Seite auswählen
Datenschutz für Coaching und welche Mindestanforderungen der DS-GVO sind einzuhalten?

Datenschutz für Coaching und welche Mindestanforderungen der DS-GVO sind einzuhalten?

Coaching

Heutzutage bieten immer mehr Coaches ihre Dienstleistungen im Internet an. Hierbei wird eine Vielzahl von Daten untereinander ausgetauscht. Dieser Beitrag soll die Mindestanforderungen aufzeigen, welche die Datenschutzgrundverordnung (DS-GVO) vorsieht. Da die verschiedenen Geschäftsmodelle des Coachings sich teilweise deutlich voneinander unterscheiden, soll dieser Artikel nur eine erste Orientierung bieten.

Mindestanforderung für Coaching

Ich gehe davon aus, dass die Sie als Coach, eine Internetseite haben. In diesem Falle, müssen Sie folgende Mindestanforderungen der DS-GVO erfüllen:

  • Datenschutzerklärung,
  • Datenschutzhinweise,
  • Verzeichnis der Verarbeitungstätigkeiten,
  • Auftragsverarbeitungsverträge.

Datenschutzerklärung für Coaching

Immer dann, wenn Daten verarbeitet werden, muss dem Betroffenen vor Augen geführt werden, welche Daten, zu welchem Zweck, wie verarbeitet werden. Wenn also jemand eine Internetseite besucht, dann hinterlässt er üblicherweise IP-Daten. Diese werden in der Regel benötigt, damit die Webseite angezeigt werden kann. Die DS-GVO sieht nun vor, dass „bei Erhebung“ der Daten informiert werden muss. Hier kommt die Datenschutzerklärung ins Spiel. Durch eine entsprechende, rechtskonform ausgestaltete Datenschutzerklärung wird der DS-GVO Rechnung getragen. Jetzt kommt es natürlich auf Ihre individuelle Gestaltung der Internetseite an. Haben Sie beispielsweise einen Newsletter oder ein Kontaktformular, dann müssen in der Datenschutzerklärung mehr Angaben enthalten sein. Nutzt Sie auch Social Media, dann wird die Erklärung noch komplexer. Hier kommt es auf den Einzelfall an. Die Gefahr einer fehlerhaften oder unvollständigen Datenschutzerklärung ist bekannt:

Bußgeld bis 4% des Bruttoumsatzes und/oder Abmahnung.

Datenschutzhinweise für Coaching

Viele von Ihnen nutzen eine Internetseite, haben aber auch daneben andere Vertriebskanäle. So ist es nicht unüblich, dass Sie beispielsweise per Telefon oder E-Mail kontaktiert werden. Dann werden auch personenbezogene Daten verarbeitet. Es muss natürlich auch über diese Datenerhebung informiert werden. Es stellt sich die Frage, was dann der Unterschied zu der Datenschutzerklärung sein soll. Häufig wird im Bereich des Coachings über „Mund zu Mund Propaganda“ Kunden akquiriert. Dann ist es möglich, dass der Kunde gar nicht Ihre Webseite besucht, sondern kurzerhand zum Hörer greift oder Ihnen eine E-Mail schreibt und Sie kontaktiert. Spätestens, wenn Sie auf die E-Mail antworten, muss ein Hinweis auf die Datenverarbeitung erfolgen. Es reicht nicht, also nur eine Datenschutzerklärung auf der Webseite zu haben. Es muss vielmehr in solchen Fällen gewährleistet sein, dass der potentielle Geschäftspartner über die Verarbeitung der Daten informiert wird. Typischerweise wird es mit einem Link in der E-Mail Signatur gemacht. Am Telefon wäre es natürlich Quatsch, wenn man eine ganze Datenschutzerklärung vorlesen würde. Hier reicht ebenfalls der Hinweis aus, dass man sich auf der Internetseite über den Datenschutz informieren kann.

Datenschutzhinweise sind auch erforderlich, wenn in der Datenschutzerklärung auf der Internetseite, nur über die Datenverarbeitung informiert wird, die dort stattfindet. Ein Beispiel:

Es kommt häufig vor, dass auf Ihrer Seite nur Informationen über Ihre Dienstleistung enthalten sind. Es besteht weder ein Kontaktformular noch werden neben den IP-Daten sonstige Daten erhoben. Jetzt will Ihr Kunde hoffentlich Ihre Dienstleistung in Anspruch nehmen und schreibt Ihnen eine E-Mail. Es kommt dann ein Vertrag mit dem Kunden zustande. Wenn Sie jetzt nur eine Datenschutzerklärung haben, die darüber informiert, dass IP-Daten erhoben werden, dann haben Sie ein Problem. Sie kennen nämlich nunmehr die Emailadresse, den Namen, die Anschrift und ggf. die Bankverbindung des Kunden. Darüber haben Sie aber noch nicht informiert. Hier kommen die Datenschutzhinweise ins Spiel und helfen dieses Problem zu lösen. Dort wird nämlich darüber informiert, welche Daten beispielsweise für die Vertragsdurchführung erhoben werden.

 Verarbeitungsverzeichnis für Coaching

Mit Erschrecken muss ich leider immer wieder feststellen, dass das Verarbeitungsverzeichnis schlicht ignoriert wird. Das Verarbeitungsverzeichnis ist kein Hexenwerk und dient dem Überblick, welche Daten, wann, wo und zu welchem Zweck verarbeitet werden. Häufig wird 1 bis 2 DIN-A4 Seiten oder eine Excel Tabelle ausreichen. Die Behörden halten hierzu Muster bereit. Ein solches Verarbeitungsverzeichnis muss jeder von Ihnen haben. Hier kommt es nicht auf den Umfang des Unternehmens oder den Umsatz an. Fehlt ein solches, dann ist ein Bußgeld sicher.

Auftragsverarbeitungsverträge

In der Regel wird die Internetseite bei einem Drittanbieter gehostet werden. Allein hierfür braucht man einen sogenannten Auftragsvearbeitungsvertrag. Werden zusätzlich Lohnbuchhaltung oder Callcenter-Dienstleistungen in Anspruch genommen, dann bedarf es eines Auftragsverarbeitungsvertrages. Gleiches gilt auch für die Inanspruchnahme von Google und Social Media Profile. Fehlt ein solcher Vertrag, dann ist ebenfalls ein Bußgeld sicher. Meine Erfahrung ist, dass die größeren Unternehmen einen eigenen Vertrag bereitstellen und wenig Verhandlungsraumspielraum einräumen.

Fazit

Letztlich werden Sie als Coach nicht umhin kommen, sich mit dem Datenschutz zu befassen. Dabei sind eine rechtssichere Gestaltung der Internetseite und eine datenschutzkonforme Handhabe des Coachings, dringend anzuraten. Sie ist je nach Grad bzw. Größe des Unternehmens mit überschaubarem Aufwand zu bewerkstelligen. Die Alternative ist mit der Gefahr eines Bußgeldverfahrens, das mit einem Bußgeld von 4 % des Bruttoumsatzes enden kann oder eine Abmahnung zu leben. Das kann ich keinem seriösen Coach empfehlen.

 

Bei Fragen rund um den Datenschutz, berate ich Sie gerne. Sie können mich dazu telefonisch unter 069 59 77 80 28 oder über das Kontaktformular erreichen.

 

Rufen Sie an oder schreiben Sie mir. Ich freue mich auf Sie.

Hinweise zum Datenschutz nach DS-GVO bei Abenteuerparks und Hochseilgärten

Hinweise zum Datenschutz nach DS-GVO bei Abenteuerparks und Hochseilgärten

In dem nachfolgenden Beitrag möchte ich auf einige datenschutzrechtliche Fragen eingehen, die sich im Zusammenhang mit dem Betrieb eines Abenteuerparks oder Hochseil Garten stellen.

 

Datenschutzerklärung

Die meisten Betreiber nutzen eine Homepage oder Internetpräsenz. Für diesen Fall erheben sie personenbezogene Daten bzw. verarbeiten solche. Dann ist aber in jedem Fall darüber zu informieren. Praktischerweise macht man das mit einer Datenschutzerklärung. Diese sollte auch nicht versteckt im Impressum sein, sondern zweckmäßigerweise mit einem eigenständigen Reiter oder Schaltfläche hervorgehoben werden.

 

Teilnehmererklärung

Häufig unterschreiben die Teilnehmer eine sogenannte Teilnehmererklärung. Auf dieser findet sich der Name oder die Anschrift des Teilnehmenden. Häufig wird aber auch die Telefonnummer vermerkt. Außerdem soll bei einigen Betreiber der Teilnehmer ein Feld ankreuzen und dadurch erklären, dass er eine „Einweisung“ erhalten hat. Dadurch erhoffen sich die Betreiber natürlich später den Nachweis führen zu können, dass der Teilnehmer ordnungsgemäß in den Betrieb des Kletterparks eingewiesen wurde. Es stellt sich die Frage der datenschutzrechtlichen Zulässigkeit. Grundsätzlich können Daten erhoben werden, die zum Zwecke der Vertragsdurchführung notwendig sind. Aus meiner Sicht ist es daher unproblematisch, wenn Daten in der Teilnehmererklärung erhoben werden, die für die Einweisung benötigt werden. Diese ist aus meiner Sicht ein Teil der Vertragsdurchführung, da es um die Sicherheit des Teilnehmers geht. Rechtsprechung dazu gibt es aber noch nicht. Wichtig ist in diesem Zusammenhang der Grundsatz der Datenminimierung. So sollten sich auf diesen Formularen keine Daten finden, die nicht für die Vertragsdurchführung erforderlich sind, wie beispielsweise die religiöse Zugehörigkeit. Die Kontrollfrage sollte lauten: Brauche ich diese Daten, um den Vertrag durchzuführen oder nicht?

 

Informationspflichten

Wichtig ist in diesem Zusammenhang ferner, über die Verarbeitung der Daten zu informieren. Aus Praktikabilitätsgründen wird es wahrscheinlich nicht möglich sein, die gesamten Datenschutzhinweise auf der Rückseite der Teilnehmererklärung abzudrucken. In diesem Fall müsste natürlich darauf hingewiesen werden, dass sich auf der Rückseite einer Teilnehmerkennung überhaupt etwas befindet. Das Gesetz verlangt lediglich, dass man bei Erhebung der Daten informiert. Wie das dann im Einzelfall durch den Betreiber gehandhabt wird, bleibt ihm überlassen. Manche Autoren sehen einen Medienbruch als zulässig an und lassen es ausreichen, wenn auf der Teilnehmererklärung ein Link enthalten ist, der auf die Datenschutzhinweise verweist. Dieser Link sollte so einfach wie möglich gestaltet sein. Eine Rechtsprechung dazu ist aber bislang noch nicht bekannt. Andere Autoren sehen es als völlig ausreichend, wenn ein deutlich sichtbarer Aushang mit Datenschutzhinweisen neben dem Teilnehmenden aufgestellt wird und diese eben ohne große Schwierigkeiten Information darüber halten können, welche Daten von ihnen verarbeitet werden.

 

Achten Sie darauf, dass Verstöße gegen das Datenschutz bußgeldbewehrt sind und es deshalb erforderlich ist, sich über den Datenschutz Gedanken zu machen.

 

Es stellen sich eine Vielzahl von datenschutzrechtlichen Problemen bei der Verarbeitung von Daten in Zusammenhang mit dem Betrieb von Abenteuerparks und Hochseilgärten. Wenn Sie Fragen rund um dieses Thema haben, dann können Sie mich jederzeit telefonisch unter 069 59 77 80 28 oder per Email unter info@tklegal.de erreichen. Über Ihren Anruf oder Ihre Nachricht freue ich mich.

Was soll ich in einem Auftragsverarbeitungsantrag regeln?

Was soll ich in einem Auftragsverarbeitungsantrag regeln?

Meine Mandanten frage mich, was sie in einem Auftragsvearbeitungsvertrag regeln sollten und wozu das überhaupt gut sein ist. Vor allem fragen sie sich, was passiert, wenn der Auftragsvearbeitungsvertrag nicht den Mindestanforderungen genügt. Die Regelung zum Auftragsverarbeiter finden sich in Art. 28 der Datenschutzgrundverordnung (DS-GVO). Dort ist eine Reihe von Voraussetzungen vorgegeben, die in einem Auftragsbearbeitungsvertrag enthalten sein sollten.

 

Konsequenz eines fehlerhaften Auftragsverarbeitungsvertrags

Vornweg sollte jedermann der Daten im Auftragsverhältnis verarbeitet bewusst sein, dass ein Auftragsverarbeitungsvertrag der gegen die Anforderungen der Datenschutzgrundverordnung (DS-GVO) verstößt, ein Bußgeld in Höhe von 4 % des Jahres Bruttoumsatzes weltweit zur Folge haben kann. Aus diesem Grund wird relativ schnell deutlich, dass eine „gewisse“ Sorgfalt bei der Erstellung eine solchen Vertrages zwingend notwendig ist.

Eine beispielhafte Liste an Vertragspunkten, die aus meiner Sicht in einem Auftragsverarbeitungsvertrag gehören:

  • Gegenstand und Dauer des Auftrages Absatz Umfang, Art und Zweck der Datenverarbeitung
  • Maßnahmen nach Art. 32 Datenschutzgrundverordnung
  • Regelung des Weisungsrechts
  • Regelung zu Unterauftragsverhältnisse
  • Kontrollrechte des Auftraggebers
  • Vertraulichkeitsverpflichtung von Beschäftigten
  • Regelungen zum Datenschutzvorfälle und Informationspflichten
  • Löschung und Rückgabe von Daten

Aus meiner Sicht stellen dies die Mindestanforderungen dar und je nachdem, ob Sie als Auftragnehmer und Auftraggeber handeln, bestehen natürlich vielfältige Gestaltungsmöglichkeiten. Es muss natürlich auch bei solchen Verträgen immer auch die Interessen des Vertragspartners berücksichtigt werden und ein Vertrag verhandelt werden, der ausgewogen ist. Nur das gewährleistet, dass hinterher ein teurer Streit vermieden werden kann.

Sollten Sie Fragen rund um die Ausgestaltung des Auftragsverarbeitungsvertrages haben oder einen solchen vorgelegt bekommen haben und wollen diesen überprüft wissen, dann können Sie mich jederzeit unter der Tel.-Nr. 069 59 77 80 28 telefonisch oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen.

Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DS-GVO) zulässig?

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DS-GVO) zulässig?

Diese Frage stellen sich viele, die eine Kamera benutzen wollen. Das Thema ist im Zuge der DS-GVO komplexer geworden und kann in der gebotenen Kürze hier nur angerissen werden. Es soll ein erster Einstieg sein. Es ist immer und stets der Einzelfall zu prüfen. Wer zunächst in das Bundesdatenschutzgesetz neue Fassung (BDSG n.F.) einen Blick riskiert, findet dort den § 4 BDSG n.F.. Dem ersten Anschein nach sieht es so aus, als hätte der Gesetzgeber eine taugliche Rechtsgrundlage für die Videoüberwachung geschaffen. Auf den zweiten Blick wird aber deutlich, dass diese Norm nicht für private Unternehmer gilt.

Fehlende Öffnungsklausel für die Videoüberwachung
Dies hat mit den Europarecht zu tun. Die DS-GVO erlaubt eine Regelung im nationalen Recht, wie es das BDSG ist, nur dann, wenn eine sogenannte Öffnungsklausel vorliegt. Das bedeutet vereinfacht, dass der europäische Gesetzgeber es dem nationalen Gesetzgeber erlaubt, weitergehende Regelungen zu treffen. Das ist gerade bei der Videoüberwachung leider nicht in der erforderlichen Form geschehen. Das bedeutet, dass ein Rückgriff auf § 4 BDSG n.F. für die Videoüberwachung durch private Unternehmer nicht möglich ist. Eine Öffnungsklausel ist nur für die Art. 6 Abs. 2 DS GVO lit. c) und e) vorgesehen. Das sind die Normen, die eine Datenverarbeitung bei einer rechtlichen Verpflichtung oder bei Wahrnehmung von Aufgaben im öffentlichen Interesse, ermöglichen. Eine rechtliche Verpflichtung zur Videoüberwachung für private Unternehmer wird wohl kaum zu konstruieren sein. Das Ergebnis ist, dass das Bundesdatenschutzgesetz BDSG im nicht-öffentlichen Bereich nicht anwendbar sein wird.

Ausweg über Art. 6 Absatz 1f DS GVO
Deswegen wird in der Literatur bislang die Ansicht vertreten, dass die Verarbeitung personenbezogener Daten über den Art. 6 Absatz 1f möglich sein wird. Danach hat eine Abwägung zwischen dem Interesse an der Datenverarbeitung und dem Grad der Betroffenheit durch die Datenverarbeitung stattzufinden. Hierbei muss auch beachtet werden, dass bei einer Rechtfertigung über die Rechtsgrundlage des Artikel 6f DS-GVO diese Interessenabwägung in den Informationspflichten gehört und dort wiedergegeben sein muss. Genauer heißt das, dass die Abwägung in der Datenschutzerklärung enthalten sein muss. Näheres zu den Informationspflichten bei der Videoüberwachung werde ich in einem separaten Beitrag erläutern.

Wie einleitend dargestellt muss der Einzelfall genau unter die Lupe genommen werden, um die Zulässigkeit der Videoüberwachung klären zu können.

Bei Fragen rund um die Videoüberwachung können Sie mich gerne unter der Telefonnummer 069 59 77 80 28 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen. Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Welche Informationspflichten muss ich bei der Videoüberwachung beachten?

Welche Informationspflichten muss ich bei der Videoüberwachung beachten?

Kurzpapier Nr. 15 der DSK
Im heutigen Beitrag möchte ich das Kurzpapier Nr. 15 der Datenschutzkonferenz (DSK) vorstellen. Es beschäftigt sich mit der Frage, wann eine Videoüberwachung nach der Datenschutzgrundverordnung (DS-GVO) zulässig ist. Die Rechtsgrundlage für die Videoüberwachung ist nach der DSK der Art. 6 Abs. 1 S.1 lit. f DS-GVO. Danach ist die Verarbeitung rechtmäßig „soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“ Mit dieser Aussage geht einher, dass die Videoüberwachung rechtmäßig ist, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und eine Interessenabwägung vorgenommen wurde. Leider wir hier nicht weiter konkretisiert, sondern lediglich Schlagwörter benutzt und auf die bisherige Rechtsprechung zum Bundesdatenschutzgesetz verwiesen. Es wird daher weiterhin im Einzelfall zu prüfen sein, wann ein berechtigtes Interesse vorliegt, wie eine Abwägung auszusehen hat und wann eine Videoüberwachung erforderlich sein wird.

Videoüberwachung im privaten Bereich
Aus Art. 2 Abs. 2 lit. c DS-GVO folgerte die DSK, dass der Bereich der zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeit gilt nicht von der DS-GVO umfasst wird. Es kann also Hause eine Kamera angebracht werden, die den privaten Bereich aufzeichnet.

Informationspflichten und Beschilderung
Geändert hat sich durch vieles durch die neuen Informationspflichten der DS-GVO. Hierbei stellt die DSK auf den Art. 13 DS-GVO ab und fordert folgende Mindestanforderungen an die Informationspflichten:

– Umstand der Beobachtung-Piktogramm, Kamerasymbol
– Identität es für die Videoüberwachung Verantwortlichen-Name einschließlich Kontaktdaten
– Kontaktdaten des betrieblichen Datenschutzbeauftragten soweit benannt
– Verarbeitungszweck und Rechtsgrundlagen Schlagworten
– Angabe des berechtigten Interesses
– Dauer der Speicherung
– Hinweis auf Zugang zu den weiteren Pflicht Informationen nach Art. 13 Abs. 1 und zwei DS GVO

Speicherdauer
Es stellt sich auch die Frage, wie lange darf der Aufzeichnende die aus der Videoüberwachung gewonnen Daten speichern. Grundsätzlich gilt, dass Daten nicht gespeichert werden dürfen, wenn der Zweck der Datenverarbeitung erreicht ist oder schutzwürdige Interessen des Betroffenen einer weiteren Speicherung entgegensteht. Hierbei wird im Einzelnen zu klären sein, wofür der Aufzeichnende die Daten genau benötigt. Nach der bisherigen Rechtsprechung zum BDSG betrug die Höchstdauer für die Speicherung bei ganz besonderen Fällen zehn Tage. Im Hinblick aber auf den Grundsatz der Datenminimierung folgert die Datenschutzkonferenz eine Löschung nach 48 Stunden. Hierbei wird es regelmäßig auf den Einzelfall ankommen. Eine generelle Aussage hilft nicht weiter und kann vielmehr in die Irre führen.

Sollten Sie Fragen rund um das Thema Videoüberwachung haben, können Sie mich jederzeit telefonisch unter der Tel.-Nr. 069 59 77 80 28 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen. Ich freue mich über Anruf oder Ihre Nachricht.