Professionalität in der Online-Beratung/
Online-Coaching und im Online-Training
Vertraulichkeit ist oberstes Gebot
Unabhängig vom Tool, von der Plattform oder vom Format, ist insbesondere in der Online Welt sicherzustellen, dass keine unbefugten Personen Zugriff auf die Dokumentation, Videos und gesprochenen Worte bekommen. Technisch bedeutet dies, dass sowohl die übertragenen Daten einschließlich der Audio- und Videodateien verschlüsselt übertragen werden müssen und der Zugang zu den Online-Räumen nur den Beteiligten ermöglicht wird.
Datenschutz und Datensicherheit spielen sowohl bei realen als auch bei virtueller Begegnung eine große Rolle. Der Schutz der Klienten*innen-Daten muss von jedem Berater*in und Trainer*n gewährleistet werden. Dazu sind die Anforderungen der DSGVO (Datenschutz Grundverordnung) zu erfüllen.
Jeder Berater*in und Trainer*in sollte nur gesicherte Medien und Geräte verwenden sowie jederzeit Auskunft über Datenschutz und Datensicherheit geben können. Der Datenschutz und die Datensicherheit sollten die Internetnutzung, das Netzwerk und alle genutzten Endgeräte umfassen. Grundsätzlich sind technische Anwendungen, deren Server sich außerhalb des Rechtsraums EU befinden und/ oder keine Ende-zu-Ende-Verschlüsselung bieten, nach der DSGVO nicht für eine professionelle Gesundheitsberatung zu empfehlen bzw. sind nicht zulässig.
Machen Sie sich mit den Datenschutzrichtlinien insofern vertraut, dass Sie Ihren Klienten*innen einen oder mehrere Kommunikationskanäle anbieten können. Wenn Klienten dennoch darauf bestehen, z.B. per E-Mail oder Skype zu kommunizieren, dann informieren Sie sie über die Risiken. Holen Sie sich dazu eine schriftliche Erklärung des Klienten*innen ein. Es empfiehlt sich niederschwellige und doch sichere Lösungen anzubieten.
Ich arbeite in der Gesundheitsberatung/ Gesundheitscoaching mit der CAI®-World-Plattform. Die CAI® World erfüllt die Anforderungen der DSGVO. Der Server steht u.a. in Deutschland. Das Unternehmen in Karlsruhe setzt technische und organisatorische Maßnahmen ein, um alle Daten, gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen unberechtigte Zugriffe zu schützen. Um die Sicherheit der Daten bei der Übertragung zu schützen, verwendet CAI®-World entsprechende Verschlüsselungsverfahren (z. B. TLS) über HTTPS bzw. WebRTC.
Wenn ich mit Menschen im Bereich Gesundheitsförderung arbeite, verwende ich clickmeeting, ein Anbieter aus Polen. In Gruppencoachings für Schulungen arbeite ich wegen den Gruppenräumen vorwiegend in ZOOM.
Checkliste für einen guten Datenschutz
- Haben Sie eine schriftliche Darstellung, wie Sie mit dem mit den Daten Ihren Klienten*innen verfahren?
- Hat der Anbieter seinen Sitz in der EU oder ein angemessenes Datenschutzniveau und gibt es Sicherheitszertifikate?
- Informieren Sie sich, wo der Plattformanbieter seine Daten hostet. Lesen Sie die Datenschutzerklärungen der Anbieter. Server, außerhalb des europäischen Raums gelten deutlich weniger sicher, da die Datenschutzbestimmungen „lockerer“ sind. Anbieter, die Ihren Sitz in der EU haben, sind aus Datenschutzsicht sicherer. In der EU gibt es ein einheitliches Datenschutzniveau. Wenn Sie einen Anbieter aus einem Drittland wählen (alle Länder außerhalb der EU), sollten Sie darauf achten, dass diese angemessene Datenschutzvorschriften einhalten.
- Was ist angemessen?
- a. Angemessenheitsbeschluss der EU-Kommission: Für einige Ländern (Andorra, Argentinien, die Faröer Inseln, Guernsey, Japan, Israel teilweise, Kanada, Neuseeland und die Schweiz) hat die EU-Kommission festgestellt, dass dort das Datenschutzniveau „angemessen“ ist. D.h. die Datenschutzvorschriften sind mit der EU vergleichbar.
- b. Standard Contractual Clauses (SCC): Der jeweilige Anbieter verpflichtet sich zur Wahrung des europäischen Datenschutzes.
- c. EU-US Privacy-Shield: Seit Juli 2020 kann das EU-US Privacy-Shield laut dem Urteil des EuGH (Europäischen Gerichtshof) nicht mehr als Rechtsgrundlage herangezogen werden. Das heißt, dass jetzt erst einmal keine Nutzerdaten aus der EU mehr in die USA übertragen und dort verarbeitet werden dürfen.
- Sind meine Datenschutzeinstellungen so sicher wie möglich?
- Die Datenschutzeinstellungen sind je nach Video-Tool verschieden. Alle Übertragungen sollten ausschließlich verschlüsselt erfolgen. Die Aufzeichnungen, Chat-Protokolle und andere Dokumente mit persönlichen Daten sollten nach der Beendigung des Online-Seminars/ Online-workshops gelöscht werden. Ein Tracking der Teilnehmer sollte, wenn möglich, abgestellt werden.
- Schließen Sie ein Auftragsverarbeitungsvertrag mit dem Anbieter ab!
- Haben Sie den Betriebsrat/ Personalrat mit im Boot?
- Wenn Sie in oder für ein Unternehmen mit Betriebsrat Ihre Dienstleistung anbieten, sollten Sie den Betriebsrat beteiligen. Gegebenenfalls denken Sie frühzeitig an die Einbindung des Datenschutzbeauftragten.
- Treffen Sie Absprachen, wenn durch das Online- Tool Login-Daten verarbeitet werden und/oder die Teilnahme der Mitarbeiter quasi „überwacht“ werden kann. Das ist nach § 87 Abs. 1 Nr. 6 BetrVG zwingend.
- Ist Ihre Datenschutzerklärung vollständig?
- Wenn Sie Videokonferenz-Tools nutzen um mit Klienten*innen/ Seminarteilnehmer*innen oder auch Auftraggeber*innen zu kommunizieren, müssen Sie diese in Ihre Datenschutzerklärung aufnehmen. Wie bei allen anderen IT-Tools, mit denen Sie Daten erfassen und verarbeiten, sollten Sie auch alle verwendeten Systeme in Ihre Datenschutzerklärung sowie in das Verzeichnis von Verarbeitungstätigkeiten aufnehmen.
- Wenn Sie Videokonferenz-Tools nutzen um mit Klienten*innen/ Seminarteilnehmer*innen oder auch Auftraggeber*innen zu kommunizieren, müssen Sie diese in Ihre Datenschutzerklärung aufnehmen. Wie bei allen anderen IT-Tools, mit denen Sie Daten erfassen und verarbeiten, sollten Sie auch alle verwendeten Systeme in Ihre Datenschutzerklärung sowie in das Verzeichnis von Verarbeitungstätigkeiten aufnehmen.
- Dazu gehören u.a. außerdem folgende Angaben:
- Welches Tool nutzen Sie?
- Zu welchen Zwecken verarbeiten Sie Nutzerdaten?
- Welche Daten werden verarbeitet?
- Rechtsgrundlage der Datenverarbeitung nach DSGVO
- Die Speicherdauer der Daten/ Löschung der Daten
- Wie lautet die Anschrift des Anbieters?
- Erfolgt eine Weitergabe von Daten?
- Ist die Datenverarbeitung außerhalb der Europäischen Union?
- Name des Datenschutzbeauftragten
- Wurde ein Vertrag zur Auftragsverarbeitung mit dem Anbieter geschlossen?
- Enthält Ihr Verarbeitungsverzeichnis alle Tools?
- Nach Art. 30 DGSVO sind Unternehmen verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dort werden auch alle eingesetzte Videokonferenz-Tools aufgenommen.
- TIPP: Wenn Sie zu einer Videokonferenz einladen, informieren Sie die Teilnehmer*innen auch über die Fragen des Datenschutzes! Verweisen Sie bei Ihrer Einladung zur Videokonferenz, mit einen Link, zu Ihrer Datenschutzerklärung.
- Weitere Sicherheitsvorkehrungen
- Aktivieren Sie die Firewall und stellen Sie gleichzeitig die Funktion ab, sich automatisch mit offenen Wlan-Netzwerken zu verbinden.
- Benutzen Sie nach Möglichkeit keine privaten Endgeräte – zumindest nicht, solange diese nicht professionell ausgerüstet wurden.
- Wahren Sie Skepsis bei E-Mails von Unbekannten, insbesondere, wenn diese zu einer bestimmten Handlung auffordern.
- Der Zugang zu online-Plattformen und Tools sollte per Anmeldeprozess und Passwort gesichert sein.
- Gibt es Back-up-Möglichkeiten für Sie oder Ihre Klienten, so dass Sie die Daten auch von der Plattform sichern können?
- Sofern Sie es für förderlich halten, den online-Beratungsprozess via Video aufzuzeichnen, denken Sie immer an die vorherige schriftliche Zustimmung des Klienten*innen.
- Weitere Informationen unter: www.e-recht24.de
Bitte beachten Sie, dass diese keine Rechtsberatung darstellen und Sie im Zweifelsfall einen fachkundigen Experten mit der Klärung Ihres konkreten Falles beauftragen sollten.
Für mehr Tipps und Informationen: Besuchen Sie meine kostenlosen LIVE-Online-Seminare!
