Was macht TuCalendi?
TuCalendi ist ein automatisierter Termin-Manager, mit dem Unternehmen ihre Termine planen und verwalten können. Dazu können sie Ereignisse und Verfügbarkeit in den Kalender eintragen. Auf diese Weise sehen Nutzer auf einen Blick, wann Unternehmen Zeit für ein Gespräch oder ein Meeting haben. TuCalendi kann auf Webseiten und Social-Media-Profilen eingebunden werden. Gut 90.000 Kunden setzen auf die Software. Der gleichnamige Anbieter sitzt in Spanien. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie TuCalendi verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist TuCalendi datenschutzrechtlich relevant
Um einen Termin über TuCalendi zu buchen, müssen User grundlegende Kontaktdaten wie ihren Namen und ihre E-Mail-Adresse angeben. Unternehmen erheben auf diese Weise über die Software personenbezogene Daten. Sie speichern diese auf den Servern des Anbieters in Spanien. Dafür müssen sie Pflichten aus der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) beachten.
TuCalendi datenschutzkonform verwenden
Um TuCalendi datenschutzkonform zu verwenden, müssen Unternehmen diese Vorgaben aus dem Gesetz erfüllen:
Nutzer-Einwilligung in Cookies einholen
TuCalendi nutzt Cookies, um Userdaten zu sammeln und zu speichern und so seine Dienste anzubieten. Dafür benötigen Unternehmen die Einwilligung ihrer Kunden. Sie können diese beispielsweise über ein Cookie Consent Tool rechtssicher einholen.
Vertrag zur Auftragsverarbeitung abschließen
Unternehmen fragen über TuCalendi personenbezogene Daten ab und geben diese zur weisungsgebundenen Verarbeitung an den Anbieter in Spanien weiter. Dafür benötigen sie gemäß Art. 28 DSGVO einen Vertrag zur Auftragsverarbeitung (AV-Vertrag). Dieser sollte festhalten,
- welche Userdaten Unternehmen an TuCalendi weitergeben,
- wie lange TuCalendi die Daten speichert,
- warum TuCalendi die Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Unternehmen müssen in ihrer Datenschutzerklärung darüber informieren, dass sie den Terminplaner TuCalendi verwenden. Dabei sollten sie erklären,
- warum sie über TuCalendi personenbezogene Daten erheben,
- wie lange sie diese Daten speichern,
- warum sie die Daten an TuCalendi weitergeben,
- welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. a DSGVO),
- dass sie für die Datenweitergabe mit TuCalendi einen AV-Vertrag geschlossen haben und
- dass Nutzer der Datenerhebung und Datenspeicherung jederzeit widersprechen können.
Um Nutzern einen besseren Einblick in die Verarbeitung ihrer Daten bei TuCalendi zu gewähren, sollten Unternehmen zusätzlich auf die Datenschutzbestimmungen und Nutzungsbedingungen des Anbieters verweisen.
Rechtsprechung zu TuCalendi
Zu TuCalendi liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Für den Einsatz des Tools sind jedoch diese Urteile und Bußgelder relevant:
2021: Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußballclub VfB Stuttgart hatte mehrere tausend Mitgliederdaten an externe Dienstleister gegeben, um diese weisungsgebunden verarbeiten zu lassen. Er versäumte es jedoch, mit den Dienstleistern dafür AV-Verträge zu schließen. Damit verletzte der Verein Vorgaben aus der DSGVO. Die Datenschutzbehörde Baden-Württemberg sprach daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro aus.
2020: Bundesgerichtshof zur Verwendung von Cookies
Der Bundesgerichtshof (BGH) stellte am 28.05.2020 fest: Tracking Cookies benötigen die Einwilligung von Usern. Diese müssen ihre Einwilligung aktiv aussprechen. Das bedeutet für die Praxis: Unternehmen müssen ein Opt-In für die Einwilligung verwenden (I ZR 7/16).
2019: Europäischer Gerichtshof zur Verwendung von Cookies
Unternehmen, die TuCalendi verwenden, setzen automatisch Cookies in die Browser von Nutzern. Dabei könnte es sich um Tracking Cookies handeln. Diese benötigen die Erlaubnis der User. Zu diesem Ergebnis kam der Europäische Gerichtshof (EuGH) am 01.10.2019 (Az. C-673/17).
2018: Datenschutzbehörde Hamburg zum AV-Vertrag
Ein deutsches Versandunternehmen hatte die (personenbezogenen) Daten seiner Kunden an einen Postdienstleister in Spanien weitergegeben. Dieser hatte die Daten weisungsgebunden verarbeitet. Einen AV-Vertrag hatten die beiden Parteien jedoch nicht geschlossen. Denn: Keiner der beiden sah sich verantwortlich, den Vertrag aufzusetzen. Die Datenschutzbehörde Hamburg kam daher im Dezember 2018 zu dem Schluss: Das deutsche Versandunternehmen hat die Vorgaben der DSGVO verletzt. Die Behörde sprach daher ein Bußgeld von 5.000 Euro aus.