Warum ist eTermin datenschutzrechtlich relevant?

Buchen Kunden einen Termin über eTermin ein, erheben Unternehmen von ihnen personenbezogene Daten. In der Regel handelt es sich dabei um Daten wie

Namen,
E-Mails und
Telefonnummern.

Damit Unternehmen diese Daten datenschutzkonform erheben und verarbeiten, müssen sie verschiedene Pflichten der Datenschutz-Grundverordnung (DSGVO) beachten.

So können Unternehmen eTermin datenschutzkonform nutzen

Die DSGVO gibt diese Anforderungen vor:

Vertrag zur Auftragsverarbeitung abschließen

Sobald Kunden ihre Daten für einen Termin in der Software eintragen, geben Unternehmen diese Daten an den hinter der Software stehenden Anbieter eTermin weiter. eTermin verarbeitet diese Daten. Unternehmen müssen mit dem Anbieter daher einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Dieser Vertrag muss regeln,

welche Daten Unternehmen an eTermin weitergeben,
wie lange eTermin diese Daten speichert,
warum eTermin die Daten speichert und
welche Rechte und Pflichten die Verantwortliche haben.

Unternehmen können den AV-Vertrag in ihrem eTermin-Account unter „Verwalten“ und dann unter „Datenschutz“ abschließen.

Datenschutzerklärung aktualisieren

Unternehmen müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie über eTermin personenbezogene Daten erheben, verarbeiten und an Dritte weitergeben. Dabei sollten sie in einer einfach verständlichen Sprache erklären,

warum sie über eTermin personenbezogene Daten erheben,
wie lange sie die personenbezogenen Daten speichern,
welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO),
dass sie für die Datenweitergabe mit eTermin einen AV-Vertrag geschlossen haben und
dass Nutzer der Datenerhebung jederzeit widersprechen können.

Um Usern einen besseren Einblick in die Datenverarbeitung zu geben, sollten Unternehmen in ihrer Datenschutzerklärung auch auf die Nutzungsbedingungen und Datenschutzbestimmungen von eTermin hinweisen.

Rechtsprechung zu eTermin

Versäumen es Unternehmen, mit eTermin einen AV-Vertrag zu schließen, droht ihnen eine Strafe von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes. Das ermöglicht Art. 83 Abs. 4 lit. a DSGVO. Die Hamburger Datenschutzbehörde sprach daher im Dezember 2018 ein Bußgeld gegen ein Versandunternehmen aus. Dies musste 5.000 Euro zuzüglich 250 Euro Gebühren zahlen, da es mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen hatte.