Digitale Visitenkarte und DSGVO — der Praxisleitfaden für Unternehmen

Wer im Unternehmen digitale Visitenkarten einführt, holt Datenschutz-Pflichten ins Haus, die bei Papierkarten nicht existieren. Der gute Teil: Die Anforderungen sind überschaubar und mit einer durchdachten Anbieter-Auswahl in einem Vormittag erledigt. Dieser Leitfaden erklärt, welche Pflichten konkret entstehen, wie Mitarbeiter-Einwilligungen rechtssicher dokumentiert werden und woran du einen DSGVO-tauglichen Anbieter erkennst. Hinweis: Dies ist keine Rechtsberatung — für kritische Konstellationen (Konzernstrukturen, internationale Tochtergesellschaften, Branchen mit besonderen Anforderungen wie Gesundheit oder Banken) hol dir eine:n Datenschutz­beauftragte:n oder Fachanwalt:in dazu.

Welche Daten sind überhaupt betroffen?

Eine digitale Visitenkarte enthält ein Bündel personenbezogener Daten im Sinne der DSGVO (Art. 4 Abs. 1):

  • Vor- und Nachname
  • Position und Abteilung (= berufliche Funktion einer identifizierbaren Person)
  • Geschäftliche Telefonnummer und E-Mail-Adresse
  • Foto (besonders sensibel, weil es biometrische Identifikation ermöglicht)
  • Optionale Mobilnummer und Social-Profil-Links

Wichtig zu verstehen: Die geschäftliche Funktion ändert nichts an der Personenbezogenheit. Eine Telefonnummer mit dem Anschluss „Frau Müller, Vertrieb" ist personenbezogen, egal ob privat oder beruflich. Die DSGVO greift, sobald ein einzelner Mensch identifizierbar ist.

Daten der Firma selbst (Firmenname, Hauptanschrift, Zentrale-Telefonnummer, Logo) sind dagegen nicht personenbezogen — sie identifizieren ein Unternehmen, nicht eine Person. Eine reine Firmenkarte ohne Mitarbeiter ist datenschutzrechtlich entspannt.

Wer ist verantwortlich — und ab wann?

Bei der Solo-Karte für dich selbst bist du in Personalunion Verantwortliche:r (Art. 4 Abs. 7 DSGVO) und Betroffene:r. Du veröffentlichst deine eigenen Daten, kannst sie jederzeit ändern oder löschen — keine Pflichten gegenüber Dritten entstehen.

Sobald die erste Mitarbeiter-Karte dazukommt, ändert sich die Konstellation grundsätzlich:

  • Du (das Unternehmen) bist Verantwortliche:r für die Verarbeitung der Mitarbeiterdaten — du entscheidest, welche Daten in welcher Form veröffentlicht werden.
  • Der Karten-Anbieter ist Auftragsverarbeiter (Art. 28 DSGVO), weil er deine Mitarbeiterdaten in deinem Auftrag speichert und ausspielt.
  • Der Mitarbeiter ist Betroffene:r mit Auskunfts-, Berichtigungs-, Lösch- und Widerspruchsrechten.

Das ist nicht theoretisch — daraus folgen drei konkrete Pflichten: AV-Vertrag, dokumentierte Einwilligung, Eintrag in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO).

AV-Vertrag mit dem Anbieter

Ein Auftragsverarbeitungsvertrag (kurz AVV oder AV-Vertrag) regelt nach Art. 28 DSGVO, wie der Anbieter mit den Mitarbeiterdaten umgeht. Inhalte sind weitgehend standardisiert:

  • Art und Umfang der Datenverarbeitung (welche Daten, wofür)
  • Technische und organisatorische Maßnahmen (TOMs) — Verschlüsselung, Zugriffskontrollen, Backup-Konzept
  • Subdienstleister (Hoster, Backup-Anbieter)
  • Speicherort und Drittland-Übermittlungen
  • Löschung und Rückgabe der Daten am Vertragsende
  • Mitteilungspflichten bei Datenpannen

In der Praxis: Seriöse Anbieter stellen den AV-Vertrag fertig bereit, oft als PDF zum Download oder mit einem Klick-Akzept im Admin. Wenn ein Anbieter dir auf Anfrage nach einem AV-Vertrag keine schnelle, konkrete Antwort gibt — schlechtes Signal. Such einen anderen.

Für deinen Verarbeitungs­tätigkeiten­katalog (Art. 30 DSGVO) trägst du den Anbieter mit Name, Sitz, AV-Vertrag-Datum und betroffenen Datenkategorien ein. Ein einziger Eintrag, ein paar Zeilen — kein eigenes Mammut-Projekt.

Einwilligung der Mitarbeiter dokumentieren

Die Veröffentlichung von Mitarbeiterdaten auf einer extern abrufbaren Karte ist nicht durch den Arbeitsvertrag automatisch gedeckt. Du brauchst eine explizite Einwilligung des Mitarbeiters nach Art. 6 Abs. 1 lit. a DSGVO — und du musst sie nachweisen können.

Drei Wege, das in der Praxis zu erledigen:

  1. Über den Einladungs-Flow des Anbieters. Die meisten seriösen Plattformen schicken eine E-Mail an den Mitarbeiter, mit Klick wird die Karte angenommen und das System protokolliert Zeitstempel und IP — das ist ausreichender Nachweis. Saubere Lösung mit minimalem Eigenaufwand.
  2. Schriftliche Einwilligung im HR-Onboarding. Bei strikten Compliance-Anforderungen (Banken, Gesundheit, Öffentlicher Dienst) kann ein unterschriebenes Formular sinnvoll sein, das in der Personalakte liegt.
  3. Betriebsvereinbarung. Bei Unternehmen mit Betriebsrat kann eine Vereinbarung den Rahmen festlegen — was wird veröffentlicht, was nicht, wie wird Widerruf behandelt.

Wichtig: Die Einwilligung muss freiwillig sein. Ein:e Mitarbeiter:in, der/die ablehnt, darf keine Nachteile haben — kein Bonus-Abzug, keine Sichtbarkeits-Strafe, kein Vorgesetzten-Druck. In der Praxis lehnen das wenige ab, aber die Freiwilligkeit muss strukturell gewahrt sein.

Der Widerruf der Einwilligung muss jederzeit möglich sein, ohne Begründung. Konsequenz: Karte wird gelöscht (siehe Abschnitt „Löschung").

Server-Standort und Drittland-Transfers

Wo die Mitarbeiterdaten physisch liegen, ist DSGVO-relevant. Drei Konstellationen:

EU-Hosting (Deutschland, Frankreich, Niederlande, Irland). Rechtlich entspannt — keine zusätzlichen Vereinbarungen nötig, klare Aufsichtsbehörden, Ansprechbarkeit. Wenn der Anbieter Server in Frankfurt, Berlin oder einem anderen EU-Standort betreibt, ist das die einfachste Wahl.

USA mit EU-US Data Privacy Framework (DPF) seit Juli 2023. Theoretisch möglich, praktisch aufwendig: Anbieter muss DPF-zertifiziert sein, du brauchst aktualisierte Standardvertragsklauseln, deine Datenschutzerklärung muss den Transfer offenlegen. Außerdem ist das DPF politisch wackelig — Schrems III ist nicht ausgeschlossen, dann wäre die Rechtsgrundlage wieder weg.

Sonstige Drittländer (UK, Schweiz, andere). UK und Schweiz haben Angemessenheits­beschlüsse — vergleichbar mit EU-Hosting. Andere Länder bedeuten erheblichen Aufwand mit Standardvertragsklauseln, Transfer Impact Assessment und laufender Beobachtung.

Praktische Empfehlung: Wenn nichts gegen EU-Hosting spricht — nimm es. Du sparst dir laufende rechtliche Beobachtung und hast bei Anfragen der Datenschutzbehörde eine entspannte Standardantwort. SmartlineCard läuft entsprechend auf Servern in Deutschland.

Aufrufstatistik, Tracking und Cookie-Banner

Sobald eine Karten-Plattform Aufrufe statistisch auswertet, betritt sie potenziell die Tracking-Welt — mit den damit verbundenen Pflichten (TTDSG, ePrivacy-Richtlinie).

  • Mit Tracking-Cookies oder ähnlichen Identifiern: Cookie-Banner mit Opt-in nötig, Datenschutzerklärung muss Tracking-Tool und Zweck offenlegen. Das nervt Empfänger und reduziert die Karten-Wirkung — sie kommen wegen deines Kontakts, nicht wegen einer Cookie-Frage.
  • Cookielose Aggregat-Statistik (Tages-Zähler, keine IP-Speicherung): kein Banner, kein Opt-in nötig. Diese Variante ist die Pflicht-Wahl für Karten-Plattformen — alles andere zerschießt die UX.
  • Komplett ohne Statistik: auch möglich. Verzicht auf das Wissen, wie oft eine Karte aufgerufen wurde, ist meistens unproblematisch — die Information ist selten geschäftskritisch.

Beim Anbieter-Auswahl: Frag konkret „Welche Cookies setzt eine veröffentlichte Karte beim Öffnen, ohne dass der Besucher mit ihr interagiert?". Die richtige Antwort ist „keine" oder „nur technisch notwendige Session-Cookies, kein Tracking". Alles andere bringt eine Cookie-Banner-Diskussion ins Spiel, die du nicht haben willst.

Löschung beim Ausscheiden und auf Anfrage

Das Recht auf Löschung (Art. 17 DSGVO) ist nicht verhandelbar. Du musst Mitarbeiterdaten löschen können — und zwar zügig, nicht erst Monate später.

Drei Auslöser, bei denen Löschung pflicht ist:

  • Mitarbeiter verlässt das Unternehmen. Auch ohne explizites Verlangen: Die Grundlage für die Veröffentlichung entfällt mit dem Ende des Arbeitsverhältnisses. Karte löschen, nicht nur deaktivieren.
  • Mitarbeiter widerruft die Einwilligung. Jederzeit möglich, ohne Begründung. Karte muss verschwinden.
  • Mitarbeiter macht das Recht auf Löschung geltend. Antwortpflicht binnen eines Monats (Art. 12 Abs. 3 DSGVO).

Konkret bedeutet das: Karten-Datenbank-Eintrag löschen, Foto-Datei löschen, vCard-Cache leeren, eventuelle Aufrufstatistiken anonymisieren. Bestehende QR-Codes und gedruckte Materialien zeigen danach ins Leere — beabsichtigt. Niemand soll mehr an die alten Daten kommen.

Praktisches Detail: Achte bei der Anbieter-Auswahl darauf, dass es einen sichtbaren Lösch-Button im Admin gibt, der die Daten wirklich entfernt (nicht nur „deaktiviert" oder „archiviert"). Ein Anbieter, bei dem du die Löschung per Support-Mail anstoßen musst, wird im Audit-Fall zum Problem.

Anbieter-Checkliste: woran du DSGVO-Tauglichkeit erkennst

Eine schnelle, praktische Prüfung — du brauchst dafür keinen Anwalt:

  1. AV-Vertrag verfügbar? Sollte als PDF oder Klick-Akzept im Admin liegen. Bei Anfrage muss er innerhalb von 24 Stunden vorhanden sein.
  2. Server-Standort EU oder DE? Im Impressum, Datenschutzerklärung oder direkt auf der Anbieter-Seite explizit benannt. „Cloud" ist keine Antwort.
  3. Mitarbeiter-Einwilligungs-Flow vorhanden? Beim Anlegen einer Mitarbeiter-Karte muss eine Bestätigungs-Mail an den Mitarbeiter rausgehen, mit dokumentiertem Klick als Nachweis.
  4. Cookielos beim öffentlichen Aufruf? Karte im Inkognito-Browser öffnen, in den Browser-Entwickler-Tools die gesetzten Cookies prüfen. Erwartung: leer oder nur technische Session-Cookies.
  5. Konkreter Lösch-Button im Admin? Karte testweise anlegen und löschen — der Vorgang muss in einem Klick gehen.
  6. Datenschutzerklärung des Anbieters lesbar und konkret? Wenn dort Allgemeinplätze stehen oder seitenlange Boilerplate ohne konkrete Aussagen zu Tools und Subdienstleistern: schlechtes Signal.
  7. Datenexport möglich? Bei Anbieter-Wechsel oder -Insolvenz musst du deine Daten in einem Standardformat (CSV, vCard) mitnehmen können. Sonst ist Datenmigration ein Kostenpunkt.

Wer fünf von sieben Punkten klar bejahen kann, hat einen DSGVO-tauglichen Anbieter. Wer unter drei landet, sollte weitersuchen — der Aufwand für nachträgliches Compliance-Patchwork ist höher als der für einen Wechsel jetzt.

Häufige Fragen

Brauche ich einen AV-Vertrag, wenn ich nur meine eigene Karte führe?

Nein. Solange du deine eigenen Daten als Geschäftsführer:in oder Selbstständige:r veröffentlichst, bist du selbst Verantwortliche:r und Betroffene:r in einer Person. Ein AV-Vertrag wird erst ab der ersten Mitarbeiter-Karte relevant, weil dann personenbezogene Daten Dritter durch den Anbieter verarbeitet werden.

Muss die Mitarbeiter-Einwilligung schriftlich vorliegen?

Schriftform ist nicht zwingend gefordert, aber Nachweisbarkeit ist es. Ein protokollierter Klick im Einladungs-Flow (E-Mail-Bestätigung mit Zeitstempel und IP) gilt allgemein als ausreichender Nachweis. Bei seriösen Karten-Plattformen läuft das automatisiert — du musst nichts handschriftlich abheften.

Was passiert mit der Karte, wenn ein Mitarbeiter widerruft oder kündigt?

Die Karte muss unverzüglich gelöscht werden, nicht nur deaktiviert. Bestehende QR-Codes und gedruckte Materialien werden dadurch ins Leere zeigen — genau das ist beabsichtigt. Personenbezogene Daten dürfen nicht weiter abrufbar sein. Seriöse Plattformen unterstützen das mit einem Lösch-Button im Admin, der Karte, Foto und vCard-Cache gleichzeitig entfernt.

Ist ein US-amerikanischer Anbieter (etwa HiHello, Popl) DSGVO-konform nutzbar?

Möglich, aber mit Aufwand. Seit dem EU-US Data Privacy Framework (Juli 2023) gibt es einen rechtlichen Rahmen für Datentransfers in die USA — Anbieter müssen sich zertifizieren, du brauchst aktualisierte SCC im Vertrag und eine erweiterte Datenschutzerklärung. Wer Risiken minimieren will und kein konkretes Feature aus den USA braucht, fährt mit EU-gehosteten Anbietern einfacher.

Brauche ich einen Cookie-Banner auf der digitalen Karte?

Nur wenn die Karten-Plattform Tracking-Cookies oder vergleichbare Identifier setzt. Plattformen ohne Tracker und ohne Analytics-Cookies (etwa SmartlineCard, das cookielose Tages-Aggregate zählt) kommen ohne Consent-Banner aus — und genau das ist im UX-Sinn auch das Ziel: jede Friction vor dem Kontaktaustausch reduziert die Karten-Wirkung.

DSGVO-konforme digitale Visitenkarten — aus Deutschland.

Server in Frankfurt, AV-Vertrag im Admin, Mitarbeiter-Einwilligungs-Flow eingebaut, cookielos. Solo dauerhaft kostenlos.

Kostenlos starten