DSGVO und digitale Visitenkarten: Der beste Guide in 2026.

Das Annehmen einer Visitenkarte ist kein DSGVO-Problem. Sobald die Kontaktdaten aber gespeichert oder verarbeitet werden (etwa im Adressbuch, im CRM oder zur Kontaktaufnahme), greift die Datenschutz-Grundverordnung. In der Praxis bedeutet das: eine Rechtsgrundlage nach Artikel 6 ist nötig, eine Informationspflicht nach Artikel 13 ist juristisch umstritten, aber meist erfüllbar, und bei digitalen Visitenkarten kommen zusätzliche Anforderungen hinzu (Auftragsverarbeitungsvertrag, Server-Standort, Datenschutzerklärung). Bei Anbietern mit Hosting in den USA bleibt die Rechtslage angesichts der politischen Entwicklung 2026 instabil. Dieser Artikel führt durch die wichtigsten Punkte und zeigt, was du in der Praxis wirklich beachten musst. Wer vorher einen Überblick über die verschiedenen Methoden sucht, findet ihn im Leitfaden zum Visitenkarten digitalisieren.

Inhalt

• Die Grundregel: Austausch ja, Speicherung mit Rechtsgrundlage
• Teil 1: Papier-Visitenkarten und DSGVO
• Teil 2: Digitale Visitenkarten und DSGVO
• Praxis-Checkliste
• Häufige Fragen

Die Grundregel: Austausch ja, Speicherung mit Rechtsgrundlage

Ausgangspunkt jeder DSGVO-Diskussion ist Artikel 5 Absatz 1 lit. a der Verordnung: Der Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn dafür eine gesetzliche Erlaubnis oder eine Einwilligung vorliegt. Systematisch gilt das, was Juristen ein „Verbot mit Erlaubnisvorbehalt“ nennen: Erst verboten, dann ausnahmsweise erlaubt.

Eine Visitenkarte enthält fast immer personenbezogene Daten: Vorname, Nachname, Funktion, Telefonnummer, geschäftliche E-Mail-Adresse. Auch wenn es sich um geschäftliche Kontaktdaten handelt, fallen sie unter den Schutz der DSGVO, sobald sie sich auf eine identifizierbare natürliche Person beziehen.

Drei Punkte sind dabei wichtig:

1. Das reine Annehmen einer Visitenkarte ist datenschutzrechtlich kein Problem. Erst die spätere Verarbeitung (Speichern, Übertragen ins CRM, Nutzen für Kontaktaufnahme) löst die Anforderungen der DSGVO aus.
2. Wer Visitenkarten verarbeitet, braucht eine Rechtsgrundlage nach Artikel 6 DSGVO. In den meisten Fällen ist das berechtigte Interesse einschlägig.
3. Die Informationspflicht nach Artikel 13 DSGVO ist umstritten. Es gibt zwei juristische Lager mit unterschiedlichen Auslegungen.

Teil 1: Papier-Visitenkarten und DSGVO

Welche Rechtsgrundlage greift beim Austausch von Visitenkarten?

In der Praxis kommen drei Rechtsgrundlagen aus Artikel 6 DSGVO in Frage:

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Das ist der Standard-Fall. Wer auf einer Messe oder einem Networking-Event eine Visitenkarte freiwillig überreicht, signalisiert damit, dass eine Kontaktaufnahme erwünscht ist. Das Interesse des Empfängers an Kundengewinnung, Kontaktpflege oder Geschäftsanbahnung überwiegt regelmäßig die Interessen des Übergebers, sofern eine sorgfältige Interessenabwägung erfolgt. Auch der Erwägungsgrund 47 der DSGVO erkennt Direktmarketing ausdrücklich als möglichen Anwendungsfall des berechtigten Interesses an.

Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO): Greift, wenn der Visitenkartenaustausch klar im Rahmen einer konkreten Geschäftsanbahnung stattfindet. Das ist etwa der Fall, wenn ein konkretes Angebot besprochen wurde oder eine konkrete Zusammenarbeit absehbar ist.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Theoretisch möglich, in der Praxis aber problematisch. Eine wirksame Einwilligung muss freiwillig, informiert, eindeutig und nachweisbar sein. Bei einem Visitenkartenaustausch auf einer Messe lässt sich das selten sauber dokumentieren. In den meisten Fällen ist das berechtigte Interesse die solidere Grundlage.

Welche Daten dürfen verarbeitet werden?

Hier greift der Grundsatz der Datenminimierung aus Artikel 5 Absatz 1 lit. c DSGVO: Nur die Daten, die für den jeweiligen Zweck wirklich nötig sind. Beim geschäftlichen Visitenkartenaustausch sind das in der Regel:

• Titel
• Name und Vorname
• Funktion und Unternehmen
• Geschäftliche Telefonnummer und E-Mail-Adresse
• Firmenadresse
• Geschäftlich relevante Notizen aus dem Gespräch

Was nicht verarbeitet werden sollte: Private Informationen, die nebenbei im Gespräch erwähnt wurden (Geburtsdatum, persönliche Vorlieben, familiäre Situation), sind nicht durch das berechtigte Interesse gedeckt. Wer solche Informationen speichern will, braucht dafür eine ausdrückliche Einwilligung.

Die Informationspflicht nach Artikel 13: Streitfall mit zwei Lagern

Hier wird es juristisch heikel. Artikel 13 DSGVO verlangt grundsätzlich, dass die betroffene Person zum Zeitpunkt der Datenerhebung darüber informiert wird, wer der Verantwortliche ist, zu welchem Zweck die Daten verarbeitet werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden, und welche Rechte sie hat. Das ist eine umfangreiche Information, die in voller Form mehrere Absätze umfasst.

Beim Visitenkartenaustausch auf einer Messe ist das in der Praxis kaum machbar. Niemand zückt nach dem Erhalt einer Visitenkarte einen Datenschutz-Hinweis aus DIN A4. Es haben sich daher zwei juristische Auslegungen herausgebildet:

Position 1: Keine Informationspflicht beim Visitenkartenaustausch. Vertreten unter anderem vom ehemaligen Bundesdatenschutzbeauftragten Peter Schaar. Die Argumentation: Wer freiwillig und unaufgefordert seine Visitenkarte überreicht, „drängt“ seine Daten dem Empfänger auf. In diesem Fall liegt keine „Erhebung“ im Sinne des Artikel 13 DSGVO vor, weil die Daten nicht aktiv vom Empfänger eingeholt werden. Diese Auslegung ist praxisnah, aber juristisch nicht herrschende Meinung.

Position 2: Informationspflicht besteht. Die wohl überwiegende Mehrheit der Datenschutzexperten geht davon aus, dass auch dann eine Erhebung im Sinne des Artikel 13 DSGVO vorliegt, wenn die Übergabe unter Mitwirkung des Betroffenen erfolgt, also durch das aktive Überreichen der Visitenkarte. Auch ein Sprecher der Berliner Aufsichtsbehörde stellte in der Vergangenheit fest, dass die Informationspflicht zumindest dann ausgelöst wird, wenn die Daten gespeichert werden.

Wie kann die Informationspflicht praktikabel erfüllt werden?

Wer Position 2 folgt (was juristisch der sicherere Weg ist), hat in der Praxis zwei Möglichkeiten:

Variante A: Datenschutzerklärung auf der Webseite ergänzen. Du nimmst in deine Datenschutzerklärung einen eigenen Passus zu „Interessentendaten“ oder „Visitenkarten-Daten“ auf, in dem du erläuterst, wofür die Daten genutzt werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden, und welche Rechte die Betroffenen haben. Wer auf seine Datenschutzerklärung mündlich oder per Visitenkarten-Hinweis verweist, kann argumentieren, seine Informationspflicht erfüllt zu haben.

Variante B: Datenschutzhinweis nach dem Erstkontakt per E-Mail. Du schreibst der Person nach dem Erstkontakt eine kurze E-Mail (zum Beispiel mit Bezug auf das Gespräch) und verweist auf die Datenschutzerklärung deiner Webseite. Damit kommst du der Informationspflicht aus Artikel 13 DSGVO nach.

Wann genau diese Information erfolgen muss, ist nicht gesetzlich exakt geregelt. Eine in der juristischen Praxis häufig zitierte Orientierungsmarke leitet sich aus § 32 Absatz 3 BDSG ab: Wenn die unmittelbare Information aus praktischen Gründen nicht möglich ist, sollte sie spätestens innerhalb von zwei Wochen erfolgen. Diese Frist gilt zwar nicht direkt für den Visitenkartenaustausch, hat sich aber als Faustregel etabliert.

Werbung per E-Mail: Der Sonderfall

Auch wenn dir jemand seine Visitenkarte überreicht hat, darfst du ihm nicht ohne Weiteres einen Newsletter oder Werbe-E-Mails schicken. Werbung per E-Mail ist nach § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) ein eigener Fall mit eigenen Anforderungen.

Die Grundregel: Werbe-E-Mails brauchen eine ausdrückliche Einwilligung des Empfängers. Das bloße Überreichen einer Visitenkarte gilt rechtlich nicht als Einwilligung in werbliche Kommunikation, auch wenn deutsche Gerichte hier einen gewissen Graubereich zulassen, wenn die Werbung sich erkennbar auf den geschäftlichen Kontext der Kontaktaufnahme bezieht.

Praxis-Empfehlung: Nach dem Erstkontakt eine erste persönliche E-Mail schreiben, in der du den Anlass aufgreifst (gemeinsames Event, Gespräch zu einem konkreten Thema) und explizit fragst, ob du Informationen zu deinen Leistungen senden darfst. Damit holst du dir die Einwilligung nachweisbar ein und vermeidest UWG-Risiken.

Teil 2: Digitale Visitenkarten und DSGVO

Digitale Visitenkarten verschärfen die DSGVO-Anforderungen, weil zwischen dir und deinem Geschäftskontakt jetzt ein Dritt-Anbieter steht: der Anbieter der digitalen Visitenkarten-Plattform. Drei zusätzliche Punkte sind dabei zu prüfen.

Auftragsverarbeitungsvertrag (AVV)

Wenn du einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragst, ist ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO Pflicht. Das gilt auch für digitale Visitenkarten-Anbieter: Du übergibst deine Kontaktdaten und die Daten deiner gespeicherten Kontakte an einen Dritten, der diese auf seinen Servern verarbeitet.

Seriöse Anbieter stellen den AVV öffentlich zur Verfügung, oft im Hilfe-Bereich oder im Footer der Webseite. Wer als Selbstständiger oder Unternehmen einen digitalen Visitenkarten-Anbieter nutzt, sollte:

1. Den AVV vor der Nutzung prüfen.
2. Den AVV unterschrieben oder digital bestätigt haben.
3. Den AVV gemeinsam mit den anderen DSGVO-Dokumenten archivieren.

Server-Standort und Drittlandtransfer

Hier wird es 2026 besonders heikel. Anbieter mit Hosting in der EU sind DSGVO-rechtlich am unkritischsten: Die Daten verlassen nicht den europäischen Rechtsraum, der Datenschutz auf hohem Niveau ist gesichert.

Anbieter mit Hosting in den USA fallen unter die Regelungen für Drittlandtransfers (Artikel 44 ff. DSGVO). Aktuell läuft der Transfer formal über das EU-US Data Privacy Framework (DPF), das im Juli 2023 in Kraft getreten ist und den Vorgänger Privacy Shield ersetzt. US-Anbieter, die nach dem DPF zertifiziert sind, dürfen personenbezogene Daten von EU-Bürgern verarbeiten.

Aber: Die Lage ist 2026 instabil geworden. Im Januar 2025 entließ US-Präsident Donald Trump mehrere Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB), des US-Gremiums, das die Einhaltung von Datenschutzstandards bei US-Geheimdiensten überwacht. Das PCLOB war maßgeblich an der Verhandlung des DPF beteiligt. Beobachter warnen, dass die Funktionsfähigkeit der Überwachungsmechanismen damit gefährdet sein könnte.

Zusätzlich hat die Datenschutzorganisation NOYB unter Max Schrems angekündigt, das DPF beim Europäischen Gerichtshof anzufechten. Die Argumente: Das DPF beruhe auf einem Executive Order, der von einem nachfolgenden US-Präsidenten widerrufen werden kann (statt auf einem Gesetz), das Rechtsbehelfssystem sei nicht ausreichend transparent, und Section 702 des FISA-Gesetzes (das die Überwachung von Nicht-US-Bürgern erlaubt) sei nicht ausreichend reformiert.

Eine Klage liegt Stand Anfang 2026 zwar noch nicht vor, könnte aber jederzeit kommen. Ein Verfahren beim EuGH würde mehrere Jahre dauern, in dieser Zeit bestünde aber Rechtsunsicherheit.

Praxis-Empfehlung: Wer auf Nummer sicher gehen will, wählt einen Anbieter mit Hosting in der EU oder Deutschland. Anbieter wie Wazzl (ISO 27001-zertifiziert, Hosting in Deutschland) oder Lemontaps (TÜV-zertifiziert, deutsche Server) sind hier strukturell im Vorteil. Wir entwickeln mit Relavo selbst eine Lösung in dieser Kategorie. Wer auf einen US-Anbieter setzt (Popl, HiHello, Blinq, Wave Connect, Mobilo), sollte zumindest:

1. Prüfen, ob der Anbieter DPF-zertifiziert ist (über die offizielle DPF-Liste auf dataprivacyframework.gov).
2. Standardvertragsklauseln (SCC) mit dem Anbieter abschließen, als zusätzliche Absicherung.
3. Ein Transfer Impact Assessment durchführen oder durchführen lassen.

Datenschutzerklärung des Anbieters

Auch die Datenschutzerklärung des Visitenkarten-Anbieters selbst ist relevant. Sie muss nachvollziehbar darstellen:

• Welche Daten werden vom Anbieter erfasst (eigene Daten und Daten der Empfänger)?
• Wie lange werden sie gespeichert?
• An wen werden sie weitergegeben (etwa Sub-Auftragsverarbeiter)?
• Welche Rechte haben Betroffene?

Wer das nicht klar kommuniziert, ist nicht DSGVO-konform.

Was passiert mit den Daten der Empfänger?

Eine besondere Konstellation entsteht, wenn jemand deine digitale Visitenkarte empfängt und dadurch selbst Daten beim Anbieter hinterlässt. Beispiel: Ein NFC-Tap öffnet das Profil, der Empfänger wird auf eine Webseite geleitet, dort werden möglicherweise Cookies gesetzt oder Scan-Statistiken erhoben.

In diesem Fall verarbeitet der Anbieter auch Daten von Personen, die selbst keine vertragliche Beziehung mit ihm haben. Das ist datenschutzrechtlich besonders sensibel. Anbieter, die hier mit umfangreichem Tracking arbeiten (Analyse, wer wann von wo aus die Karte gescannt hat), sollten das explizit kommunizieren, und du als Karten-Inhaber solltest dir bewusst sein, dass du diese Datenverarbeitung durch deinen Anbieter mit ermöglichst.

Praxis-Checkliste

Wenn du Papier-Visitenkarten verwaltest

• Rechtsgrundlage festlegen (meist berechtigtes Interesse)
• Datenschutzerklärung auf der Webseite um einen Passus zu Visitenkarten-Daten ergänzen
• Bei Erstkontakt per E-Mail auf die Datenschutzerklärung verweisen
• Datenminimierung: Nur geschäftlich relevante Daten verarbeiten
• Vor Werbe-E-Mails: ausdrückliche Einwilligung einholen
• Speicherdauer definieren und einhalten (Daten löschen, wenn der Zweck entfällt)

Wenn du eine digitale Visitenkarte nutzt

• Anbieter mit transparenter Datenschutzerklärung wählen
• Auftragsverarbeitungsvertrag (AVV) prüfen und abschließen
• Server-Standort prüfen, EU bevorzugen
• Bei US-Anbietern: DPF-Zertifizierung prüfen, Standardvertragsklauseln abschließen
• Eigene Datenschutzerklärung um die Nutzung des Anbieters ergänzen
• Bewusstsein, dass auch Empfänger-Daten beim Anbieter verarbeitet werden

Quellen und weiterführende Belege:

• DSGVO-Grundlagen: Bayerischer Landesbeauftragter für Datenschutz: Aktuelle Kurz-Information 11 zu Visitenkarten
• Rechtsgrundlagen und Informationspflicht: Dr. Datenschutz: Informationspflicht beim Austausch von Visitenkarten, IT-Recht-Kanzlei zur Visitenkarten-Einwilligung, handwerk.com: Visitenkarten und DSGVO
• Berechtigtes Interesse als Rechtsgrundlage: VACE: Visitenkarten datenschutzrechtlich, Webersohn & Scholtz: Verarbeitung von Visitenkarten
• BDSG-Frist von zwei Wochen: § 32 BDSG bei dejure.org
• EU-US Data Privacy Framework: eRecht24: Data Privacy Framework Übersicht, Offizielle DPF-Webseite (USA)
• Kritische Einordnung der DPF-Lage 2026: alfaview: Das EU-US Data Privacy Framework

Wichtiger Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Die DSGVO-Lage ist in vielen Punkten von Einzelfallumständen abhängig und teilweise juristisch umstritten. Bei konkreten rechtlichen Fragen, insbesondere bei größeren Datenverarbeitungen oder bei Verstößen gegen die DSGVO, sollte ein Datenschutzbeauftragter oder eine auf Datenschutzrecht spezialisierte Kanzlei hinzugezogen werden. Der Autor ist kein Anwalt. Aufsichtsbehörden und Gerichte können die hier dargestellten Rechtsfragen abweichend beurteilen.

Zuletzt aktualisiert: Mai 2026