Datenschutzerklärung für Acuity Scheduling

(2 Bewertungen, 5.00 von 5)

Worum geht's?

Acuity Scheduling ist eine cloudbasierte Software zur Terminverwaltung. User sehen dabei in Real-Time, welches Datum und welche Uhrzeit für einen Termin zur Verfügung stehen. Sie können den Termin, zum Beispiel für ein Coaching oder einen Sportkurs, direkt per Stripe, Square oder PayPal bezahlen. Unternehmen können ihr Termin-Management mit Acuity Scheduling daher einfach überblicken und abwickeln. Welche datenschutzrechtlichen Vorgaben müssen sie dabei berücksichtigen?

 

Für Acuity Scheduling benötigen Sie einen Passus in Ihrer Datenschutzerklärung

Datenschutzerklärung kostenlos erstellen

 

Warum ist Acuity Scheduling datenschutzrechtlich relevant?

Buchen User einen Termin über Acuity Scheduling, erheben Unternehmen über die Software Daten wie

  • Name,
  • Telefonnummer,
  • Skype-ID und
  • E-Mail.

Dabei handelt es sich teilweise um personenbezogene Daten. Unternehmen müssen daher besondere datenschutzrechtliche Pflichten beachten.

Zudem stehen die Server von Acuity Scheduling in den USA. Das bedeutet: Unternehmen geben personenbezogene Daten an ein Drittland außerhalb der EU weiter. Sie müssen daher prüfen, ob Acuity Scheduling das Datenschutzniveau der DSGVO einhält.

Acuity Scheduling datenschutzkonform verwenden

Unternehmen, die ihre Kunden über Acuity Scheduling Termine einbuchen lassen, müssen auf diese datenschutzrechtlichen Anforderungen achten:

Nutzer-Einwilligung einholen

Acuity Scheduling nutzt Tracking Cookies, um Nutzerdaten zu erheben. Dabei ist nicht eindeutig geklärt, welche Daten die Software dabei sammelt und an ihre Server in den USA versendet. Unternehmen sollten daher sichergehen und die Einwilligung von Usern in die Verwendung der Software einholen. Das können sie zum Beispiel über ein Cookie Consent Tool vornehmen. Dies fragt Nutzer über einen Cookie-Banner nach ihren Präferenzen zur Datenerfassung. Darauf basierend passt es dann die Datenströme auf einer Webseite an.

Vertrag zur Auftragsverarbeitung abschließen

Geben Unternehmen personenbezogene Daten an einen Dritten weiter, müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Das trifft bei der Verwendung von Acuity Scheduling zu.

Acuity Scheduling bietet Unternehmen ein International Data Transfer Agreement an. Dies entspricht einem AV-Vertrag. Es wurde auf Basis der EU-Standardvertragsklauseln erstellt. Unternehmen sollten darauf achten, dass der Vertrag angibt,

  • welche Nutzerdaten sie an Acuity Scheduling weitergeben,
  • wie lange Acuity Scheduling diese speichert,
  • warum Acuity Scheduling diese speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Immer, wenn Unternehmen personenbezogene Daten erheben, speichern und an Dritte weitergeben, müssen sie User in ihrer Datenschutzerklärung darauf hinweisen. In diesem Kontext sollten sie auch erwähnen, dass sie mit Acuity Scheduling einen AV-Vertrag geschlossen haben. Und: Sie sollten erklären,

  • aus welchem Grund sie über Acuity Scheduling personenbezogene Daten erheben,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO) und
  • wie lange sie die personenbezogenen Daten speichern wollen.

Zudem ist es wichtig, Nutzer darauf hinzuweisen, dass sie der Datenerhebung über Acuity Scheduling widersprechen können. Dabei sollten Unternehmen erklären, dass User auf einem anderen Weg als über die Software einen Termin vereinbaren können.

Damit sich Nutzer selbst informieren können, was mit ihren Daten in den USA passiert, sollten Unternehmen zudem auf die Nutzungsbestimmungen und Datenschutzbestimmungen von Acuity Scheduling verweisen.

Standardvertragsklauseln prüfen

Das International Data Transfer Agreement von Acuity Scheduling basiert auf den EU-Standardvertragsklauseln. Auf diese Weise will der Software-Anbieter sicherstellen, dass die personenbezogenen Daten in den USA den gleichen Datenschutz genießen wie in der EU. Unternehmen müssen die Standardvertragsklauseln von Acuity Scheduling überprüfen und abschließen. Zusätzlich müssen sie das Risiko der Datenübermittlung in die USA prüfen und dokumentieren. Dazu müssen sie eine sogenannte Risikoabschätzung vornehmen. Unternehmen müssen dabei festhalten,

  • welche Art von Daten sie an Acuity Scheduling weitergeben,
  • welche Datenschutzgesetze in den USA gelten und
  • ob Acuity Scheduling weitere Maßnahmen ergreift, um die Nutzerdaten in den USA zu schützen.

Rechtsprechung zu Acuity Scheduling

Zu Acuity Scheduling liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Für die Verwendung der Software sind jedoch diese Urteile bzw. Einschätzungen relevant:

Datenschutzbehörde Hamburg zum AV-Vertrag

Am 17.12.2018 sprach die Hamburger Datenschutzbehörde ein Bußgeld in Höhe von 5250 Euro gegen das Versandunternehmen Kolibri aus. Es hatte mit einem spanischen Dienstleister keinen AV-Vertrag geschlossen. Die Strafe ergab sich aus Art. 83 Abs. 4 lit. a DSGVO.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Im März 2021 sprach die Datenschutzbehörde Baden-Württemberg ein Bußgeld in Höhe von 300.000 Euro gegen den VfB Stuttgart aus. Der Bundesligaverein hatte Mitgliederdaten an Dienstleister weitergegeben, ohne mit diesen einen AV-Vertrag zu schließen.

Europäischer Gerichtshof zum Privacy Shield

Der Europäische Gerichtshof (EuGH) erklärte den Privacy Shield im Sommer 2020 für unwirksam. Für die Praxis bedeutet das: Unternehmen können diesen nicht mehr verwenden, um personenbezogene Daten in die USA zu verschicken. Die Richter sehen dort kein angemessenes Datenschutzniveau. Die Überwachungsprogramme in den USA sind nicht auf das zwingend erforderliche Maß beschränkt. Zudem können sich Verbraucher rechtlich nicht wehren, wenn ihre Daten in den USA missbräuchlich verwendet werden.

Europäischer Gerichtshof zur Verwendung von Cookies

Um Tracking Cookies datenschutzkonform einzusetzen, benötigen Unternehmen die Einwilligung der Nutzer. Das stellte der EuGH im Oktober 2019 (Az. C-673/17).

Bundesgerichtshof zur Verwendung von Cookies

Der Bundesgerichtshof (BGH) entschied im Mai 2020 wie der EuGH: Seitenbetreiber müssen die Erlaubnis der User einholen, um Tracking Cookies verwenden zu dürfen. Dabei verwiesen die Richter darauf, dass für die Einwilligung ein Opt-In notwendig ist, bei dem das Kästchen für das Einverständnis nicht vorangekreuzt sein darf (I ZR 7/16).

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutzerklärung für HubSpot CRM
Weiterlesen...
Datenschutzerklärung für Beschwerderecht bei Aufsichtsbehörden
Weiterlesen...
Datenschutzerklärung für Google Maps
Weiterlesen...
Datenschutzerklärung für Evalanche
Weiterlesen...
Datenschutzerklärung und Recht auf Einschränkung der Verarbeitung
Weiterlesen...
Datenschutzerklärung für Apple Pay
Weiterlesen...
Datenschutzerklärung für Zoho CRM
Weiterlesen...
Datenschutzerklärung für Manychat
Weiterlesen...
Datenschutzerklärung für Google reCAPTCHA
Weiterlesen...
Datenschutzerklärung für Instagram
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support