DSGVO: Wie Telefonate zur Farce werden
Die ab dem 25. Mai 2018 EU-weit greifende Datenschutzgrundverordnung (DSGVO) schreibt unter anderem auch die Informationspflicht vor. Beim telefonischen Erstkontakt wird das in vielen Fällen voraussichtlich aber schwierig. Warum das so ist, zeigt ein Datenschutz-Blog am Beispiel einer Arztpraxis.
In der Geschäftswelt blicken und zittern alle dem Stichtag 25. Mai 2018 entgegen. Da wird die 2016 verabschiedete EU-Datenschutzgrundverordnung (EU-DSGVO) allgemein rechtsverbindlich. Verstöße können mit hohen Bußgeldern geahndet werden. Das betrifft auch Artikel 13 DSGVO, der eine Informationspflicht bei der (Direkt-) Erhebung von personenbezogenen Daten vorsieht. Beim Erstkontakt müssen die betroffenen Personen unter anderem auch über ihre Rechte auf Auskunft, Berichtigung, Löschung beziehungsweise Einschränkung der Verarbeitung ihrer Daten aufgeklärt werden müssen.
Beim Erstkontakt via Telefon kann das schon schwierig werden, wie ein mit „Telefonieren unerwünscht – Informationspflichten nach der DSGVO“ übertitelter Blog-Beitrag in den datenschutz notizen am Beispiel einer Gemeinschaftsarztpraxis zeigt.
Wenn Telefonate zum absurden Theater werden
Ein Herr Beyroth, der vorher noch nicht da war, bittet um einen Termin in der Gemeinschaftspraxis und fragt, ob es am 20. März um 8 Uhr ginge. Die Sprechstundenhelferin Frau Müller sagt ja, aber erst müsse sie ihn noch über den Datenschutz informieren, wobei sie loslegt, alles herunterzubeten, angefangen von den verantwortlichen Ärzten und dem Datenschutzbeauftragten bis hin zur zehnjährigen Aufbewahrung der Daten nach § 9 Musterberufsordnung Ärzte und § 603f Bürgerliches Gesetzbuch.
„Sind Sie fertig?“, will Herr Beyroth nun wissen und erfährt seine oben genannten Rechte. Dann wird ihm von Frau Müller noch eine Telefonnummer für Beschwerden bei der Datenschutz-Aufsichtsbehörde in Bremerhaven genannt, bevor sie endlich den Termin am 20.03 um 8 Uhr morgens bestätigt.
Deutsche Aufsichtsbehörden meist auch ratlos
Das Beispiel ist natürlich zugespitzt und hat auch den einen oder anderen kritischen Kommentar hervorgerufen. Unstrittig ist dem Beitrag zufolge aber, „dass die Informationspflicht zum Zeitpunkt der Erhebung zu erfolgen hat“. Für telefonische Kontakte halte der Artikel 13 DSGVO auch keine Ausnahme bereit. Allerdings haben die wenigen der 16 Landesdatenschutzaufsichtsbehörden der Bundesländer, die mit der Thematik konfrontiert wurden, alle auf das Working Paper 260 der Artikel 29 Gruppe verwiesen.
Den Guidelines on Transparency under Regulation 2016/679, WP 2060 zufolge kann bei einem telefonischen Erstkontakt auf den Identitätsnachweis verzichtet werden. Außerdem soll es möglich sein, die betreffenden Informationen auch in Form von einer vorher gemachten Tonaufnahme zur Verfügung gestellt werden. Der Betroffene könnte sich die Informationen dann auf Wunsch jeweils mehrmals anhören. Einige Behörden haben es aus Dokumentationsgründen für sinnvoll gehalten, den betreffenden Teil des Telefonats aufzuzeichnen, um den Nachweis erbringen zu können, dass gemäß Artikel 13 DSGVO der Informationspflicht nachgekommen wurde. Das würde jedoch die Einwilligung des Betroffenen voraussetzen und wirft abermals die Frage der Dokumentation der Erklärung auf.
Ein Nachreichen der Infos ist auch keine Lösung
Andere Aufsichtsbehörden halten es folglich für sinnvoll, die Informationen zusätzlich noch postalisch oder im Rahmen der Bestellbestätigung zum Beispiel per E-Mail an den Betroffenen zu senden. Doch auch das löst das Problem der Bereitstellung bei der Erhebung der Daten nicht. Diskutiert wird auch der Vorschlag, dass es möglich sein muss, sich im Telefongespräch auf die Mindestinformationen zu beschränken und für weitere Informationen auf andere Quellen zu verweisen.
Empfehlung: Möglichkeit der TK-Anlage ausloten
Eine praktikable Lösung bis zum Stichtag, den 25. Mai 2018 scheint nicht in Sicht zu sein. Die Blog-Redaktion von datenschutz notizen empfiehlt daher „zu überprüfen, welche Möglichkeiten die Telefonanlage bietet und die Pflichtinformation so aufzubereiten, dass diese in kürzester zeit mitgeteilt werden können. Die Überlegungen gehen dahin, dass die Informationen über eine vorgeschaltete Warteschleife zur Verfügung gestellt werden und per Drücken einer bestimmten Taste übersprungen werden können. Andererseits geben die Autoren auch zu Bedenken, dass das Funktionalitäten der TK-Anlage voraussetzt, die in den meisten kleinen und mittleren Unternehmen nicht vorhanden sind.
Außerdem besteht zu befürchten, dass die Telefonleitungen dadurch länger besetzt sind und dadurch Aufträge verloren gehen könnten, weil der Anrufer sich bei einem Besetztzeichen oder einer zu langen Warteschleife an die Konkurrenz wendet und die Mitarbeiter, die die Anrufe entgegennehmen, weniger Zeit für jeden Anrufer haben.
Was ist mit Visitenkarten und Co.?
Vom Heise-Verlag kam übrigens als Reaktion auf den Blog-Beitrag der Hinweis auf ein Heise Datenschutz Webinar und den Umgang mit Visitenkarten. Denn wie von dem Verlag auf Messen praktiziert, müssten die Adresskarten, wie sie im 17. am französischen Hof erst hießen, zukünftig eigentlich mit einer Einwilligungserklärung des Inhabers entgegengenommen werden. Aber bei normalen Begegnungen dürfte das wohl kaum praktikabel sein. Denn wer läuft schon mit Formularen und einem Tacker durch die Gegend, nur um Visitenkarten auszutauschen?
Als Erfinder der Visitenkarten sehen sich übrigens wie für so vieles die Chinesen, für die sie auch heute noch ungemein wichtig ist. Die Ursprünge der erst „ye“ (vorsprechen) genannten Karten sollen bis in die Zeit der streitenden Reiche (475-221 v. Chr.) zurückverfolgt werden können. Die ältesten existierenden aus Holz wurden in einem Grab aus dem 3. Jahrhundert in der chinesischen Provinz Anhui gefunden.
Dieser Beitrag basiert in Teilen auf einen Blog-Beitrag von Datenschutz-Notizen.de
Quelle Titelbild: AntonioGuillem/iStock