Die größten Sicherheitsirrtümer mit Ihrem Mobilgerät

Viele Unternehmen, Behörden oder andere Stellen bieten mittlerweile Interessierten die Möglichkeit, Termine online über ihre Webseiten zu buchen. Für beide Seiten bringt das Vorteile mit sich, indem ohne langes Hin und Her Termine vereinbart werden können. Insbesondere durch Corona wurde vermehrt auf Webseiten darauf hingewiesen, dass Termine, aufgrund von mangelndem Personal im Büro, online vereinbart werden können oder gar sollten

Vielleicht planen auch Sie eine Online-Terminvereinbarung bei sich einzuführen oder haben dies bereits getan? Wenn ja, ist Ihnen bewusst, dass Sie auch hier wieder neben einer einfachen Handhabung des Tools den Datenschutz beachten müssen?  

Je nachdem wie Ihre Antwort ausfällt, können Sie die folgenden Punkte als eine Art Checkliste erachten, die Sie im Zusammenhang mit der Online-Terminvereinbarung und dem Datenschutz beachten sollten:

Welche Daten Sie zum Zwecke der Online-Terminvereinbarung von Ihren Interessenten abfragen, hängt grundsätzlich von Ihrer angebotenen Tätigkeit ab. Zu den generellen Pflichtangaben zählen der Name, die E-Mail-Adresse, das Datum und die Uhrzeit des Termins. Ohne diese Angaben ist eine Online-Terminvereinbarung grundsätzlich nicht möglich. Je nach Branche, in der Sie tätig sind, können Sie noch weitere verpflichtende Angaben verlangen. Z. B. bei Behörden die Abfrage des Anliegens, da abhängig von der Art des Anliegens der zeitliche Umfang der Termine stark variieren kann.  

Wenn Sie sich unsicher sind, welche Daten Sie abfragen dürfen/können, stellen Sie sich die folgende Frage: Welche Daten benötige ich zwingend von meiner Kundschaft etc., um mit Ihnen einen Termin zu vereinbaren und einen reibungslosen Ablauf zu gewährleisten (z. B. keine langen Wartezeiten)? Daten, die Sie diesbezüglich nicht zwingend benötigen, können Sie dann immer noch als freiwillige Angabe kennzeichnen.

2. Zweck und Rechtsgrundlage 

Die von Ihren Interessenten angegebenen Daten zur Online-Terminvereinbarung dürfen Sie grundsätzlich nur für diesen Zweck verarbeiten. Als Rechtsgrundlagen für die Verarbeitung der Daten kommen die Einwilligung der Interessierten, Art. 6 Abs. 1 lit. a) DS-GVO, Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen, Art. 6 Abs. 1 lit. b) DS-GVO oder Ihre berechtigten Interessen, Art. 6 Abs. 1 lit. f) DS-GVO, in Betracht. 

Die Einwilligung der Interessierten können Sie z. B. über ein nicht vorausgefülltes Kontrollkästchen vor dem Absendevorgang zur Terminbuchung („Double-Opt-In-Verfahren“) mit einem entsprechenden Hinweis auf den Zweck der Datenverarbeitung, die Widerrufsmöglichkeit und Ihre Datenschutzerklärung einholen. 

Wenn Sie die Daten Ihrer Interessenten für andere Zwecke, z. B. Zusendung von Newslettern, weiterverarbeiten möchten, müssen Sie die Interessierten darauf hinweisen und je nach Zweck eine Einwilligung einholen. 

3. Hinweis auf Datenschutzerklärung

Sie müssen Ihre Interessenten vor dem Absendevorgang zur Online-Terminbuchung auf Ihre Datenschutzerklärung hinweisen. In der Datenschutzerklärung informieren Sie Ihre Interessenten über den genauen Umfang der Verarbeitung ihrer Daten zum Zwecke der Online-Terminvereinbarung, z. B., dass die Daten gegebenenfalls automatisch in einer Datenbank landen oder unter Umständen an ein Drittland übermittelt werden, z. B. bei dem Einsatz eines Online-Termin-Tools von einem US-amerikanischen Unternehmen. 

4. Verschlüsselung

Die erhobenen Daten übermitteln Sie über eine verschlüsselte Verbindung (SSL-Verschlüsselung – „Schlosssymbol neben der Internetadresse“). 

5. Anforderungen an die Tools – Umsetzung der Betroffenenanfragen

Bevor Sie sich für ein Online-Terminvereinbarungs-Tool entscheiden, informieren Sie sich bzw. testen Sie aus, wie Sie mithilfe dieses Tools die Anfragen Ihrer Interessenten in Bezug auf den Datenschutz, z. B. Auskunftsbegehren, Löschanfragen, umsetzen können. Achten Sie beispielsweise darauf, ob Sie die Datensätze Ihrer Interessenten in einem maschinenlesbaren Format exportieren können, um eine Auskunftsanfrage zu beantworten oder ob die Datensätze datenschutzkonform gelöscht werden können, sodass diese dauerhaft aus Ihrer automatisierten Datenbank gelöscht sind.  

6. Verzeichnis von Verarbeitungstätigkeiten 

Die Datenverarbeitung „Online-Terminvereinbarung“ müssen Sie in Ihr Verzeichnis von Verarbeitungstätigkeiten mit den erforderlichen Angaben nach Art. 30 DS-GVO aufnehmen, z. B. ob auch ein Transfer der Daten in ein Drittland stattfindet.

7. Auftragsverarbeitungsvertrag 

Wenn Sie Online-Terminvereinbarungs-Tools von Anbietenden einsetzen, verarbeiten die Anbietenden in der Regel in Ihrem Auftrag die Daten Ihrer Interessenten, sodass Sie einen Auftragsverarbeitungsvertrag mit den Anbietenden abschließen sollten. Häufig werden die Auftragsverarbeitungsverträge über die Webseite der Anbietenden dieser Tools zur Verfügung gestellt.