Seite auswählen
Datenschutz für Coaching und welche Mindestanforderungen der DS-GVO sind einzuhalten?

Datenschutz für Coaching und welche Mindestanforderungen der DS-GVO sind einzuhalten?

Coaching

Heutzutage bieten immer mehr Coaches ihre Dienstleistungen im Internet an. Hierbei wird eine Vielzahl von Daten untereinander ausgetauscht. Dieser Beitrag soll die Mindestanforderungen aufzeigen, welche die Datenschutzgrundverordnung (DS-GVO) vorsieht. Da die verschiedenen Geschäftsmodelle des Coachings sich teilweise deutlich voneinander unterscheiden, soll dieser Artikel nur eine erste Orientierung bieten.

Mindestanforderung für Coaching

Ich gehe davon aus, dass die Sie als Coach, eine Internetseite haben. In diesem Falle, müssen Sie folgende Mindestanforderungen der DS-GVO erfüllen:

  • Datenschutzerklärung,
  • Datenschutzhinweise,
  • Verzeichnis der Verarbeitungstätigkeiten,
  • Auftragsverarbeitungsverträge.

Datenschutzerklärung für Coaching

Immer dann, wenn Daten verarbeitet werden, muss dem Betroffenen vor Augen geführt werden, welche Daten, zu welchem Zweck, wie verarbeitet werden. Wenn also jemand eine Internetseite besucht, dann hinterlässt er üblicherweise IP-Daten. Diese werden in der Regel benötigt, damit die Webseite angezeigt werden kann. Die DS-GVO sieht nun vor, dass „bei Erhebung“ der Daten informiert werden muss. Hier kommt die Datenschutzerklärung ins Spiel. Durch eine entsprechende, rechtskonform ausgestaltete Datenschutzerklärung wird der DS-GVO Rechnung getragen. Jetzt kommt es natürlich auf Ihre individuelle Gestaltung der Internetseite an. Haben Sie beispielsweise einen Newsletter oder ein Kontaktformular, dann müssen in der Datenschutzerklärung mehr Angaben enthalten sein. Nutzt Sie auch Social Media, dann wird die Erklärung noch komplexer. Hier kommt es auf den Einzelfall an. Die Gefahr einer fehlerhaften oder unvollständigen Datenschutzerklärung ist bekannt:

Bußgeld bis 4% des Bruttoumsatzes und/oder Abmahnung.

Datenschutzhinweise für Coaching

Viele von Ihnen nutzen eine Internetseite, haben aber auch daneben andere Vertriebskanäle. So ist es nicht unüblich, dass Sie beispielsweise per Telefon oder E-Mail kontaktiert werden. Dann werden auch personenbezogene Daten verarbeitet. Es muss natürlich auch über diese Datenerhebung informiert werden. Es stellt sich die Frage, was dann der Unterschied zu der Datenschutzerklärung sein soll. Häufig wird im Bereich des Coachings über „Mund zu Mund Propaganda“ Kunden akquiriert. Dann ist es möglich, dass der Kunde gar nicht Ihre Webseite besucht, sondern kurzerhand zum Hörer greift oder Ihnen eine E-Mail schreibt und Sie kontaktiert. Spätestens, wenn Sie auf die E-Mail antworten, muss ein Hinweis auf die Datenverarbeitung erfolgen. Es reicht nicht, also nur eine Datenschutzerklärung auf der Webseite zu haben. Es muss vielmehr in solchen Fällen gewährleistet sein, dass der potentielle Geschäftspartner über die Verarbeitung der Daten informiert wird. Typischerweise wird es mit einem Link in der E-Mail Signatur gemacht. Am Telefon wäre es natürlich Quatsch, wenn man eine ganze Datenschutzerklärung vorlesen würde. Hier reicht ebenfalls der Hinweis aus, dass man sich auf der Internetseite über den Datenschutz informieren kann.

Datenschutzhinweise sind auch erforderlich, wenn in der Datenschutzerklärung auf der Internetseite, nur über die Datenverarbeitung informiert wird, die dort stattfindet. Ein Beispiel:

Es kommt häufig vor, dass auf Ihrer Seite nur Informationen über Ihre Dienstleistung enthalten sind. Es besteht weder ein Kontaktformular noch werden neben den IP-Daten sonstige Daten erhoben. Jetzt will Ihr Kunde hoffentlich Ihre Dienstleistung in Anspruch nehmen und schreibt Ihnen eine E-Mail. Es kommt dann ein Vertrag mit dem Kunden zustande. Wenn Sie jetzt nur eine Datenschutzerklärung haben, die darüber informiert, dass IP-Daten erhoben werden, dann haben Sie ein Problem. Sie kennen nämlich nunmehr die Emailadresse, den Namen, die Anschrift und ggf. die Bankverbindung des Kunden. Darüber haben Sie aber noch nicht informiert. Hier kommen die Datenschutzhinweise ins Spiel und helfen dieses Problem zu lösen. Dort wird nämlich darüber informiert, welche Daten beispielsweise für die Vertragsdurchführung erhoben werden.

 Verarbeitungsverzeichnis für Coaching

Mit Erschrecken muss ich leider immer wieder feststellen, dass das Verarbeitungsverzeichnis schlicht ignoriert wird. Das Verarbeitungsverzeichnis ist kein Hexenwerk und dient dem Überblick, welche Daten, wann, wo und zu welchem Zweck verarbeitet werden. Häufig wird 1 bis 2 DIN-A4 Seiten oder eine Excel Tabelle ausreichen. Die Behörden halten hierzu Muster bereit. Ein solches Verarbeitungsverzeichnis muss jeder von Ihnen haben. Hier kommt es nicht auf den Umfang des Unternehmens oder den Umsatz an. Fehlt ein solches, dann ist ein Bußgeld sicher.

Auftragsverarbeitungsverträge

In der Regel wird die Internetseite bei einem Drittanbieter gehostet werden. Allein hierfür braucht man einen sogenannten Auftragsvearbeitungsvertrag. Werden zusätzlich Lohnbuchhaltung oder Callcenter-Dienstleistungen in Anspruch genommen, dann bedarf es eines Auftragsverarbeitungsvertrages. Gleiches gilt auch für die Inanspruchnahme von Google und Social Media Profile. Fehlt ein solcher Vertrag, dann ist ebenfalls ein Bußgeld sicher. Meine Erfahrung ist, dass die größeren Unternehmen einen eigenen Vertrag bereitstellen und wenig Verhandlungsraumspielraum einräumen.

Fazit

Letztlich werden Sie als Coach nicht umhin kommen, sich mit dem Datenschutz zu befassen. Dabei sind eine rechtssichere Gestaltung der Internetseite und eine datenschutzkonforme Handhabe des Coachings, dringend anzuraten. Sie ist je nach Grad bzw. Größe des Unternehmens mit überschaubarem Aufwand zu bewerkstelligen. Die Alternative ist mit der Gefahr eines Bußgeldverfahrens, das mit einem Bußgeld von 4 % des Bruttoumsatzes enden kann oder eine Abmahnung zu leben. Das kann ich keinem seriösen Coach empfehlen.

 

Bei Fragen rund um den Datenschutz, berate ich Sie gerne. Sie können mich dazu telefonisch unter 069 59 77 80 28 oder über das Kontaktformular erreichen.

 

Rufen Sie an oder schreiben Sie mir. Ich freue mich auf Sie.

Wann sollte ich einen Auftragsverarbeitungsvertrag schließen?

Wann sollte ich einen Auftragsverarbeitungsvertrag schließen?

Im Zuge der neuen Datenschutzgrundverordnung (DS-GVO) stellen sich viele Unternehmer die Frage, wann muss ich einen Auftragsverarbeitungsvertrag schließen? Manche haben sogar von ihren Dienstleistern einen vorgesetzt bekommen, mit der Bitte diesen unterschrieben zurückzuschicken. Bevor man natürlich einen Vertrag unterschreibt, muss man wissen worum es sich hierbei handelt

 

Auftragsverarbeitung

In Art. 4 Nr. 8 der DS-GVO ist die Auftragsverarbeitung gesetzlich definiert. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Viel Klarheit bringt diese Definitionen leider nicht. Es kommt also darauf an, dass im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet werden. Verantwortlicher ist dabei die natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

 

Weisungsrecht

Es kommt mithin darauf an, dass zwischen Verantwortlicher und Auftragsarbeiter ein Weisungsrecht besteht. D.h. so viel, dass derjenige Verantwortlicher ist, der über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Erteilt dieser einem anderen eine Weisung, wie er diese Daten verarbeiten soll, ist dieser andere ein Auftragsverarbeiter. Wenn ich beispielsweise ein Callcenter für mich arbeiten lasse, so entscheidet dieses nicht über den Zweck der Erhebung der Daten. Es hat keinen Spielraum zu sagen, ich möchte folgende Daten vom Kunden wissen. Es ist an die Weisungen gebunden, die der Unternehmer ihm erteilt hat. Es muss also die Daten erheben, die dieser festgelegt hat, also beispielweise Namen und Telefonnummer für einen Rückruf. Damit ist das Callcenter ein Auftragsverarbeiter.

 

Abgrenzungen

Derzeit ist aufgrund der jungen Geschichte der DS-GVO und der fehlenden Rechtsprechung noch nicht gesichert, wie man in Abgrenzungsfragen entscheiden sollte. Manche vertreten eine sogenannte Schwerpunkttheorie. Danach ist keine Auftragsverarbeitung gegeben, wenn die Erhebung der Daten zum Schwerpunkt der Tätigkeit des Unternehmens gehört. So ist beispielsweise ein Transportdienstleistungsunternehmen kein Auftragsverarbeiter, wenn es Daten an Dritte auf Weisung des Verantwortlichen transportiert. Der Transport ist nämlich die Kerntätigkeit des Transportunternehmens. Andere Beispiele sind Rechtsanwälte, Steuerberater oder beispielsweise ein Labor. Hier besteht aber zwischen den sich mit Datenschutz befassen den Autoren unterschiedliche Auffassungen. Manche wählen als sichersten Weg im Zweifel einen Auftragsverarbeitungsvertrag. Das Problem darin ist, dass ich dann mich beispielsweise als Auftragsverarbeiter Weisungen des Verantwortlichen unterwerfe.

Aus meiner Sicht, gibt es hier keine Patentlösung. Wichtig wird sein, dass man in jedem Fall begründen können muss, warum man gerade keine Auftragsverarbeitung oder eben eine vorliegen hat. Dies müsste dann argumentativ gegen eine Bußgeldbehörde verteidigt werden. Der Teufel steckt hier im Detail. Die Zuordnung ist von erheblicher Bedeutung. Ein Verstoß dagegen führt zu einem Verstoß gegen die DS-GVO. Dies wiederum führt zu Bußgeldern bzw. gegebenenfalls zu Abmahnungen. Ein Vertrag sollte nicht vorschnell abgeschlossen werden.

Wenn Sie also Fragen rund um die Zuordnung einer Tätigkeit zur Auftragsbearbeitung haben, können Sie mich gerne unter dem Kontaktformular erreichen.