Wann brauche ich für Mediationsdaten eine Einwilligung?

Eine Einwilligung brauchst du dann, wenn die Verarbeitung personenbezogener Daten in der Mediation nicht bereits auf einem anderen Rechtfertigungsgrund beruht. Das ist vor allem bei sensiblen Daten der Fall, zum Beispiel bei Angaben zur Gesundheit oder zu politischen Einstellungen. Auch dann, wenn du Daten für Zwecke nutzen willst, die in der ursprünglichen Datenschutzinformation nicht genannt wurden, ist eine Einwilligung nötig.

Wer ist in der Mediation datenschutzrechtlich verantwortlich?

Datenschutzrechtlich verantwortlich im Sinne der DSGVO ist die Person oder Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet. In der Mediation sind das die Mediatoren. Das heißt ganz praktisch: Sie tragen die Verantwortung für den Umgang mit den Daten. Sie müssen die Grundsätze des Datenschutzes einhalten, über die Verarbeitung informieren, die Rechte der betroffenen Personen wahren und passende technische sowie organisatorische Maßnahmen zum Schutz der Daten umsetzen.

Welche Mediationsdaten muss ich wie lange aufbewahren?

Personenbezogene Daten darfst Du nur so lange speichern, wie dafür eine Rechtsgrundlage besteht oder die Daten für den jeweiligen Zweck noch gebraucht werden. Eine feste Standardfrist gibt es nicht. Für Rechtsanwältinnen und Rechtsanwälte gilt bei Handakten nach § 50 Abs. 2 BRAO eine Aufbewahrungsfrist von fünf Jahren . Längere Fristen können sich aber etwa aus § 147 AO, aus anhängigen Rechtsstreitigkeiten oder aus § 3 Abs. 3 Mediationsgesetz ergeben. Sobald der Zweck wegfällt, müssen die Daten gelöscht werden.

Prawo ochrony danych i mediacja: przegląd

Jeśli podczas mediacji na rynku internetowym dane są niewłaściwie przetwarzane, grożą nie tylko spory, ale także problemy z RODO. Dla mnie sedno sprawy jest proste: Dane mediacyjne mogą być wykorzystywane tylko w przypadku sporu, dostęp musi być ściśle ograniczony, a dane muszą być usuwane lub przechowywane po ustalonych terminach.

Wyciągam z artykułu przede wszystkim te punkty:

RODO, BDSG i ustawa o mediacji współdziałają
Poufność i ochrona danych to nie to samo
Platforma, mediator i dostawca usług IT mają różne role
Każda faza wymaga własnej podstawy prawnej
Prawo do informacji i usunięcia danych obowiązuje, ale nie bez ograniczeń
Typowe błędy to zbyt wiele dostępów, brak terminów usunięcia i niebezpieczny transfer

Krótko mówiąc: Jeśli chcę przeprowadzić mediację na platformie takiej jak Gunfinder zgodnie z prawem, potrzebuję jasnych kompetencji, niewielu danych, oddzielnych akt sprawy, szyfrowanej komunikacji i planu usunięcia z terminami takimi jak 6 lub 10 lat, w zależności od dokumentu.

Moje krótkie podsumowanie: Ochrona danych w mediacji to nie dodatkowy punkt. Powinna być uwzględniona od samego początku w formularzach, procesach, umowach i systemach.

RODO: 5 najważniejszych pytań użytkowników dotyczących rozporządzenia o ochronie danych osobowych

Ramowy kontekst prawny: RODO, BDSG i ustawa o mediacji

Po oddzielnym rozpatrzeniu poufności i ochrony danych, teraz zajmiemy się zasadami prawnymi, które za tym stoją. Dla postępowań mediacyjnych w Niemczech ważne są przede wszystkim trzy źródła prawa. Współdziałają one, ale każde obejmuje inny obszar.

Ustawa	Zakres obowiązywania	Podstawowe obowiązki	Znaczenie dla mediacji
RODO	Wszyscy odpowiedzialni w UE	Zasady zgodnie z art. 5, podstawa prawna (art. 6), kary (art. 83)	Podstawa przetwarzania danych w postępowaniu
BDSG	Instytucje publiczne i prywatne w Niemczech	Obowiązek DSB (§ 38), dane pracowników (§ 26), ograniczenie dostępu (§ 29)	Może ograniczać prawa osób, gdy istnieją interesy w zakresie poufności
MediationsG	Mediatorzy i ich pomocnicy	Poufność (§ 4)	Chroni treść postępowania wykraczającą poza samo przetwarzanie danych

Dla przypadków mediacyjnych kluczowe są trzy punkty: celowość, jasna podstawa prawna oraz wyraźnie rozdzielone role. W przypadku Gunfinder dotyczy to przede wszystkim danych użytkowników, transakcji i komunikacji związanych z danym sporem.

Zasady DSGVO przy przetwarzaniu danych mediacyjnych

Art. 5 DSGVO wymienia podstawowe zasady, które obowiązują przy każdym przetwarzaniu danych osobowych – a więc także w postępowaniach mediacyjnych ^[2]. Właśnie tutaj te zasady mają więcej niż tylko formalny charakter. Decydują one w praktyce o tym, co można zrobić z danymi sprawy, a co nie.

Celowość oznacza: dane zebrane w celu rozwiązania sporu nie mogą być nagle wykorzystywane do innych celów. Typowym przykładem byłoby wykorzystanie ich do analiz marketingowych. Nie można tego robić ot tak ^[2].

Minimalizacja danych oznacza, że formularze mogą pytać tylko o to, co jest potrzebne w danym przypadku. Nie wszystko, co „może być kiedyś przydatne”, automatycznie należy do zbierania danych. Właśnie tutaj oddziela się dobra praktyka od zbierania niepotrzebnych danych.

Do tego dochodzi ograniczenie przechowywania. Dane sprawy muszą być usunięte, gdy cel zostanie osiągnięty, chyba że obowiązują przepisy dotyczące przechowywania danych podatkowych ^[2]. Dla komunikacji w postępowaniu obowiązuje również zasada integralności i poufności. Innymi słowy: przesyłanie powinno być technicznie zabezpieczone, na przykład za pomocą TLS/SSL lub szyfrowania end-to-end ^[2]^[8].

Przetwarzanie opiera się zazwyczaj na art. 6 ust. 1 lit. b DSGVO. Dla poszczególnych kanałów komunikacji może być dodatkowo wymagana zgoda ^[2].

Jak te zasady są stosowane w poszczególnych fazach postępowania, pokazuje następna część.

Jak BDSG i ustawa o mediacji dodają niemieckie szczególności

DSGVO jest ramą na poziomie UE. BDSG uzupełnia ją dla Niemiec. Dla praktyki szczególnie ważny jest § 38 BDSG: Kto zazwyczaj zatrudnia co najmniej 20 osób do stałego przetwarzania danych w sposób zautomatyzowany, musi wyznaczyć inspektora ochrony danych ^[2]^[7]. Gdy ta granica zostanie osiągnięta, obowiązek istnieje.

Również § 29 BDSG odgrywa ważną rolę w kontekście mediacji. Przepis ten może ograniczać prawo do informacji zgodnie z art. 15 DSGVO, jeśli ujawnienie informacji naruszyłoby interesy poufności innych uczestników. Oznacza to w praktyce: jedna strona nie może bez dalszych ceregieli żądać wszystkich informacji o drugiej stronie, jeśli te są objęte ochroną poufności ^[2]^[4].

Do tego dochodzi § 4 MediationsG. Nakłada on na mediatorów i uczestników obowiązek zachowania poufności w odniesieniu do wszystkiego, co staje się im znane w trakcie mediacji ^[5]. To wykracza poza zwykłe przetwarzanie danych. Chronione są nie tylko przechowywane dane, ale także wypowiedziane słowa, wrażenia i komunikacja niewerbalna ^[8]^[4].

Ważny jest również punkt, który w praktyce łatwo przeoczyć: mediator ma obowiązek zachowania poufności, ale nie ma własnego prawa do poufności. Jeśli strony zwolnią go z obowiązku poufności, może być zobowiązany do zeznania ^[4].

Kto jest odpowiedzialny za dane: platforma, mediator i dostawca usług

Kto jest odpowiedzialny z punktu widzenia ochrony danych, nie zawsze pozostaje w tym samym miejscu w trakcie postępowania mediacyjnego. W zależności od etapu może to się zmieniać.

Gunfinder jest jako platforma początkowo odpowiedzialny za dane kont użytkowników i transakcji oraz za przyjmowanie spraw spornych ^[2]. Mediator przetwarza dane sprawy w celu przeprowadzenia postępowania jako własny odpowiedzialny ^[2].

Inaczej wygląda sytuacja w przypadku dostawców usług IT, takich jak dostawcy chmury czy wideokonferencji. Są oni przetwarzającymi na podstawie art. 28 DSGVO. Oznacza to: mogą przetwarzać dane tylko na polecenie odpowiedzialnego. Wymaga to pisemnej umowy o przetwarzaniu danych ^[2]^[8].

Przestrzeganie tych zasad jest monitorowane przez niemieckie krajowe organy ochrony danych. Również mediatorzy podlegają tej kontroli ^[2].

Poufność i ochrona danych w mediacji

Obowiązki poufności dla mediatorów i stron

Kto jako mediator lub osoba zaangażowana w postępowanie towarzyszy sprawie, podlega obowiązkowi poufności. Dotyczy to również pracowników platformy, jeśli mają dostęp do sprawy. W takich przypadkach poufność musi być określona w umowie.

Dla samych stron ten obowiązek nie obowiązuje automatycznie. Musi być wyraźnie uzgodniony, na przykład w umowie mediacyjnej lub w osobnej umowie o poufności ^[4]^[3]. Dlatego odpowiednia klauzula powinna znajdować się w każdej umowie mediacyjnej.

Wypowiedzi z mediacji zasadniczo nie mogą być wykorzystywane w późniejszym postępowaniu bez dalszych formalności ^[3]. Ochrona danych i poufność są ze sobą powiązane, ale nie oznaczają tego samego.

Stąd wynikają jasne wytyczne dotyczące dostępu, przekazywania i przechowywania. Nie wystarczy więc tylko mówić o poufności. Również zabezpieczenie danych sprawy musi być starannie uregulowane.

Techniczne i organizacyjne środki ochrony dla cyfrowych danych sprawy

Aby poufność nie była tylko na papierze, potrzebne są techniczne i organizacyjne środki ochrony.

Dokumenty sprawy powinny być dostępne tylko dla odpowiedniego mediatora i bezpośrednio zaangażowanych stron ^[2]. W praktyce odbywa się to zazwyczaj poprzez oparte na rolach prawa dostępu: Każda rola widzi tylko te dane, które są jej potrzebne do danej sprawy. Dodatkowo obowiązuje zasada separacji. Dane sprawy muszą być przechowywane oddzielnie od ogólnych danych rynku, aby pracownicy niezwiązani ze sprawą nie mieli dostępu ^[2].

W przypadku szczególnie wrażliwych treści sensowne jest zastosowanie szyfrowania end-to-end, na przykład z użyciem S/MIME lub PGP ^[2].

Również po stronie organizacyjnej potrzebne są jasne zasady. Należą do nich przede wszystkim:

rejestr przetwarzania zgodnie z art. 30 RODO
ustalone terminy usuwania
przestrzeganie ustawowych terminów przechowywania, na przykład 10 lat zgodnie z § 147 AO w prawie podatkowym lub 6 lat dla mediatorów prawnych zgodnie z § 50 BRAO ^[1]^[2]

Tak z poufności staje się więcej niż tylko obietnicą w umowie. Jest ona również praktycznie zabezpieczona w codziennym obiegu danych dotyczących spraw.

Zgodne z prawem przetwarzanie danych na Gunfinder: od wejścia sporu do zamknięcia sprawy

DSGVO-konforme Mediation: Datenphasen & Rechtsgrundlagen im Überblick

Zbieranie danych i podstawy prawne w każdej fazie mediacji

Po środkach ochrony przechodzimy teraz do praktycznego przebiegu obsługi sprawy na Gunfinder.

Ważne jest, aby pamiętać: Nie każda faza przetwarza te same dane. I właśnie dlatego każdy krok potrzebuje swojej własnej podstawy prawnej.

Faza mediacji	Przetwarzane dane	Podstawa prawna (art. 6 DSGVO)	Zalecane środki ochrony
Wejście sporu	Imię, dane kontaktowe, Gunfinder-ID, ID transakcji	Art. 6 ust. 1 lit. b DSGVO (przedumowna)	Szyfrowane formularze wejściowe; dostęp tylko dla zespołu wejściowego; usunięcie po krótkim czasie, jeśli nie następuje postępowanie ^[2]
Weryfikacja tożsamości	zamaskowana kopia dowodu, dowód własności	Art. 6 ust. 1 lit. c DSGVO	Usunięcie kopii dowodu po weryfikacji; dostęp tylko dla uprawnionych osób
Przegląd dowodów	Historia czatu, zdjęcia artykułów, dowody płatności, opinie	Art. 6 ust. 1 lit. b DSGVO	Zamaskowanie nieistotnych danych osobowych; zabezpieczony cyfrowy folder sprawy
Sesje	Oświadczenia, nagrania wideo/audio, notatki mediatora	Art. 6 ust. 1 lit. b DSGVO; w przypadku nagrań dodatkowo Art. 6 ust. 1 lit. a DSGVO	Zgoda przed nagraniami; oddzielne przechowywanie notatek mediatora
Ugoda i zakończenie	Tekst ugody, dane konta do zwrotów, podpisy	Art. 6 ust. 1 lit. b DSGVO	Podpisy cyfrowe; ograniczony dostęp do ostatecznej umowy
Przechowywanie/archiwizacja	Faktury, umowy końcowe, komunikacja podatkowa	Art. 6 ust. 1 lit. c DSGVO	10-letnie przechowywanie dokumentów podatkowych ^[1]^[2]; zautomatyzowane terminy usunięcia

Logika za tym jest dość jasna: przy wejściu sporu zazwyczaj wystarczają podstawowe dane do przypisania sprawy. Później, przy weryfikacji tożsamości lub przeglądzie dowodów, staje się to znacznie bardziej wrażliwe. Najpóźniej podczas sesji, nagrań i dokumentów końcowych powinieneś zatem dokładnie oddzielić, kto co może zobaczyć i jak długo dane będą potrzebne.

Prawa osób betroffenen i poufność mediacji

Prawa osób betroffenen obowiązują również w postępowaniu mediacyjnym. Nie oznacza to, że po prostu milczą, tylko dlatego, że toczy się sprawa.

Niemniej jednak istnieją ograniczenia. Jeśli udzielenie informacji lub usunięcie danych zagrażałoby poufności mediacji lub ochronie postępowania, te prawa mogą w danym przypadku ustąpić. § 29 BDSG może dodatkowo ograniczyć prawo do informacji. Notatki mediatora powinny zatem być przechowywane oddzielnie w obszarze akt; zazwyczaj nie podlegają obowiązkowi udzielania informacji.

Właśnie tutaj widać, jak ważna jest czysta struktura akt. Jeśli wszystko ląduje w jednym folderze, szybko staje się nieczytelne w przypadku wniosków o informacje lub żądań usunięcia.

Przypadki transgraniczne i okresy przechowywania

Po zakończeniu i archiwizacji często pojawiają się jeszcze kilka trudnych kwestii, zwłaszcza w przypadku spraw z odniesieniem do zagranicy.

W obrębie UE i EOG obowiązuje bezpośrednio RODO. Dla Szwajcarii obowiązuje decyzja o adekwatności. W przypadku innych krajów trzecich potrzebujesz standardowych klauzul umownych zgodnie z art. 46 RODO ^[1]^[2].

W przypadku okresów sytuacja jest również jaśniejsza, niż wydaje się na pierwszy rzut oka: samo MediationsG nie określa stałych terminów. Dla dokumentów istotnych podatkowo obowiązuje 10 lat, dla mediatorów prawnych dodatkowo 6 lat ^[1]^[2]. Zautomatyzowany kalendarz usuwania jest tutaj niemal obowiązkowy. Pomaga on w dokładnym dokumentowaniu terminów i terminowym inicjowaniu usunięć.

Największe ryzyka często leżą na końcu nie w przyjęciu sprawy, ale później w codziennym życiu:

zbyt szerokie prawa dostępu
opóźnione usunięcie
niekompletna dokumentacja

To właśnie tam decyduje się, czy przetwarzanie danych w Gunfinder w codziennym życiu przebiega sprawnie, czy z małego niedopatrzenia później staje się poważnym problemem z ochroną danych.

Zarządzanie ryzykiem i podsumowanie: Utrzymanie postępowania mediacyjnego zgodnego z prawem i wiarygodnego

Gdy kroki procesowe są już ustalone, w codziennym życiu szybko okazuje się, na czym to polega: Zarządzanie ryzykiem robi różnicę w jakości.

Typowe ryzyka zgodności w aktach mediacyjnych i komunikacji

Zgodnie z logiką procesu z poprzedniego rozdziału teraz przychodzi delikatna strona praktyki. Innymi słowy: Gdzie w codziennym życiu często pojawiają się problemy?

Scenariusz ryzyka	Możliwy wpływ	Środek zaradczy
Nieszyfrowane przekazywanie	Wrażliwe dane mogą zostać przechwycone	Szyfrowany transfer i przechowywanie
Zbyt długie przechowywanie danych	Naruszenie ograniczenia przechowywania	Udokumentowany plan usuwania z ustalonymi terminami
Zbyt szerokie wewnętrzne prawa dostępu	Naruszenie poufności zgodnie z § 4 MediationsG	Kontrole dostępu oparte na rolach; fizyczne i cyfrowe oddzielenie danych
Wykorzystanie publicznych usług AI w chmurze	Poufne dane przypadków nie mogą trafiać do publicznych narzędzi AI	Lokalnie obsługiwane lub zabezpieczone systemy AI; wyraźna zgoda stron ^[6]
Incydent z danymi (np. zgubione urządzenie)	Obowiązek zgłoszenia; kary finansowe zgodnie z art. 83 RODO; szkody w reputacji	Pełne szyfrowanie dysków; zdalne usuwanie (Remote Wipe); 72-godzinny proces zgłaszania ^[2]
Ujawnienie treści mediacji przed sądem	Treść mediacji jest wykorzystywana jako dowód	Umowna ograniczenie wykorzystania w umowie mediacyjnej ^[4]

Jeden punkt często jest pomijany: § 4 MediationsG wiąże mediatora i osoby pomocnicze. Dla samych stron to jednak nie wystarcza. Potrzebna jest własna klauzula poufności.

Dokumentacja, szkolenie i Privacy by Design

Z tych ryzyk wynikają trzy kluczowe elementy: Dokumentacja, szkolenie i techniczne ograniczenia.

Rejestr przetwarzania zgodnie z art. 30 RODO określa cel, fazę i okres przechowywania. Dzięki temu nie wszystko zostaje w pamięci lub w pojedynczych e-mailach, lecz jest starannie udokumentowane. Jest to szczególnie ważne w przypadku postępowań mediacyjnych, ponieważ w przeciwnym razie przepływy danych mogą szybko wymknąć się spod kontroli.

Do tego dochodzą regularne szkolenia dla pracowników i mediatorów. Na pierwszy rzut oka może to brzmieć nudno, ale w codziennym życiu często jest to punkt, w którym można uniknąć błędów. Wiele problemów nie wynika z złej woli, lecz z rutyny, presji czasowej lub nieprzemyślanego kliknięcia.

W przypadku narzędzi AI obowiązuje jasna zasada: działają tylko lokalnie lub w zabezpieczonych systemach. Poufne dane przypadków nie powinny trafiać do publicznych usług. A jeśli dojdzie do incydentu z danymi, zgłoszenie musi być dokonane w ciągu 72 godzin.

Kluczowe stwierdzenia

Legalna mediacja wymaga jasnych kompetencji, jak najmniej danych i starannie określonych terminów usunięcia. Dla Gunfinder jako platformy oznacza to: jasne podstawy prawne dla każdej fazy przetwarzania, ściśle ograniczone prawa dostępu i udokumentowany plan usunięcia.

FAQ

Kiedy potrzebuję zgody na dane mediacyjne?

Zgoda jest potrzebna, gdy przetwarzanie danych osobowych w mediacji nie opiera się już na innym uzasadnieniu prawnym.

Dotyczy to szczególnie danych wrażliwych, na przykład informacji o zdrowiu lub poglądach politycznych. Również wtedy, gdy chcesz wykorzystać dane do celów, które nie zostały wymienione w pierwotnej informacji o ochronie danych, potrzebna jest zgoda.

Kto jest odpowiedzialny za ochronę danych w mediacji?

Odpowiedzialny za ochronę danych w rozumieniu RODO jest osoba lub podmiot, który decyduje o celu i środkach przetwarzania danych. W mediacji są to mediatorzy.

To oznacza w praktyce: Ponosisz odpowiedzialność za zarządzanie danymi. Musisz przestrzegać zasad ochrony danych, informować o przetwarzaniu, chronić prawa osób, których dane dotyczą, oraz wdrażać odpowiednie środki techniczne i organizacyjne w celu ochrony danych.

Jakie dane mediacyjne muszę przechowywać i przez jak długo?

Dane osobowe możesz przechowywać tylko tak długo, jak długo istnieje podstawa prawna lub dane są potrzebne do danego celu. Nie ma ustalonego standardowego okresu.

Dla adwokatek i adwokatów obowiązuje w przypadku akt sprawy zgodnie z § 50 ust. 2 BRAO okres przechowywania wynoszący pięć lat. Dłuższe okresy mogą wynikać na przykład z § 147 AO, z toczących się sporów prawnych lub z § 3 ust. 3 ustawy o mediacji.

Gdy cel przestaje istnieć, dane muszą zostać usunięte.