Nur noch wenige Wochen trennen uns vom 25. Mai 2018, dem Tag, an dem die Datenschutzgrundverordnung, im Folgenden DSGVO, europaweit anzuwenden ist. In vielen Bereichen bestehen zunehmend Unsicherheiten, wie diese rechtskonform anzuwenden ist. Ein Paradebeispiel scheint die Informationspflicht nach Artikel 13 DSGVO zu sein.

Nach dieser Regelung ist die betroffene Person bei der (Direkt-)Erhebung von personenbezogenen Daten umfangreich über die Datenverarbeitung zu informieren. Dabei sieht Artikel 13 Absatz 1 DSGVO vor, dass die Informationen zum Zeitpunkt der Erhebung der betroffenen Person mitzuteilen sind. Das ist in der Regel kein Problem, wenn sich Betroffener und Verantwortlicher bei der Datenerhebung direkt gegenüberstehen oder diese über eine Webseite erfolgt. In beiden Konstellationen können die Informationen in Papierform oder elektronisch bereitgestellt werden. Doch wie wirkt sich diese Pflicht bei einem telefonischen Erstkontakt – sei es die Terminvergabe bei einem Arzt oder die telefonische Bestellung von Waren aus?

Stellen Sie sich folgende Situation in einer Arztpraxis vor:

Frau Müller: „Gemeinschaftspraxis Schulze und Meyer, Sie sprechen mit Frau Müller. Guten Morgen, was kann ich für Sie tun?“

Herr Beyroth: „Beyroth, guten Morgen. Das ist ja echt schwierig, bei Ihnen durchzukommen. Es ist ja permanent besetzt.“

Frau Müller: „Ja, es ist gerade viel los, Grippewelle und dann das neue Datenschutzrecht.“

Herr Beyroth: „Datenschutzrecht? Naja, ich brauche einen Termin zur Auffrischung der Tetanus-Impfung.“

Frau Müller: „Waren Sie schon mal bei uns?“

Herr Beyroth: „Nein, ich bin neu in der Stadt und suche einen neuen Hausarzt.“

Frau Müller: „Sie haben Glück, wir nehmen noch neue Patienten auf.“

Herr Beyroth: „Das klingt gut. Ich könnte am 20.3., 8:00 Uhr. Ginge das?“

Frau Müller: „Ja, das ginge, Bevor ich Sie bzw. den Termin in unser System aufnehmen kann, muss ich Sie über den Datenschutz informieren. Das ist jetzt Pflicht, weil Sie noch nicht bei uns waren. Also:

Verantwortlich für die Datenverarbeitung ist die Gemeinschaftspraxis Dr. med. Paul Schulze und Dipl. med. Johann Meyer.
Datenschutzbeauftragter ist Herr Peter Müller. Sie erreichen ihn unter 0421/ 123456.
Zweck der Datenverarbeitung ist die Vorbereitung und Durchführung eines Behandlungsvertrages.
Wir speichern die Daten für 10 Jahren, aufgrund § 9 Musterberufsordnung Ärzte und § 603f Bürgerliches Gesetzbuch.

Herr Beyroth: „Sind Sie fertig?“

Frau Müller: „Nein. Sie haben das Recht auf Auskunft, Berichtigung, Löschung bzw. Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit.“

Herr Beyroth: „Ich will doch nur einen Termin.“

Frau Müller: „Den bekommen Sie auch gleich. Sie können sich noch bei der Datenschutz-Aufsichtsbehörde beschweren, wenn Sie der Meinung sind, dass wir Ihre Daten nicht datenschutzkonform verarbeiten. Das wäre Frau Dr. Sommer, Arndtstraße 1, 27570 Bremerhaven, Tel.: 0471 596 2010.“

Herr Beyroth: „Aber sie machen doch sicher alles datenschutzkonform?“

Frau Müller: „Natürliche, aber ich muss sie darauf hinweisen. So. Fertig. Nun zu Ihrem Termin. Ich habe Sie am 20.3. um 8 Uhr bei Herrn Dr. Schulze eingetragen.“

Herr Beyroth: „Endlich! Vielen Dank. Bis dann.“

Alleine dieser „kurze“ Dialog zeigt, was auf Unternehmen und Kunden zukommen könnte.

Wir haben uns mit der Frage, ob und in welchem Umfang bei einem telefonischen Erstkontakt den Informationspflichten nach Artikel 13 DSGVO nachzukommen ist, an alle 16 Landesdatenschutzaufsichtsbehörden gewandt, da wir in jedem Bundesland Unternehmen beraten, für die diese Thematik von elementarer Relevanz ist. Leider war die Rücklaufquote geringer als erwartet. Nichts desto trotz lässt sich die grundsätzliche Richtung in der Auslegung durch die Aufsichtsbehörden erkennen.

Informationspflicht zum Zeitpunkt der Erhebung ohne „Wenn und Aber“

Unstrittig ist, dass die Informationspflicht zum Zeitpunkt der Erhebung zu erfolgen hat. Für einen telefonischen Kontakt hält Artikel 13 DSGVO keinen Ausnahmetatbestand bereit. Auch fehlt es an einer Öffnungsklausel, die es dem nationalen Gesetzgeber erlaubt, individuelle Regelungen zu erlassen. Es liegt die Vermutung nahe, dass der Gesetzgeber den Fall des telefonischen Kontakts schlicht vergessen hat.

Alle antwortenden Behörden haben auf das Working Paper 260 der Artikel 29 Gruppe verwiesen (Guidelines on transparency under Regulation 2016/679, WP 260), wonach bei einem telefonischen Kontakt zumindest auf das Einholen eines Identitätsnachweises verzichtet werden kann. Auch soll es möglich sein, dem Betroffenen die notwendigen Informationen in Form von voraufgezeichneten Texten zur Verfügung zu stellen. Dies hätte den Vorteil, dass die betroffene Person sich die Informationen auf Wunsch mehrfach anhören kann. Vereinzelt wird die Auffassung vertreten, dass es aus Dokumentationsgründen sinnvoll sei, den Teil des Telefonats aufzuzeichnen, um nachweisen zu können, dass die Informationen nach Artikel 13 erteilt wurden. Auf welcher rechtlichen Grundlage diese Aufzeichnung erfolgen soll, wurde dabei nicht erläutert. Diese bedürfte einer Einwilligung des Betroffenen. Diesbezüglich stellt sich dann ebenfalls das Problem der Dokumentation dieser Erklärung.

Andere Behörden vertreten die Meinung, dass es sinnvoll sei, die Informationen zusätzlich noch postalisch oder im Rahmen der Bestellbestätigung (z.B. per E-Mail) an den Betroffenen zu übersenden. Das löst das Problem der Bereitstellung der Informationen bei der Erhebung aber nicht.

Auch wird unter den Aufsichtsbehörden diskutiert, ob man sich auf Mindestinformationen im Gespräch beschränken könnte und für weitere Informationen auf andere Quellen verweisen dürfe. Allerdings gibt es hierzu noch keine einheitliche Meinung.

Unsere Empfehlung

Eine praktikable Lösung erscheint nicht rechtzeitig bis zum 25.5.2018 möglich. Überlegungen, die Informationen über eine vorgeschaltete Warteschleife bereitzuhalten, die, wenn sie bekannt sind, durch Drücken einer vordefinierten Taste übersprungen werden können, hilft auch nur bedingt. Dies setzt eine entsprechende Funktionalität der Telefonanlage voraus. Eine solche wird in den meisten kleinen und mittleren Unternehmen nicht vorhanden sein.

Nicht unterschätzt werden darf zudem der zeitliche und damit mittelbar auch der wirtschaftliche Aspekt, auch wenn dieser nicht als Argument gegen den Datenschutz taugt. Telefonleitungen sind länger besetzt, Aufträge können dadurch verloren gehen, wenn der Anrufer sich wegen der besetzten Leitung an einen Konkurrenten wendet. Die Mitarbeiter, die die Anrufe entgegennehmen haben weniger Zeit für andere Aufgaben.

Ignorieren sollte man die Umsetzung der Informationspflichten keinesfalls: Ein Verstoß gegen Artikel 13 DSGVO ist bußgeldbewährt und kann leicht festgestellt werden; Ein Anruf genügt.

Es bleibt insoweit nur die Empfehlung, zu überprüfen, welche Möglichkeiten die Telefonanlage bietet und die Pflichtinformationen so aufzubereiten, dass diese in kürzester Zeit mitgeteilt werden können.