Online Beratung Datenschutz: So Kannst Du ohne Abmahnung, Schadenersatz oder teures Bußgeld mit Kunden sprechen

Wie Du mit Online Konferenz- und Beratungstools wie Flexperto, Bridge und Videoask rechtssicher online beraten kannst

Online Beratung ist spätestens seit der Corona Krise in aller Munde. Eine Online Beratung kann Dir nicht nur derzeit kaum erlaubten Kundenkontakt ermöglichen, sondern auch in der Zukunft viele Termine, Reisezeiten und Verwaltungsaufwand abnehmen. Deshalb ist eine Online Beratung von Kunden auch oft erwünscht. Jede Online Beratung durch Dich erfordert aber die Verarbeitung von personenbezogenen Daten Deiner Kunden. Damit gilt für jede Online Beratung die Datenschutzgrundverordnung (DSGVO) mit ihren vielen rechtlichen Fallstricken. Wie Du trotz Datenschutzgrundverordnung und Wettbewerbsrecht rechtssicher Online Beratungen anbietest, erfährst Du hier.

Beitrag von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht. 

Inhalt

  1. Was muss ich bei der Auswahl meines Online Beratungstools beachten?
  2. Aus welchem Land darf der Anbieter meiner Online Beratungssoftware kommen?
  3. Darf ich einen US Anbieter für meine Online Beratung DSGVO-konform verwenden?
  4. Muss ich bei dem Anbieter für die Online Beratung beim Datenschutz auf weitere Punkte achten?
  5. Darf ich für die Online Beratung mit dem Kunden personenbezogen Daten erfragen?
  6. Darf ich beliebige Daten des Kunden in der Online Beratung nach DSGVO erfragen?
  7. Wie muss ich mit sensiblen Daten in der Online Beratung nach Datenschutz umgehen?
  8. Darf ich den Kunden per Mail oder Telefon bitten, an einer Online Beratung teilzunehmen?
  9. Was muss ich bei der Terminvereinbarung für eine Online Beratung beachten?
  10. Muss ich den Nutzer vor der Online-Beratung über die Datenverarbeitung informieren?
  11. Muss ich alle Hinweise direkt bei der Online Beratung Datenschutz konform erteilen?
  12. Was muss in meiner Datenschutzerklärung stehen, wenn ich eine Online-Beratung anbiete?
  13. Muss die Videokonferenz verschlüsselt sein?
  14. Muss ich weitere Einstellungen der Online Beratungssoftware vornehmen?
  15. Ergebnis

1. Was muss ich bei der Auswahl meines Online Beratungstools beachten?

In erster Linie muss die Online Beratungssoftware natürlich Deine Anforderungen an eine gute und reibungslose Online Beratungen erfüllen.

Das ist aber nur der Anfang, denn auch rechtlich muss Dein Online Beratungstool bestimmte Anforderungen erfüllen, damit Du Online Beratung Datenschutz-konform nach der DSGVO nutzen darfst, ohne eine Abmahnung oder ein Bußgeld zu riskieren.

 

2. Aus welchem Land darf der Anbieter meiner Online Beratungssoftware kommen?

In erster Linie muss Dein Anbieter die Daten mit ausreichender Sicherheit DSGVO-konform verarbeiten. Hiervon kannst Du im Grundsatz ausgehen, wenn der Anbieter in der EU ansässig ist, wie zum Beispiel die deutschen Anbieter Flexperto oder Bridge. Das gleiche gilt etwa für Videoask, die zur spanischen Typeform gehören.

 

Anders ist es, wenn der Anbieter für Deine Online Beratung nicht in der EU sitzt. Du darfst Daten nur dann aus der EU heraus exportieren, wenn die EU festgestellt hat, das in dem Zielland ein mit der EU vergleichbares Datenschutzniveau besteht. Das ist etwa in Bezug auf die Schweiz, Japan oder Kanada der Fall.

 

3. Darf ich einen US Anbieter für meine Online Beratung DSGVO-konform verwenden?

Doch Du darfst auch Anbieter für Webinar, Beratungs- oder Konferenz-Tools aus den USA nutzen. Aber bei US-Anbietern gelten weitergehende Voraussetzungen. Bei gleichwertigen Leistungen solltest Du daher einen EU-Anbieter für Deine Online Beratung vorziehen.

 

Bei US-Anbietern musst Du darauf achten, dass sie bei privacy shield registriert sind. Nur dann ist ein gleichwertiger Datenschutz wie in der EU für US-Anbieter anerkannt. Mehr Informationen dazu und wie Du das prüfst, findest Du hier. Bitte beachte aber, es gibt durchaus einige Anbieter in den USA, die auf Ihrer Website behaupten, Sie seien DSGVO (GDPR) konform, aber doch nicht bei privacy shield registriert sind.

Es gibt zwar noch weitere Möglichkeiten, wie man US Anbieter auch ohne privacy shield verwenden kann, aber das ist einigermaßen komplex und bleibt daher hier außen vor. Generell würde ich raten, nur Anbieter zu verwenden, die bei privacy shield registriert sind.

 

4. Muss ich bei dem Anbieter für die Online Beratung beim Datenschutz auf weitere Punkte achten?

Nach der Datenschutzgrundverordnung ist Dir nur mit bestimmten Voraussetzungen erlaubt, Daten, die Du von Deinen Kunden erhalten hast, an einen Dritten weiterzugeben. Wenn der Dritte die Daten Deiner Kunden in Deinem Interesse und Auftrag verarbeitet, musst Du mit diesem einen Auftragsverarbeitungsvertrag abschließen. Damit wird geregelt, dass der Dritte Deinen Anweisungen bei der Verarbeitung der Daten folgt, also etwa auf Deine Weisung hin bestimmte Kundendaten löscht.

 

Du musst also mit dem Anbieter Deines Online Beratungstools daher immer einen Auftragsverarbeitungsvertrag abschließen, ehe Du damit online Kunden beraten kannst. Bietet Dein Onlineberatungs-System keinen Auftragsverarbeitungsvertrag an, darfst Du das Tool nicht verwenden. Das ist aber für alle hier besprochenen Anbieter der Fall. Mit ihnen kannst Du Online Beratung Datenschutzkonform durchführen.

 

5. Darf ich für die Online Beratung mit dem Kunden personenbezogen Daten erfragen?

Die DSGVO verbietet nicht, dass Du Kunden berätst. Du darfst nach Art. 6 Abs. 1 lit. a DSGVO Daten von Kunden verarbeiten, wenn der Kunde einwilligt. Ebenso darfst Du Kundendaten zur Vorbereitung oder Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO speichern und verwenden. Meistens wird es bei der Online-Beratung um die Vorbereitung oder die Erfüllung eines Vertragsverhältnisses gehen. Dann darfst Du in der Online Beratungssoftware Daten Deines Kunden verarbeiten.

 

6. Darf ich beliebige Daten des Kunden in der Online Beratung nach DSGVO erfragen?

Die DSGVO regelt wie Daten zu sichern sind und welche Daten verarbeitet werden dürfen. Ein besonders wichtiges Prinzip der DSGVO ist die Minimierung von Daten. Dazu dient der Grundsatz der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c) DSGVO. Danach darfst Du nur die Daten von dem Kunden erheben, die Du für den konkreten Zweck tatsächlich benötigst.

 

Geht es um eine Beratung Deiner Kunden zur Erfüllung eines bereits mit dem Kunden geschlossenen Vertrages, erlaubt die Rechtsgrundlage „Verarbeitung von Vertragsdaten“ nach Art. 6 Abs. 1 lit. b DSGVO die Verarbeitung aller Daten, die dafür erforderlich sind. Aber die Daten müssen wirklich erforderlich sein, um den Vertrag zu erfüllen. Das können dann aber etwa Adressangaben, Angaben zu Rechnungsdaten oder Umstände bei dem Kunden sein, die für den Vertrag erforderlich ist.

 

Vor einem Vertrag sind dagegen oft viel weniger Daten wirklich erforderlich (z.B. noch keine Rechnungsdaten). Im Einzelnen ist das aber immer eine Frage der konkreten Beratungssituation. Gewarnt werden muss jedoch davor, zu viele Daten, insbesondere noch vor einem Vertragsschluss zu erfragen.

 

7. Wie muss ich mit sensiblen Daten in der Online Beratung nach Datenschutz umgehen?

Wenn Du in der Beratung besondere Kategorien von Daten erhebst, ist nach Art. 9 DSGVO eine ausdrückliche gesonderte Einwilligung erforderlich. Solche sensiblen Kategorien von Daten sind insbesondere Daten zur ethischen Herkunft, politischen Meinungen sowie Angaben zur sexuellen Orientierung oder dem Gesundheitszustand des Kunden. Grade für Coaches kann eine solche besondere Einwilligung erforderlich sein. Das gleiche gilt, wenn die Online Konferenz Bewerbungsgespräche anbetrifft. Auch dann geht es oft um Herkunfts- oder Gesundheitsdaten mit den besonderen Anforderungen des Art. 9 DSGVO.

 

Für die Online Bewerbungen inklusive der Verarbeitung besonderer personenbezogener Daten finden unsere Kunden von eine umfangreiche Anleitung und diverse Muster für den Datenschutz im Bewerbungsverfahren im Mitgliederbereich und im Datenschutz-Generator von easyRechtssicher.
Zum Komplett-Schutz

 

8. Darf ich den Kunden per Mail oder Telefon bitten, an einer Online Beratung teilzunehmen?

Wenn der Interessent für die Beratung noch nicht Dein Kunde ist, darfst Du ihn per Mail oder Telefon nur kontaktieren, wenn der Interessent vorher (!) darin eingewilligt hat. Dafür ist ein Double Opt In erforderlich. Mehr dazu findest Du hier. Erst danach kannst Du den Interessenten per Mail oder Telefon auf eine Online Beratung ansprechen.

 

Anders ist es, wenn es um eine Online-Beratung zur Erfüllung eines Vertrages geht. Im Rahmen eines Vertrages darfst Du den Kunden jederzeit ansprechen.

 

9. Was muss ich bei der Terminvereinbarung für eine Online Beratung beachten?

Wenn Du mit Deinem Kunden online eine Beratung anbietest, musst Du den Kunden bei der Terminbuchung darauf hinweisen, dass seine Daten verarbeitet werden. Fast immer wird Dein Kunde etwa Name und Mailadresse angeben müssen. Zudem wird fast immer auch die IP Adresse des Kunden an einen externen Anbieter übermittelt. Damit muss der Kunde einverstanden sei.

Für das Einverständnis des Kunden brauchst Du dann aber nicht zwingend eine Checkbox. Es reicht ein deutlicher Hinweis auf die Datenverarbeitung. Dann ist die Eingabe der Daten durch den Kunden sein Einverständnis (aber nur, wenn der Hinweis deutlich genug war).

 

Der Hinweis muss daher in Deiner Online Beratungssoftware direkt bei der Dateneingabe leicht erkennbar angezeigt werden. Unmittelbar neben oder über (nicht unter!) der Dateneingabe ist der Hinweis auf die Verarbeitung der Daten erforderlich.

 

Zum Beispiel könnte lauten:


„Ihre Daten werden im Rahmen unserer Datenschutzerklärung nur für die Bearbeitung der Terminvereinbarung verarbeitet.“ (Datenschutzerklärung ist ein Link)
Termin bestätigen


 

Noch sicherer ist es, wenn Du ein Opt In Feld (nicht voreingestellt) verwendest, mit dem der Nutzer diesen Hinweis bestätigt, ehe der Termin gebucht wird, erforderlich ist das aber nicht.

 

Wenn Du für Deine Online Beratung Datenschutz konform einen anderen Terminkalender Anbieter verwendest, findest Du hier unseren Guide zu der DSGVO-konformen Nutzung Deines Terminkalenders.

 

10. Muss ich den Nutzer vor der Online-Beratung über die Datenverarbeitung informieren?

Du musst Deine Kunden immer informieren, wie Du ihre Daten verarbeitest. Dazu gehört die Angabe, wohin Du die Kundendaten sendest und welche Rechte sie in Bezug auf ihre Daten haben. Das sind jeweils ganz allgemeinen Anforderungen an jede Datenschutzerklärung.

 

Bietest Du eine Online Beratung an, wird auch der Anbieter des Online Beratungssoftware die Daten Deines Kunden erhalten. Im Regelfall erfährt der Anbieter die IP Adresse des Kunden, weitere Daten über das Surfverhalten des Kunden sowie vor allem die von ihm in dem Konferenzsystem eingegebenen Daten (wie Name, E-Mail-Adresse etc.). Darüber musst Du Deinen Kunden informieren.

 

11. Muss ich alle Hinweise direkt bei der Online Beratung Datenschutz konform erteilen?

Müsstest Du den Kunden direkt bei dem Online Beratung auf die gesamte Datenverarbeitung einschließlich seiner Rechte hinweisen, hättest Du nur noch wenig Platz für Deine Online-Beratung. Es ist aber auch nicht erforderlich, dass Du den Kunden direkt bei der Online Beratung informierst. Es reicht aus, wenn Du – klar und deutlich erkennbar – bei der Terminsvereinbarung für die Online Beratung auf Deine Datenschutzerklärung verweist.

 

Dann muss ein entsprechender Passus zu dem Online-Beratungstool natürlich in Deiner Datenschutzerklärung enthalten sein.

 

12. Was muss in meiner Datenschutzerklärung stehen, wenn ich eine Online-Beratung anbiete?

Die hier besprochenen Anbieter findest Du alle bei easyRechtssicher in dem Datenschutz-Generator. Wenn Dein Anbieter fehlt, melde Dich gern über unser Kontaktformular.

Damit kannst Du Dein Online-Konferenztool auf Knopfdruck einfügen und sie werden – bei entsprechender Einstellung – automatisch von uns aktuell gehalten.

Für die hier besprochenen Online Beratungsanbieter Flexperto, Bridge und Videoask findest Du jeweils entsprechende Optionen in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Dann kannst Du die Online Beratung Datenschutz konform auf Knopfdruck in Deine Datenschutzerklärung einbinden und wir halten die Daten für eventuelle rechtliche Änderungen automatisch aktuell.

 

13. Muss die Videokonferenz verschlüsselt sein?

Nach Art. 5 Abs. 1 lit. f DSGVO muss jede Website, auf der Nutzer personenbezogene Daten eingeben kann, verschlüsselt werden. Ganz allgemein ist ohnehin zu empfehlen, Deine Website zu verschlüsseln (https://). Das gilt auch für Deine Online Beratungen nach DSGVO. Auch dort werden vom Kunden regelmäßig personenbezogene Daten eingegeben. Du solltest also einen Anbieter nutzen, der die Beratung verschlüsselt überträgt und immer auch Dein Beratungstool entsprechend einstellen.

 

14. Muss ich weitere Einstellungen der Online Beratungssoftware vornehmen?

Die DSGVO betrifft auch die Online-Beratung selbst. Das heißt, Du musst – soweit das möglich ist – einen Anbieter auswählen, der DSGVO konform Online Beratung veranstalten kann. Die Onlineberatungsanbieter haben manchmal Einstellungen, die nicht in jedem Fall zulässig sind, sondern ggf. nur für bestimmte Beratungen.

 

Du musst also dafür sorgen, dass die Beratungssoftware richtig eingestellt ist.

 

Das betrifft vor allem Einstellungen zu den Funktionen, die ein:

  • Tracking des Kundenverhaltens bei der Beratung (z.B. Klicks an bestimmten Stellen),
  • eine Beobachtung des Kundenverhaltens anlässlich der Beratung (z.B. Aktivität bei der Teilnahme) oder
  • eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)

ermöglichen.

 

Derartige Funktionen darfst Du nur nutzen, wenn sie tatsächlich erforderlich sind: Das ist nur der Fall, wenn die Funktion

  • einem erlaubten Zweck dient (z.B. nicht einfach Ausspähung)
  • geeignet ist, diesen Zweck zu erfüllen
  • erforderlich ist, diesen Zweck zu erfüllen (es gibt also kein für den Datenschutz milderes Mittel)
  • mögliche Schutzmaßnahmen ergriffen sind.

Geht es etwa um eine Beratung, deren genauer Inhalt im späteren Verlauf noch gebraucht werden, kann eine Aufzeichnung erforderlich sein. Anders, wenn vielleicht nur ganz wenige Inhalte später noch relevant sind, weil man einzelne Punkte einfach (datenschutzfreundlicher) notieren könnte.

 

15. Ergebnis

Online Beratung ist auf jeden Fall ein tolles Werkzeug für Dein Angebot und im Zuge von Corona wichtiger denn je. Beachtest Du die rechtlichen Vorgaben und nutzt die passenden Muster für Deine Datenschutzerklärung, kannst Du Online Beratung Datenschutzkonform ohne Angst vor einer Abmahnung oder einem Bußgeld verwenden. Dafür wünschen wir viel Erfolg.

Mehr Informationen zur DSGVO findest Du hier.

Für die hier besprochenen Online Beratungsanbieter Flexperto, Bridge und Videoask findest Du jeweils entsprechende Optionen in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Dann kannst Du die Online Beratung Datenschutz konform auf Knopfdruck in Deine Datenschutzerklärung einbinden und wir halten die Daten für eventuelle rechtliche Änderungen automatisch aktuell.

 


Rechtsanwalt Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.