DSGVO-Verstöße: Achtung bei Online-Beratungen

Zum zweiten Aspekt: Verstärktes digitales Online-Arbeiten sind ebenfalls extrem spürbare Nebenwirkungen der Schutzbestimmungen in der Krise. Insbesondere die Online-Beratung findet immer mehr Beachtung – und darüber geraten auch die DSGVO-Vorschriften schnell in Vergessenheit. Was sollten alle Beteiligten bei der Online-Beratung in Bezug auf den Datenschutz beachten? Unsere VSAV-Netzwerkpartnerin und Buchautorin zum Thema Datenschutz, Frau Rose Müller klärt darüber in ihrem Beitrag auf.

Zurzeit sind sie aufgrund der Ausgangsbeschränkungen in aller Munde, einige Firmen nutzen das Medium schon seit Jahren: Online-Beratungen. Doch es lauern dort manche Risiken.

Für immer mehr Unternehmen hat die Digitalisierung in den letzten Wochen eine rasante Entwicklung genommen. Selbst in Bereichen, wo es noch vor kurzem undenkbar war, seine Kunden und Mandanten anders zu betreuen als im persönlichen Kontakt, haben die Unternehmer neue Wege beschritten. Trotz Einhaltung der Social-Distancing-Gebote können Beratungen weiterhin persönlich erledigt werden und die Grundlage dafür ist wieder einmal die Technik: Videokonferenzen, Webinare und Online-Beratungen können über Tools wie Skype for Business, Zoom, WebEx, GoToMeeting, und andere relativ einfach und meist auch kostengünstig eingerichtet und genutzt werden.

In der Euphorie über die Möglichkeiten, den wirtschaftlichen Schaden durch die Pandemie in Grenzen zu halten, darf der Unternehmer jedoch seine Verantwortung für die Einhaltung der geltenden Gesetze nicht komplett verdrängen. Die DSGVO-Anforderungen sind auch in Corona-Zeiten nicht außer Kraft gesetzt, auch wenn jeder dafür Verständnis hat, dass andere Themen derzeit das Denken und Handeln bestimmen.

Diese drei datenschutzrechtlichen Anforderungen auch für die Nutzung von Online-Tools sind die wichtigsten:

1.) Welche personenbezogenen Daten der Teilnehmer werden bei der Videokonferenz durch die Nutzung des Tools verarbeitet und auf welcher Rechtsgrundlage wird die Verarbeitung durchgeführt?

Einige werden den ersten Teil der Frage wahrscheinlich mit „es werden gar keine personenbezogenen Daten der Teilnehmer verarbeitet“ beantworten. Das ist leider falsch, denn es werden mindestens die Namen der Teilnehmer, der Zeitpunkt und die Dauer der Online-Konferenz und je nach Tool noch die E-Mail-Adresse, die IP-Adresse des benutzten Rechners oder andere personenbezogenen Daten verarbeitet. Der „Veranstalter“ der Konferenz ist für diese Verarbeitung der Verantwortliche im Sinne des Artikel 4 Abs. 7 DSGVO. Das bedeutet: Der Veranstalter sollte wissen, welche Daten vom gewünschten Tool verarbeitet werden und dass diese Verarbeitung auch in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden muss. Die Rechtsgrundlage wird in der Regel die sog. Interessenabwägung (Artikel 6 Abs. 1 lit f DSGVO) sein. Diese Interessenabwägung sollte jedoch tatsächlich explizit vorgenommen und dokumentiert werden.

2.) Wie werden die Informationspflichten (nach Artikel 13 DSGVO) des Verantwortlichen gegenüber dem Betroffenen erfüllt?

Nach Artikel 13 DSGVO ist der Verantwortliche verpflichtet, vor der Datenerhebung den oder die Betroffenen darüber zu informieren, welche Daten für welche Verarbeitungszwecke erhoben werden und wie die Betroffenen ihre Rechte (Recht auf Auskunft, Berichtigung, Löschung, …) wahrnehmen können. Die Nutzung eines Tools zur Online-Beratung ist wahrscheinlich in dem bisher verwendeten Informationsblatt noch nicht enthalten und sollte daher jetzt dort aufgenommen werden. Das neue Informationsblatt sollten alle Teilnehmer der Videokonferenz spätestens mit der Einladung zugeschickt bekommen.

Im Rahmen der Rechenschaftspflicht muss der Verantwortliche nachweisen können, dass alle Betroffenen die Information nach Artikel 13 DSGVO vor der Verarbeitung ihrer Daten erhalten haben. Eine Unterschrift auf dem Infoblatt oder gar eine Einwilligung in das, was im Infoblatt steht, ist nicht notwendig.

3.) Muss eine Vereinbarung zur Datenverarbeitung im Auftrag mit dem Tool-Anbieter geschlossen werden?

Der oder die Einladende trägt auch die Verantwortung für die Datenverarbeitung während der Online-Beratung. Sie sind und bleiben Verantwortliche im Sinne des Artikel 4 Ziffer 7 der DSGVO. Und auch für den Fall, dass für die Datenverarbeitung ein Dienstleister zur Unterstützung dazu gezogen wird, bleibt die Verantwortung beim Einladenden. Damit der Dienstleister die Daten im Sinne des Verantwortlichen verarbeiten kann, sieht die DSGVO im Artikel 28 eine Vereinbarung zur Datenverarbeitung im Auftrag vor.

Die Verantwortung für den Abschluss der Vereinbarung trägt der Auftraggeber – also auch in diesem Fall wieder der Einladende. Große Dienstleister und auch viele Anbieter von Websoftware haben „ihre“ Vereinbarung jedoch bereits vorbereitet, denn die Inhalte sind für alle Kunden dieser Dienstleister identisch. Die Vereinbarung wird dann üblicherweise im Registrierungs- oder Lizenzierungsprozess geschlossen und die Inhalte sind oft in den Nutzungsbedingungen oder AGBs integriert.

Und wie wählt man jetzt das richtige Tool für die Online-Beratungen aus? Für diese Entscheidung stellt man sich – wie für jede andere Software auch – die richtigen Fragen:

  • Welche Funktionalitäten muss das Tool haben, damit die gewünschten Einsatzgebiete damit abgedeckt werden können?
  • Wie groß ist das Budget, das für das gewünschte Tool zur Verfügung steht?
  • Passt das Tool zum eingesetzten Betriebssystem und zur sonstigen Systemlandschaft im Betrieb oder gibt es eine Web-Anwendung?
  • Wie sind die Erfahrungen anderer Unternehmen beim Einsatz des Tools?
  • Sind Sicherheitslücken, Datenschutzprobleme oder ähnliches bekannt?
    • wie groß ist das Vertrauen in den Hersteller, dass diese Probleme rasch behoben werden?
    • Wie groß ist die eigene Bereitschaft, die Risiken der bekannten Probleme zu einzugehen, weil der erwartete Schaden ausreichend gering ist?

Es lohnt sich, in diese Recherche etwas zeitlichen Aufwand zu investieren. Schließlich geht es um ein gesundes Preis-/Leistungsverhältnis. Und um Haftungssicherheit im Umgang mit sensiblen Daten.

Weitere wichtige Informationen zum Thema Datenschutz enthält das Buch

 

“Crashkurs Datenschutz für Selbstständige“. Es kam vor der Corona-Pandemie auf den Markt und enthält deshalb kein spezielles Kapitel über Datensicherheit in der Online-Beratung. Alle anderen relevanten Datenschutz-Anforderungen an Selbstständige und KMUs werden dort jedoch beleuchtet und praxisorientierte Lösungen dafür angeboten.

https://shop.haufe.de/prod/crashkurs-datenschutz-fuer-selbststaendige-inkl-arbeitshilfen-online?chorid=04275240&campaign=redirect/publishing/79105/04275240

Kontakt:

Startklar – Rose Müller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de

zurück