DSGVO: Bestellungen & Kundenakquise auf Messen
Ein neues Jahr beginnt. Somit für viele Gewerbebetreibende auch ein neues Messejahr. In der Messezeit stehen manche Planungsteams und Organisatoren unter Stress. Von einem gelungenen Messeauftritt kann schließlich der Erfolg eines Unternehmens abhängen. Wer am eigenen Messestand nicht nur Infomaterial und Proben aushändigt, sondern die Plattform auch zur Kundenakquise nutzt oder direkt Anmeldungen oder Bestellungen aufnehmen möchte, der kommt unweigerlich mit personenbezogenen Daten in Kontakt. Personenbezogene Daten fallen in den Anwendungsbereich der DSGVO. Um dir Stress und Recherche zu ersparen, hier eine Übersicht, was bei (analogen und digitalen) Formularen auf Messen zu beachten ist. Die Regelungen gelten übrigens nicht nur für Messen, sondern auch für andere Arten der Akquise oder direkte Kundenbestellungen.
Inhaltsverzeichnis
Was muss bei Kunden-Formularen beachtet werden?
Grundsätzlich sollte kein direkter Zugriff auf die Formulardaten gegeben werden. Das bedeutet, dass kein Formular ausgelegt werden sollte, bei dem jeder Einblick auf die Daten seines Vordermanns oder sogar die kompletten Listeneinträge erhält. Zusätzlich muss der Grundsatz der Datenminimierung beachtet werden. Personenbezogene Daten müssen nach Art. 5 Abs. 1 lit. c DSGVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden. Das bedeutet, dass keine zusätzlichen Daten grundlos erhoben werden dürfen, wenn diese nicht dem bestimmten Zweck dienen. Du darfst also nicht zwingend die Angabe des Geburtsortes verlangen, wenn dieser für die entsprechende Dienstleistung irrelevant ist. Werden diese Daten freiwillig mit dem Einverständnis des jeweiligen Kunden gegeben, ist die Rechtsgrundlage eine andere. Mehr dazu später.
Die Kunden müssen nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung der Daten mittels der Datenschutzerklärung informiert werden. Die Datenschutzerklärung kann auf verschiedene Arten eingebunden werden. Von einer mündlichen Datenschutzbelehrung bei jedem Kunden rate ich ab. Erspare dir einfach den Aufwand und nachweisbar ist diese Form auch nicht. Eine weitere Möglichkeit ist es, die Datenschutzerklärung zu verlinken. Also einen Hinweis auf den Fundort der Datenschutzerklärung mittels Weblink zu geben. Bei online Aktivitäten durchaus praktikabel, um Platz zu sparen, ist diese Möglichkeit bei offline Formularen nicht ratsam. Gerade bei einer Messe kann nicht davon ausgegangen werden, dass jeder neue Kunde einen entsprechenden Internetzugang hat, um die Erklärung abzurufen. Bleibt also nur die offline Methode: eine Datenschutzerklärung ausgedruckt zu Verfügung stellen. Ich rate dazu, keine einseitige Datenschutzerklärung auszulegen, sichtbar zu platzieren oder sogar dem Kunden auszuhändigen. Am einfachsten ist es, den Datenschutzhinweis mit auf das Kundenformular abzudrucken. Dadurch gibst du Dritten deine hart erarbeitete Datenschutzbelehrung nicht preis und hast auch ohne eine Checkbox im Stil von „Ich bestätige die Datenschutzerklärung gelesen und akzeptiert zu haben“ einen perfekten Nachweis für die Aufklärung über die Datenverarbeitung zum Zeitpunkt der Datenerhebung. Da die Formularseiten der Anmelde- oder Bestellzettel pro Kunden einzelne Seiten sind, sollte ausreichend Platz für die Datenschutzbelehrung je Formular vorhanden sein.
Rechtsgrundlage der Datenverarbeitung
Bevor du fragst: Nein, du musst keine explizite Einwilligung zur Datenverarbeitung einholen. Die rechtliche Grundlage sollte in diesem Fall Art. 6 Abs. 1 lit. b DSGVO sein. Die Datenverarbeitung ist zur Erfüllung eines Vertrages notwendig, da der Kunde eine verbindliche Bestellung aufgibt. Wenn kein Vertrag abgeschlossen wird, ist berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO für Direktwerbung eine rechtliche Grundlage. Demnach wird keine Einwilligung zur Verarbeitung benötigt. Für Daten, die freiwillig auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erhoben und verarbeitet werden, gibt es eine Rechtsbelehrung, für den Fall eines jederzeit möglichen Widerrufs der Einwilligung. Wichtig ist, dass ein wirksamer Widerruf nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufes berührt. Die Verarbeitung bis zum Widerruf der Einwilligung ist also rechtmäßig.
Welche Inhalte müssen in der Datenschutzerklärung enthalten sein?
Die Inhalte der Datenschutz-Information sind Art. 13 DSGVO zu entnehmen und auch bei der Datenschutzerklärung für Messe-Formulare zu beachten. Die Datenschutzerklärung muss mindestens die Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage der Verarbeitung, mögliche Dritte als Empfänger der Daten (insbesondere bei Drittländern), Dauer der Datenspeicherung sowie eine Aufklärung über die Rechte der betroffenen Person enthalten.
—
Bildquelle(n): Rawpixel / Unsplash
In der IT aufgewachsen; im Marketing zuhause. Zertifizierter Datenschutzbeauftragter, Unternehmergeist und kreativer Content Creator.