DSGVO Wann ist es erlaubt, personenbezogene Daten zu recherchieren?

Je mehr Informationen man über seine Kunden und Geschäftspartner hat, desto eher kann man sich vor unliebsamen Überraschungen schützen. Doch welche Informationen dürfen in der heutigen Zeit überhaupt gesammelt werden?
Was lässt die DSGVO zu? Und worauf muss dabei geachtet werden?
Diese wird in den nächsten Zeilen geklärt.

Die EU-Datenschutz-Grundverordnung ist am 25. Mai 2018 in Kraft getreten. Sie betrifft jeden der Informationen über andere Personen sammelt oder speichert. Dies betrifft Mitarbeiterdaten sowie auch die Informationen von Kunden.
Auch Kunden von Geschäftspartnern zählen dazu. Dabei sind folgende Regeln zu beachten:

Unter welchen Umständen dürfen personenbezogene Daten recherchiert werden?

Im Grundsatz ist die Verarbeitung von personenbezogenen Daten verboten. Das betrifft das Lesen, Speichern sowie die Weitergabe jener Informationen. Wer also trotz dieser Regelung der Datenschutzgrundverordnung recherchieren will braucht dazu eine Genehmigung. Diese gibt es in folgenden Fällen:

  • Wenn eine rechtliche Verpflichtung vorliegt. Beispielsweise nach dem Geldwäsche- oder Kreditwesengesetz.
  • Mit einer Einwilligung der betroffenen Personen.
  • Wenn ein sogenanntes berechtigtes Interesse vorliegt. Grundsätzlich bleibt das allerdings eine Abwägungsentscheidung.
    Es muss ein Sachbezug vorliegen, der das Recherchieren der Informationen thematisch rechtfertigt. Diese liegt zum Beispiel dann vor, wenn ein Kunde etwas auf Rechnung kauft. Dann entsteht das Recht die Bonität des Kunden zu überprüfen. Solange es sich dabei nicht um ein Nice-to-have handelt, sollte sich die Frage gestellt werden ob die Informationen wirklich benötigt werden?

 

Welche Informationen dürfen erhoben werden?

  • Informationen wie Geburtsdatum, wirtschaftlich Berechtigte oder Wohnsitz. Diese Informationen sind in Handelsregistern sowie Gewerberegistern zugänglich. Sie sind einsehbar. Da sie für jeden ersichtlich und einsehbar sind sollten sie als unkritisch angesehen werden.
    Natürlich muss man trotz dieser Tatsache aufpassen, dass nur die Informationen erhoben werden die gebraucht werden. Alle anderen Informationen werden entsprechend ausgeklammert.

 

  • Informationen für bspw. allgemeine Zahlungsdisziplin, Insolvenzen oder Gerichtsurteilen werden deutlich sensibler behandelt. Ob diese Informationen erhoben werden dürfen kommt deshalb auf den Anlass an. Wer die personenbezogenen Daten eines Kunden bezüglich dieser Thematiken ansehen möchte, muss einen dafür vorgesehenen Anlass haben.
    Will man etwas über die Bonität eines Kunden erfahren, kann ein möglicher Grund eine Vorleistung darstellen, die an diesen gezahlt worden ist. Auch eine Zuverlässigkeitsprüfung kann bei Sicherheitsrelevanten Informationen im Bereich dessen sein, was eingesehen werden darf. Die Frage ist ob der Grund die Recherche wirklich rechtfertigt.

 

  • Informationen die die Gesundheit des Kunden betreffen, Informationen die sich auf sexuelle Orientierung beziehen oder Informationen bezüglich der Mitgliedschaft werden als besonders Heikel gehandelt.
    Eine Verwendung dieser Informationen darf nur dann stattfinden, wenn die Person sie selbst der Öffentlichkeit preisgibt.
    Es wird daher dazu geraten, gut zu dokumentieren um welche Informationen es sich handelt und woher diese kommen.

 

Darf in sozialen Netzwerken recherchiert werden?

 

Bei Recherchen in sozialen Netzwerken ist zu beachten, um welche Plattform es sich handelt. In beruflichen Netzwerken wie beispielsweise LinkedIn oder Xing werden die Daten von den Menschen explizit zur Verfügung gestellt, daher kann dort nach Geschäftspartnern recherchiert werden“. Bei anderen Netzwerken ist zu prüfen, ob die Informationen für jeden öffentlich einsehbar sind. Ist ein Einloggen oder eine Freundschaft erforderlich, ist Vorsicht geboten. „Je schwieriger es ist, an die Daten zu kommen, desto mehr Interesse muss ich nachweisen“

Darf in Pressedatenbaken nach Informationen gesucht werden?

Informationen aus Pressedatenbanken dürfen durchsucht werden, da sie der Öffentlichkeit zur Verfügung gestellt werden.

Darf eine Firmenadresse von Kunden überprüft werden?

Bei Interesse, ob sich hinter einer Firmenadresse auch wirklich das Unternehmen befindet, ist es datenschutzrechtlich kein Problem, dort vorbeizufahren. Auch digital mit Google Street View ist das natürlich vollkommen okay.

 

Wie ist Recherche zu dokumentieren?

Ein zentraler Bestandteil der DSGVO ist die Dokumentationspflicht. Artikel 5 Absatz 2 fordert, dass Verantwortliche „die Einhaltung des Gesetzes nachweisen können“. Das heißt, dass Sie stets in der Lage sein müssen, die Rechtmäßigkeit zu belegen. Sie sollten daher alle Prozesse, in denen Daten eine Rolle spielen – das Erfassen, Ablegen, Speichern und Löschen – dokumentieren.

Wenn Sie aus den erhobenen Daten Schlüsse ziehen, beispielsweise nicht mit einem Geschäftspartner zusammenarbeiten wollen, ist auch das datenschutzrechtlich relevant. Wichtig ist, dass Sie in diesem Fall Ihre Bewertungslogik transparent machen und alle Quellen nachweisen. „Ein Dritter sollte verstehen, warum Sie einen Geschäftspartner abgelehnt haben“, erklärt ein Datenschutzexperte.

 

Wann sind personenbezogene Daten zu löschen?

Gespeicherte personenbezogene Daten sind dann zu löschen, sobald sie nicht mehr notwendig sind. Solange es eine aufrechte Geschäftsbeziehung gibt, ist es auch erlaubt, die Daten zu behalten.

 

Lesen Sie hierzu auch:

DSGVO Datenminimierung und Datensparsamkeit

DSGVO Dantenminimierung durch Anonymisieurung und Pseudonymisierung

DSGVO relativer oder absoluter Bezug Personenbezogene Daten