Datenschutz aus der Sicht von Callcentern
Von Rechtsanwalt Christian Hammerbacher, Schnacken Panek Hammerbacher PartG mbB
Dieser Beitrag ist der CCVNews zur CCW 2019 entnommen.
Die meisten Unternehmen verbinden mit der Abkürzung DSGVO vor allem eines: zusätzlichen Verwaltungsaufwand. Dies liegt nicht zuletzt an der Berichterstattung der Medien, die sich vorwiegend mit den teils erheblichen Dokumentationsverpflichtungen und mit den verschärften Bußgeldvorschriften der DSGVO auseinandergesetzt haben. Dabei dürfen diejenigen, die „nur“ Kundendaten im Auftrag ihrer Kunden verarbeiten, nicht übersehen, dass die DSGVO die Haftung der Dienstleister beziehungsweise Auftragsverarbeiter grundlegend erweitert und verschärft hat.
Anders als im BDSG, wo gegenüber den Betroffenen nur eine Haftung des Auftraggebers auf Schadensersatz vorgesehen war, haftet jetzt der Auftragsverarbeiter gegenüber Betroffenen im Außenverhältnis gemeinsam mit dem Verantwortlichen in voller Höhe als Gesamtschuldner. Daneben haftet er wie ein Verantwortlicher in vollem Umfang, soweit er selbst die Zwecke und Mittel der Verarbeitung bestimmt, Art. 28 Absatz 10 DSGVO.
Mit dem folgenden Beitrag wollen wir Lösungen für den Spagat zwischen der Einhaltung datenschutzrechtlicher Vorschriften und der Erfüllung des mit dem Kunden vereinbarten Servicelevels vorstellen. Im ersten Teil behandeln wir das Thema Medienbruch zur Erfüllung datenschutzrechtlicher Informationspflichten. Im zweiten Teil stellen wir Ihnen vertragliche Gestaltungsmöglichkeiten vor, mit denen Callcenter als Auftragsverarbeiter im Innenverhältnis mit ihren Kunden und Auftraggebern günstige Rahmenbedingungen beim Thema Haftung schaffen können.
Transparenzinformationen am Telefon?
Sobald ein Anruf im Callcenter eingeht, erheben Ihre Mitarbeiter personenbezogene Daten im Auftrag Ihrer Kunden, wie zum Beispiel Telefonnummer, Name und Kundennummer des Anrufers. Damit ist bereits der Tatbestand der Datenerhebung und -verarbeitung erfüllt. Spätestens jetzt ist der Zeitpunkt gekommen, zu dem Sie als Callcenter den Anrufer über die näheren Umstände der Verarbeitung informieren müssen.
Für das Ausmaß an Information unterscheidet die DSGVO nicht danach, in welcher Situation und aus welchem Anlass diese Daten erhoben werden. So kommt es zu dem erstaunlichen Ergebnis, dass die Transparenzinformationen aus Anlass eines Kreditantrages denselben Fragenkatalog abarbeiten müssen wie diejenigen, die Ihr Mitarbeiter dem Anrufer mitzuteilen hat, auch wenn dieser nur einen Termin für eine Probefahrt vereinbaren will.
Der Anrufer muss sich ein umfassendes Bild von der Datenverarbeitung machen können. Die Informationen müssen u. a. folgende Angaben umfassen: wer ist der Verantwortliche und wer ist sein Datenschutzbeauftragter? Was sind die Zwecke der Verarbeitung und wer sind die Empfänger der Daten? Werden die Daten in ein Drittland oder eine internationale Organisation übermittelt und wie lange werden die Daten gespeichert? Schließlich muss auch Aufklärung erfolgen über die Datenschutzrechte, die der Anrufer hat und wo er sich beschweren kann. Dies alles muss in einer leicht zugänglichen und dabei leicht verständlichen Weise erfolgen. Das Eckige muss also durch das Runde.
Wie geht nun ein Callcenter mit dieser gesetzlich angeordneten Pflicht am besten so um, dass sich der Anrufer, zu dessen Schutz diese Informationen doch dienen sollen, nicht gegängelt fühlt und das Gespräch entnervt abbricht? Der Begriff der Informationsmüdigkeit beschreibt dieses Dilemma zutreffend.
Der Medienbruch
Am Telefon gestaltet sich eine direkte und vollständige Erfüllung der Informationspflichten als besonders schwierig. Für diese Fälle wird die Lösung über einen sog. Medienbruch diskutiert. Was ist ein Medienbruch? Unter dem Begriff Medienbruch versteht man den Hinweis auf eine Webseite vor der Annahme des Telefonanrufs, wo er detaillierte Informationen zu der konkreten Datenerhebung abrufen kann. Gegen die Zulässigkeit eines Medienbruchs wird angeführt, dass der Gesetzgeber hierzu in der Verordnung keine Aussage getroffen hat. Außerdem widerspreche es dem Gebot der „leichten Zugänglichkeit“ nach Art. 12 DSGVO, wenn die Informationen nur mit verschiedenen Medien zugänglich sind. Der Betroffene soll auf Basis der Transparenzinformationen sofort entscheiden können, ob er mit einer bestimmten Datenerhebung einverstanden ist. Für die Zulässigkeit eines Medienbruchs spricht, dass die leichte Zugänglichkeit heutzutage fast immer durch den Verweis auf eine Internetseite gegeben ist, weil sie ohne großen Aufwand abrufbar ist. Die Anforderungen der DSGVO an eine präzise, transparente, verständliche und leicht zugängliche Form der Informationen sprechen gerade für den Einsatz des Medienbruchs, um Anrufern einen 10- minütigen Monolog mit allen Informationen nach Art. 13 DSGVO zu ersparen. Leichte Zugänglichkeit und Verständlichkeit in Schriftform ist damit wesentlich mehr gewährleistet.
Position der Aufsichtsbehörden
Manche Aufsichtsbehörden wünschen die Bereitstellung der Informationen im Internet als ergänzende Maßnahme. Andere Aufsichtsbehörden zeigen mehr Pragmatismus im Umgang mit den Informationspflichten in der Praxis. Um einerseits die angestrebte Transparenz zu verwirklichen und gleichzeitig eine drohende Informationsmüdigkeit zu verhindern, sind pragmatische Lösungsansätze gefragt.
Empfehlung für Ihre Praxis
Wenn Sie für die Abbildung der Transparenzinformationen auf eine leicht zu merkende URL Ihrer Kunden vor Annahme des Gespräches hinweisen, ist dies unseres Erachtens eine serviceorientierte und praktikable Möglichkeit, die neuen Informationspflichten umzusetzen. Dieser Weg etabliert sich derzeit in allen großen Unternehmen, und ist derzeit der einzige, der sich als praktikabel erweist.
Auftragsverarbeitung: Fragen der Vertragsgestaltung
Neben der Leistungsvereinbarung mit Ihren Kunden, muss die Vereinbarung über die Auftragsverarbeitung, sog. AVV abgeschlossen werden. In diesem Rahmen werden die datenschutzrechtlichen Rechte und Pflichten der Vertragspartner geregelt.
Datenschutzerklärung des Kunden
Damit das Callcenter in der Lage ist, auf die datenschutzrechtlichen Informationspflichten im Wege des Medienbruches hinzuweisen und diese zu erfüllen, muss der Kunde eine leicht zugängliche Datenschutzerklärung auf seinen Seiten vorhalten. Daher sollte in einer AVV neben der Regelung, dass der Auftraggeber für die Rechtmäßigkeit der Verarbeitung der Daten verantwortlich ist, auch festgestellt werden, dass die Verantwortlichkeit auch die Informationspflichten nach Art. 12 – 14 DSGVO betrifft.
Weisungen des Kunden
Hier gilt es für das Callcenter als Auftragsverarbeiter, die Regelungen zum Thema Weisungen genau zu prüfen. Vorteilhaft für das Callcenter kann es sein, in den AVV Personen aus den eigenen Reihen namentlich zu benennen, die Weisungen entgegennehmen dürfen. Im Alltag zeigt sich häufig, dass Weisungen bezüglich der Auftragsverarbeitung auch gegenüber anderen Personen des Callcenters erteilt werden, die dann im Zweifel keine Gültigkeit aufweisen. Darüber hinaus sollten Einzelweisungen des Kunden, soweit sie nicht bereits vertraglich festgelegt sind, erst nach deren Bestätigung in Textform (E-Mail) wirksam werden. Nur so kann es eine Kontrolle und Nachweisbarkeit über erteilte Weisungen geben.
Vergütung Ihres Mehraufwandes
Es ist üblich, dass sich der Kunde als Auftraggeber die Möglichkeit der Kontrolle in Ihren Geschäftsräumen ausbedingt. Für die Ermöglichung von Kontrollen kann das Callcenter einen Vergütungsanspruch, pauschal für ganze Tage oder auf Stundenbasis, geltend machen. Auch die Frequenz der Kontrollen kann im Kalenderjahr geregelt und begrenzt werden.
Freistellung auf erstes Anfordern
Für den Fall, dass Dritte gegenüber dem Callcenter Ansprüche nach der DSGVO geltend machen, ist eine Regelung vorteilhaft, wonach der Kunde das Callcenter von solchen Ansprüchen auf erstes Anfordern freistellt. Beachten Sie dabei, dass keine Regelungen zur Beweislast in der Vereinbarung enthalten sind. Solche Klauseln erschweren den Nachweis, dass der Schaden gerade nicht Folge eines in der Sphäre des Callcenters liegenden Umstandes stammt. Ebenso sollten Sie die Vereinbarung von Vertragsstrafen zu Lasten des Callcenters wegen Datenschutzverstößen ablehnen.
Fazit
Aufgrund der Neuregelungen der DSGVO stehen das Callcenter und der Kunde den Anrufern gegenüber gleichgeordnet und in voller Höhe in der Haftung. Erst im Innenverhältnis erfolgt ein Ausgleich nach Verschuldensanteilen. Dieser rechtlichen Konstellation kann bereits im Vorfeld durch geeignete Abreden in der AVV begegnet werden. Im Übrigen erweist sich der Medienbruch unseres Erachtens als akzeptiertes Mittel, die erforderlichen Transparenzinformationen den Anrufern rechtskonform zugänglich zu machen. Schließlich gelingt es dann doch, aus den Zitronen der DSGVO eine Limonade zu machen. Oder das Eckige schafft es durch das Runde.
Ausführliche Informationen zur DSGVO erhalten Sie hier.
Rechtlicher Hinweis: Diese Publikation stellt eine allgemeine und unverbindliche Information dar. Obwohl die Informationen mit größtmöglicher Sorgfalt erstellt wurden, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität, insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers. Jegliche Haftung des CCV wird ausgeschlossen. Der CCV darf als Branchenverband keine Rechtsberatung im Einzelfall leisten. Hierzu wenden Sie sich bitte an einen spezialisierten Rechtsanwalt oder an einen (externen) Datenschutzbeauftragten. Alle Rechte, auch der auszugsweisen Vervielfältigung, liegen beim CCV.