Muss ich am Telefon auf die DSGVO hinweisen?

Autor: , verfasst am 01.06.2018, 11:15| 1 Kommentar

Was müssen Unternehmen wegen der Datenschutzgrund-Verordnung (DSGVO) beachten, wenn ein neuer Kunde zwecks Vereinbarung eines Termins anruft? Das erfahren Sie in diesem Ratgeber.

Datenschutzrecht (© Marco 2811 / Fotolia.com)
Datenschutzrecht
(© Marco 2811 / Fotolia.com)

Viele Kunden greifen gerne zum Telefon um einen Termin z.B. in einer Arztpraxis oder beim Friseur zu vereinbaren. Das Gleiche gilt, wenn man einen Handwerkertermin vereinbaren möchte. Bislang war dies unproblematisch – auch wenn das Unternehmen eben mal Name und Telefonnummer des Kunden im PC erfasst hatte. Die Frage ist, ob sich dies seit dem 25.05.2018 geändert hat.

Seit diesem Zeitpunkt müssen die Vorschriften der Datenschutzgrund-Verordnung (DSGVO) im Rahmen der Verarbeitung von personenbezogener Daten beachtet werden, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dies ergibt sich aus Art. 2 Abs. 1 DSGVO. Hierunter fällt auch das Speichern von Name und Telefonnummer in einem Datenverarbeitungssystem – wie einem elektronischen Terminkalender. Anders sieht es aus, wenn diese Angaben von Hand in einem Kalender notiert werden.

Informationspflichten gegenüber dem Kunden nach DSGVO

Hier besteht das Problem darin, inwieweit bei der Erhebung und Verarbeitung der personenbezogenen Daten des Anrufenden (wie Namen und Telefonnummer) bereits umfangreiche Informationspflichten des Unternehmers bestehen. Diese könnten sich aus Art. 13 Abs. 1 und 2 DSGVO ergeben.

Darin heißt es:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ausnahmen von Informationspflichten?

Diese strengen Informationspflichten gelten allerdings nicht ausnahmslos.

Zunächst einmal stellt Art. 13 Abs. 4 DSGVO klar, dass diese Pflichten nicht gelten, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Kein Problem ist daher, wenn sich z.B. ein Patient nach erfolgter Aufklärung in der Praxis einen Termin telefonisch vereinbart.

Eine weitere Ausnahme enthält vor allem Art. 62 der Erwägungsgründe zur DSVGO. Demzufolge erübrigt sich die Pflicht Informationen zur Verfügung zu stellen, unter anderem auch dann, wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Hier könnte man damit argumentieren, dass die Unterrichtung im Rahmen eines Telefonates mit einem unverhältnismäßigen Aufwand verbunden ist, weil dieses dann aber lange dauern würde und sich kaum ein Anrufer diese umfangreichen Informationen merken könnte.

Das unabhängige Datenschutzzentrum ULD mit Sitz in Schleswig-Holstein hat in einer Broschüre klargestellt, dass diese Pflichtinformationen nicht zwingend zum Zeitpunkt der Erhebung erteilt werden müssen. Es reiche aus, wenn dies im zeitlichen Zusammenhang zur Erhebung geschieht. Am Beispiel einer Arztpraxis verweist es darauf, dass dies in einer Arztpraxis durch Übergabe eines Handzettels oder Flyers an den Patienten geschehen könne. Allerdings wendet sich diese nur an Angehörige der Heilberufe und nicht an andere Berufsgruppe-wie etwa Handwerkbetriebe.

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) räumt auf Nachfrage ein, dass bei Kundenanrufen im Rahmen eines Erstkontaktes per Telefon zwecks Terminvereinbarung eine eingehende Mitteilung von Informationen am Telefon kaum praktikabel sei, so dass dies etwa bei einem Termin in der Arztpraxis nachgeholt werden könne.

Wörtlich führt er hierzu Folgendes aus: „Die Informationspflichten dienen dazu, dass die betroffene Person darüber in Kenntnis gesetzt wird, wer was mit ihren Daten macht. Aus der Formulierung in Art. 12 der Datenschutz-Grundverordnung, dass der Verantwortliche geeignete Maßnahmen treffen muss, kann sich im Einzelfall auch ergeben, dass keine Maßnahmen zu treffen sind, weil eine Information offensichtlich nicht notwendig ist, da die betroffene Person alle Informationen kennt und sich den Umgang mit den Daten entsprechend wünscht. Dies kann nach unserer Auffassung in dem von Ihnen genannten Fall, dass man in einer Arztpraxis wegen einer Terminvereinbarung anruft, der Fall sein.

Dier kennt der Patient alle Informationen und wünscht sich, dass seine personenbezogenen Daten erfasst und entsprechend verarbeitet werden. Nur dann, wenn irgendetwas Außergewöhnliches, womit der Patient nicht rechnen muss, vorliegen würde, würden wir eine Informationspflicht sehen. Dies könnte zum Beispiel dann der Fall sein, wenn die Terminvereinbarung nicht unmittelbar durch Mitarbeiterinnen oder Mitarbeiter der Arztpraxis, sondern durch einen Dienstleister erfolgt.

Dieser müsste schon darauf hinweisen, wer er ist und in wessen Namen er tätig wird. Grundsätzlich gilt, dass wir bezüglich der Informationspflichten auch ein Stück abwarten müssen, wie sich die Praxis entwickelt, da es sich dabei nicht um einen aufgedrängten Formalismus handeln soll, sondern um die Sicherung des Grundrechts der betroffenen Person.“

Das Bayerische Landesamt für Datenschutzaufsicht verweist in einem Merkblatt auf seiner Webseite darauf, dass in einer Arztpraxis als Beispiel Informationspflichten „insbesondere“ in der Praxis durch einen Flyer/Aushang und auf der Webseite in der Datenschutzerklärung bestehen https://www.lda.bayern.de/media/muster_5_arztpraxis.pdf

Ein Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen macht zunächst darauf aufmerksam, dass nach seiner Auffassung der europäische Gesetzgeber wichtige Fragen zur praktischen Umsetzung der Informationspflicht leider nicht immer beantwortet hat. Wörtlich führt er aus: „Die Datenschutzaufsichtsbehörden streben praktikable Lösungen an. Sie sind dabei aber an den Wortlaut der Regelungen gebunden. Viele Bewertungen der Aufsichtsbehörden müssen unter dem Vorbehalt stehen, dass sich die Auffassung im europäischen Meinungsbildungsprozess noch ändern kann.

Dies vorausgeschickt haben wir Zweifel, ob bei einem telefonischen Erstkontakt gänzlich auf eine Information nach Art. 13 DSGVO verzichtet werden kann. Ein Vorlesen von Informationen ist allerdings in der Regel auch nicht erforderlich. Sicher ist dabei, dass eine Information dann nicht erfolgen muss, wenn zu dem Zeitpunkt keine personenbezogenen Daten i. S. d. DSGVO „erhoben“ (Artikel 2 I DSGVO) werden und damit der sachliche Anwendungsbereich der DSGVO nicht eröffnet ist – dies ist ja nicht bei jedem Telefonat der Fall. Sicher ist auch, dass Informationen in einigen Fallkonstellationen schon vorher erfolgt sein können, so dass zu dem Zeitpunkt der Erhebung nicht nochmals informiert werden muss – nicht jedes erste Telefonat ist auch wirklich der erste Kontakt.

Die Aspekte „unmöglich“ und „unverhältnismäßiger Aufwand“ aus Erwägungsgrund 62 können sich allerdings nur auf Art. 14 DSGVO beziehen, der diese Ausnahmen regelt. Dagegen sieht Art. 13 diese Ausnahmen nicht vor. Andererseits sind Verständlichkeit der Information und damit die Aufnahmefähigkeit der betroffenen Personen in der konkreten Situation (Prinzipien aus Artikel 12 Absatz 1 DSGVO) ebenso zu beachten, wie die Vollständigkeit der zu erteilenden Inhalte. Wenn sich die betroffene Person z. B. selbst an die verantwortliche Stelle gewandt hat, sind zudem genaue Angaben über diese Stelle in der Regel nicht notwendig. Wenn die Verarbeitung zunächst nur zur Terminvereinbarung erfolgt, müssen auch noch nicht alle später eventuell stattfindenden weiteren Schritte erläutert werden.

Wohl aber muss bei Erstkontakten sofort bei Beginn einer Datenverarbeitung, die in den Anwendungsbereich der DSGVO fällt, auf die Verarbeitung und ihren Zweck hingewiesen werden und es müssen die weiteren Datenschutzinformationen aktiv angeboten werden (etwa: „Dann nehme ich jetzt die Angaben, die Sie mir gemacht haben, in unser Verwaltungssystem auf, um Ihren Termin für uns festzuhalten. Unsere Informationen über unsere Datenverarbeitung und Ihre Rechte in diesem Zusammenhang finden Sie auf unserer Homepage (…) oder hier in unserer Praxis.“ Alternativ statt des letzten Satzes: „Möchten Sie Informationen über unsere Datenverarbeitung und ihre Rechte?“ Bei Antwort „Nein“ sind keine weiteren Informationen mehr erforderlich. Bei Antwort „Ja“ etwa: „Diese Informationen finden Sie auf unserer Homepage oder in unserer Praxis“.).

Auf jeden Fall müssen etwaige für die Betroffenen überraschende Verarbeitungsschritte, mit denen diese nicht rechnen müssen, zu Beginn ungefragt mitgeteilt werden (zum Beispiel, wenn schon zu diesem Zeitpunkt Auftragsverarbeiter eingeschaltet werden sollten, die in einem Drittland sitzen). Dies ergibt sich bereits aus den Prinzipien der fairen und transparenten Verarbeitung nach Artikel 5 Absatz 1 (a) DSGVO. In einer Arztpraxis ist dies allerdings eher nicht zu erwarten. Insgesamt sind die angesprochenen Fragestellungen komplex und die Meinungsbildung unter den deutschen und den europäischen Aufsichtsbehörden ist hierzu noch im Gange.“

An diese drei Rechtsauffassungen sind allerdings die Datenschutz-Aufsichtsbehörden in den anderen Bundesländern nicht gebunden.

Fazit:

Hieraus ergibt sich, dass die rechtliche Situation noch nicht abschließend geklärt ist. Abzuwarten bleibt, inwieweit künftig Gerichte hierüber entscheiden werden. Diese werden allerdings erst tätig, gegen Unternehmen etwa Untersagungsverfügungen beziehungsweise Bußgeldbescheide erlassen. Am besten sollten Unternehmer sich an die zuständige Datenschutzaufsicht ihres jeweiligen Bundeslandes „Aufsichtsbehörden für den nicht öffentlichen Bereich“ wenden und dort schriftlich oder per E-Mail nachfragen. Dabei sollten sie etwa das Praxisbeispiel der nordrhein-westfälischen Aufsichtsbehörde anführen, auch wenn dieses für sie nicht bindend ist.

Autor: Harald Büring, Ass. jur. (Juraforum-Redaktion)


Jetzt Rechtsfrage stellen
Jetzt Rechtsfrage stellen

Nachrichten zum Thema
  • BildDeutsche Telekom muss Telefon-Teilnehmerdaten herausgeben (31.07.2012, 10:57)
    Leipzig (jur). Die Deutsche Telekom AG muss grundsätzlich sämtliche Telefon-Teilnehmerdaten auch konkurrierenden Auskunftsdiensten zur Verfügung stellen. Dies hat das Bundesverwaltungsgericht am Mittwoch, 25. Juli 2012, in Leipzig entschieden...
  • BildWettbewerbskontrolle im Telefon- und Mobilfunkmarkt rechtmäßig (13.01.2012, 10:32)
    Karlsruhe (jur). Verbraucher können weiter auf eine gute Preis- und Wettbewerbskontrolle im Telefon- und Mobilfunkmarkt vertrauen. Mit einem am Donnerstag, 12. Januar 2012, veröffentlichten Beschluss hat das Bundesverfassungsgericht in Karlsruhe...
  • BildWas man gegen Telefon-Werbeterror tun kann! (03.11.2008, 09:40)
    Zu den Möglichkeiten eines Verbrauchers, sich gegen unerwünschte Werbeanrufe zur Wehr zu setzen Wer kennt das nicht: Ungebetene Anrufer behelligen einen mit allen möglichen Angeboten in Sachen Telekommunikation, Geldanlagen oder Versandhandel....
  • BildTelefon-Festnetz: Klage der Telekom weitgehend abgewiesen (03.11.2008, 09:19)
    Das Bundesverwaltungsgericht in Leipzig hat gestern eine Regulierungsverfügung der Bundesnetzagentur weitgehend bestätigt, in der diese Behörde der Deutschen Telekom AG Verpflichtungen in Bezug auf Anschlüsse und Verbindungen im Festnetzbereich...
  • BildEin Telefon als Goldesel (22.06.2006, 18:04)
    Andere klagen über zu hohe Telefonkosten, dem Kläger konnten die Gebühren nicht hoch genug sein. Er machte sie zur Grundlage eines äußerst lukrativen „Ge-schäftsmodells“, das ihm Gewinne von bis zu 100.000,- € pro Monat bescherte, bis ihm die...

Kommentar schreiben

97 - Zwe;i =
Ja, ich habe die Datenschutzerklärung gelesen.
* Pflichtfeld

Bisherige Kommentare zum Ratgeber (1)

Norman  (01.06.2018 16:54 Uhr):
Warum sollte eine Mitteilung nicht praktikabel sein? Die WP29-Datenschutzgruppe hat sich hierzu im WP260 geäußert. Der Aufwand kann so auf ein Minimum reduziert werden, was teils nur zwei, höchstens drei Sätze umfassen wird. Hier auf einen unverhältnismäßigen Aufwand abzustellen und dafür im Zweifel jegliche Transparenz zu opfern kann nicht Sinn der Sache sein




Jetzt Rechtsfrage stellen

Jetzt Rechtsfrage stellen

Weitere Datenschutzrecht-Ratgeber


Anwalt für Datenschutzrecht

Weitere Orte finden Sie unter

JuraForum-Suche

Durchsuchen Sie hier JuraForum.de nach bestimmten Begriffen:

© 2003-2018 JuraForum.de — Alle Rechte vorbehalten. Keine Vervielfältigung, Verbreitung oder Nutzung für kommerzielle Zwecke.