Nur noch wenige Wochen trennen uns vom 25. Mai 2018, dem Tag, an dem die Datenschutzgrundverordnung, im Folgenden DSGVO, europaweit anzuwenden ist. In vielen Bereichen bestehen zunehmend Unsicherheiten, wie diese rechtskonform anzuwenden ist. Ein Paradebeispiel scheint die Informationspflicht nach Artikel 13 DSGVO zu sein.
Nach dieser Regelung ist die betroffene Person bei der (Direkt-)Erhebung von personenbezogenen Daten umfangreich über die Datenverarbeitung zu informieren. Dabei sieht Artikel 13 Absatz 1 DSGVO vor, dass die Informationen zum Zeitpunkt der Erhebung der betroffenen Person mitzuteilen sind. Das ist in der Regel kein Problem, wenn sich Betroffener und Verantwortlicher bei der Datenerhebung direkt gegenüberstehen oder diese über eine Webseite erfolgt. In beiden Konstellationen können die Informationen in Papierform oder elektronisch bereitgestellt werden. Doch wie wirkt sich diese Pflicht bei einem telefonischen Erstkontakt – sei es die Terminvergabe bei einem Arzt oder die telefonische Bestellung von Waren aus?
Stellen Sie sich folgende Situation in einer Arztpraxis vor:
Frau Müller: „Gemeinschaftspraxis Schulze und Meyer, Sie sprechen mit Frau Müller. Guten Morgen, was kann ich für Sie tun?“
Herr Beyroth: „Beyroth, guten Morgen. Das ist ja echt schwierig, bei Ihnen durchzukommen. Es ist ja permanent besetzt.“
Frau Müller: „Ja, es ist gerade viel los, Grippewelle und dann das neue Datenschutzrecht.“
Herr Beyroth: „Datenschutzrecht? Naja, ich brauche einen Termin zur Auffrischung der Tetanus-Impfung.“
Frau Müller: „Waren Sie schon mal bei uns?“
Herr Beyroth: „Nein, ich bin neu in der Stadt und suche einen neuen Hausarzt.“
Frau Müller: „Sie haben Glück, wir nehmen noch neue Patienten auf.“
Herr Beyroth: „Das klingt gut. Ich könnte am 20.3., 8:00 Uhr. Ginge das?“
Frau Müller: „Ja, das ginge, Bevor ich Sie bzw. den Termin in unser System aufnehmen kann, muss ich Sie über den Datenschutz informieren. Das ist jetzt Pflicht, weil Sie noch nicht bei uns waren. Also:
Verantwortlich für die Datenverarbeitung ist die Gemeinschaftspraxis Dr. med. Paul Schulze und Dipl. med. Johann Meyer.
Datenschutzbeauftragter ist Herr Peter Müller. Sie erreichen ihn unter 0421/ 123456.
Zweck der Datenverarbeitung ist die Vorbereitung und Durchführung eines Behandlungsvertrages.
Wir speichern die Daten für 10 Jahren, aufgrund § 9 Musterberufsordnung Ärzte und § 603f Bürgerliches Gesetzbuch.
Herr Beyroth: „Sind Sie fertig?“
Frau Müller: „Nein. Sie haben das Recht auf Auskunft, Berichtigung, Löschung bzw. Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit.“
Herr Beyroth: „Ich will doch nur einen Termin.“
Frau Müller: „Den bekommen Sie auch gleich. Sie können sich noch bei der Datenschutz-Aufsichtsbehörde beschweren, wenn Sie der Meinung sind, dass wir Ihre Daten nicht datenschutzkonform verarbeiten. Das wäre Frau Dr. Sommer, Arndtstraße 1, 27570 Bremerhaven, Tel.: 0471 596 2010.“
Herr Beyroth: „Aber sie machen doch sicher alles datenschutzkonform?“
Frau Müller: „Natürliche, aber ich muss sie darauf hinweisen. So. Fertig. Nun zu Ihrem Termin. Ich habe Sie am 20.3. um 8 Uhr bei Herrn Dr. Schulze eingetragen.“
Herr Beyroth: „Endlich! Vielen Dank. Bis dann.“
Alleine dieser „kurze“ Dialog zeigt, was auf Unternehmen und Kunden zukommen könnte.
Wir haben uns mit der Frage, ob und in welchem Umfang bei einem telefonischen Erstkontakt den Informationspflichten nach Artikel 13 DSGVO nachzukommen ist, an alle 16 Landesdatenschutzaufsichtsbehörden gewandt, da wir in jedem Bundesland Unternehmen beraten, für die diese Thematik von elementarer Relevanz ist. Leider war die Rücklaufquote geringer als erwartet. Nichts desto trotz lässt sich die grundsätzliche Richtung in der Auslegung durch die Aufsichtsbehörden erkennen.
Informationspflicht zum Zeitpunkt der Erhebung ohne „Wenn und Aber“
Unstrittig ist, dass die Informationspflicht zum Zeitpunkt der Erhebung zu erfolgen hat. Für einen telefonischen Kontakt hält Artikel 13 DSGVO keinen Ausnahmetatbestand bereit. Auch fehlt es an einer Öffnungsklausel, die es dem nationalen Gesetzgeber erlaubt, individuelle Regelungen zu erlassen. Es liegt die Vermutung nahe, dass der Gesetzgeber den Fall des telefonischen Kontakts schlicht vergessen hat.
Alle antwortenden Behörden haben auf das Working Paper 260 der Artikel 29 Gruppe verwiesen (Guidelines on transparency under Regulation 2016/679, WP 260), wonach bei einem telefonischen Kontakt zumindest auf das Einholen eines Identitätsnachweises verzichtet werden kann. Auch soll es möglich sein, dem Betroffenen die notwendigen Informationen in Form von voraufgezeichneten Texten zur Verfügung zu stellen. Dies hätte den Vorteil, dass die betroffene Person sich die Informationen auf Wunsch mehrfach anhören kann. Vereinzelt wird die Auffassung vertreten, dass es aus Dokumentationsgründen sinnvoll sei, den Teil des Telefonats aufzuzeichnen, um nachweisen zu können, dass die Informationen nach Artikel 13 erteilt wurden. Auf welcher rechtlichen Grundlage diese Aufzeichnung erfolgen soll, wurde dabei nicht erläutert. Diese bedürfte einer Einwilligung des Betroffenen. Diesbezüglich stellt sich dann ebenfalls das Problem der Dokumentation dieser Erklärung.
Andere Behörden vertreten die Meinung, dass es sinnvoll sei, die Informationen zusätzlich noch postalisch oder im Rahmen der Bestellbestätigung (z.B. per E-Mail) an den Betroffenen zu übersenden. Das löst das Problem der Bereitstellung der Informationen bei der Erhebung aber nicht.
Auch wird unter den Aufsichtsbehörden diskutiert, ob man sich auf Mindestinformationen im Gespräch beschränken könnte und für weitere Informationen auf andere Quellen verweisen dürfe. Allerdings gibt es hierzu noch keine einheitliche Meinung.
Unsere Empfehlung
Eine praktikable Lösung erscheint nicht rechtzeitig bis zum 25.5.2018 möglich. Überlegungen, die Informationen über eine vorgeschaltete Warteschleife bereitzuhalten, die, wenn sie bekannt sind, durch Drücken einer vordefinierten Taste übersprungen werden können, hilft auch nur bedingt. Dies setzt eine entsprechende Funktionalität der Telefonanlage voraus. Eine solche wird in den meisten kleinen und mittleren Unternehmen nicht vorhanden sein.
Nicht unterschätzt werden darf zudem der zeitliche und damit mittelbar auch der wirtschaftliche Aspekt, auch wenn dieser nicht als Argument gegen den Datenschutz taugt. Telefonleitungen sind länger besetzt, Aufträge können dadurch verloren gehen, wenn der Anrufer sich wegen der besetzten Leitung an einen Konkurrenten wendet. Die Mitarbeiter, die die Anrufe entgegennehmen haben weniger Zeit für andere Aufgaben.
Ignorieren sollte man die Umsetzung der Informationspflichten keinesfalls: Ein Verstoß gegen Artikel 13 DSGVO ist bußgeldbewährt und kann leicht festgestellt werden; Ein Anruf genügt.
Es bleibt insoweit nur die Empfehlung, zu überprüfen, welche Möglichkeiten die Telefonanlage bietet und die Pflichtinformationen so aufzubereiten, dass diese in kürzester Zeit mitgeteilt werden können.
Enrico Rafalski
6. April 2018 @ 8:40
Hallo und Danke für diesen interessanten Beitrag. Ich denke die ganze Angelegenheit DSGVO wird uns noch alle Kopfzerbrechen machen, jedoch wird die Sache hier deutlich überspitzt. Was sind personenbezogene Daten? Hier ein Auszug aus der DSVGO: Personenbezogene Daten sind Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4 Ziffer 1 DSGVO).
Ein Kalender mit: Herr Beyroth, 20.3., 8:00 Uhr lässt sich nicht einer einzelnen Person zuordnen, noch gibt diese Information Aufschluss über seine Herkunft, Religon, sexuelle Neigung, Krankheiten etc.. Um aus Daten personenbezogene Daten zu machen, bedarf es deutlich mehr Informationen und diese werden dann bei der Patientenaufnahme direkt in der Praxis, Auge zu Auge gemacht. Da kann dann auch ein A4 Blatt mit Infos ausgehändigt werden, die sich der Betroffene dann in aller Ruhe in der Wartezeit durchlesen kann.
Berichtigt mich wenn ich das falsch sehe. Viele Grüße.
Netzfundstücke – Tipps zum Datenschutz und zur DSGVO - IHK Onlinemarketing
5. April 2018 @ 11:37
[…] Ein weiterer Podcast bzw. „Audiospur“ zum Thema gibt es online unter Datenschutz-Notizen. Hier soll telefonieren unerwünscht nach den neuen Informationspflichten der DSGVO sein? […]
DSGVO - Was ist das Verzeichnis der Verarbeitungstätigkeiten und wie erstellst du es - Andreas Stocker
4. April 2018 @ 0:02
[…] recht unterhaltsames aber durchaus praxisnahes Beispiel mit dem Titel Telefonieren unerwünscht – Informationspflichten nach der DSGVO, zeigt die Webseite von Datenschutz Notizen. Dort wird an einem Telefonat zur Terminvereinbarung […]
https://www.dsb-moers.de | Übermittlung von Daten an Steuerberater
25. März 2018 @ 18:07
[…] auch insbesondere bei der telefonischen Erhebung von personenbezogenen Daten (hierzu lesenswert der Artikel von Daniela Windelband und Dr. Sebastian Ertel). Die Problematik der Information bei Erst-Terminsvergaben am Telefon lässt sich über den […]
DSGVO: Wie Telefonate mit Kunden zur Farce werden
22. März 2018 @ 10:37
[…] – Informationspflichten nach der DSGVO“ übertitelter Blog-Beitrag in den datenschutz notizen am Beispiel einer Gemeinschaftsarztpraxis […]
yuimare
22. März 2018 @ 5:42
Ich finde die Überschrift des Artikels falsch. Was ist mit Shops und Services die NUR nach Registrierung zugänglich sind? Hier muss sich der Kunde anmelden und zustimmen da ist es vorbei mit der Frewilligkeit. Er muss zustimmen wenn er die Seite nutzen möchte. Es zwingt ihn ja keiner das Angebot zu nutzen und auch zu registrieren. Genauso sehe ich das auch bei der Bestellung in einem Onlineshop, klar ist seine Zustimmung freiwiilig, er kann den Browser schliessen und den Rechner ausschalten. Niemand zwingt ihn den Shop zu verwenden und seine Zustimmung zur Datenverarbeitung während der Bestellung zu geben. Wenner kein Kundenkonto anlegen will dann soll er halt woanders kaufen. Wenn ich in einen Laden gehen und die mir sagen um hier zu kaufen musst du mir erstmal deine Adresse geben dann verlasse ich den Laden wieder. Von daher kann ich die Argumentation in dem Artikel oben nicht so ganz nachvollziehen warum Gastbestellungen Pflicht sein sollten, alleine die Nutzung des Shops ist ja schon freiwillig. custom essay writing
lisa
21. März 2018 @ 8:26
Wo verwahre ich die Aufzeichnungen der Angaben, die ich lt. DSGVO aufbereiten muß? ich sehe es als Unsicherheitsfaktor an, daß jeder Einbrecher jetzt eine Gebrauchsanleitung bekommt für das, was für ihn von Interesse ist.
Bruno
21. März 2018 @ 6:45
Wau !
Doc Wom
20. März 2018 @ 9:09
Die Terminvergabe in einer Arztpraxis ist sehr wohl an den vollständitgen Namen und Geburtsdatum gebunden, um den Patienten zu identifizieren, der evtl. schon einmal in der Praxis behandelt wurde oder neu ist. Dies hat Konsequenzen für die Terminvergabe. Die Informationspflicht bleibt daher problematisch ! Der Vorschlag lediglich den Nachnamen aufzunehmen oder wieder einen Papierterminkalender einzuführen ist leider an der Realität vorbei.
Linkliste – Digitaler Selbstverteidigungskurs
20. März 2018 @ 9:00
[…] https://www.datenschutz-notizen.de/telefonieren-unerwuenscht-informationspflichten-nach-der-dsgvo-37… […]
Roland Giersig
20. März 2018 @ 1:06
Werte Blog-Redaktion, der Artikel enthält größtenteils Polemik. Die angesprochenen Probleme sind bei näherer Betrachtung gar keine.
Zum Telefonat: Artikel 13 Absatz 4 des DS-GVO sagt klar „Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.“
Damit können die allgemeinen Belehrungen über die DS-GVO entfallen, wenn der Gesprächspartner davon schon gehört hat.
Weiters fällt das Notieren eines Namens und einer Telefonnummer auf einem papierenem Terminkalender nicht in den Anwendungsbereich der DS-GVO. Bei einem elektronischen Terminkalender mit Suchfunktion wäre die Anwendbarkeit zwar wahrscheinlich gegeben, allerdings nur, wenn der Name eine eindeutige Zuordnung ermöglicht. Wird zB nur der Nachname notiert, so liegt keine eindeutige Identifizierbarkeit und somit keine personenbezogenen Daten vor.
Damit kann die vollständige Erfüllung der DS-GVO auf den Zeitpunkt der Erhebung der Daten in der Arztpraxis verschoben werden.
Anonymous
21. März 2018 @ 16:05
Sehr gute Punkte! Danke für Ihren Kommentar! Wäre es Ihnen möglich die konkreten Quellen zu den Aussagen noch zu kommentieren?
Mw
24. März 2018 @ 17:27
Wann soll der Neu-Patient (betroffene i.S.d. 13 IV DSGVO) denn über den Datenschutz belehrt worden sein wenn er zum ersten Mal anruft?
Anonymous
19. März 2018 @ 22:35
Da fehlt auf beiden Seiten eine gehörige Portion IQ. Wer den Gesetzen der Logik folgt, hat die Lösung offen vor sich liegen. Wo ist das Problem?
Thomas Illmann
13. März 2018 @ 11:07
Ich würde das Problem gar nicht so sehr beim Gesetz, dem Gesetzgeber oder den Lobbiisten sehen. Wenn wir das Gesetz alle mit Angemessenheit und Augenmaß anwenden und nicht Einwilligungen für Visitenkarten verlangen, dann ist schon viel geholfen.
Grußindiegeschlossene
12. März 2018 @ 21:18
Tja, mal wieder ein neuer Spaß aus dem Elfenbeinturmbesetzerumfeld und deren Lobbyisten Freunde (also alle die an dem Regelwust verdienen). Mag im Ansatz je nicht verkehrt sein, einen Schutz vorzuhalten, wenn´s dann nicht völlig lebensfremd nach Absurdistan abdriftet.
Aber soll man auch von Subjekten erwarten, welche verhungern würden wenn sie mal mit wirklicher Leistung an der Work-Front Einnahmen generieren müssten, statt die Leistungsträger von der eigentlichen Arbeit abzuhalten.
velvetsedge
11. März 2018 @ 20:56
Alter , danke , jetzt hab ich albträume.
Daniela Windelband
9. März 2018 @ 10:08
Liebe Leser,
vielen Dank für die vielen Kommentare. Uns ist klar, dass wir das Problem mit den Informationspflichten in unserem Beispieldialog zugespitzt haben. Nichts desto trotz muss eine gesetzestreue Auslegung zu ähnlichen Ergebnissen führen. Auch wenn sich der Fall in der Arztpraxis anders lösen lässt, gibt es viele denkbare Fälle, in denen die Informationspflichten eben greifen und man keinen Dummynamen etc. eintragen kann, z. B. telefonische Bestellung bei einem Versandhandel oder die telefonische Vereinbarung einer Wohnungsbesichtigung bei einem Makler. Gerade im letzten Fall wird die Erhebung von Name und Telefonnummer unumgänglich sein, um Terminverschiebungen oder -absagen kurzfristig kommunizieren zu können. Unser Ziel war es, auf Absurditäten, die durch die DSGVO hervorgerufen werden, aufmerksam zu machen. Gerade diese führen dazu, dass dem Datenschutzrecht häufig der Makel der Behinderung der Produktivität und Handlungsfähigkeit anhängt. An vielen Stellen führt die Anwendung der DSGVO zu Probleme, die nunmehr durch besonnene Entscheidungen der Aufsichtsbehörden oder Rechtsprechung gelöst werden können und müssen.
Zu dem Problem der telefonischen Benachrichtigung zurück: Wie es besser gelöst werden kann, zeigen wir in unserem zweiten Teil, nächste Woche, auf.
Wir freuen uns, dass wir Sie amüsiert haben.
Mit freundlichen Grüßen
Die Blogredaktion
Torsten
30. August 2022 @ 20:34
Einwandfrei
? ?
Sascha
8. März 2018 @ 18:54
Schon das Verwahren der physikalischen Visitenkarte stellt eine Speicherung dar.
Heute aus dem Heise Datenschutz Webinar erfahren: Korrekt wäre, den Inhaber der Visitenkarte direkt vor Ort aufzuklären und eine Einwilligung unterschreiben zu lassen, die man an die Visitenkarte tackert. Wird vom Heise-Verlag z.B. auf Messen auch so praktiziert.
KFabian
8. März 2018 @ 17:29
Mit den neuen Gesetzen komme neue Herauforderungen, ist doch gut so. Dass es nicht auf Anhieb klappt war doch von Anfang an klar. Also positiv in die Zukunft schauen.
Unbefugter
8. März 2018 @ 8:07
Auch schön: Entgegennahme einer Visitenkarte in der Kneipe – Infopflicht spätestens mit Erhebung, d.h. Einpflegen der Daten in das System. (Erste Empfehlungen der AB gehen in Richtung E-Mail.) Und wie gehe ich mit den Kontakten in Outlook usw. um? Wundervolle neue Datenschutzwelt.
Hubert Daubmeier
8. März 2018 @ 0:20
Ein wesentliches Prinzip im Datenschutz ist die Datenminimierung. Neudeutsch privacy by design/privacy by default. Als solches stelle ich die Frage nach den Zwecken (hier wohl Termin vereinbaren). Daraus ergibt sich welche Daten brauche ich dazu.
Als da wären:
1. ein vereinbartes Datum und die Zeit
2. einen Namen – „Beyroth“. Obwohl man selbst hier schon mal ansetzen könnte – wozu eigentlich?
3. das Geschlecht – „Frau“. Auch hier die Frage ist es wirklich relevant ob eine Frau oder der Mann oder das dritte Geschlecht daherkommt? Mag sein, dass es gute Gründe gibt dafür, die sich mir auf die Schnelle nicht erschließen.
Ich würde daher ernsthaft die Diskussion führen wozu braucht sie Geschlecht und wozu den Namen. Aber nehmen wir pragmatisch mal an, beides wäre begründet dann sehe ich immer noch nicht, dass wir hier in die volle Informationspflicht reinfallen, weil zwar personenbezogene Daten anfallen, aber keine Eindeutigkeit gegeben ist. Das Datenschutzrecht kennt auch die Abwägung und die Verhältnismäßigkeit.
Sodann können wir über die zweite Frage diskutieren (die wohl hier wohl noch versteckt dahinter steht): wie sinnvoll wäre es die vollen Patientendaten über das Telefon zu erfassen, während andere Patienten an der Wartetheke stehen? So ala „wie schreibt man ihren Namen nochmal Beirod – ah mit th also beiroth – ach Ypsilon …“ So ein Unfug sollte aufhören; gerade in der Arztpraxis! Ich kenn es übrigens so (habe z.B. vor einigen Jahren den Zahnarzt gewechselt), dass ich beim Erstbesuch einen Erfassungsbogen ausfülle. Das reicht, das tut es, so läuft das schon länger und das Verfahren muss zur DS-GVO nicht umgestellt werden (wohl aber die Betroffenenbelehrung auf dem Erfassungsbogen).
Karlheinz Strasser
7. März 2018 @ 19:15
In Arztpraxen kann man das Thema pragmatisch lösen: Normalerweise muss der Patient beim Erstbesuch – regelmäßig suchen auch Schmerzpatienten unangekündigt die Praxis auf – ohnehin einen Fragebogen zum Gesundheitszustand ausfüllen. Auf diesem Fragebogen kann man auf der Rückseite die gesetzlichen Informationen zur DSGVO abdrucken bzw. bei Aushändigung darauf hinweisen. Die Terminvereinbarung im System kann man zum Zeitpunkt des telefonischen Erstkontaktes mittels eines Dummy-Namen vornehmen, den die Assistenz dann nach Unterschrift der Aufklärung auf den richtigen Namen abändert.
Normalbürger
7. März 2018 @ 16:55
Die Schildbürger bauen ein Rathaus.
Schon das geschilderte Beispiel in der Arzt-Praxis zeigt auf, dass bei der Gesetzgebung vermutlich der überwiegende Teil des echten Lebens gar nicht im Sinn war.
Schon die Beobachtung der ersten Fälle von „Abmahnungen“ und gerichtlichen Auseinandersetzungen verspricht europaweiten Humor aus der ersten Reihe.
Thomas Illmann
7. März 2018 @ 16:09
Also wir Datenschützer sollten wirklich aufpassen, dass wir die Schraube nicht überdrehen. Gerade beim Thema Informationspflicht scheinen einige Kollege die Schraube gerade ziemlich zu überdrehen. Was nutzen 10 Seiten kleingedrucktes von der Postbank denn dem normalen Kunden? Das liest sich doch niemand durch. Und wenn wir jetzt noch so ein Quatsch am Telefon verzapfen, dann kriegen wir die ganzen Social Network-, Sprachassistenen- und Fitness-Armband-Leute, die ja „nichts zu verbergen“ haben überhaupt nicht mehr sensibilisiert vom Sinn des Datenschutzes.