DE | EN

Tipp KW 51 – 2020

Erfüllung der datenschutzrechtlichen Informationspflichten bei telefonischer Kontaktaufnahme zur Terminvereinbarung

Viele Kunden greifen gerne zum Telefon, um einen Termin z.B. in einer Arztpraxis oder beim Friseur zu vereinbaren. In vielen Fällen werden im Rahmen dieses Gesprächs personenbezogene Daten erfasst und weiterverarbeitet, zum Beispiel, wenn die Daten in einem elektronischen Kalender gespeichert werden und der Anrufer später per E-Mail oder SMS eine Terminbestätigung erhält.

Im Anwendungsbereich der DSGVO sind bei Verarbeitung der personenbezogenen Daten datenschutzrechtliche Informationspflichten zu beachten. Hierunter fällt auch das Speichern von Namen und Telefonnummern in einem Datenverarbeitungssystem – wie einem elektronischen Terminkalender. 

Es stellt sich jedoch die Frage, wie weit die Informationspflichten bereits bei der Erhebung und Verarbeitung der personenbezogenen Daten des Anrufenden (wie Name und Telefonnummer) gehen. 

In Art. 13 Abs. 1 und 2 DSGVO heißt es dazu:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Diese strengen Informationspflichten gelten allerdings nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Kein Problem ist daher, wenn z.B. ein Patient nach erfolgter Aufklärung in der Praxis einen Termin telefonisch vereinbart.

Eine weitere Ausnahme enthält vor allem Art. 62 der Erwägungsgründe zur DSGVO. Demzufolge erübrigt sich die Pflicht Informationen zur Verfügung zu stellen, unter anderem auch dann, wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Hier könnte man damit argumentieren, dass die Unterrichtung im Rahmen eines Telefonates mit einem unverhältnismäßigen Aufwand verbunden sei, weil dieses dann lange dauern würde und sich kaum ein Anrufer diese umfangreichen Informationen merken könnte.

Das unabhängige Datenschutzzentrum ULD mit Sitz in Schleswig-Holstein hat in einer Broschüre klargestellt, dass diese Pflichtinformationen nicht zwingend zum Zeitpunkt der Erhebung erteilt werden müssen. Es reiche aus, wenn dies im zeitlichen Zusammenhang zur Erhebung geschieht.

Ähnlich äußert sich das LFD Niedersachsen:

Beschränkt sich der erste Kontakt mit der betroffenen Person auf eine Terminvereinbarung, müssen die Informationen noch nicht übermittelt werden (auch nicht die Basisinformationen). Wird der Termin dann wahrgenommen, sind die Informationen zu erteilen.“

Auch aus einem Statement des LDA Bayern ergibt sich Folgendes:

„Bei einem Anruf, beispielsweise beim Friseur zur Terminvereinbarung, ist also in der Regel von einer Kenntnis der bereitzustellenden Erstinformationen auszugehen. Dem Anrufer ist hier der Name des Verantwortlichen (nämlich des Friseurs) bekannt und er bestimmt den Zweck der Verarbeitung seiner Daten (das Festhalten des Namens und der Telefonnummer zur Terminvereinbarung) selbst. Eine Belehrung über potenzielle Betroffenenrechte erscheint hier noch entbehrlich, da weitergehende Daten noch nicht erhoben sind.“ 

Werden im Rahmen der Terminvereinbarung bereits weitere Daten z.B. zum Gesundheitszustand des Patienten oder zu Vorerkrankungen erfasst – geht die Datenverarbeitung also über die bloße Terminvereinbarung hinaus – sollten grundlegende datenschutzrechtliche Informationen dennoch bereits in dem Gespräch erfolgen.

Bei der Kontaktaufnahme am Telefon könnte man sich jedoch auf die Informationen zum Verantwortlichen, zu den Verarbeitungszwecken sowie den Betroffenenrechten beschränken. Bei den Betroffenenrechten genügt die exemplarische Nennung des Rechts auf Auskunft sowie des Rechts auf Löschung. Die weitergehenden Informationen können dann im Anschluss schriftlich zugesandt werden oder es wird auf eine Webseite mit den vollständigen Informationen hingewiesen.

Eine Information am Telefon könnte zum Beispiel so lauten:

„Wir [Name der oder des Verantwortlichen] verarbeiten Ihre personenbezogenen Daten, um [eine reibungslose und pünktliche Durchführung des Termins zu gewährleisten / Sie vor dem Termin noch einmal schriftlich / telefonisch / online zu erinnern] und erfassen Ihre Daten daher in unseren Systemen. Sie haben unter anderem das Recht, Auskunft über Ihre durch uns verarbeiteten Daten zu erhalten, sowie das Recht, dass diese Daten gelöscht werden, sofern sie zum Erreichen des genannten Zweckes nicht länger erforderlich sind. Weitere Informationen finden Sie auf unserer Homepage unter www.abcde.de.“

Bei einer Umsetzung mit Augenmaß lassen sich also die Auswirkungen auf den Gesprächsverlauf auf ein Minimum reduzieren, ohne den Anrufer in seinen Rechten zu beschränken und unnötig das Risiko einer Sanktionierung einzugehen.

Felix Prömel –  Partner

 junokai

Um den Tipp der Woche zu abonnieren, klicken Sie hier.