Muss ich am Telefon auf die DSGVO hinweisen?

Autor: , verfasst am 01.06.2018, 11:15| 1 Kommentar

Was müssen Unternehmen wegen der Datenschutzgrund-Verordnung (DSGVO) beachten, wenn ein neuer Kunde zwecks Vereinbarung eines Termins anruft? Das erfahren Sie in diesem Ratgeber.

Datenschutz und DSGVO-Pflichten für Unternehmer (© Dustin Lyson / Fotolia.com)
Datenschutz und DSGVO-Pflichten für Unternehmer
(© Dustin Lyson / Fotolia.com)

Viele Kunden greifen gerne zum Telefon um einen Termin z.B. in einer Arztpraxis oder beim Friseur zu vereinbaren. Das Gleiche gilt, wenn man einen Handwerkertermin vereinbaren möchte. Bislang war dies unproblematisch – auch wenn das Unternehmen eben mal Name und Telefonnummer des Kunden im PC erfasst hatte. Die Frage ist, ob sich dies seit dem 25.05.2018 geändert hat.

Seit diesem Zeitpunkt müssen die Vorschriften der Datenschutzgrund-Verordnung (DSGVO) im Rahmen der Verarbeitung von personenbezogener Daten beachtet werden, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dies ergibt sich aus Art. 2 Abs. 1 DSGVO. Hierunter fällt auch das Speichern von Name und Telefonnummer in einem Datenverarbeitungssystem – wie einem elektronischen Terminkalender. Anders sieht es aus, wenn diese Angaben von Hand in einem Kalender notiert werden.

Informationspflichten gegenüber dem Kunden nach DSGVO

Hier besteht das Problem darin, inwieweit bei der Erhebung und Verarbeitung der personenbezogenen Daten des Anrufenden (wie Namen und Telefonnummer) bereits umfangreiche Informationspflichten des Unternehmers bestehen. Diese könnten sich aus Art. 13 Abs. 1 und 2 DSGVO ergeben.

Darin heißt es:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ausnahmen von Informationspflichten?

Diese strengen Informationspflichten gelten allerdings nicht ausnahmslos.

Zunächst einmal stellt Art. 13 Abs. 4 DSGVO klar, dass diese Pflichten nicht gelten, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Kein Problem ist daher, wenn sich z.B. ein Patient nach erfolgter Aufklärung in der Praxis einen Termin telefonisch vereinbart.

Eine weitere Ausnahme enthält vor allem Art. 62 der Erwägungsgründe zur DSVGO. Demzufolge erübrigt sich die Pflicht Informationen zur Verfügung zu stellen, unter anderem auch dann, wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Hier könnte man damit argumentieren, dass die Unterrichtung im Rahmen eines Telefonates mit einem unverhältnismäßigen Aufwand verbunden ist, weil dieses dann aber lange dauern würde und sich kaum ein Anrufer diese umfangreichen Informationen merken könnte.

Das unabhängige Datenschutzzentrum ULD mit Sitz in Schleswig-Holstein hat in einer Broschüre klargestellt, dass diese Pflichtinformationen nicht zwingend zum Zeitpunkt der Erhebung erteilt werden müssen. Es reiche aus, wenn dies im zeitlichen Zusammenhang zur Erhebung geschieht. Am Beispiel einer Arztpraxis verweist es darauf, dass dies in einer Arztpraxis durch Übergabe eines Handzettels oder Flyers an den Patienten geschehen könne. Allerdings wendet sich diese nur an Angehörige der Heilberufe und nicht an andere Berufsgruppe-wie etwa Handwerkbetriebe.

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) räumt auf Nachfrage ein, dass bei Kundenanrufen im Rahmen eines Erstkontaktes per Telefon zwecks Terminvereinbarung eine eingehende Mitteilung von Informationen am Telefon kaum praktikabel sei, so dass dies etwa bei einem Termin in der Arztpraxis nachgeholt werden könne.

Wörtlich führt er hierzu Folgendes aus: „Die Informationspflichten dienen dazu, dass die betroffene Person darüber in Kenntnis gesetzt wird, wer was mit ihren Daten macht. Aus der Formulierung in Art. 12 der Datenschutz-Grundverordnung, dass der Verantwortliche geeignete Maßnahmen treffen muss, kann sich im Einzelfall auch ergeben, dass keine Maßnahmen zu treffen sind, weil eine Information offensichtlich nicht notwendig ist, da die betroffene Person alle Informationen kennt und sich den Umgang mit den Daten entsprechend wünscht. Dies kann nach unserer Auffassung in dem von Ihnen genannten Fall, dass man in einer Arztpraxis wegen einer Terminvereinbarung anruft, der Fall sein.

Dier kennt der Patient alle Informationen und wünscht sich, dass seine personenbezogenen Daten erfasst und entsprechend verarbeitet werden. Nur dann, wenn irgendetwas Außergewöhnliches, womit der Patient nicht rechnen muss, vorliegen würde, würden wir eine Informationspflicht sehen. Dies könnte zum Beispiel dann der Fall sein, wenn die Terminvereinbarung nicht unmittelbar durch Mitarbeiterinnen oder Mitarbeiter der Arztpraxis, sondern durch einen Dienstleister erfolgt.

Dieser müsste schon darauf hinweisen, wer er ist und in wessen Namen er tätig wird. Grundsätzlich gilt, dass wir bezüglich der Informationspflichten auch ein Stück abwarten müssen, wie sich die Praxis entwickelt, da es sich dabei nicht um einen aufgedrängten Formalismus handeln soll, sondern um die Sicherung des Grundrechts der betroffenen Person.“

Das Bayerische Landesamt für Datenschutzaufsicht verweist in einem Merkblatt auf seiner Webseite darauf, dass in einer Arztpraxis als Beispiel Informationspflichten „insbesondere“ in der Praxis durch einen Flyer/Aushang und auf der Webseite in der Datenschutzerklärung bestehen https://www.lda.bayern.de/media/muster_5_arztpraxis.pdf

An diese beiden Rechtsauffassungen sind allerdings die Datenschutz-Aufsichtsbehörden in den anderen Bundesländern nicht gebunden.

Fazit:

Hieraus ergibt sich, dass die rechtliche Situation noch nicht abschließend geklärt ist. Abzuwarten bleibt, inwieweit künftig Gerichte hierüber entscheiden werden. Diese werden allerdings erst tätig, gegen Unternehmen etwa Untersagungsverfügungen beziehungsweise Bußgeldbescheide erlassen. Am besten sollten Unternehmer sich an die zuständige Datenschutzaufsicht ihres jeweiligen Bundeslandes „Aufsichtsbehörden für den nicht öffentlichen Bereich“ wenden und dort schriftlich oder per E-Mail nachfragen.

Autor: Harald Büring, Ass. jur. (Juraforum-Redaktion)


Nachrichten zum Thema
  • BildDeutsche Telekom muss Telefon-Teilnehmerdaten herausgeben (31.07.2012, 10:57)
    Leipzig (jur). Die Deutsche Telekom AG muss grundsätzlich sämtliche Telefon-Teilnehmerdaten auch konkurrierenden Auskunftsdiensten zur Verfügung stellen. Dies hat das Bundesverwaltungsgericht am Mittwoch, 25. Juli 2012, in Leipzig entschieden...
  • BildWettbewerbskontrolle im Telefon- und Mobilfunkmarkt rechtmäßig (13.01.2012, 10:32)
    Karlsruhe (jur). Verbraucher können weiter auf eine gute Preis- und Wettbewerbskontrolle im Telefon- und Mobilfunkmarkt vertrauen. Mit einem am Donnerstag, 12. Januar 2012, veröffentlichten Beschluss hat das Bundesverfassungsgericht in Karlsruhe...
  • BildWas man gegen Telefon-Werbeterror tun kann! (03.11.2008, 09:40)
    Zu den Möglichkeiten eines Verbrauchers, sich gegen unerwünschte Werbeanrufe zur Wehr zu setzen Wer kennt das nicht: Ungebetene Anrufer behelligen einen mit allen möglichen Angeboten in Sachen Telekommunikation, Geldanlagen oder Versandhandel....
  • BildTelefon-Festnetz: Klage der Telekom weitgehend abgewiesen (03.11.2008, 09:19)
    Das Bundesverwaltungsgericht in Leipzig hat gestern eine Regulierungsverfügung der Bundesnetzagentur weitgehend bestätigt, in der diese Behörde der Deutschen Telekom AG Verpflichtungen in Bezug auf Anschlüsse und Verbindungen im Festnetzbereich...
  • BildEin Telefon als Goldesel (22.06.2006, 18:04)
    Andere klagen über zu hohe Telefonkosten, dem Kläger konnten die Gebühren nicht hoch genug sein. Er machte sie zur Grundlage eines äußerst lukrativen „Ge-schäftsmodells“, das ihm Gewinne von bis zu 100.000,- € pro Monat bescherte, bis ihm die...

Kommentar schreiben

76 - S_e chs =
Ja, ich habe die Datenschutzerklärung gelesen.
* Pflichtfeld

Bisherige Kommentare zum Ratgeber (1)

Norman  (01.06.2018 16:54 Uhr):
Warum sollte eine Mitteilung nicht praktikabel sein? Die WP29-Datenschutzgruppe hat sich hierzu im WP260 geäußert. Der Aufwand kann so auf ein Minimum reduziert werden, was teils nur zwei, höchstens drei Sätze umfassen wird. Hier auf einen unverhältnismäßigen Aufwand abzustellen und dafür im Zweifel jegliche Transparenz zu opfern kann nicht Sinn der Sache sein





Weitere Datenschutzrecht-Ratgeber


Anwalt für Datenschutzrecht

Weitere Orte finden Sie unter

JuraForum-Suche

Durchsuchen Sie hier JuraForum.de nach bestimmten Begriffen:

© 2003-2018 JuraForum.de — Alle Rechte vorbehalten. Keine Vervielfältigung, Verbreitung oder Nutzung für kommerzielle Zwecke.