Eine Person berät eine online zugeschaltete Person.
Telekommunikation

Onlineberatungen

Beratungsangebote, teilweise auch in sensiblen Bereichen, werden vielfach und verstärkt nicht mehr nur vor Ort oder per Telefon, sondern zusätzlich auch online angeboten. Ziel ist es, ein möglichst niederschwelliges Angebot zu ermöglichen. Das Angebot holt die Beratungssuchenden idealerweise in denjenigen digitalen Medien ab, in denen sie sich regelmäßig bewegen. Die Hemmschwellen für eine persönliche Kontaktaufnahme sollen auf diese Weise verringert werden. Da die Beratung normalerweise vertraulich erfolgen soll, sind aus datenschutzrechtlicher Sicht die folgenden Aspekte unbedingt zu beachten:

  • Die mit dem Angebot einhergehende Datenverarbeitung muss den Beratungssuchenden transparent und nachvollziehbar dargestellt werden. Hierzu gehört, dass deutlich wird, für welche Zwecke und durch wen Daten (Inhaltsdaten wie etwa Fragen und Antworten, IP-Adressen und Metadaten wie Zeitpunkte, Cookies, Profilnamen etc.) verarbeitet werden und wie lange welche Daten gespeichert bleiben. Die Anbieter:innen entsprechender Angebote sind verpflichtet, ihren Informationspflichten nach Art. 12 ff. DSGVO nachzukommen.

  • Die Beratung darf keinesfalls innerhalb von Onlineangeboten erfolgen, deren Geschäftsmodell auch die Auswertung personenbezogener Daten der Nutzenden ist. Beispiele hierfür sind die werbefinanzierten Kommunikationsdienste von Meta oder Google.

  • Um eine anonyme oder pseudonyme Beratung zu ermöglichen, darf diese nicht über Plattformen oder Dienste erfolgen, die eine Anmeldung mit identifizierenden Daten verlangen. Beratungen per Messengerdienst, SMS oder auch E-Mail sind daher in der Regel nicht möglich. Ausnahmen könnten gegebenenfalls Messengerdienste bieten, die unabhängig von Identitätsdaten wie Telefonnummer oder E-Mail arbeiten. Informationen dazu finden sich im Beitrag zum datenschutzgerechten Einsatz von Messengerdiensten im Jahresbericht 2019 (Kap. 1.1, S. 17-24). Einer Beratung per E-Mail steht zudem entgegen, dass nicht einmal die Grundanforderung an die vertrauliche Übermittlung personenbezogener Daten sichergestellt werden kann, wenn die Übertragung ohne Ende-zu-Ende-Verschlüsselung erfolgt.

  • Wird eine anonyme Beratung versprochen, dürfen nur die für den Betrieb des Beratungsangebots technisch unbedingt erforderlichen identifizierenden Daten erhoben und für den kürzest notwendigen Zeitraum gespeichert werden. Sowohl für die Inhaltsdaten als auch für die Nutzungsdaten ist ein Löschkonzept zu entwickeln und die Notwendigkeit der darin festgelegten Speicherdauer zu begründen.

  • Die Verarbeitung von IP-Adressen ist nur innerhalb der jeweiligen Sitzung des Nutzenden technisch notwendig. Eine vorsorgliche Speicherung personenbezogener Daten wie beispielsweise der IP-Adresse lässt die Anonymität des Beratungsangebots entfallen. Eine vorsorgliche Speicherung mit dem Ziel, die verbindlich zugesagte Anonymität in bestimmten Fällen, etwa für Zwecke der Gefahrenabwehr, zu brechen, ist nicht zulässig.

  • Der Einsatz von Drittinhalten, insbesondere externen Tracking- und Analysefunktionen sowie die Einbindung von Social-Plug-Ins – das heißt Funktionen, über die die Inhalte des Angebots mit sozialen Netzwerken geteilt werden können –, sind auf Websites von Beratungsangeboten nicht zulässig. Ansonsten würden bereits bei Aufruf der Website unzulässig personenbezogene Daten an Dritte übermittelt oder von diesen erhoben werden.

  • Onlineberatungsangebote müssen so gestaltet werden, dass ein hohes Niveau an IT-Sicherheit erreicht wird. Trotz eines vornehmlich anonymen Beratungsangebots ist eine zumindest temporäre Verarbeitung identifizierender Daten – wie beispielsweise IP-Adressen, identifizierende Angaben in den Nachrichten der Beratungssuchenden, bei manchen Plattformen auch freiwillig angegebene E-Mail-Adressen – nicht völlig vermeidbar. Da bei der Erbringung von Beratungsangeboten häufig auch besonders geschützte Daten im Sinne des Art. 9 Abs. 1 DSGVO wie beispielsweise Gesundheitsdaten, Daten zum Sexualleben oder auch über die ethnische Herkunft verarbeitet werden, sind IT-Sicherheitsmaßnahmen zu treffen, die bezüglich des Schutzziels der Vertraulichkeit möglichst das Schutzniveau „hoch“ entsprechend BSI-IT-Grundschutz erreichen.

Weitere Erläuterungen zu den einzelnen Punkten finden Sie in unserem PDF zu Datenschutzanforderungen an Onlineberatungsangebote.