{"id":4527,"date":"2020-02-17T17:24:47","date_gmt":"2020-02-17T16:24:47","guid":{"rendered":"https:\/\/inkovema.de\/?p=4527"},"modified":"2021-01-01T21:35:01","modified_gmt":"2021-01-01T20:35:01","slug":"data-protection-for-mediators","status":"publish","type":"post","link":"https:\/\/inkovema.de\/en\/blog\/data-protection-for-mediators\/","title":{"rendered":"Data protection requirements for independent mediators"},"content":{"rendered":"

<\/a><\/p>\n

Datenschutz f\u00fcr selbst\u00e4ndige\u00a0Mediator*innen<\/h1>\n

Was selbst\u00e4ndige Mediator*innen beachten m\u00fcssen, um datenschutzkonform zu arbeiten.<\/h2>\n<\/div>

Dieser Beitrag befasst sich aus der Sicht von freien Mediator*innen mit den datenschutzrechtlichen Anforderungen an ihre T\u00e4tigkeiten – sowohl im Kontakt mit den Klient*innen als auch im „Back-Office“ (mit Mitarbeiter*innen).<\/p>\n<\/div>

\u00dcberblick<\/h2>\n

1. Rechtliche Grundlagen f\u00fcr den Datenschutz im Mediationsb\u00fcro<\/a><\/p>\n

a.\u00a0Datenschutz-Grundverordnung und Bundesdatenschutzgesetz<\/a><\/p>\n

b.\u00a0Anwendbarkeit der DSGVO<\/a><\/p>\n

2. Erstkontakt mit Klient*innen und vorvertragliche Datenverarbeitung<\/a><\/p>\n

\u00a0hier:\u00a0Einwilligung in die Datenverarbeitung durch den Betroffenen<\/a><\/p>\n

3. Online-Auftritte von Mediator*innen<\/a><\/p>\n

hier:\u00a0Ma\u00dfnahmen zum Schutz von personenbezogenen Daten<\/a><\/p>\n

4. Das Verarbeitungsverzeichnis. Pflicht- und Sorgfaltsanforderungen<\/a><\/p>\n

hier:\u00a0Verpflichtung zum F\u00fchren eines Verarbeitungsverzeichnisses<\/a><\/p>\n

5. Benennung eines Datenschutzbeauftragte<\/a><\/p>\n

6. Aufbewahrungs- und L\u00f6schpflichten<\/a><\/p>\n

7. Datenschutz zugunsten der eigenen Mitarbeiter*innen<\/a><\/p>\n

8. Was sind Auftragsverarbeiter \u2013 und was ist zu beachten<\/a><\/p>\n

9. Die Datenpanne \u2013 und was ist zu tun<\/a><\/p>\n

10. Das Auskunftsrecht des\u00a0Betroffenen, die eigene Auskunftspflicht und was das mit der Verschwiegenheitsverpflichtung aus dem Mediationsverh\u00e4ltnis zu tun hat.<\/a><\/p>\n

Abschlie\u00dfende Tipps f\u00fcr die Praxis<\/a><\/p>\n<\/div>

<\/a>
\n<\/a>…<\/p>\n

top<\/a><\/p>\n

1. Rechtliche Grundlagen f\u00fcr den Datenschutz im Mediationsb\u00fcro<\/h3>\n

Datenschutz-Grundverordnung und Bundesdatenschutzgesetz<\/b><\/h4>\n

Der deutsche Datenschutz st\u00fctzt sich auf die Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz. Seit dem 25.05.2018 gilt die Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Diese dient dem Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, Art. 1 I DSGVO. Neben der DSGVO gibt es noch das Bundesdatenschutzgesetz (BDSG), welches zeitgleich mit der DSGVO in Kraft getreten ist. In einigen Artikeln der DSGVO wird den einzelnen Mitgliedsstaaten die M\u00f6glichkeit er\u00f6ffnet abweichende bzw. pr\u00e4zisierende Rechtsvorschriften zu erlassen. Allerdings d\u00fcrfen diese nicht mit den Grundprinzipien der DSGVO im Widerspruch stehen. Grunds\u00e4tzlich bedeutet dies, dass die DSGVO und das BDSG nebeneinander gelten, wobei die Grundverordnung Vorrang hat.\u00a0<\/span><\/p>\n

[Neben der DSGVO sollte auch die E-Privacy-Verordnung in Kraft treten, welche den Schutz von personenbezogenen Daten bereits auf den Kommunikationsweg erstrecken soll. Voraussichtlich wird diese erst 2020 erlassen werden.]<\/p>\n

<\/a>…<\/p>\n

Anwendbarkeit der DSGVO<\/b><\/h4>\n

Der Anwendungsbereich der DSGVO ist er\u00f6ffnet, wenn personenbezogene Daten verarbeitet werden, Art. 2 DSGVO. Unter personenbezogenen Daten versteht man gem\u00e4\u00df Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare nat\u00fcrliche Person beziehen. Diese sind beispielsweise der Name, die Anschrift, das Geburtsdatum, die Staatsangeh\u00f6rigkeit, die Bankverbindung oder auch der Fingerabdruck. Eine Verarbeitung nach Art. 4 Nr. 2 DSGVO liegt vor, wenn mit oder ohne Hilfe automatisierter Verfahren personenbezogene Daten erhoben, erfasst, organisiert, geordnet, ge\u00e4ndert, gespeichert, ausgelesen, abgefragt, verarbeitet, weitergeleitet oder gel\u00f6scht werden. Somit ist der Anwendungsbereich der Grundverordnung beim Umgang mit solchen Daten immer er\u00f6ffnet. Als Verantwortlicher muss man die in Art. 5 I DSGVO aufgez\u00e4hlten Grunds\u00e4tze zum Umgang mit personenbezogenen Daten einhalten. Ein Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die nat\u00fcrliche oder juristische Person, Beh\u00f6rde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen \u00fcber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zu den Verantwortlichen z\u00e4hlen auch Mediatoren. Sie k\u00f6nnen des Weiteren vom Begriff des Unternehmers in Art. 4 Nr. 18 DSGVO erfasst werden. Bei der Verarbeitung von personenbezogenen Daten gilt der Einwilligungsvorbehalt nach Art. 6 I a) DSGVO. Folglich ist die Verarbeitung nur rechtm\u00e4\u00dfig, wenn die betroffene Person ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten f\u00fcr einen oder mehrere bestimmte Zwecke gegeben hat. Weiterhin muss der Verantwortliche beim Umgang mit personenbezogenen Daten die datenschutzrechtlichen Grunds\u00e4tze aus Art. 5 I DSGVO einhalten. Darunter z\u00e4hlen Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrit\u00e4t und Vertraulichkeit.<\/p>\n

Der Versto\u00df gegen datenschutzrechtliche Bestimmungen sollte nicht untersch\u00e4tzt werden, denn es werden mitunter hohe Bu\u00dfgelder verh\u00e4ngt, Art. 83 DSGVO. Au\u00dferdem kann auch Schadensersatz durch die Betroffenen geltend gemacht werden, Art. 82 DSGVO.<\/p>\n

Nachdem die rechtlichen Vorgaben der DSGVO beleuchtet wurden, stellt sich nun die Frage wie der Datenschutz in der Praxis in einem Mediationsb\u00fcro umgesetzt werden kann.\u00a0<\/span><\/p>\n<\/div>

<\/a>…<\/p>\n

top<\/a><\/p>\n

Erstkontakt mit Klient*innen und vorvertragliche Datenverarbeitung.\u00a0<\/span><\/i><\/h3>\n

Bevor ein Vertrag geschlossen wird, ist die Datenverarbeitung aufgrund Art. 6 I b) DSGVO rechtm\u00e4\u00dfig, wenn dies auf Anfrage des Betroffenen geschieht. Allerdings ist ungekl\u00e4rt wie lange die erhaltenen Daten gespeichert werden d\u00fcrfen. Nach Art. 17 I a) DSGVO sind sie unverz\u00fcglich zu l\u00f6schen, wenn sie f\u00fcr die Zwecke, f\u00fcr die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Zeitraum muss sich also an dem Grundsatz der Datenminimierung sowie dem Zweck der Datenverarbeitung orientieren und d\u00fcrfte anhand des Einzelfalls zu beurteilen sein. Zum Beispiel wenn eine Kontaktaufnahme erfolgt ist und anschlie\u00dfend auf den angebotenen Abschluss eines Vertrages 14 Tage ohne erneuten Kontakt folgen, kann man davon ausgehen, dass kein Interesse mehr besteht und die Daten sind zu l\u00f6schen. Jedoch kann dieser Zeitraum wiederum variieren, wenn man von unterschiedlichen Vertr\u00e4gen und deren Aufwand ausgeht. Fraglich ist mitunter auch wie beispielsweise Einzelverbindungsnachweise zu handhaben sind, da man auf diese keinen Zugriff hat und diese somit nicht l\u00f6schbar sind. Zun\u00e4chst ist festzuhalten, dass die Telefonnummer anonymisiert ist, da sie nicht mit dem Namen zusammen gespeichert wird. Die Einzelverbindungsnachweise sind f\u00fcr den Verantwortlichen selbst wichtig und verfolgen noch den Zweck zur Ermittlung beziehungsweise \u00dcberpr\u00fcfung der Telefonkosten, sodass ein Fall von Art. 17 III e) DSGVO einschl\u00e4gig sein k\u00f6nnte.<\/p>\n

Schwartmann\/Klein (DS-GVO\/BDSG)<\/strong><\/em> f\u00fchrt zur Rechtm\u00e4\u00dfigkeit der Verarbeitung von Daten im vorvertraglichen Verh\u00e4ltnis<\/strong> <\/em>folgenden aus:<\/p>\n

\n

\u201eIhre Verarbeitung, insbesondere ihre Speicherung zum Zeitpunkt der vorvertraglichen Ma\u00dfnahmen ist jedenfalls so lange zul\u00e4ssig, bis die empfangende Partei erkennen kann, ob die \u00fcbermittelten Daten unter Umst\u00e4nden f\u00fcr die Erf\u00fcllung des Vertrages notwendig sein werden. Dann m\u00fcssen die Daten allerdings gel\u00f6scht werden, sollte sich herausstellen, dass sie f\u00fcr die tats\u00e4chliche Vertragserf\u00fcllung nicht notwendig sind.\u201c<\/p>\n<\/blockquote>\n

Probleme beim telefonischen Erstkontakt<\/h4>\n

Der telefonische Erstkontakt birgt seine spezifischen Herausforderungen – nun auch datenschutzrechtlich. Aus der Informationspflicht i.S.d. Art. 13 DSGVO geht die Pflicht hervor, seine Kontaktdaten (Datenschutzbeauftragten!) mitzuteilen sowie den Zweck der Datenverarbeitung. Dabei ist es umstritten, ob eine vereinfachte fernm\u00fcndliche Information mit blo\u00dfem Verweis auf eine Datenschutzerkl\u00e4rung auf der Webseite oder im Vertragsentwurf ausreichend ist. Aufgrund des Medienbruchs (Telefon\/Webseite) ist das zwar theoretisch kein leichtes Zug\u00e4nglichmachen, wie es das Gesetz fordert, aber da wir mittlerweile nicht mehr ins Internet gehen, sondern st\u00e4ndig online sind, reicht das aus.\u00a0Ein leichter Abruf der Datenschutzerkl\u00e4rung kann \u00fcber die Angabe einer Internetadresse oder eines QR-Codes gew\u00e4hrleistet werden. Sollte es im weiteren Verlauf zum Abschluss eines Vertrags kommen, dann empfiehlt es sich, die Hinweise zur Datenverarbeitung als Anlage anzuh\u00e4ngen.\u00a0<\/span><\/p>\n<\/div>

<\/a>…<\/p>\n

top<\/a><\/p>\n

Einwilligung in die Datenverarbeitung durch den Betroffenen<\/b><\/p>\n

Der Betroffene soll seine Einwilligung in die Datenverarbeitung informierter Weise f\u00fcr einen konkreten Fall und unmissverst\u00e4ndlich in Form einer Erkl\u00e4rung oder sonstigen eindeutigen Handlung abgeben.<\/p>\n

Bei der Einwilligung ist unbedingt darauf zu achten, dass der Betroffene einwilligungsf\u00e4hig ist und diese freiwillig abgibt. Dabei bedeutet Freiwilligkeit, dass kein Zwang auf den Betroffenen ausge\u00fcbt werden darf und dieser eine echte Wahlm\u00f6glichkeit hat. Mit der Einwilligung sollte auch die Belehrung erfolgen, dass diese jederzeit widerrufen werden kann. Personen unter 16 Jahren k\u00f6nnen keine Einwilligung abgeben, Art. 8 DSGVO. Diese kann entsprechend Art. 8 I S. 2 DSGVO nur durch den Tr\u00e4ger der elterlichen Verantwortung erteilt werden oder mit deren Zustimmung erfolgen. \u00a0 <\/span>Eine Einwilligung muss zwar nicht schriftlich erfolgen, jedoch empfiehlt es sich zu Beweiszwecken, da der Verantwortliche die Beweislast f\u00fcr das Vorliegen der Einwilligung tr\u00e4gt, Art. 7 DSGVO.<\/p>\n

In diesem Zusammenhang ist umstritten, ob sich die Einwilligung auch auf die Art der Kommunikation erstrecken kann, wenn beispielsweise der Mediant selbst keine Verschl\u00fcsselungen beim E-Mail Kontakt nutzt. Einerseits wird argumentiert, dass wenn eine Einwilligung in das \u201eOb\u201c der Datenerhebung m\u00f6glich ist, dies erst Recht f\u00fcr die \u201eArt und Weise\u201c der Daten\u00fcbermittlung gelten muss.<\/p>\n

Andererseits lie\u00dfe sich dagegen anf\u00fchren, dass Art. 4 Nr. 11, Art. 6 I a), Art. 7 DSGVO sich nur auf das \u201eOb\u201c bezieht und eben nicht auf das \u201eWie\u201c, dies ist auch nicht abdingbar aufgrund der Aufrechterhaltung eines angemessenen Schutzniveaus nach Art. 32 DSGVO. Da sich dies auf die Risiken bezieht und das Risiko bleibt auch bei der Einwilligung bestehen. Dabei ist au\u00dferdem zu beachten, dass die Einwilligung dann sowieso nur f\u00fcr die personenbezogenen Daten des Einwilligenden greifen kann. Jedoch sollte im Hinblick auf das angedrohte Bu\u00dfgeld bei Versto\u00df gegen datenschutzrechtliche Bestimmungen lieber ein verschl\u00fcsselter Kontakt stattfinden.<\/p>\n<\/div>

<\/a>\u2026<\/p>\n

top<\/a><\/p>\n

Online-Auftritte von Mediator*innen<\/h3>\n

Bez\u00fcglich einer eingerichteten Webseite muss beachtet werden, dass diese ebenfalls mit einer Datenschutzerkl\u00e4rung<\/strong><\/em> versehen werden muss. Dies gilt sogar dann, wenn es sich um eine blo\u00dfe Pr\u00e4sentation des B\u00fcros handelt und keine Datenabfrage (zum Beispiel in der Form eines Formulars) erfolgt. Das hat seinen Grund darin, dass automatisch beim Abrufen der Webseite LogFiles und Cookies vom Webserver und Content-Management-System erstellt werden, die in Verbindung mit der IP-Adresse R\u00fcckschl\u00fcsse auf eine Person zulassen. Sollte es auf der Internetseite die M\u00f6glichkeit geben einen elektronischen Newsletter<\/strong><\/em> zu abonnieren, so gen\u00fcgt f\u00fcr die datenschutzrechtliche Einwilligung zun\u00e4chst das Anklicken. Um den datenschutzrechtlichen Anforderungen jedoch vollends zu gen\u00fcgen, sollte eine Double-Opt-In Methode verwendet werden, was bedeutet, dass anschlie\u00dfend noch eine Best\u00e4tigungsmail versendet werden sollte, um sicher zu gehen, dass fremde E-Mail-Adressen nicht verwendet werden k\u00f6nnen. Denn letztlich gehen die Zweifel an einer bestehenden Einwilligung zu Lasten des Verantwortlichen, Art. 7 I DSGVO.\u00a0<\/span><\/p>\n<\/div>

<\/a>\u2026<\/p>\n

top<\/a><\/p>\n

Ma\u00dfnahmen zum Schutz von personenbezogenen Daten<\/b><\/p>\n

Um den angemessenen Schutz der personenbezogenen Daten vor unbefugten Dritten zu gew\u00e4hrleisten, sind geeignete Ma\u00dfnahmen zu ergreifen, Art. 24, 25 sowie 32 DSGVO, welche unter anderem den derzeitigen Stand der Technik ber\u00fccksichtigen. Solche technischen und organisatorische Ma\u00dfnahmen werden abgek\u00fcrzt oft als \u201eTOMs\u201c bezeichnet. Im Wesentlichen sollten Ma\u00dfnahmen ergriffen werden, welche die folgenden Kontrollen erm\u00f6glichen: Zutrittskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verf\u00fcgbarkeitskontrolle sowie dass das Zweckbindungs-\/Trennungsgebot<\/strong> gew\u00e4hrleistet<\/strong><\/em> ist.<\/p>\n

Zun\u00e4chst ist zu kl\u00e4ren, welche<\/strong><\/em> Risiken und Gefahren<\/strong><\/em> in der konkreten Einrichtung bestehen, um dann die jeweiligen Besonderheiten mit den notwendigen Ma\u00dfnahmen abzustimmen. Ausschlaggebend sind Art, Umfang und Zweck der Verarbeitung oder auch, ob die Kosten f\u00fcr die Implementierung eines Systems f\u00fcr das konkrete Vorhaben sinnvoll sind. Au\u00dferdem muss beachtet werden, dass die jeweiligen Anforderungen regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden, da sie sich stets \u00e4ndern k\u00f6nnen, beispielsweise durch Vergr\u00f6\u00dferung des Betriebs oder aufgrund der st\u00e4ndigen Weiterentwicklung der Technik.\u00a0<\/span><\/p>\n

Technische und Organisatorische Ma\u00dfnahmen (=TOMs ) im Einzelnen:\u00a0<\/span><\/strong><\/p>\n