Die DSGVO im B2B-Bereich: Wie Sie sich richtig schützen!

Immer wieder wundern sich Unternehmen, wenn sie auf Datenschutzhinweise für Ihre Geschäftspartner:innen angesprochen werden. Verständnisloses Kopfschütteln ist meist die Folge und Aussagen wie: „Die DSGVO gilt doch nicht im B2B-Bereich“. Wir räumen mit der Annahme auf, dass die DSGVO nur für Verbraucher:innen gilt und zeigen Ihnen, wie Sie personenbezogene Daten im B2B-Bereich richtig schützen nach den Informationspflichten der Art. 13 und Art. 14 DSGVO.

In der Tat halten die wenigsten Geschäftsleute Informationen zur Datenverarbeitung ihrer geschäftlichen Kontakte bereit oder legen sie sogar bei Vertragsabschluss als Anlage bei. Doch nur weil es fast alle so machen, heißt das leider nicht, dass es richtig ist.

Personenbezogene Daten fallen auch im B2B-Bereich unter die DSGVO

Anders als viele meinen, unterscheidet die DSGVO nicht zwischen B2B und B2C Bereich, sondern schützt allgemein personenbezogene Daten. Das bedeutet: auch solche von Unternehmer:innen. Nicht jedoch von juristischen Personen (GmbH, AG etc.) – denn diese sind eben keine natürlichen Personen und haben deshalb auch keine personenbezogenen Daten. Vielleicht rührt daher der Irrtum.

Weiter wird im geschäftlichen Kontext eher mal das berechtigte Interesse als überwiegend angesehen (z.B. bei Direktmarketing). Auch das gilt allerdings nicht pauschal, wie wir sehen werden.

Doch nun zu den Einzelheiten.

Was sind personenbezogene Daten im B2B-Bereich?

Personenbezogene Daten stellen einen unmittelbaren oder mittelbaren Bezug zu einer individuellen Person her. Betroffen sind demnach folgende Personenkategorien:

• Einzelkaufmann/-kauffrau
• Mitarbeiter:innen eines Unternehmens (auch einer juristischen Person wie einer GmbH oder AG)
• Geschäftsführer:in etc. eines Unternehmens (auch einer juristischen Person wie einer GmbH oder AG)
• Personengesellschaften wie OHG und GbR, denn auch hier geben Informationen Auskunft über die natürlichen Personen, die die Gesellschaft darstellen

Trickreich ist auch eine GmbH, die nur aus einer Person besteht. Hier beziehen sich die Informationen über die GmbH mittelbar auch auf die natürliche Person und sind streng genommen als personenbezogene Daten einzuordnen (der oder die Geschäftsführer:in selbst ist ja sowieso eine natürliche Person, s.o.).

Häufiger Irrtum!: Auch wenn Verbraucher:innen ausdrücklich vom geschäftlichen Kontakt ausgeschlossen sind, hilft Ihnen das also nicht! Kontaktdaten natürlicher Personen bleiben personenbezogene Daten, auch wenn es rein geschäftliche Kontakte sind.

Zu personenbezogenen Daten zählen demnach:

• Name
• Telefonnummer, unter der konkret diese Person zu erreichen ist
• Emailadresse, unter der konkret diese Person zu erreichen ist (also sowohl Mitarbeiter:innen als auch Geschäftsführer:in eines Unternehmens)

Nicht personenbezogene Daten sind demnach im Regelfall:

• Telefonnummer der Zentrale (dies kann also auch für das Geschäft eines/einer Einzelkaufmanns/-kauffrau gelten)
• allgemeine Emailadresse wie info@emailadresse oder support@emailadresse

Was gilt es für die Verarbeitung dieser Daten zu beachten?

Wichtig für Sie zu wissen ist, dass Sie eine Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten brauchen. Auch im B2B Bereich überwiegt nicht automatisch das berechtigte Interesse, so dass Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden könnte.

Allerdings kann die Verarbeitung geschäftlicher Kontaktdaten natürlicher Personen leichter auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, da hier die Privatsphäre der Person weniger betroffen ist.

Als Rechtsgrundlage kommen zumeist in Betracht:

• Anbahnung, Abschluss und Durchführung eines Vertragsverhältnisses, Art. 6 Abs. 1 lit. b DSGVO
• die Einwilligung, Art. 6 Abs. 1 lit. a DSGVO
• das berechtigte Interesse, Art. 6 Abs. 1 lit. f DSGVO. Dies gilt z.B. auch innerhalb einer Vertragsbeziehung mit einem Unternehmen für die Datenverarbeitung von Ansprechpartner:innen/Geschäftsführer:innen. Die Verarbeitung ist während der Durchführung des Vertrags mit der juristischen Person erforderlich.

Beispiel: Gibt Ihnen jemand im geschäftlichen Kontext seine/ihre Visitenkarte (soweit das noch getan wird), ohne dass es bereits eine Vertragsanbahnung gibt, wird zu Recht vertreten, dass von einer konkludierten Einwilligung in die Verarbeitung der Daten auf der Visitenkarte ausgegangen werden kann (also Art. 6 Abs. 1 lit. a DSGVO). Das heißt, Sie können sie aufbewahren, die Daten zur Kontaktaufnahme nutzen, usw. Nicht von der Einwilligung gedeckt wäre jedoch, dass Sie sie an ein Unternehmen weitergeben, das Adressen verkauft.

Genauso, allerdings nicht ganz so eindeutig, wird dies vertreten im Zuge der Direktwerbung oder auch der Kaltakquise über eine geschäftliche Emailadresse oder geschäftliche Telefonnummer. Hier wird oft eine mutmaßliche Einwilligung oder zumindest ein überwiegendes, berechtigtes Interesse angenommen (Art. 6 Abs. 1 lit. f DSGVO). Doch gerade bei der Telefonnummer ist hier Vorsicht geboten, und es sollte nicht übertrieben werden.

Grundsätzlich brauchen Sie auch hier bei geschäftlichen Kontakten den Nachweis einer Einwilligung oder es müssen die Voraussetzungen für § 7 Abs. 3 UWG vorliegen.

Brauche ich für meine geschäftlichen Kontakte Datenschutzhinweise?

Ja. Auch für personenbezogene Daten im B2B-Bereich gilt Art. 13 DSGVO. Sie müssen Ihre Geschäftspartner:innen über die Verarbeitung ihrer personenbezogenen Daten informieren. In die entsprechenden Datenschutzhinweise (viele sprechen in diesem Kontext auch gern von einem Datenschutzblatt) müssen Sie also informieren darüber:

• wer der/die Verantwortliche ist
• wann Sie zu welchem Zweck die personenbezogenen Daten verarbeiten
• ob die Daten auch an dritte Empfänger:innen (intern und extern) übermittelt werden und zu welchem Zweck
• Empfängerkategorien (und nach aktueller Rechtsprechung sogar die konkrete Identität soweit möglich)
• Drittlandsübermittlung
• Betroffenenrechte

Wann und wie muss ich meinen Geschäftspartner:innen die Datenschutzhinweise zugänglich machen?

Genau genommen müssen Sie in dem Moment informieren, in dem es zur Datenverarbeitung kommt, also auch schon bei vorvertraglichen Maßnahmen. Spätestens wenn es zum Vertragsschluss kommt, sollten Sie Ihren Geschäftspartner:innen die Datenschutzhinweise zur Verfügung stellen oder sie darauf hinweisen, wo sie zu finden sind. Auch wenn es derzeit immer noch unüblich ist, Datenschutzhinweise im B2B Bereich beizulegen oder bereitzuhalten, sollten Sie darauf vorbereitet sein, jederzeit die nötigen Informationen vollständig zur Verfügung zu stellen.

Sollte die Verarbeitung der personenbezogenen Daten Ihrer Verbraucherkund:innen identisch mit der Ihrer Geschäftspartner:innen/-kund:innen sein, können Sie die Datenschutzhinweise sogar in einem Dokument zusammenfassen und dies in der Überschrift kenntlich machen. Dazu kommt es allerdings seltener, denn überwiegend unterscheiden sich die Verarbeitungen oder die Anzahl der Verarbeitungen in den beiden Personenkategorien. Deshalb ist es in der Regel übersichtlicher, zwei getrennte Dokumente zu haben.

Fazit:

Auch im B2B-Bereich müssen Sie bei personenbezogenen Daten die DSGVO beachten. Auch im B2B-Bereich benötigen Sie Datenschutzhinweise, die Ihre Geschäftspartner:innen darüber informieren, wie und zu welchen Zwecken Sie deren personenbezogene Daten verarbeiten und an welche Empfänger:innen Sie die Daten übermitteln.

Sollten Sie bei der Erstellung von Datenschutzhinweisen im B2B-Bereich Hilfe benötigen, unterstützen wir Sie gern. Sprechen Sie uns an.