Datenschutz für selbständige Mediator*innen

Was selbständige Mediator*innen beachten müssen, um datenschutzkonform zu arbeiten.

Dieser Beitrag befasst sich aus der Sicht von freien Mediator*innen mit den datenschutzrechtlichen Anforderungen an ihre Tätigkeiten – sowohl im Kontakt mit den Klient*innen als auch im „Back-Office“ (mit Mitarbeiter*innen).

Überblick

1. Rechtliche Grundlagen für den Datenschutz im Mediationsbüro

a. Datenschutz-Grundverordnung und Bundesdatenschutzgesetz

b. Anwendbarkeit der DSGVO

2. Erstkontakt mit Klient*innen und vorvertragliche Datenverarbeitung

 hier: Einwilligung in die Datenverarbeitung durch den Betroffenen

3. Online-Auftritte von Mediator*innen

hier: Maßnahmen zum Schutz von personenbezogenen Daten

4. Das Verarbeitungsverzeichnis. Pflicht- und Sorgfaltsanforderungen

hier: Verpflichtung zum Führen eines Verarbeitungsverzeichnisses

5. Benennung eines Datenschutzbeauftragte

6. Aufbewahrungs- und Löschpflichten

7. Datenschutz zugunsten der eigenen Mitarbeiter*innen

8. Was sind Auftragsverarbeiter – und was ist zu beachten

9. Die Datenpanne – und was ist zu tun

10. Das Auskunftsrecht des Betroffenen, die eigene Auskunftspflicht und was das mit der Verschwiegenheitsverpflichtung aus dem Mediationsverhältnis zu tun hat.

Abschließende Tipps für die Praxis


top

1. Rechtliche Grundlagen für den Datenschutz im Mediationsbüro

Datenschutz-Grundverordnung und Bundesdatenschutzgesetz

Der deutsche Datenschutz stützt sich auf die Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz. Seit dem 25.05.2018 gilt die Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Diese dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, Art. 1 I DSGVO. Neben der DSGVO gibt es noch das Bundesdatenschutzgesetz (BDSG), welches zeitgleich mit der DSGVO in Kraft getreten ist. In einigen Artikeln der DSGVO wird den einzelnen Mitgliedsstaaten die Möglichkeit eröffnet abweichende bzw. präzisierende Rechtsvorschriften zu erlassen. Allerdings dürfen diese nicht mit den Grundprinzipien der DSGVO im Widerspruch stehen. Grundsätzlich bedeutet dies, dass die DSGVO und das BDSG nebeneinander gelten, wobei die Grundverordnung Vorrang hat. 

[Neben der DSGVO sollte auch die E-Privacy-Verordnung in Kraft treten, welche den Schutz von personenbezogenen Daten bereits auf den Kommunikationsweg erstrecken soll. Voraussichtlich wird diese erst 2020 erlassen werden.]

Anwendbarkeit der DSGVO

Der Anwendungsbereich der DSGVO ist eröffnet, wenn personenbezogene Daten verarbeitet werden, Art. 2 DSGVO. Unter personenbezogenen Daten versteht man gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese sind beispielsweise der Name, die Anschrift, das Geburtsdatum, die Staatsangehörigkeit, die Bankverbindung oder auch der Fingerabdruck. Eine Verarbeitung nach Art. 4 Nr. 2 DSGVO liegt vor, wenn mit oder ohne Hilfe automatisierter Verfahren personenbezogene Daten erhoben, erfasst, organisiert, geordnet, geändert, gespeichert, ausgelesen, abgefragt, verarbeitet, weitergeleitet oder gelöscht werden. Somit ist der Anwendungsbereich der Grundverordnung beim Umgang mit solchen Daten immer eröffnet. Als Verantwortlicher muss man die in Art. 5 I DSGVO aufgezählten Grundsätze zum Umgang mit personenbezogenen Daten einhalten. Ein Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zu den Verantwortlichen zählen auch Mediatoren. Sie können des Weiteren vom Begriff des Unternehmers in Art. 4 Nr. 18 DSGVO erfasst werden. Bei der Verarbeitung von personenbezogenen Daten gilt der Einwilligungsvorbehalt nach Art. 6 I a) DSGVO. Folglich ist die Verarbeitung nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Weiterhin muss der Verantwortliche beim Umgang mit personenbezogenen Daten die datenschutzrechtlichen Grundsätze aus Art. 5 I DSGVO einhalten. Darunter zählen Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

Der Verstoß gegen datenschutzrechtliche Bestimmungen sollte nicht unterschätzt werden, denn es werden mitunter hohe Bußgelder verhängt, Art. 83 DSGVO. Außerdem kann auch Schadensersatz durch die Betroffenen geltend gemacht werden, Art. 82 DSGVO.

Nachdem die rechtlichen Vorgaben der DSGVO beleuchtet wurden, stellt sich nun die Frage wie der Datenschutz in der Praxis in einem Mediationsbüro umgesetzt werden kann. 

top

Erstkontakt mit Klient*innen und vorvertragliche Datenverarbeitung. 

Bevor ein Vertrag geschlossen wird, ist die Datenverarbeitung aufgrund Art. 6 I b) DSGVO rechtmäßig, wenn dies auf Anfrage des Betroffenen geschieht. Allerdings ist ungeklärt wie lange die erhaltenen Daten gespeichert werden dürfen. Nach Art. 17 I a) DSGVO sind sie unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Zeitraum muss sich also an dem Grundsatz der Datenminimierung sowie dem Zweck der Datenverarbeitung orientieren und dürfte anhand des Einzelfalls zu beurteilen sein. Zum Beispiel wenn eine Kontaktaufnahme erfolgt ist und anschließend auf den angebotenen Abschluss eines Vertrages 14 Tage ohne erneuten Kontakt folgen, kann man davon ausgehen, dass kein Interesse mehr besteht und die Daten sind zu löschen. Jedoch kann dieser Zeitraum wiederum variieren, wenn man von unterschiedlichen Verträgen und deren Aufwand ausgeht. Fraglich ist mitunter auch wie beispielsweise Einzelverbindungsnachweise zu handhaben sind, da man auf diese keinen Zugriff hat und diese somit nicht löschbar sind. Zunächst ist festzuhalten, dass die Telefonnummer anonymisiert ist, da sie nicht mit dem Namen zusammen gespeichert wird. Die Einzelverbindungsnachweise sind für den Verantwortlichen selbst wichtig und verfolgen noch den Zweck zur Ermittlung beziehungsweise Überprüfung der Telefonkosten, sodass ein Fall von Art. 17 III e) DSGVO einschlägig sein könnte.

Schwartmann/Klein (DS-GVO/BDSG) führt zur Rechtmäßigkeit der Verarbeitung von Daten im vorvertraglichen Verhältnis folgenden aus:

„Ihre Verarbeitung, insbesondere ihre Speicherung zum Zeitpunkt der vorvertraglichen Maßnahmen ist jedenfalls so lange zulässig, bis die empfangende Partei erkennen kann, ob die übermittelten Daten unter Umständen für die Erfüllung des Vertrages notwendig sein werden. Dann müssen die Daten allerdings gelöscht werden, sollte sich herausstellen, dass sie für die tatsächliche Vertragserfüllung nicht notwendig sind.“

Probleme beim telefonischen Erstkontakt

Der telefonische Erstkontakt birgt seine spezifischen Herausforderungen – nun auch datenschutzrechtlich. Aus der Informationspflicht i.S.d. Art. 13 DSGVO geht die Pflicht hervor, seine Kontaktdaten (Datenschutzbeauftragten!) mitzuteilen sowie den Zweck der Datenverarbeitung. Dabei ist es umstritten, ob eine vereinfachte fernmündliche Information mit bloßem Verweis auf eine Datenschutzerklärung auf der Webseite oder im Vertragsentwurf ausreichend ist. Aufgrund des Medienbruchs (Telefon/Webseite) ist das zwar theoretisch kein leichtes Zugänglichmachen, wie es das Gesetz fordert, aber da wir mittlerweile nicht mehr ins Internet gehen, sondern ständig online sind, reicht das aus. Ein leichter Abruf der Datenschutzerklärung kann über die Angabe einer Internetadresse oder eines QR-Codes gewährleistet werden. Sollte es im weiteren Verlauf zum Abschluss eines Vertrags kommen, dann empfiehlt es sich, die Hinweise zur Datenverarbeitung als Anlage anzuhängen. 

top

Einwilligung in die Datenverarbeitung durch den Betroffenen

Der Betroffene soll seine Einwilligung in die Datenverarbeitung informierter Weise für einen konkreten Fall und unmissverständlich in Form einer Erklärung oder sonstigen eindeutigen Handlung abgeben.

Bei der Einwilligung ist unbedingt darauf zu achten, dass der Betroffene einwilligungsfähig ist und diese freiwillig abgibt. Dabei bedeutet Freiwilligkeit, dass kein Zwang auf den Betroffenen ausgeübt werden darf und dieser eine echte Wahlmöglichkeit hat. Mit der Einwilligung sollte auch die Belehrung erfolgen, dass diese jederzeit widerrufen werden kann. Personen unter 16 Jahren können keine Einwilligung abgeben, Art. 8 DSGVO. Diese kann entsprechend Art. 8 I S. 2 DSGVO nur durch den Träger der elterlichen Verantwortung erteilt werden oder mit deren Zustimmung erfolgen.   Eine Einwilligung muss zwar nicht schriftlich erfolgen, jedoch empfiehlt es sich zu Beweiszwecken, da der Verantwortliche die Beweislast für das Vorliegen der Einwilligung trägt, Art. 7 DSGVO.

In diesem Zusammenhang ist umstritten, ob sich die Einwilligung auch auf die Art der Kommunikation erstrecken kann, wenn beispielsweise der Mediant selbst keine Verschlüsselungen beim E-Mail Kontakt nutzt. Einerseits wird argumentiert, dass wenn eine Einwilligung in das „Ob“ der Datenerhebung möglich ist, dies erst Recht für die „Art und Weise“ der Datenübermittlung gelten muss.

Andererseits ließe sich dagegen anführen, dass Art. 4 Nr. 11, Art. 6 I a), Art. 7 DSGVO sich nur auf das „Ob“ bezieht und eben nicht auf das „Wie“, dies ist auch nicht abdingbar aufgrund der Aufrechterhaltung eines angemessenen Schutzniveaus nach Art. 32 DSGVO. Da sich dies auf die Risiken bezieht und das Risiko bleibt auch bei der Einwilligung bestehen. Dabei ist außerdem zu beachten, dass die Einwilligung dann sowieso nur für die personenbezogenen Daten des Einwilligenden greifen kann. Jedoch sollte im Hinblick auf das angedrohte Bußgeld bei Verstoß gegen datenschutzrechtliche Bestimmungen lieber ein verschlüsselter Kontakt stattfinden.

top

Online-Auftritte von Mediator*innen

Bezüglich einer eingerichteten Webseite muss beachtet werden, dass diese ebenfalls mit einer Datenschutzerklärung versehen werden muss. Dies gilt sogar dann, wenn es sich um eine bloße Präsentation des Büros handelt und keine Datenabfrage (zum Beispiel in der Form eines Formulars) erfolgt. Das hat seinen Grund darin, dass automatisch beim Abrufen der Webseite LogFiles und Cookies vom Webserver und Content-Management-System erstellt werden, die in Verbindung mit der IP-Adresse Rückschlüsse auf eine Person zulassen. Sollte es auf der Internetseite die Möglichkeit geben einen elektronischen Newsletter zu abonnieren, so genügt für die datenschutzrechtliche Einwilligung zunächst das Anklicken. Um den datenschutzrechtlichen Anforderungen jedoch vollends zu genügen, sollte eine Double-Opt-In Methode verwendet werden, was bedeutet, dass anschließend noch eine Bestätigungsmail versendet werden sollte, um sicher zu gehen, dass fremde E-Mail-Adressen nicht verwendet werden können. Denn letztlich gehen die Zweifel an einer bestehenden Einwilligung zu Lasten des Verantwortlichen, Art. 7 I DSGVO. 

top

Maßnahmen zum Schutz von personenbezogenen Daten

Um den angemessenen Schutz der personenbezogenen Daten vor unbefugten Dritten zu gewährleisten, sind geeignete Maßnahmen zu ergreifen, Art. 24, 25 sowie 32 DSGVO, welche unter anderem den derzeitigen Stand der Technik berücksichtigen. Solche technischen und organisatorische Maßnahmen werden abgekürzt oft als „TOMs“ bezeichnet. Im Wesentlichen sollten Maßnahmen ergriffen werden, welche die folgenden Kontrollen ermöglichen: Zutrittskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie dass das Zweckbindungs-/Trennungsgebot gewährleistet ist.

Zunächst ist zu klären, welche Risiken und Gefahren in der konkreten Einrichtung bestehen, um dann die jeweiligen Besonderheiten mit den notwendigen Maßnahmen abzustimmen. Ausschlaggebend sind Art, Umfang und Zweck der Verarbeitung oder auch, ob die Kosten für die Implementierung eines Systems für das konkrete Vorhaben sinnvoll sind. Außerdem muss beachtet werden, dass die jeweiligen Anforderungen regelmäßig überprüft werden, da sie sich stets ändern können, beispielsweise durch Vergrößerung des Betriebs oder aufgrund der ständigen Weiterentwicklung der Technik. 

Technische und Organisatorische Maßnahmen (=TOMs ) im Einzelnen: 

  • Die Kontrolle über den Zutritt kann durch abschließbare Aktenschränke bzw. Bürozimmer, das Anbringen von Sicherheitsschlössern, einer Videoüberwachung und der Beaufsichtigung von Hilfskräften erfolgen. 
  • Bei der Zugriffskontrolle ist auf eine sichere Aufbewahrung, Vernichtung und Verschlüsselung zu achten. So sollten Gesprächsnotizen nicht offen herumliegen oder bei der Verwendung von Flipcharts die bearbeiteten Blätter abgehangen und verwahrt werden. Sämtliche Dateien, Datenträger und das WLAN sollten verschlüsselt und passwortgeschützt sein, wobei die Passwörter zumindest den allgemeinen Anforderungen entsprechen sollten. Die Systeme sollten mit einer entsprechenden Firewall geschützt und regelmäßig geupdatet werden. Bei der Kommunikation sollte auf eine Verschlüsselung von E-Mails, mittels Transportverschlüsselung (z.B. TLS, SSL), geachtet werden. Diese läuft automatisiert ab und wird von großen E-Mail-Providern in Deutschland unterstützt. Mit einem höheren Aufwand verbunden ist die Einrichtung einer Ende-zu-Ende-Verschlüsselung (z.B. S/MIME oder PGP), welche vergleichsweise jedoch auch einen höheren Schutz bietet. Bei dieser Variante müssen die E-Mails auf den Rechnern und E-Mail-Servern zusätzlich entschlüsselt werden. Möglich ist auch eine Verschlüsselung durch eine unabhängige Drittsoftware, sogenannte Container Lösung,

Bei der Weitergabe von Daten sollte der Verantwortliche stets überprüfen, ob Daten pseudonymisiert werden können und sie stets verschlüsseln.

  • Eine Eingabekontrolle kann durch Protokollierung gewährleistet werden, die bei Führen eines Verarbeitungsverzeichnisses ausreichend sein dürfte. 
  • Damit die Daten nur auf Auftrag verarbeitet werden, sollte der Verantwortliche sich stets überlegen welche vertraglichen Verpflichtungen er eingegangen ist und die nötigen Weisungen geben.
  • Die Verfügbarkeit von Daten kann dadurch kontrolliert werden, indem ein Notfall-Konzept vorliegt und ein Backup-System eingerichtet wurde.
  • Damit das Zweckbindungs- bzw. Trennungsgebot beachtet wird, sollte eine physische Datentrennung erfolgen und Berechtigungskonzepte vorliegen. Das bedeutet beispielsweise getrennte Aufbewahrung in verschiedenen Akten oder Datenträgern und das nur bestimmte Personen Zugriff darauf haben.

Personenbezogene Daten

Die DSGVO unterscheidet bei personenbezogenen Daten zwischen sensiblen und nicht sensiblen (personenbezogenen) Daten. Welche personenbezogene Daten sind nach der DGSVO sensibel?

Sensible personenbezogene Daten

Sensible personenbezogene Daten informieren zu oder lassen zumindest auf folgendes zurückschließen:

  • Ethnizität und Herkunft
  • Politische Meinung
  • Religion und Weltanschauung
  • Mitgliedschaft in Gewerkschaften
  • Genetische Daten
  • Biometrische Daten, die dazu dienen, natürliche Personen eindeutig zu identifizieren
  • Daten mit Bezug auf die Gesundheit, das Sexualleben oder die sexuelle Orientierung einer natürlichen Person

top

Das Verarbeitungsverzeichnis. Pflicht- und Sorgfaltsanforderungen.

Verpflichtung zum Führen eines Verarbeitungsverzeichnisses

Durch Art. 30 DSGVO muss jeder Verantwortliche ein Verarbeitungsverzeichnis führen. Dies kann gemäß Art. 30 III DSGVO schriftlich oder elektronisch erfolgen. Eine Ausnahme gewährt Art. 30 V DSGVO, wenn weniger als 250 Mitarbeiter beschäftigt werden, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien Art. 9 I und 10 DSGVO. Für Mediatoren wird diese Ausnahme nicht greifen, da die Verarbeitung der Daten zum typischen Geschäftsbetrieb gehört und eben nicht nur gelegentlich erfolgt.

Das Verzeichnis muss so geführt werden, dass es jederzeit überprüft werden kann. Anknüpfungspunkt ist Art. 5 II DSGVO, denn die Rechenschaftspflicht umfasst gerade, dass die Bestimmungen in Art. 5 I DSGVO nachweisbar eingehalten werden. In dem Verzeichnis müssen die in Art. 30 I S. 2 DSGVO aufgeführten Angaben enthalten sein.

Einfach ersichtlich muss aus dem Verarbeitungsverzeichnis sein: Welche Daten, wann, wie und warum erhoben wurden und wann sie zu löschen sind. Damit das Verzeichnis leicht zu führen ist, sollte es übersichtlich sein, der Verantwortliche kann dafür das Muster auf der Webseite des Deutschen Anwaltsvereins oder das des Landesbeauftragten für Datenschutz verwenden.

Das Verarbeitungsverzeichnis gibt einfach Auskunft darüber:

Welche Daten, wann, wie und warum erhoben wurden und wann sie zu löschen sind.

top

Benennung eines Datenschutzbeauftragten

Nach § 38 I BDSG in Verbindung mit Art. 37 DSGVO muss der Verantwortliche einen Datenschutzbeauftragten benennen, wenn in der Regel mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Beschäftigtenzahl muss ein Datenschutzbeauftragter nach § 38 I BDSG benannt werden, wenn Datenverarbeitungen einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen oder die Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. 

Dies wird für die typischen Mediationsbüros nicht zutreffend sein, weil sie meist nicht mehr als 20 Personen beschäftigen.

top

Aufbewahrungs- und Löschpflichten

Weiterhin muss der Verantwortliche darauf achten, dass aus Gründen der Datenminimierung nur notwendige Daten erhoben und verarbeitet werden. Dies soll verhindern, dass unkontrolliert Daten gesammelt werden. Es kann sich anbieten bestimmte Daten, gegebenenfalls nach gewisser Zeit, zu anonymisieren, damit eine Zuordnung zu einer bestimmten Person nicht mehr möglich ist. Das orientiert sich am verfolgten Zweck. Sollen die Daten einer Statistik dienen, dann bietet sich eine solche Anonymisierung an. 

Eine Besonderheit die sich im Vergleich vom Mediationsbüro und Anwaltskanzlei ergibt ist, dass es für Mediatoren keine Aufbewahrungspflicht aus dem MediationsG gibt, wogegen  der Rechtsanwalt verpflichtet ist mindestens 6 Jahre seine Akten aufzubewahren, § 50 I S. 2 BRAO.  Jedoch trifft beide eine steuerrechtliche Aufbewahrungspflicht von 10 Jahren, §§ 14b UStG, § 147 I und III AO. Um den Überblick zu behalten, sollten Löschfristen dokumentiert und die automatische Löschung technisch umgesetzt werden.

Das in Art. 17 I DSGVO geregelte „Recht auf Vergessenwerden“ schreibt generell vor unter welchen Voraussetzungen personenbezogene Daten unverzüglich zu löschen sind. Im drittem Absatz befinden sich Ausnahmen von diesem Recht, wenn die Verarbeitung beispielsweise zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist oder ein öffentliches Interesse für Wissenschaft und Forschung besteht. 

Der Datenschutz umfasst auch die ordnungsgemäße Entsorgung/Vernichtung von Daten. Das bedeutet, dass zum Beispiel Datenträger so gelöscht werden müssen, dass die Daten nicht wiederhergestellt werden können. (Oder das Akten geschreddert werden, sodass sie nicht mehr zusammengesetzt werden können und ein Ablesen der Daten nicht möglich ist.) Sollte eine Löschung unmöglich oder unverhältnismäßig sein, dann ist die Datenverarbeitung zumindest einzuschränken, Art. 18 DSGVO. Dies trifft beispielsweise bei der kollidierenden Aufbewahrungspflicht zu, dann sind die Dokumente als Eingeschränkt/Gesperrt zu markieren. 

top

Datenschutz zugunsten der eigenen Mitarbeiter*innen

Der Datenschutz muss nicht nur gegenüber Mandanten und Medianten eingehalten werden, sondern auch gegenüber den eigenen Mitarbeitern. Dies ergibt sich aus § 26 I S. 1 BDSG, welcher regelt, dass personenbezogene Daten von Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen. So sind beispielsweise deren Bewerbungsunterlagen und Lohnabrechnungen ebenfalls datenschutzkonform zu erheben und zu verarbeiten. Außerdem trägt der Verantwortliche dafür Sorge, dass seine Mitarbeiter sich ebenfalls an die Geheimhaltung von Daten und den datenschutzkonformen Umgang halten. So darf beispielsweise eine Verarbeitung von personenbezogenen Daten nur auf Weisung des Verantwortlichen erfolgen, Art. 29 DSGVO.

top

Was sind Auftragsverarbeiter – und was ist zu beachten.

Beauftragt der Verantwortliche externe Dienstleister nach Art. 28 DSGVO, sogenannte Auftragsverarbeiter, dann muss er nach Abs. 1 auf eine sorgfältige Auswahl achten. Darunter fallen beispielsweise Dienstleister, die die Akten vernichten oder das IT-System betreuen. Dabei ist ein Vertrag zu schließen, der den Anforderungen des Art. 28 III DSGVO genügt. Für solche Verträge finden sich ebenfalls Muster auf der Webseite der Landesbeauftragten für Datenschutz. 

top

Die Datenpanne – und was zu tun ist

Der Verantwortliche hat eine Melde- und Benachrichtigungspflicht gegenüber der zuständigen Aufsichtsbehörde und der betroffenen Personen, wenn eine Verletzung des Datenschutzes vorliegt, Art. 33 und 34 DSGVO. Diese kann beispielsweise durch Verlust eines Datenträgers (Laptop, USB-Stick, Smartphone, etc.) oder auch bei der Verwechslung von E-Mail-Adressen ausgelöst werden. Dabei ist es unerheblich, ob der Verantwortliche die Verletzung zu verschulden hatte. Die Verletzung ist unverzüglich und möglichst binnen 72 Stunden, nachdem sie bekannt wurde, bei der zuständigen Aufsichtsbehörde zu melden, Art. 33 I S.1 DSGVO. In Art. 33 III DSGVO findet sich eine Auflistung welche Informationen die Meldung enthalten soll. Eine Meldung oder Benachrichtigung muss nur dann nicht erfolgen, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Beurteilung, ob diese Ausnahme vorliegt hat anhand einer Gesamtabwägung zu erfolgen. Ausschlaggebend ist die Art der Verletzung oder welche Daten betroffen sind und ob mit einem physischen, materiellen oder immateriellen Schaden zu rechnen ist. Diese Abwägung muss der Verantwortliche vornehmen und dieser ist für das fehlende Verletzungsrisiko nachweispflichtig. Besteht keine Gefahr, weil ausreichende Sicherheitsmaßnahmen getroffen wurden, also beispielsweise der Datenträger verschlüsselt wurde, dann trifft den Verantwortlichen keine Meldepflicht.

top

Das Auskunftsrecht des Betroffenen, die eigene Auskunftspflicht und was das mit der Verschwiegenheitsverpflichtung aus dem Mediationsverhältnis zu tun hat.

Nach Art. 15 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und wenn dies der Fall ist, hat sie ein Recht auf Auskunft über diese Daten und auf die in Art. 15 I a)-h) aufgezählten Informationen. Dabei muss sichergestellt werden, dass die Erteilung der Auskunft nur an berechtigte Personen erfolgt. Um dies zu gewährleisten kann eine Kopie des Personalausweises verlangt werden, wobei diese vom Betroffenen bis auf Name, Foto und Anschrift geschwärzt werden darf. Nach Art. 15 III S. 1 DSGVO muss der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Erst für weitere Kopien kann ein angemessenes Entgelt verlangt werden, Art. 15 III S. 2 DSGVO. Es empfiehlt sich auf das Verlangen nach Auskünften vorbereitet zu sein. Bestenfalls sollte dies technisch so umgesetzt werden, dass nur zur Auskunft geeignete Daten ausgegeben werden.

Bei Mediatoren besteht die Besonderheit, dass diese grundsätzlich gegenüber ihren Medianten zur Verschwiegenheit verpflichtet sind, § 4 MediationsG. Fraglich ist, wie sich dies mit dem Auskunftsrecht zu erhobenen personenbezogenen Daten eines Dritten verhält. Nach Art. 14 V d) DSGVO und § 29 BDSG muss eine Abwägung des Interesses an der Geheimhaltung des Dritten mit dem Informationsinteresse des Betroffenen erfolgen. Diese Abwägung wird jedoch entsprechend § 29 I BDSG regelmäßig zu Gunsten des Dritten, also demjenigen den Verschwiegenheit garantiert wird, ausfallen. 

Gemäß § 29 III BDSG bestehen gegenüber den in § 203 I und III des StGB genannten Personen oder deren Auftragsverarbeitern die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Art. 58 I e) und f) DSGVO nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Zu den Personen zählen Rechtsanwälte, § 203 I Nr. 3 StGB, jedoch sind Mediatoren nicht aufgezählt. Sie müssen folglich den Aufsichtsbehörden Zugang ermöglichen, sodass diese die Datenverarbeitung bewerten können.

Der Datenschutz ist ein komplexes und vielseitiges Thema, dennoch sollte man sich nicht vor der Auseinandersetzung scheuen. Gerade aufgrund der angedrohten Bußgelder ist es wichtig, dass jeder entsprechende Maßnahmen zum Schutze von personenbezogenen Daten ergreift. Mitunter sind einige einfacher zu realisieren, als man vielleicht erwartet. Außerdem lässt sich ein einmal sorgfältig eingerichtetes System zur Umsetzung einfacher pflegen sowie ausbauen und dies lohnt sich langfristig.  

top

Abschließende Tipps für die Praxis:

  1. Die DGSVO gilt auch für alle analoge Datenverarbeitungen in Ihrem Unternehmen!
  2. Ihr Unternehmen kann jederzeit behördlich aufgefordert werden, über die datenschutzrechtlichen Vorkehrungen informieren (Stichwort: Verarbeitungsverzeichnis!)
  3. Dokumentieren Sie alle Maßnahmen, die Sie in Ihrem Unternehmen in Bezug auf den Datenschutz veranlassen (Weiterbildungen, Anschreiben, Aufgabenerteilungen, Checklisten etc.)
  4. Lassen Sie sich auf keinen Fall abschrecken!
  5. Bleiben Sie auf dem Laufenden.

  • Bertolino, C.: Datenschutz im Mediationsbüro, in: Zeitschrift für Konfliktmanagement, 2/2019, S. 58-62.
  • Dendorfer-Ditges, R./Schmidt-Gorbach, W.: Datenschutz 2018. Neuerungen und Herausforderungen für Mediatorinnen und Mediatoren, in: Konfliktdynamik, 4/2018, S. 318-322.
  • Däubler / Wedde / Weichert / Sommer: EU-DSGVO und BDSG. EU-Datenschutz-Grundverordnung – Neues Bundesdatenschutzgesetz – Weitere datenschutzrechtliche Vorschriften. Kommentar; 2., aktualisierte Auflage 2020.