oder Tagungen wächst ununterbrochen. Die Veranstaltungen dienen beruflichen, gesellschaftlichen oder freizeitlichen Zwecken und erfreuen sich großer Beliebtheit. In der Regel ist eine Anmeldung zur Teilnahme erforderlich. Hierbei fallen personenbezogene Daten an. Rechtsanwalt Stefan-Marc Rehm gibt Auskunft, wie mit diesen Daten umzugehen ist.
Herr Rehm, was versteht man unter personenbezogenen Daten?
Ist eine Information mit einem konkreten Namen verbunden, steht der Personenbezug per se fest. Das Gleiche gilt, wenn zwar nicht der Name, aber die Anschrift, die Telefonnummer oder die E-Mail-Adresse mit einer Information verbunden sind, denn auch dann entsteht der Bezug zu einer bestimmbaren Person. Dabei reicht es aus, dass ein überschaubarer Personenkreis in Betracht kommt, etwa bei einem Telefonanschluss für mehrere Mitglieder eines Haushalts.
Und wie sieht es mit der Kontonummer aus?
Auch Kontonummern, Rentenversicherungsnummern, Personalnummern, Kfz-Kennzeichen etc. sind im Sinne des Datenschutzrechts personenbezogen, da sie zwar grundsätzlich anonyme Daten sind, aber relativ einfach einer Person zugeordnet werden können.
Gibt es noch weitere Kriterien?
Auch besondere Eigenschaften können als Information ausreichen, um eine einzige Person zu identifizieren. Bei der Angabe „die bislang einzige Bundeskanzlerin“ ist schließlich klar, wer gemeint ist.
Und wer legt fest, was personenbezogene Daten sind und wie damit umzugehen ist?
Maßgeblich sind in erster Linie das Bundesdatenschutzgesetz (BDSG) sowie die einzelnen Landesdatenschutzgesetze (LDSG), die sich an öffentliche Stellen der Länder und Gemeinden richten. Das BDSG verpflichtet neben Bundesbehörden auch sog. nicht-öffentliche Stellen. Hierunter fallen insbesondere Unternehmen, Vereine etc., aber auch natürliche Personen und somit auch kommerzielle Anbieter von Seminaren und einzelne Referenten.
Schutzgut dieser Normen sind die personenbezogenen Daten. Dies sind nach § 3 Abs. 1 BDSG und entsprechenden Bestimmungen der LDS-Gesetze „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, also alle Daten, die eine Person näher beschreiben, sowie solche, aus denen sich die Identität einer Person konstruieren lässt.
Welche Daten, Herr Rehm, darf ein Seminaranbieter also abfragen?
Geht es z. B. allein um den Vertragsschluss, die Vertragsdurchführung oder -beendigung, dürfen nicht-öffentliche Stellen die erforderlichen Daten (Name und Kontaktdaten) erheben und für eigene Zwecke verarbeiten und nutzen; schließlich muss bekannt sein, wer Vertragspartner oder in unserem Beispiel Teilnehmer ist. Hierzu bedarf es keiner weiteren Einwilligung (§ 28 BDSG). Die Zwecke sind jedoch konkret festzulegen und sollten den jeweiligen Personen mittels Datenschutzerklärung mitgeteilt werden.
Erheben, verarbeiten und nutzen – was ist damit genau gemeint?
Erheben ist die reine Beschaffung von Daten, Verarbeiten jedes Speichern, Verändern, Übermitteln, Sperren und Löschen, Nutzen jede andere Verwendung (§ 3 Abs. 3 bis 5 BDSG).
Das Datenschutzrecht folgt dem sog. Verbotsprinzip mit Erlaubnisvorbehalt (§ 4 BDSG). Hiernach ist bereits die Erhebung personenbezogener Daten zunächst grundsätzlich verboten. Öffentlichen Stellen muss ein Gesetz die Erhebung und auch weitere Verarbeitung und Nutzung erlauben. Aber auch die ausdrückliche und in aller Regel schriftliche Einwilligung der betreffenden Person ist möglich (§ 4a BDSG). Nicht-öffentliche Stellen benötigen diese grundsätzlich.
Das BDSG lockert dieses Verbotsprinzip mit den umfangreichen Regelungen des § 28 BDSG selbst allerdings erheblich auf, insbesondere um den Notwendigkeiten des Geschäftslebens gerecht zu werden.
Und was muss ein Veranstalter noch beachten?
Sowohl Veranstalter als auch Referenten haben an der Erhebung und Nutzung der Teilnehmerdaten ein Interesse: Auf die eine Veranstaltung folgt die nächste. Gezielte persönliche Einladungen reduzieren Werbungskosten und versprechen geschlossene Sitzreihen. Insbesondere kostenpflichtige Angebote, wie Folgeseminare oder schriftliche Veröffentlichungen, können der bereits passenden Person unterbreitet werden.
Die zu machenden Angaben gehen dann über Namen und Anschrift hinaus. So werden neben dem Geburtsdatum gerne auch der Familienstand, der Beruf, das Jahreseinkommen oder sonstige Interessen abgefragt. Es ist jedoch zu überlegen, ob und inwieweit diese Daten von den Veranstaltern gesammelt und genutzt werden dürfen.
Können Sie ein Beispiel machen, wann Daten zu Werbezwecken eingeholt werden?
Der Anbieter einer EDV-Schulung fragt die Teilnehmer z. B. „Interessieren Sie sich für ...“ und dann folgen mehrere Antwortmöglichkeiten, die man ankreuzen kann. Ziel ist es, die Daten zu Werbezwecken zu verarbeiten und zu nutzen. Dies stellt zwar ein verständliches, jedoch kein „berechtigtes Interesse“ im Sinne des BDSG dar. Die Information „X interessiert sich für Natur“ dient der Erstellung eines Kundenprofils zu Marketingzwecken und dies ist nicht mehr vom gesetzlichen Begriff des berechtigten Interesses gedeckt.
Zurück zum Beispiel: Im Februar erhält der Teilnehmer der EDV-Schulung, der als Interesse Natur angekreuzt hat, auf einmal Werbung für eine Veranstaltung à la „Frühlingszeit heißt Gartenarbeit – Wie säe ich richtig?“ Diese Einladung ist jedoch nur möglich, da die Interessenangabe personenbezogen erfolgt ist, da auf dem Fragebogen auch der Name oder die E-Mail-Adresse eingetragen wurde.
Im Beispiel kommt es also darauf an, ob und inwieweit der Teilnehmer der EDV-Schulung der Erhebung, Verarbeitung und Nutzung der Angaben über sein Interesse für die Natur zugestimmt hat. Nur bei Vorliegen einer entsprechenden Einwilligung, darf der Veranstalter die Angaben erheben, verarbeiten und nutzen.
Und darf der Veranstalter die Teilnehmerdaten an den Referenten weitergeben?
Die Frage, ob die Daten der Teilnehmer an die Referenten weitergegeben werden dürfen, stellt sich deshalb, da die vortragenden Referenten häufig eingeladene Dritte sind.
Grundsätzlich ist für jede Weitergabe von Daten an Dritte – in unserem Beispiel an den Referenten – eine Einwilligung des Teilnehmers erforderlich. Die betroffene Person muss vor der Einwilligung jedoch auf den vorgesehenen Zweck der Erhebung, Verarbeitung und Nutzung (und ggf. auf die Folgen einer Verweigerung) hingewiesen werden.
Grundsätzlich ist die Einwilligung schriftlich einzuholen, was schon aus Gründen der Rechtssicherheit ratsam ist. Wenn die Einwilligung als eine von mehreren Erklärungen, etwa auf einem Vertragsvordruck, erscheint, muss sie zudem besonders hervorgehoben werden (§ 4 a BDSG).
Vielen Dank, Herr Rehm, für Ihre Antworten.
Die Kanzlei "talanwälte" besteht aus der Rehm & Siriu Rechtsanwaltssozietät und selbstständigen Rechtsanwälten, die in Bürogemeinschaft tätig sind. Sie vertritt mittelständische Unternehmen, Kleinunternehmer und Privatpersonen aus allen Bereichen der Gesellschaft und aus dem gesamten Bundesgebiet. Die Tätigkeitsfelder sind Strafrecht, Umweltrecht, Wirtschaftsrecht, Arbeitsrecht, Verkehrsrecht.
Das Interview führte Bettina Brucker M. A., Freie Journalistin und Autorin.