SilverFriend
Back to Blog

DSGVO-Prüfung von Telefonbegleitdiensten: Die Checkliste für Angehörige

In 10 Schritten prüfen, ob ein Telefonbegleitdienst DSGVO-konform arbeitet — mit kostenloser PDF-Checkliste für Angehörige.

Checkliste mit Stift auf einem Holztisch, im Hintergrund ein Telefon

Warum diese Checkliste?

Wenn Sie einen Telefonbegleitdienst für Ihre Mutter, Ihren Vater oder einen anderen Angehörigen buchen, werden persönliche Biografie- und ggf. Gesundheitskontext-Daten verarbeitet. Das bedeutet: Der Anbieter hat deutliche gesetzliche Pflichten, und Sie als Auftraggeber haben das Recht, Nachweise einzufordern.

Diese zehn Punkte sind die Kurzfassung einer echten DSGVO-Prüfung, wie sie auch Datenschutzbeauftragte ansetzen würden — angepasst für Familienangehörige ohne juristischen Hintergrund.

Die 10-Punkte-Checkliste

1. Impressum prüfen

Pflichtfelder nach § 5 TMG: vollständige Firmierung, Geschäftsführung, ladungsfähige Anschrift (keine reinen Postfächer), Kontakt (E-Mail und Telefon), Handelsregister-Eintrag, USt-ID (falls vorhanden), Aufsichtsbehörde (falls berufsrechtlich relevant).

Rotes Signal: Impressum fehlt, ist unvollständig oder nennt nur eine Auslandsanschrift ohne EU-Vertreter.

2. Datenschutzerklärung einsehen

Eine DSGVO-konforme Datenschutzerklärung beantwortet mindestens:

  • Welche Daten werden erhoben?
  • Auf welcher Rechtsgrundlage (Art. 6, ggf. Art. 9 DSGVO)?
  • Wie lange werden sie gespeichert?
  • An wen werden sie weitergegeben (z. B. technische Dienstleister)?
  • Welche Rechte haben Betroffene und wie lassen sie sich geltend machen?

Rotes Signal: Generischer Text, kopiert von einem anderen Anbieter, oder reine Verweise auf US-Dienste ohne EU-Standardvertragsklauseln.

3. Datenschutzbeauftragten identifizieren

Unternehmen, die regelmäßig Kontext-Daten zu Familien und Gesundheit verarbeiten, müssen nach § 38 BDSG einen Datenschutzbeauftragten (DSB) benennen. Dessen Kontakt gehört in die Datenschutzerklärung.

Grünes Signal: Externer oder interner DSB ist namentlich benannt, mit eigener E-Mail-Adresse (nicht dieselbe wie kontakt@).

4. AV-Vertrag proaktiv anbieten

Sobald Sie als Familie Daten Ihres Angehörigen weitergeben, sind Sie juristisch „Verantwortlicher" und der Anbieter ist „Auftragsverarbeiter". Das erfordert einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO.

Seriöse Anbieter haben diesen Vertrag vorbereitet und stellen ihn proaktiv zur Verfügung.

Rotes Signal: „Brauchen wir nicht." oder „Machen wir später."

5. Serverstandort und Sub-Auftragsverarbeiter

Art. 28 DSGVO verlangt, dass der Anbieter alle Sub-Auftragsverarbeiter (technische Dienstleister, Cloud, Telefonie-Provider) transparent auflistet. Prüfen Sie:

  • Wo liegen die Server?
  • Falls US-Dienste genutzt werden: Liegt ein Angemessenheitsbeschluss oder liegen Standardvertragsklauseln vor?
  • Sind Sub-Auftragsverarbeiter einzeln genehmigt oder pauschal?

Grünes Signal: Liste liegt offen, Änderungen werden angekündigt.

6. Einwilligung des Seniors

Die DSGVO verlangt, dass die betroffene Person selbst einwilligt — also der Senior, nicht nur der Angehörige. Wenn Ihre Mutter geschäftsfähig ist, muss sie mündlich am Telefon oder schriftlich zustimmen.

Rotes Signal: Anbieter akzeptiert Ihre Unterschrift als Einwilligung Ihrer Mutter, ohne sie selbst zu fragen.

7. Speicher- und Löschkonzept

Fragen Sie: Werden Anrufe aufgezeichnet? Wenn ja, wie lange? Wie lange werden Gesprächs-Zusammenfassungen aufbewahrt? Ein sauberes Konzept sieht so aus:

  • Roh-Audio: nicht dauerhaft gespeichert oder nur mit expliziter Zusatz-Einwilligung und kurzer Frist
  • Anrufbezogene temporäre Daten: automatische Löschung nach klar benannter Frist (z. B. 90 Tage)
  • Stammdaten (Name, Adresse): nur solange der Dienst aktiv ist, dann zügige Löschung

8. Informationsrechte testen

Fordern Sie probeweise einen Datenauszug nach Art. 15 DSGVO an. Ein seriöser Anbieter antwortet innerhalb der gesetzlichen Frist von 30 Tagen mit einer strukturierten Liste aller gespeicherten Daten.

Grünes Signal: Antwort kommt innerhalb weniger Wochen, ohne bürokratische Hürden.

9. Meldekette bei Datenpannen

Ein Anbieter muss bei Datenpannen innerhalb von 72 Stunden die Aufsichtsbehörde informieren (Art. 33 DSGVO) und betroffene Personen unverzüglich benachrichtigen (Art. 34 DSGVO). Fragen Sie, wie die Meldekette läuft — eine klare Antwort zeigt, dass es einen Notfallplan gibt.

10. Schulung und Sorgfaltspflichten

Ein Telefonbegleitdienst hört oft persönliche Dinge. Fragen Sie:

  • Gibt es eine dokumentierte Datenschutz-Schulung für alle, die Zugriff auf Kontext-Daten haben?
  • Werden technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO beschrieben?
  • Wer haftet, wenn etwas schiefgeht — Auftragsverarbeiter oder Subunternehmer?

Die Kurzversion zum Ausdrucken

Wir haben die 10 Punkte in einer einseitigen PDF-Checkliste zusammengefasst. Sie können sie kostenlos herunterladen, ausdrucken und beim Erstgespräch mit einem Anbieter durchgehen:

PDF-Checkliste herunterladen →

Häufig gestellte Fragen

Muss ich all diese Punkte selbst prüfen?

Nein — seriöse Anbieter legen die Nachweise proaktiv offen. Die Checkliste hilft Ihnen, einzuschätzen, ob ein Anbieter proaktiv arbeitet. Wenn Sie drei oder mehr Punkte nicht schnell beantwortet bekommen, ist Vorsicht geboten.

Wie arbeitet SilverFriend mit Datenschutz?

Daten bleiben in der EU: die Sprachverarbeitung läuft in einem EU-Rechenzentrum (Stockholm), alle anderen Daten — Profile, Erinnerungen, Gesprächs-Zusammenfassungen — werden in Deutschland (Frankfurt) gespeichert. Roh-Audio wird nicht dauerhaft aufbewahrt; temporäre anrufbezogene Daten werden automatisch nach 90 Tagen gelöscht. Auskunft nach Art. 15 DSGVO und Löschung nach Art. 17 DSGVO werden innerhalb von 30 Tagen bearbeitet. Unsere vollständige Datenschutzerklärung finden Sie unter /datenschutz, die Liste aller Sub-Auftragsverarbeiter unter /datenschutz/subprocessors.

Was kostet eine DSGVO-Prüfung durch einen Anwalt?

Für Familien meist unverhältnismäßig — eine anwaltliche Erstberatung beginnt im mittleren dreistelligen Bereich. Die Checkliste oben deckt den Großteil der typischen Risiken ab.

Was tun, wenn der Anbieter Fragen blockiert?

Verlassen Sie den Anbieter. Die DSGVO ist kein Verhandlungsthema — fehlende Transparenz ist ein K.-o.-Kriterium.

Gilt das auch, wenn der Anbieter in der EU sitzt?

Ja. EU-Sitz allein reicht nicht. Der Anbieter muss auch in der Praxis DSGVO-konform arbeiten, was die zehn Punkte oben sicherstellen.

Weiterlesen