DSGVO-orientierte Visitenkarten Scanner: Datenschutz-Checkliste

Visitenkarten scannen und DSGVO einhalten? Diese umfassende Checkliste zeigt, worauf Sie achten müssen: Rechtsgrundlagen, lokale Verarbeitung, Einwilligung, Löschfristen und EU-Server. Der komplette Compliance-Guide für rechtskonformes Scannen.

---

Einleitung: Warum DSGVO beim Scannen wichtig ist

Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) in der gesamten EU. Visitenkarten enthalten personenbezogene Daten (Name, E-Mail, Telefon, Adresse) – und unterliegen damit der DSGVO.

Verstöße können teuer werden:

• Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes
• Abmahnungen von Wettbewerbern
• Reputationsschaden

Die gute Nachricht: Mit der richtigen Vorgehensweise ist Visitenkarten-Scannen DSGVO-orientiert möglich.

---

Rechtsgrundlagen: Darf ich Visitenkarten scannen?

Ja, wenn Sie eine Rechtsgrundlage haben

Die DSGVO erlaubt Datenverarbeitung unter folgenden Bedingungen (Art. 6 DSGVO):

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Wann: Immer möglich, aber aufwändig.

Wie:

• Schriftlich oder elektronisch
• Freiwillig, informiert, eindeutig
• Widerrufbar

Beispiel: "Darf ich Ihre Visitenkarte scannen und die Daten in unserem CRM speichern?"

Vorteil: Rechtlich sicher
Nachteil: Aufwändig, viele lehnen ab

---

2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Wann: Im B2B-Bereich meist ausreichend.

Voraussetzungen:

• Legitimes Interesse (z.B. Geschäftsanbahnung)
• Keine überwiegenden Interessen der betroffenen Person
• Interessenabwägung dokumentieren

Beispiel: Sie treffen einen potenziellen Geschäftspartner auf einer Messe. Das Scannen der Visitenkarte dient der Geschäftsanbahnung.

Vorteil: Praktikabel im B2B
Nachteil: Grauzone, Dokumentation nötig

Wichtig: Im B2C-Bereich ist berechtigtes Interesse schwieriger zu begründen.

---

3. Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO)

Wann: Wenn die Person um Kontaktaufnahme gebeten hat.

Beispiel: Lead füllt Formular aus und bittet um Rückruf.

Vorteil: Rechtlich klar
Nachteil: Nur in spezifischen Situationen

---

Dokumentationspflicht

Wichtig: Dokumentieren Sie, auf welcher Rechtsgrundlage Sie Visitenkarten scannen.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO):

• Zweck der Verarbeitung
• Kategorien betroffener Personen
• Kategorien personenbezogener Daten
• Empfänger der Daten
• Löschfristen

---

Technische Anforderungen: Wie scannen Sie DSGVO-orientiert?

1. Lokale Verarbeitung bevorzugen

Am sichersten: Daten bleiben im Offline-Modus auf Ihrem Gerät.

Vorteile:

• ✅ Keine Übertragung an Dritte
• ✅ Keine Cloud-Risiken
• ✅ Volle Kontrolle

Empfohlene Lösungen:

• Browser-basierte Scanner mit lokaler OCR (z.B. kontakte.me)
• Desktop-Software ohne Cloud-Anbindung
• Apps mit reinem Offline-Modus

---

2. Cloud-Apps: EU-Server prüfen

Wenn Sie Cloud-Apps nutzen, achten Sie auf:

a) Serverstandort

• ✅ Server in der EU (DSGVO gilt)
• ❌ Server in USA (Privacy Shield ungültig seit 2020)
• ⚠️ Server in UK (Angemessenheitsbeschluss prüfen)

b) Auftragsverarbeitungsvertrag (AV-Vertrag)

• Pflicht bei Cloud-Diensten (Art. 28 DSGVO)
• Regelt Verantwortlichkeiten
• Muss schriftlich vorliegen

Fragen Sie den Anbieter:

• "Wo stehen Ihre Server?"
• "Bieten Sie einen AV-Vertrag an?"
• "Geben Sie Daten an Dritte weiter?"

---

3. Verschlüsselung

Transportverschlüsselung:

• HTTPS für Web-Apps (Pflicht!)
• TLS für API-Verbindungen

Speicherverschlüsselung:

• Verschlüsselte Datenbanken
• Verschlüsselte Backups

---

4. Keine Drittanbieter-Tracker

Viele Apps nutzen Analytics oder Tracking-Tools (Google Analytics, Facebook Pixel).

Problem: Daten werden an Dritte übertragen (USA!).

Lösung: Nutzen Sie Apps ohne Tracking oder mit EU-Analytics (z.B. Matomo).

---

Einwilligung: Wann und wie?

Wann brauche ich Einwilligung?

Pflicht:

• B2C-Bereich (Privatkunden)
• Sensible Daten (Gesundheit, Religion)
• Newsletter-Versand (zusätzlich zur Visitenkarte)

Optional:

• B2B-Bereich (berechtigtes Interesse reicht meist)

---

Wie hole ich Einwilligung ein?

Mündlich auf der Messe:

"Darf ich Ihre Visitenkarte scannen und Sie zu [Zweck] kontaktieren?"

Dokumentation: Notiz im CRM, wer wann zugestimmt hat.

---

Schriftlich per E-Mail:

Nach der Messe Follow-up-Mail:

Hallo [Name],

schön, Sie auf der [Messe] kennengelernt zu haben. 

Darf ich Ihre Kontaktdaten in unserem CRM speichern, 
um Sie über [Produkt/Dienstleistung] zu informieren?

[ ] Ja, ich stimme zu
[ ] Nein, bitte löschen Sie meine Daten

Beste Grüße,
[Ihr Name]

---

Double-Opt-In für Newsletter:

Wenn Sie Newsletter versenden wollen:

1. Erste E-Mail mit Bestätigungslink
2. Klick auf Link = Einwilligung
3. Dokumentation (Zeitstempel, IP)

---

Speicherung: Wo und wie lange?

Speicherort

Lokal:

• Auf Ihrem Gerät (Smartphone, Laptop)
• Verschlüsselte Festplatte
• Regelmäßige Backups

Cloud:

• EU-Server (Pflicht!)
• Verschlüsselte Übertragung (HTTPS)
• AV-Vertrag mit Anbieter

---

Aufbewahrungsfristen

Grundsatz: So kurz wie möglich, so lang wie nötig.

Typische Fristen:

• Geschäftsanbahnung: 3 Jahre (nach letztem Kontakt)
• Vertragsdurchführung: 10 Jahre (Handelsrecht)
• Newsletter: Bis zum Widerruf

Automatische Löschung: Richten Sie Erinnerungen ein:

• Nach 3 Jahren ohne Kontakt: Löschen oder Einwilligung erneuern
• CRM-Systeme bieten oft automatische Löschfunktionen

---

Löschkonzept: DSGVO-orientiert löschen

Recht auf Löschung (Art. 17 DSGVO)

Betroffene Personen können jederzeit Löschung verlangen.

Ihre Pflicht:

• Löschung innerhalb von 30 Tagen
• Bestätigung an betroffene Person
• Dokumentation der Löschung

---

Wie löschen Sie richtig?

1. Vollständige Löschung

• Aus CRM-System
• Aus Backups (schwierig!)
• Aus E-Mail-Archiven
• Aus Excel-Listen

2. Dokumentation

Führen Sie ein Löschprotokoll:

• Wer wurde gelöscht?
• Wann wurde gelöscht?
• Von wem wurde gelöscht?

---

Ausnahmen von der Löschpflicht

Sie müssen nicht löschen, wenn:

• Gesetzliche Aufbewahrungspflichten bestehen (z.B. Rechnungen)
• Vertragsdurchführung noch läuft
• Rechtliche Ansprüche geltend gemacht werden

Wichtig: Begründen und dokumentieren Sie Ausnahmen.

---

Datenschutz-Checkliste für Scanner-Apps

✅ Checkliste: Ist meine App DSGVO-orientiert?

| Kriterium | ✅ Ja | ❌ Nein | |-----------|-------|---------| | Lokale Verarbeitung (keine Cloud-Upload) | | | | EU-Server (falls Cloud) | | | | AV-Vertrag verfügbar | | | | Keine Drittanbieter-Tracker | | | | Verschlüsselte Übertragung (HTTPS) | | | | Löschfunktion vorhanden | | | | Export-Funktion (Datenportabilität) | | | | Transparente Datenschutzerklärung | | |

Bewertung:

• 8/8: Sehr gut, DSGVO-orientiert
• 6-7/8: Gut, kleine Lücken
• < 6/8: Problematisch, Alternativen prüfen

---

Empfohlene Ansätze nach Kategorie

1. Maximaler Datenschutz

Lösung: Lokale Browser-Scanner

Beispiel: kontakte.me (Local-First, ohne verpflichtenden Cloud-Upload)

Vorteile:

• ✅ Keine Datenübertragung
• ✅ Datenschutzfreundlich per Design
• ✅ Keine AV-Verträge nötig

Nachteile:

• ❌ Keine Cloud-Sync
• ❌ Keine Team-Funktionen

---

2. Cloud mit EU-Servern

Lösung: Cloud-Apps mit EU-Rechenzentren

Voraussetzungen:

• Server in EU
• AV-Vertrag
• Verschlüsselung

Vorteile:

• ✅ Cloud-Sync
• ✅ Team-Sharing
• ✅ Backups

Nachteile:

• ❌ Höheres Risiko
• ❌ AV-Vertrag nötig

---

3. On-Premise-Software

Lösung: Desktop-Software auf eigenem Server

Vorteile:

• ✅ Volle Kontrolle
• ✅ Keine Drittanbieter
• ✅ Compliance-freundlich

Nachteile:

• ❌ Hoher Aufwand
• ❌ IT-Know-how nötig

---

Zu vermeiden: Rote Flaggen

❌ US-Cloud ohne Garantien

Problem: Privacy Shield ungültig (EuGH, 2020)

Risiko: Zugriff durch US-Behörden (CLOUD Act)

Lösung: EU-Server oder Standardvertragsklauseln prüfen

---

❌ Apps ohne Datenschutzerklärung

Problem: Intransparenz

Risiko: Unbekannte Datennutzung

Lösung: Nur Apps mit klarer Datenschutzerklärung

---

❌ Kostenlose Apps mit Werbung

Problem: Finanzierung durch Datenverkauf

Risiko: Ihre Kontakte werden zu Werbezwecken genutzt

Lösung: Bezahlte Apps oder Open-Source

---

Häufig gestellte Fragen

Darf ich Visitenkarten scannen?

Ja, wenn Sie eine Rechtsgrundlage haben: Einwilligung, berechtigtes Interesse (B2B-Kontakt) oder Vertragsanbahnung. Dokumentieren Sie die Rechtsgrundlage.

Wo werden die Daten gespeichert?

Am sichersten: Lokale Speicherung auf Ihrem Gerät. Bei Cloud-Apps: Prüfen Sie, ob Server in der EU stehen (DSGVO-orientiert).

Brauche ich eine Einwilligung zum Scannen?

Im B2B-Bereich meist nicht (berechtigtes Interesse). Im B2C-Bereich: Ja, besser Einwilligung einholen. Dokumentieren Sie beides.

Was ist mit Cloud-Apps und DSGVO?

Cloud-Apps sind DSGVO-orientiert, wenn: Server in EU, AV-Vertrag vorhanden, Datenschutzerklärung transparent. Prüfen Sie vor Nutzung.

Wie lösche ich Daten DSGVO-orientiert?

Löschen Sie Kontakte nach Ablauf der Aufbewahrungsfrist (meist 3 Jahre). Nutzen Sie Apps mit Löschfunktion. Dokumentieren Sie Löschungen.

---

Praxis-Beispiel: DSGVO-orientierter Messe-Workflow

Vor der Messe

1. Datenschutz-Hinweis vorbereiten:

   • "Wir verarbeiten Ihre Daten zur Geschäftsanbahnung (Art. 6 Abs. 1 lit. f DSGVO)" -Am Stand aushängen

2. Scanner-App prüfen: -DSGVO-Checkliste durchgehen -Ggf. AV-Vertrag abschließen

---

Während der Messe

1. Visitenkarte scannen
2. Notiz hinzufügen: "Messe [Name], [Datum], Interesse an [Produkt]"
3. Optional: Mündliche Einwilligung einholen

---

Nach der Messe

1. Follow-up-Mail (innerhalb 48h): -Erinnerung an Gespräch -Hinweis auf Datenschutz -Opt-out-Möglichkeit

2. Dokumentation: -Rechtsgrundlage notieren -Löschfrist setzen (z.B. 3 Jahre)

3. Regelmäßige Prüfung: -Jährlich: Kontakte ohne Aktivität löschen -Einwilligungen erneuern

---

Verwandte Artikel

• Offline Scanner Apps – Lokale Verarbeitung
• Browser-basierte Scanner – Datenschutz-freundlich
• Messe-Leads nachfassen – Rechtskonformer Follow-up
• Visitenkarten in Excel – Lokale Verwaltung

---

Jetzt datenschutzfreundlich scannen

Local-First-Verarbeitung. Optionaler Cloud-Einsatz je nach Modus. Datenschutzfreundlich per Design.