Die Regeln der DSGVO für Elternberaterinnen (Teil 3) - Kommunikation und Standardabläufe

In diesem Punkt möchten wir nun auf die verschiedenen Wege der zwischenmenschlichen Kommunikation eingehen, und wie diese laut DSGVO für Euch ablaufen sollten.

Um sich rechtskonform zu verhalten ist auch hier wieder eine ziemliche Verrenkung notwendig. Wir haben bereits versucht, die Abläufe so zu gestalten, dass sie auf den Gesprächspartner nicht allzu befremdlich wirken.

Grundprinzip:

Sobald Ihr die personenbezogenen Daten von einem Geschäftskontakt erstmalig verarbeiten wollt, ist dieser im Vorfeld darüber aufzuklären, was mit seinen Daten geschieht und welche Rechte er hat (z.B. durch Zugänglichmachen der Datenschutzerklärung). Eine Verarbeitung wäre z.B. das Notieren, Abspeichern oder die Weitergabe von Daten. Das kann sich im Alltag schnell als Herausforderung herausstellen und zu kniffligen Situationen führen.

Fernkommunikation

Telefon

• Ihr werdet z.B. von einer Interessentin angerufen
• Das Gespräch normal führen, aber nichts aufschreiben
• Bittet die Anruferin Euch die benötigten Daten per E-Mail zu schicken
• Sobald Ihr die E-Mail bekommen habt, sendet Ihr eine Antwort mit Alles klar, Deine Mail ist angekommen. Hier ist noch der Link zu meiner Datenschutzerklärung
• Soweit wir informiert sind braucht keine Bestätigung der Anruferin zu erfolgen, dass sie die Datenschutzerklärung zur Kenntnis genommen hat.

E-Mail

• Ihr werdet z.B. von einer Interessentin angeschrieben
• Bei Beantwortung einer Anfrage solltet Ihr immer ein Link zu Eurer Datenschutzerklärung mitsenden oder diese in den Anhang packen. Zudem solltet Ihr im Text auf die Datenschutzerklärung hinweisen (z.B. „Meine Datenschutzerklärung findest Du im Anhang“)
• Die Signatur sollte Euer vollständiges Impressum enthalten
• Wie auch schon im Punkt Auftragsverarbeitungsvertrag erwähnt: Als E-Mail-Provider sind ausschließlich Dienste zulässig, mit denen Ihr einen solchen Vertrag abschließen könnt.

WhatsApp

• Das Thema WhatsApp nimmt viel Raum in der Netz-Diskussion über die DSGVO ein
• Kurzgesagt: Es ist offensichtlich nicht mehr zulässig WhatsApp auf einem Handy installiert zu haben, welches Ihr auch für geschäftliche Korrespondenzen verwendet. Der Grund: WhatsApp erhält automatisch Zugriff auf Euer Telefonbuch und lädt dieses auf den eigenen Server hoch. (Ihr gebt personenbezogene Daten also zwangsweise an ein Unternehmen außerhalb der EU weiter, könnt in Eurer Datenschutzerklärung nicht darüber aufklären, was mit diesen Daten passiert und habt keinen Auftragsverarbeitungsvertrag mit dem Betreiber.)
• Eine mögliche Taktik wäre es sich ein Geschäftshandy zuzulegen und auf diesem einen DSGVO-konforme WhatsApp-Alternative laufen zu lassen, wie z.B. SIMSme vom der Deutschen Post (kostenlos) oder Threema (kostenpflichtig). Diese eignen sich aufgrund Ihrer noch geringen Verbreitung dann zwar nicht unbedingt zur ersten Kontaktaufnahme, aber sicherlich um mit bestehenden Kunden oder Kurs-Gruppen in Kontakt zu bleiben.
• Es gibt jedoch auch die Möglichkeit, WhatsApp den Zugriff auf sein Telefonbuch zu verbieten. Auf dem iPhone kann man über die Einstellungen wohl einer App der Zugriff auf das Telefonbuch verwehren (was aber nichts daran ändert, dass bei der Installation bereits alle bestehenden Kontakte übertragen wurden). Zum anderen gibt es aber auch Apps, welche einen Container für Eure geschäftlichen Kontakte erstellen, und diese somit vor anderen Apps verstecken. Das sind z.B. SecurePIM Office oder Secure Contact für iOS (Android in Arbeit).
• Weitere Infos bekommt Ihr in diesem Artikel auf cio.de
• Wenn Euch ein Interessent von sich aus über WhatsApp anschreibt (auf Eurem nicht DSGVO-konformen Privathandy ;), ist alles okay. Er hat den Nutzungsbedingungen dann selbst zugestimmt und WhatsApp hat eh schon seine Nummer. Am besten solltet Ihr aber schnell versuchen die Kommunikation auf einem anderen Kanal weiterzuführen (z.B. Telefonieren oder einen sicheren Messenger verwenden).
• Wie auch bei der Kommunikation über E-Mail solltest Du bei der ersten Kontaktaufnahme gleich einen Link zu Deiner Datenschutzerklärung sowie Deinem Impressum schicken.

Facebook Messenger

• Wenn auch der Facebook Messenger zum gleichen Konzern wie WhatsApp gehört, so wird über seine DSGVO-Kompatibilität im Internet nur wenig diskutiert. Wir schlussfolgern daraus, dass der Messenger offensichtlich nicht automatisch alle Telefonbuchkontakte mit dem Facebook-Server abgleicht. Die Verwendung des Messengers ist daher nach unserem derzeitigen Wissenstand weniger bedenklich (ausgenommen der allgemeinen Bedenken, die man der Nutzung von Facebook derzeit entgegen bringen sollte ;)
• Aber auch hier. Link zur Datenschutzerklärung und Impressum bei der ersten Kontaktaufnahme

Face-to-Face-Kommunikation

In unserem Fall ist die direkte Kommunikation mit Menschen in der Regel das, worauf das digitale Kennenlernen hinausläuft. Bei den meisten von uns wird dies eine Beratung mit 1-2 Personen (+ Kinder) oder ein Gruppenkurs sein. Für diese Zusammenkünfte hat die DSGVO auch einige kniffelige Aufgaben für uns.

Informationspflicht

Wie wir wissen, muss der Betroffene stets von uns darüber informiert werden, was wir mit seinen Daten machen. Das Instrument der Informationsbereitstellung auf dem digitalen Wege ist die Datenschutzerklärung (siehe Oben). Da die Information dem Betroffenen immer in der für ihn besten Form zugänglich gemacht werden soll, ist für die direkte Kommunikation nach einer geeigneten Alternative zu suchen.

Am naheliegendsten ist hier wohl ein ausgedrucktes Informationsschreiben, welches Ihr am Ort des Treffens auslegt. Und auch wie bei der Kommunikation über E-Mails oder WhatsApp gilt: Bevor Ihr mit der Datenverarbeitung beginnt, weist Ihr die andere Person darauf hin, dass dieses Informationsschreiben für sie vorliegt und wo sie es finden kann (Um auf Nummer sicher zu gehen könnte Ihr Euch auch unterschreiben lassen, dass dieser Hinweis erfolgt ist).

Theoretisch könnte das Informationsschreiben die ausgedruckte Datenschutzerklärung Eurer Website sein. Dieses wäre gegebenenfalls nur um Eure "analogen" Verarbeitungsprozesse zu ergänzen. In der Praxis bietet es sich aber an, für diesen Zweck ein Dokument bereit zu stellen, welches auf das Wesentliche reduziert ist. Dieses beschreibt neben den Pflichtinformationen dann nur die allgemeinen Prozesse, welche bei der direkten Kommunikation und der daraus folgenden Datenverarbeitung relevant sind.

Datenminimierung

Die in der DSGVO enthaltenen Grundsätze für die Verarbeitung personenbezogener Daten beschreiben unter anderem, dass die Datenerhebung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein [soll] (Art. 5 Abs. 1c DSGVO). Bei der Anfertigung von Beratungs­protokollen oder anderweitigen Aufzeichnungen solltet Ihr also immer im Auge behalten, dass Ihr einmal in die Situation kommen könntet, in der Ihr begründen können müsst, warum Ihr die einzelnen Informationen gespeichert habt. Die zulässigen Gründe sind in den Grundlagen für die Datenverarbeitung zu suchen (siehe Oben).

Newsletter, Mailing-Liste oder Messenger-Gruppe

Es gibt viele Gründe dafür, um mit seinen Beratungseltern oder Kursteilnehmern in Verbindung zu bleiben, sei es die Zusendung von Informationen über zukünftige Kurse oder der gegenseitige Austausch in einer Messenger-Gruppe. Wie wir die DSGVO mittlerweile kennen, brauchen wir für diese Art der Kontaktaufnahme natürlich auch eine Einwilligung des Betroffenen. Diese solltet Ihr Euch, wenn gewünscht, also während des Treffens schriftlich geben lassen.

Es muss sich immer eine leere Checkbox neben dem Textfeld befinden, welche vom Betroffenen abgehakt werden muss. Der Jurist nennt sowas dann eine aktive Willensbekundung.

Diese Einwilligung im Rahmen eines Kurses dürft Ihr nicht durch eine Liste einholen, welche rumgereicht wird. Die Einsichtnahme der anderen Teilnehmer in die bereits ausgefüllte Liste wäre ein Datenschutzverstoß ;)

Rechtsgrundlage zur Datenspeicherung

Entwickelt sich aus einer Beratungsanfrage keine Beratung, bzw. kein Vertragsverhältnis, müsst ihr die Kontaktdaten und die betreffende Kommunikation wieder löschen. Ihr habt dann keine Rechtsgrundlage mehr dafür, um diese zu speichern. Wenn Ihr dieses tun wollt, dann müsstet Ihr dafür explizit um Erlaubnis fragen.

Allen Daten, welche sich aus einer Beratung oder einem Kurs ergeben (z.B. Beratungsprotokoll), fehlt nach einiger Zeit ebenfalls die Rechtsgrundlage für eine weitere Speicherung (als sinnvoller Zeitraum sind sicherlich 2 Jahre anzusehen). Um die Daten nicht jedes Mal wieder löschen zu müssen, solltet Ihr Euch eine schriftliche Genehmigung für die weitere Speicherung einholen.

Das Gesetz fordert von Euch zwei vorbereitete Standardabläufe bzw. Prozesse, damit Ihr rechtskonform auf bestimmte Ereignisse reagieren könnt. Das wäre zum einen die Einforderung eines Betroffenenrechtes oder das Auftreten eines Datenschutzverstoßes.

Eine detaillierte Ausarbeitung dieser Prozesse ist eher etwas für größere Unternehmen. Für uns Freiberufler und Einzelunternehmer ist die ganze Angelegenheit in der Theorie erstmal nicht so kompliziert (Da bei uns nicht mehrere Mitarbeiter koordiniert werden müssen, um im Ernstfall schnell und richtig reagieren zu können). Im Vorfeld solltet Ihr Euch aber zumindest einmal damit auseinandergesetzt und im Optimalfall sogar eine kurze Ablaufbeschreibung vorliegen haben, um diese im Fall der Fälle der kontrollierenden Behörde zeigen zu können.

Rechte des Betroffenen

Betroffene Personen wurden von der DSGVO mit bestimmten Rechten ausgestattet. Auf diese Rechte wird Euer Kunde in der Datenschutzerklärung oder Eurem Informationsblatt hingewiesen. Für Euch ist es wichtig diese Rechte zu kennen. Denn im Fall der Einforderung eines dieser Rechte wird von Euch verlangt, zeitnah (innerhalb eines Monats) und korrekt zu handeln.

Das sind die für uns relevanten Betroffenen­rechte:

Auskunft

"Bitte sende mir eine Übersicht aller Daten, die Du über mich gespeichert hast" (Art. 15 DSGVO)

Berichtigung

"Ich heiße Sylvia Mayer, nicht Silvia Meier" (Art. 16 DSGVO)

Löschung

"Bitte entferne mich aus Deiner Kundendatenbank und Lösche alle Daten, die Du über mich gespeichert hast" (Art. 17 DSGVO)

Einschränkung

"Bitte nimm meinen Namen doch aus Deinem Facebook-Post raus, auf Deiner Website kann er jedoch stehen bleiben" (Art. 18 DSGVO)

Daten­übertragbarkeit

"Ich ziehe um und würde Dich bitten, alle meine Daten an meine neue Hebamme zu senden" (Art. 20 DSGVO)

Widerspruchs­recht

"Ich möchte nicht auf der im Internet veröffentlichten Teilnehmerliste erscheinen" (Art. 21 DSGVO)

Widerrufsrecht

"Ich ziehe meine Einwilligung zurück" (Art. 6.1a DSGVO oder Art. 9.2 DSGVO)

Ausführlichere Informationen darüber bekommt Ihr z.B. bei der IT-Recht-Kanzlei.

Ein einfacher Prozessablauf zur Reaktion auf Betroffenenrechte kann so aussehen:

1. Erfassung des Antrags
2. Versenden einer Eingangsbestätigung
3. Prüfung der Identität des Antragstellers
4. Betroffenenrechte umsetzen
5. Umsetzung dokumentieren
6. Rückmeldung an Betroffenen

Umgang mit Datenschutzvorfällen

Sollte der Schutz von personenbezogenen Daten verletzt werden und dadurch Risiken für den Betroffenen entstehen, müsst Ihr innerhalb von 72 Stunden die Aufsichtsbehörde Eures Bundeslandes informieren sowie in angemessener Zeit auch die betroffenen Personen (Artikel 33 und 34 DSGVO).

Wann von einem Risiko für den Betroffenen gesprochen werden kann, ist unserer Meinung nach nur ungenau festzustellen. Die ungewollte Veröffentlichung einer Geburtstagsliste soll wohl noch nicht darunterfallen.

Einen guten Überblick über die konkret geforderte Vorgehensweise haben wir im Blog der datenschutz nord Gruppe gefunden.

Eine Meldung an die Behörde und den Betroffenen muss demnach die folgenden Informationen enthalten:

• Euren Namen und Kontaktdaten als Datenverantwortlicher
• Eine Beschreibung der Art der Verletzung
• Kategorien und Zahl der betroffenen Personen und Datensätze (diese Info ist nur für die Behörde)
• eine Beschreibung der wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung

Der Prozessablauf für den Umgang mit Datenschutzvorfällen kann so aussehen:

1. Erfassung des Vorfalls
2. Risikoabschätzung
3. Ursache analysieren
4. Dokumentation anfertigen
5. Meldung an Behörde
6. Meldung an Betroffenen

Schlusswort

An vielen Punkten der vergangenen Kapitel werdet Ihr Euch sicherlich demotiviert an den Kopf gefasst haben, da die Befolgung der nun gültigen Datenschutz­grund­verordnung in vielen Fällen einem Affentanz gleicht. Auch wenn der Schutz von persönlichen Daten ein edles Ziel ist, welchem volle Unterstützung zukommen sollte - was die DSGVO nun allen Geschäftstätigen aufbürdet, und das egal ob Einzel­unternehmer im Nebenerwerb oder Großkonzern, wirkt unserer Meinung nach oft recht weltfremd. Man erhält wieder eine Bestätigung des geläufigen Eindrucks, dass sich die gesetzgebenden Kräfte mit Ihrer Wahrnehmung der Welt weit weg von der Lebenswirklichkeit der Bürger befinden.

Doch was machen wir nun mit dieser Erkenntnis? Im Zusammenhang mit der DSGVO hat man in Foren und Blogs davon lesen können, wie einigen Kleinunternehmern und Blog-Betreibern die Lust und Kraft zum Weitermachen genommen wird. Besonders dann, wenn man (wie viele von uns) seiner Beratungstätigkeit nicht im Vollerwerb nachgeht, ist die Versuchung groß, einfach die Segel zu streichen. Der Aufwand wird immer größer und die Gefahren scheinbar immer unkalkulierbarer.

Wir hoffen, dass wir Euch mit den von uns zusammen­getragenen Informationen alle eventuellen DSGVO-Ängste haben nehmen können. Die DSGVO eröffnet eine völlig neue Welt an abstrakten Regeln, welche sich nun Stück für Stück in die Köpfe und beruflichen Standardabläufe eingliedern müssen - und werden. Es lohnt sich diesen Prozess für sich mit zu machen, denn es gibt etwas Wertvolles zu erhalten: Die Möglichkeit, sich unter Eigenregie den Lebensunterhalt teilweise oder gar komplett verdienen zu können. Im Laufe Eures weiteren Lebens wird es bestimmt noch einige Leidenschaften und Berufungen geben, viele Themengebiete, für die Ihr Feuer und Flamme seid. Diesen Impulsen frei folgen zu können, um aus ihnen in selbständiger Voll- oder Nebenerwerbstätigkeit monetäre Energie ziehen zu können, ist ein großes und wichtiges Stück Freiheit - lasst es uns bewahren und die Herausforderungen annehmen, die dabei unsere Wege kreuzen!

Kathi & Henning :D