Viele Kunden greifen gerne zum Telefon, um einen Termin z.B. in einer Arztpraxis oder beim Friseur zu vereinbaren. In vielen Fällen werden im Rahmen dieses Gesprächs personenbezogene Daten erfasst und weiterverarbeitet, zum Beispiel, wenn die Daten in einem elektronischen Kalender gespeichert werden und der Anrufer später per E-Mail oder SMS eine Terminbestätigung erhält.
Im Anwendungsbereich der DSGVO sind bei Verarbeitung der personenbezogenen Daten datenschutzrechtliche Informationspflichten zu beachten. Hierunter fällt auch das Speichern von Namen und Telefonnummern in einem Datenverarbeitungssystem – wie einem elektronischen Terminkalender.
Es stellt sich jedoch die Frage, wie weit die Informationspflichten bereits bei der Erhebung und Verarbeitung der personenbezogenen Daten des Anrufenden (wie Name und Telefonnummer) gehen.
In Art. 13 Abs. 1 und 2 DSGVO heißt es dazu:
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
Diese strengen Informationspflichten gelten allerdings nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Kein Problem ist daher, wenn z.B. ein Patient nach erfolgter Aufklärung in der Praxis einen Termin telefonisch vereinbart.
Eine weitere Ausnahme enthält vor allem Art. 62 der Erwägungsgründe zur DSGVO. Demzufolge erübrigt sich die Pflicht Informationen zur Verfügung zu stellen, unter anderem auch dann, wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Hier könnte man damit argumentieren, dass die Unterrichtung im Rahmen eines Telefonates mit einem unverhältnismäßigen Aufwand verbunden sei, weil dieses dann lange dauern würde und sich kaum ein Anrufer diese umfangreichen Informationen merken könnte.
Das unabhängige Datenschutzzentrum ULD mit Sitz in Schleswig-Holstein hat in einer Broschüre klargestellt, dass diese Pflichtinformationen nicht zwingend zum Zeitpunkt der Erhebung erteilt werden müssen. Es reiche aus, wenn dies im zeitlichen Zusammenhang zur Erhebung geschieht.
Ähnlich äußert sich das LFD Niedersachsen:
„Beschränkt sich der erste Kontakt mit der betroffenen Person auf eine Terminvereinbarung, müssen die Informationen noch nicht übermittelt werden (auch nicht die Basisinformationen). Wird der Termin dann wahrgenommen, sind die Informationen zu erteilen.“
Auch aus einem Statement des LDA Bayern ergibt sich Folgendes:
„Bei einem Anruf, beispielsweise beim Friseur zur Terminvereinbarung, ist also in der Regel von einer Kenntnis der bereitzustellenden Erstinformationen auszugehen. Dem Anrufer ist hier der Name des Verantwortlichen (nämlich des Friseurs) bekannt und er bestimmt den Zweck der Verarbeitung seiner Daten (das Festhalten des Namens und der Telefonnummer zur Terminvereinbarung) selbst. Eine Belehrung über potenzielle Betroffenenrechte erscheint hier noch entbehrlich, da weitergehende Daten noch nicht erhoben sind.“
Werden im Rahmen der Terminvereinbarung bereits weitere Daten z.B. zum Gesundheitszustand des Patienten oder zu Vorerkrankungen erfasst – geht die Datenverarbeitung also über die bloße Terminvereinbarung hinaus – sollten grundlegende datenschutzrechtliche Informationen dennoch bereits in dem Gespräch erfolgen.
Bei der Kontaktaufnahme am Telefon könnte man sich jedoch auf die Informationen zum Verantwortlichen, zu den Verarbeitungszwecken sowie den Betroffenenrechten beschränken. Bei den Betroffenenrechten genügt die exemplarische Nennung des Rechts auf Auskunft sowie des Rechts auf Löschung. Die weitergehenden Informationen können dann im Anschluss schriftlich zugesandt werden oder es wird auf eine Webseite mit den vollständigen Informationen hingewiesen.
Eine Information am Telefon könnte zum Beispiel so lauten:
„Wir [Name der oder des Verantwortlichen] verarbeiten Ihre personenbezogenen Daten, um [eine reibungslose und pünktliche Durchführung des Termins zu gewährleisten / Sie vor dem Termin noch einmal schriftlich / telefonisch / online zu erinnern] und erfassen Ihre Daten daher in unseren Systemen. Sie haben unter anderem das Recht, Auskunft über Ihre durch uns verarbeiteten Daten zu erhalten, sowie das Recht, dass diese Daten gelöscht werden, sofern sie zum Erreichen des genannten Zweckes nicht länger erforderlich sind. Weitere Informationen finden Sie auf unserer Homepage unter www.abcde.de.“
Bei einer Umsetzung mit Augenmaß lassen sich also die Auswirkungen auf den Gesprächsverlauf auf ein Minimum reduzieren, ohne den Anrufer in seinen Rechten zu beschränken und unnötig das Risiko einer Sanktionierung einzugehen.
Felix Prömel – Partner
junokai