Fast jedes Unternehmen hat mit dem Fachkräftemangel zu kämpfen. Umso schwieriger wird es, den Kundenkontakt aufrechtzuerhalten. Daher nutzen viele Webseiten Terminbuchungstools, um Kundenkontakte zu vereinfachen. Doch der Einsatz solcher Tools ist datenschutzrechtlich heikel. Worauf sie aus DSGVO-Sicht hierbei achten müssen, erklären wir Ihnen im Folgenden.

Warum Terminbuchungstools datenschutzrechtlich relevant sind

Terminbuchungstools wie Calendly oder Microsoft Booking erleichtern Unternehmen den Kontakt mit Interessenten und Kunden erheblich. Doch die bequeme Online-Buchung hat eine Kehrseite: Die Tools verarbeiten personenbezogene Daten – in der Regel Name, E-Mail-Adresse, Telefonnummer und häufig auch Informationen zum Anliegen des Termins. Da diese Verarbeitung meist über externe Anbieter erfolgt, stellt sich die Frage, ob und wie dies datenschutzkonform nach der DSGVO möglich ist.

Technische und organisatorische Maßnahmen (TOMs)

Bevor Sie sich für ein bestimmtes Tool entscheiden, sollten Sie prüfen, welche Sicherheitsmaßnahmen die Terminbuchungstools bieten. Hierbei sollten Sie aus datenschutzrechtlicher Sicht besonders auf nachstehende Punkte achten. Nur wenn diese Maßnahmen dokumentiert sind, kann der Einsatz des Tools als angemessen sicher gelten.

  • SSL-Verschlüsselung bei der Datenübertragung,
  • Zugriffsschutz für Kalenderdaten,
  • Löschroutinen und Benutzerrechte und
  • Zwei-Faktor-Authentifizierung für den Admin-Zugang.

Rechtsgrundlage der Datenverarbeitung

Die Erhebung und Verarbeitung der Daten im Rahmen einer Terminbuchung kann in der Regel auf Art. 6 Abs. 1 lit. b DSGVO  (Vertragserfüllung oder vorvertragliche Maßnahmen) gestützt werden. Wenn zusätzlich Marketingzwecke (z. B. Versand von Folge-E-Mails) oder Statistik-Tracking in Terminbuchungstools integriert sind, ist dafür darüber hinaus eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Diese wäre dann separat im Rahmen der Terminvereinbarung einzuholen. Wichtig hierbei ist, dass die Einwilligung freiwillig, informiert und widerrufbar sein muss.

Zweckbindung und Datensparsamkeit

Des Weiteren sind noch die Grundsätze der Zweckbindung und Datensparsamkeit zu beachten: Nach Art. 5 Abs. 1 DSGVO dürfen nur solche Daten erhoben werden, die für die Terminbuchung erforderlich sind. Das bedeutet konkret:

  • Pflichtfelder sollten auf das notwendige Minimum beschränkt werden (z. B. Name, E-Mail-Adresse, Datum und Uhrzeit des Termins).
  • Freitextfelder, in denen Nutzer sensible Informationen (Gesundheitsdaten, finanzielle Angaben etc.) eintragen könnten, sind zu vermeiden oder klar einzuschränken.
  • Zudem ist darauf zu achten, dass diese Termine in der Regel zeitnah nach Ablauf des Termins aus dem Tool auch wieder zu löschen sind.

Verantwortlichkeit und Auftragsverarbeitung

Grundsätzlich bleibt der Webseitenbetreiber Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, auch wenn er ein externes Tool nutzt. Die Terminbuchungstools agieren dagegen in der Regel als Auftragsverarbeiter nach Art. 28 DSGVO. Das bedeutet:

  • Es muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden.
  • Der Anbieter darf die Daten nur nach Weisung des Verantwortlichen verarbeiten.
  • Der Betreiber muss prüfen, ob der Anbieter ausreichende technische und organisatorische Maßnahmen (TOMs) getroffen hat.

Es sollte auch immer geprüft werden, ob der Auftragsverarbeiter sich womöglich eine Verarbeitung dieser personenbezogenen Daten auch zu eigenen Zwecken vorbehält. Dies würde der datenschutzkonformen Verwendung auf jeden Fall im Wege stehen.

Außerdem muss man beachten, wie die Terminbuchungstools auf den Webseiten eingebunden sind. Bei vielen geschieht das über iframes oder Scripts. Damit wird bereits beim Laden der Seite eine Verbindung zu Servern des Anbieters hergestellt – häufig bevor der Nutzer aktiv etwas bucht. Das kann problematisch sein, weil hierbei personenbezogene Daten (z. B. die IP-Adresse) bereits übertragen werden, ohne dass der Webseitenbesucher einen Termin buchen möchte. Deshalb gilt:

  • Das Tool darf erst nach Einwilligung über ein Consent-Management-Tool (CMP) geladen werden.
  • In dem Consen-Management-Banner sollten Zweck, Anbieter und Speicherort genannt werden.
  • Ohne Einwilligung sollte lediglich ein Platzhalter oder Hinweis angezeigt werden („Zur Terminbuchung klicken Sie bitte hier und stimmen der Datenübertragung zu“).

Informationspflichten und Datenschutzerklärung

Wenn Sie ein solches Terminbuchungstool auf Ihrer Webseite einsetzen, dann müssen Sie Webseitenbesucher in der Datenschutzerklärung darüber belehren. Hierzu müssen Sie sowohl die Art der erhobenen personenbezogenen Daten sowie den Zweck der Verarbeitung und die Rechtsgrundlage schildern. Idealerweise informieren Sie die Betroffenen in Ihrer Datenschutzerklärung unter einem eigenen Abschnitt „Terminbuchung über [Toolname]“.

Fazit

Terminbuchungstools sind sowohl für Unternehmen wie auch Kunden praktisch, bergen aber datenschutzrechtliche Risiken. Wer jedoch EU-konforme Anbieter nutzt, AV-Verträge abschließt und Transparenz wahrt, kann sie rechtssicher einsetzen. So kann man auch weiterhin engen Kundenkontakt pflegen, ohne sich Gedanken um Bußgelder oder Schreiben der Aufsichtsbehörden machen zu müssen.

Gerne unterstützen und begleiten wir Sie bei der Auswahl des für Sie geeigneten Terminbuchungstools. Wenn Sie Fragen haben oder mit uns Themen angehen wollen, melden Sie sich gerne bei uns: info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

AuftragsverarbeitungCookie-BannerOnline-AuftrittTerminbuchungstoolWebseite

FacebookXPinterestDeliciousLinkedinEmail

Verwandte Beiträge ...

Kommentare sind deaktiviert.