Voraussetzungen (DSGVO, Auftragsdatenverarbeitung,...)

Was gilt es zu beachten um datenschutz konforme Online Beratung anbieten zu können?

Was muss ich bei der Auswahl meines Online Beratungstools beachten?

In erster Linie muss die Online Beratungssoftware natürlich die Anforderungen an eine gute und reibungslose Online Beratung abdecken können. Hierzu gibt es u.a. Standards der BAGFW oder auch von anderen Organisationen. Auf zwei Beispiele möchten wir gern verweisen (Achtung: diese Standard stellen die Meinung des Autors und nicht von assisto dar):

  1. Deutschsprachige Gesellschaft für psychosoziale Online-Beratung
  2. Standards des Vereins Wiener Sozialprojekte / Stefan Kühne

Jedoch muss auch rechtlich sichergestellt sein dass das Online Beratungstool bestimmte Anforderungen erfüllt, damit Online Beratung Datenschutz-konform nach der DSGVO ange boten werden kann, ohne eine Abmahnung oder ein Bußgeld zu riskieren.

Aus welchem Land darf der Anbieter meiner Online Beratungssoftware kommen?

In erster Linie muss der Anbieter die Daten mit ausreichender Sicherheit DSGVO-konform verarbeiten.  Grundsatz ausgehen, wenn Anbieter in der EU müssen DSVGO Kriterien erfüllen, wie natürlich auch assisto und beranet.

Anders ist es, wenn der Anbieter für die Online Beratung nicht in der EU sitzt. Daten dürfen nur aus der EU heraus exportiert werden, wenn die EU festgestellt hat, das in dem Zielland ein mit der EU vergleichbares Datenschutzniveau besteht. Das ist etwa in Bezug auf die Schweiz, Japan oder Kanada der Fall.

Es ist auch möglich Anbieter für Webinar, Beratungs- oder Konferenz-Tools aus den USA nutzen. Allerding gelten bei US-Anbietern weitergehende Voraussetzungen. Im Zweifelsfalle ist es sicherer einen EU-Anbieter für das Hosting eines Online Beratungsangebotes vorziehen.

Gerade bei vielen Anbietern aus den USA stellt sich die Frage ob die Nutzung rechtlich möglich ist. Seit 2020 wurde die Vertragsgrundlage vom EU Gerichtshof aufgekündigt, mehr Informationen hierzu gibt es unter:

https://de.wikipedia.org/wiki/EU-US_Privacy_Shield

Darf ich von dem Klienten personenbezogene Daten erfragen und speichern?

Die DSGVO definiert nach Art. 6 Abs. 1 lit. a DSGVO, dass wenn Daten von Kunden verarbeitet werden, so muss der Klient einwilligen. Ebenso ist es möglich Klientendaten zur Vorbereitung oder Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO speichern und verwenden. In der Regel geht es bei der Online-Beratung um die Vorbereitung oder die Erfüllung eines Vertragsverhältnisses. Dann darfst Du in der Online Beratungssoftware Daten Deines Kunden verarbeiten. Jedoch müssen dieses Vertragsverhältnis klar beschrieben werden.

Die DSGVO regelt wie Daten zu sichern sind und welche Daten verarbeitet werden dürfen. Ein besonders wichtiges Prinzip der DSGVO ist die Minimierung von Daten. Dazu dient der Grundsatz der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c) DSGVO. Danach dürfen nur Daten von dem Klienten erhoben werden, die für den konkreten Zweck tatsächlich benötigt werden.

Geht es um eine Beratung der Klienten zur Erfüllung eines mit dem Klienten geschlossenen "Vertrages" (z.B. dies umfasst natürlich auch den Beratungsauftrag, auf welchen sich verständigt wird), erlaubt die Rechtsgrundlage „Verarbeitung von Vertragsdaten“ nach Art. 6 Abs. 1 lit. b DSGVO die Verarbeitung aller Daten, die dafür erforderlich sind. Aber die Daten müssen wirklich erforderlich sein, um den Vertrag zu erfüllen. Das können dann aber etwa Adressangaben, Angaben zu Rechnungsdaten oder Umstände bei dem Kunden sein, die für den Vertrag erforderlich ist.

Mit Zustimmung zu den Nutzungsbedingungen und des Vertrages zur Auftragsdatenverarbeitung kommt dieser Vertrag rechtsgültig zustande.

Wie gehe ich mit den Daten um?

Ist es auch möglich US Anbieter für meine DSGVO konforme Online Beratung zu verwenden?

Es ist auch möglich Anbieter für Webinar, Beratungs- oder Konferenz-Tools aus den USA zu nutzen. Allerding gelten bei US-Anbietern weitergehende Voraussetzungen. Im Zweifelsfalle ist es sicherer einen EU-Anbieter für das Hosting eines Online Beratungsangeobtes vorziehen.

Bei US-Anbietern musst Du darauf achten, dass sie bei privacy shield registriert sind. Nur dann ist ein gleichwertiger Datenschutz wie in der EU für US-Anbieter anerkannt. Mehr Informationen dazu und wie Du das prüfst, findest Du hier. Bitte beachte aber, es gibt durchaus einige Anbieter in den USA, die auf Ihrer Website behaupten, Sie seien DSGVO (GDPR) konform, aber doch nicht bei privacy shield registriert sind.

Es gibt zwar noch weitere Möglichkeiten, wie man US Anbieter auch ohne privacy shield verwenden kann, aber das ist einigermaßen komplex und bleibt daher hier außen vor. Generell würde ich raten, nur Anbieter zu verwenden, die bei privacy shield registriert sind.

Wie muss ich mit Daten in der Online Beratung nach DSVGO umgehen?

Wenn in der Beratung besondere Kategorien von Daten erhoben werden, ist nach Art. 9 DSGVO eine ausdrückliche gesonderte Einwilligung erforderlich. Solche sensiblen Kategorien von Daten sind insbesondere Daten zur ethischen Herkunft, politischen Meinungen sowie Angaben zur sexuellen Orientierung oder dem Gesundheitszustand der Klientinnen/Klienten. Auch dann geht es oft um Herkunfts- oder Gesundheitsdaten mit den besonderen Anforderungen des Art. 9 DSGVO.

Bitte klären Sie das mit Ihrem Datenschutzbeauftragten ab.

Weitere Infos:

Auftragsdatenverarbeitung

Wie ist die Verschlüsselung?

Die Verschlüsselung erfolgt über die TLS-Verschlüsselung. Die Daten lassen sich verschlüsselt über das Internet oder andere Netzwerke übertragen.

TLS steht für "Transport Layer Security" und ist ein Protokoll zur Verschlüsselung von Datenübertragungen im Internet. Besser bekannt ist es unter der Vorgängerbezeichnung SSL(Secure Sockets Layer). Rufen Sie eine Internetseite mit "https://" auf, so wird hier TLS bzw. sein Vorgänger SSL benutzt, um verschlüsselt mit dem Webserver zu kommunizieren. Dieses wird sehr häufig z.B. bei Webshops und Bankseiten eingesetzt, aber auch bei assisto.

Wie wird sichergestellt, dass der Anbieter nicht auf die Inhalte zugreifen kann?

Grundsätzliche werden die über assisto erhobenen Daten auf unseren Server gehostet.
Die Verarbeitung Daten wird im Vertrag zur Auftragsverarbeitung mit jeden unserer Kunden festgehalten.

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung

Wie Sie sicherlich wissen, muss nach der EU-Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen, das personenbezogene Daten im Auftrag – also von einem Dienstleister verarbeiten lässt eine solche vertragliche Vereinbarung abschließen. Unter der alten Terminologie des Bundesdatenschutzgesetzes (BDSG) war das Dokument als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt.

Die Anforderungen an einen solchen Vertrag über die Auftragsverarbeitung personenbezogener Daten sind mit der DSGVO gestiegen. Wir haben für Sie einen speziell auf assisto zugeschnittenen Auftragsverarbeitungs-Vertrag vorbereitet, dieser hilft beiden Seiten (der zone35 GmbH & Co. KG als Betreiber von assisto und Ihnen) um bei der Auftragsverarbeitung (AV) für die notwendige Klarheit zu sorgen. Rechte und Pflichten werden in diesem Vertrag klar geregelt. So lassen sich die Vorgaben der DSGVO zur Rechenschaftspflicht und gemeinsamen Haftung besser und transparent erfüllen.

Unser assisto AVV Paket enthält folgende Unterlagen:
- Mustervorlage für einen Vertrag zur Auftragsverarbeitung
- Sicherheitskonzept technisch organisatorische Massnahmen
- Checkliste Selbstauskunft zone35
- Datenschutz- und Datensicherheitskonzept assisto-Backend und assisto-Produkte

Sollten Sie als kirchlicher Träger erweiterte Anforderungen haben, so haben wir für Sie noch ein Zusatzformular vorbereitet. Eine Zusatzvereinbarung zum Vertrag nach Artikel 28 EU-Datenschutz-Grundverordnung zur Verarbeitung von personenbezogenen Daten im Auftrag (nur für kirchliche Träger).

Sie haben Fragen zum Datenschutz? Wir helfen gerne weiter: support@assisto.online

Ihr Team von assisto - weitere Informationen zu unseren Produkten finden Sie unter: https://assisto.online

Wir stellen unseren Kunden im Rahmen der Umsetzung eine Vertragsvorlage zur Auftragsdatenverarbeitung kostenfrei zur Verfügung.

Was ist noch zu beachten?

Nutzungsbedingungen, Impressum und Datenschutzerklärung sind Voraussetzung für den Betrieb einer seriösen Online Beratung.

Was ist noch zu beachten?

Nutzungsbedingungen

Für die Nutzung von AGB, bzw. Nutzungsbedingungen gibt es vielerlei Gründe. Durch die direkte Einbindung in jeden Vertrag spart man sich das jeweilige einzelne Verhandeln über gewisse Bestimmungen. Dazu kann durch AGB die Abwicklung der Verträge standardisiert werden, da diese immer gleichlautend sind. Nicht umsonst nutzen alle größeren Unternehmen solche AGB.

Es ist sinnvoll, konkrete Bestimmungen durch AGB zu treffen. Auch Haftungsbeschränkungen lassen sich auf diese Weise unproblematisch im gesetzlich zulässigen Umfang vornehmen. Dadurch kann sich der Verwender gegen Rechtsstreitigkeiten bestmöglich absichern.

Im Übrigen können auch die vorbezeichneten Informationspflichten in Form von AGB einfach und unkompliziert für jeden Vertrag erfüllt werden.

Werden auf der Web-Präsenz darüber hinaus Nutzungsmöglichkeiten in Form von Meinungsaustausch (Forum; Gästebuch), Tools oder anderem angeboten, ist es sicherlich angeraten, die Nutzungsbedingungen hierfür festzulegen. Auf diese Weise können Bedingungen geschaffen werden, die für alle Seiten erkennbar und verbindlich sind. Haftungsproblematiken können dadurch vermieden werden.

Wir stellen unseren Kundinnen/Kunden im Rahmen der Umsetzung eine Vorlage für Nutzungsbedingungen kostenfrei zur Verfügung.

 

Was ist noch zu beachten?

Impressum

Auch ist immer darauf zu achten, dass ein ordnungsgemäßes Impressum beschreibt wer die Seite betreibt. Hierzu gibt es Impressumsgeneratoren die hierbei unterstützen können. Bitte beachten: zone35 haftet nicht für die Richtigkeit der verlinkten Angebote:

 

Was ist noch zu beachten?

Datenschutzerklärung

Eine Datenschutzerklärung benötigen Sie nur dann, wenn Sie personenbezogene Daten erheben und verarbeiten, dies ist bei der Nutzung von assisto oder beranet der Fall.  Der Server, auf dem sich Ihre Seiten befinden (gehostet werden), erhebt im Hintergrund personenbezogene Daten in Form von Server-Logfiles. Diese Logfiles enthalten IP-Adressen, diese Adressen sind personenbezogene Daten.  Bei checkdomain werden die IP-Adressen nach 7 Tagen gelöscht und sind dann nicht mehr personenbezogen und auch nicht mehr zurückverfolgbar. Die Speicherung ist aus Sicherheitsgründen und zur Gefahrenabwehr nötig.

Auch ist zur Registrierung eine E-Mail Adresse erforderlich. Auch wenn die BeraterInnen evtl. keinen Zugriff auf die Daten haben, so ist dennoch eine Datenschutzerklärung und die Benennung der erfassten Daten gesetzlich vorgeschrieben.

Auch erfüllt die Systemlösung assisto alle Anforderungen an die DSVGO, hierzu gehört auch Datenminimierung und Datenlöschung. Die Autolöschroutine beseitigt alle relevanten personenbezogenen Daten in der von Ihnen konfigurierten Zeit. Die Dauer des Löschintervall ist abhängig von Ihrer Beratungstätigkeit und Profession. So haben z.B.: Psychotherapeuten/Psychotherapeutinnen andere Aufbewahrungsfristen als Sozialarbeiter:innen oder Fachberater:innen.

Fazit: Auch wenn Sie selbst auf Ihrer Seite keine persönlichen Daten der Nutzer abfragen und erfassen, werden personenbezogene Daten durch die Registrierung und die Serverlogs erhoben. Sie benötigen also in jedem Fall eine Datenschutzerklärung. Wenn Sie in der Online Beratung noch weitere Daten erheben möchten, so sind auch diese zu benennen.

Die folgende Seite hilft Ihnen bei der Erstellung Ihrer Datenschutzerklärung:

https://datenschutz-generator.de/