A-TEC
AEA Airguns
AKAH
ASG
Aimpoint
Alpen Optics
Alpha Industries
Anschütz
Antonio Zoli
Ares
B&T Schalldämpfer
Baikal
Ballistol
Balzer
Barbour
Barnes
Barnett
Benelli
Beretta
Bergara
Blaser
Brandit
Bremer Tresor
Brenneke
Wenn bei einer Mediation auf einem Online-Marktplatz Daten falsch behandelt werden, drohen nicht nur Streit, sondern auch DSGVO-Probleme. Für mich ist der Kern ganz einfach: Mediationsdaten dürfen nur für den Streitfall genutzt werden, der Zugriff muss eng begrenzt sein, und Daten müssen nach festen Fristen gelöscht oder aufbewahrt werden.
Ich nehme aus dem Beitrag vor allem diese Punkte mit:
- DSGVO, BDSG und Mediationsgesetz greifen zusammen
- Vertraulichkeit und Datenschutz sind nicht dasselbe
- Plattform, Mediator und IT-Dienstleister haben verschiedene Rollen
- Jede Phase braucht eine eigene Rechtsgrundlage
- Auskunfts- und Löschrechte gelten, aber nicht ohne Grenzen
- Typische Fehler sind zu viele Zugriffe, fehlende Löschfristen und unsichere Übertragung
Kurz gesagt: Wenn ich Mediation auf einer Plattform wie Gunfinder rechtskonform aufsetzen will, brauche ich klare Zuständigkeiten, wenige Daten, getrennte Fallakten, verschlüsselte Kommunikation und einen Löschplan mit Fristen wie 6 oder 10 Jahren, je nach Unterlage.
Mein Kurzfazit: Datenschutz in der Mediation ist kein Zusatzpunkt. Er gehört von Beginn an in Formulare, Abläufe, Verträge und Systeme.
DSGVO: Die 5 wichtigsten Anwenderfragen zur Datenschutz Grundverordnung
sbb-itb-1cfd233
Rechtlicher Rahmen: DSGVO, BDSG und Mediationsgesetz
Nachdem Vertraulichkeit und Datenschutz getrennt betrachtet wurden, geht es jetzt um die rechtlichen Regeln dahinter. Für Mediationsverfahren in Deutschland sind vor allem drei Rechtsquellen wichtig. Sie greifen zusammen, aber jede deckt einen anderen Teil ab.
| Gesetz | Geltungsbereich | Kernpflichten | Relevanz für Mediation |
|---|---|---|---|
| DSGVO | Alle Verantwortlichen in der EU | Grundsätze nach Art. 5, Rechtsgrundlage (Art. 6), Bußgelder (Art. 83) | Grundlage für die Datenverarbeitung im Verfahren |
| BDSG | Öffentliche und private Stellen in Deutschland | DSB-Pflicht (§ 38), Beschäftigtendaten (§ 26), Auskunftsbeschränkung (§ 29) | Kann Betroffenenrechte bei Geheimhaltungsinteressen begrenzen |
| MediationsG | Mediatoren und deren Hilfspersonen | Vertraulichkeit (§ 4) | Schützt den Verfahrensinhalt über die reine Datenverarbeitung hinaus |
Für Mediationsfälle kommt es vor allem auf drei Punkte an: Zweckbindung, eine klare Rechtsgrundlage und sauber verteilte Rollen. Bei Gunfinder betrifft das vor allem Nutzer-, Transaktions- und Kommunikationsdaten aus dem Streitfall.
DSGVO-Grundsätze bei der Verarbeitung von Mediationsdaten
Art. 5 DSGVO nennt die Grundregeln, die bei jeder Verarbeitung personenbezogener Daten gelten – also auch in Mediationsverfahren [2]. Gerade hier sind diese Regeln mehr als bloße Formalien. Sie entscheiden ganz praktisch darüber, was mit Falldaten geschehen darf und was nicht.
Zweckbindung heißt: Daten, die zur Streitbeilegung erhoben wurden, dürfen nicht plötzlich für andere Zwecke genutzt werden. Ein typisches Beispiel wäre die Auswertung für Marketinganalysen. Das geht nicht einfach so [2].
Datenminimierung bedeutet, dass Formulare nur das abfragen dürfen, was für den konkreten Fall gebraucht wird. Nicht alles, was „vielleicht mal nützlich sein könnte“, gehört automatisch in die Datenerhebung. Genau da trennt sich saubere Praxis von unnötigem Datensammeln.
Dazu kommt die Speicherbegrenzung. Falldaten müssen gelöscht werden, sobald der Zweck erfüllt ist, es sei denn, es greifen steuerrechtliche Aufbewahrungsfristen [2]. Für die Kommunikation im Verfahren gilt außerdem der Grundsatz der Integrität und Vertraulichkeit. Mit anderen Worten: Die Übertragung sollte technisch abgesichert sein, etwa per TLS/SSL oder Ende-zu-Ende-Verschlüsselung [2][8].
Die Verarbeitung stützt sich meist auf Art. 6 Abs. 1 lit. b DSGVO. Für einzelne Kommunikationswege kann zusätzlich eine Einwilligung nötig sein [2].
Wie diese Regeln in den einzelnen Verfahrensphasen angewendet werden, zeigt der nächste Teil.
Wie BDSG und Mediationsgesetz deutsche Besonderheiten hinzufügen
Die DSGVO ist der Rahmen auf EU-Ebene. Das BDSG ergänzt ihn für Deutschland. Für die Praxis ist vor allem § 38 BDSG wichtig: Wer in der Regel mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt, muss einen Datenschutzbeauftragten benennen [2][7]. Sobald diese Schwelle erreicht ist, besteht die Pflicht.
Auch § 29 BDSG spielt im Mediationsumfeld eine wichtige Rolle. Die Vorschrift kann das Auskunftsrecht nach Art. 15 DSGVO begrenzen, wenn durch die Auskunft Geheimhaltungsinteressen anderer Beteiligter verletzt würden. Heißt im Klartext: Eine Partei kann nicht ohne Weiteres sämtliche Informationen über die andere Partei verlangen, wenn diese unter dem Schutz der Vertraulichkeit stehen [2][4].
Dazu kommt § 4 MediationsG. Er verpflichtet Mediatoren und Beteiligte zur Verschwiegenheit über alles, was ihnen in der Mediation bekannt wird [5]. Das geht über reine Datenverarbeitung hinaus. Geschützt sind nicht nur gespeicherte Daten, sondern auch gesprochene Worte, Eindrücke und nonverbale Kommunikation [8][4].
Wichtig ist außerdem ein Punkt, der in der Praxis leicht übersehen wird: Der Mediator hat eine Verschwiegenheitspflicht, aber kein eigenes Verschwiegenheitsrecht. Wenn die Parteien ihn von der Vertraulichkeit entbinden, kann er zur Aussage verpflichtet sein [4].
Wer für die Daten verantwortlich ist: Plattform, Mediator und Dienstleister
Wer datenschutzrechtlich verantwortlich ist, bleibt im Mediationsverfahren nicht immer an derselben Stelle. Je nach Phase kann sich das verschieben.
Gunfinder ist als Plattform zunächst Verantwortlicher für Nutzerkonto- und Transaktionsdaten sowie für die Entgegennahme von Streitfällen [2]. Der Mediator verarbeitet die Falldaten für die Durchführung des Verfahrens dagegen als eigener Verantwortlicher [2].
Anders sieht es bei IT-Dienstleistern aus, etwa bei Cloud- oder Videokonferenzanbietern. Sie sind Auftragsverarbeiter nach Art. 28 DSGVO. Das heißt: Sie dürfen Daten nur nach Weisung des Verantwortlichen verarbeiten. Dafür braucht es einen schriftlichen Auftragsverarbeitungsvertrag [2][8].
Die Einhaltung dieser Regeln wird von den deutschen Landesdatenschutzbehörden überwacht. Auch Mediatoren unterliegen dieser Kontrolle [2].
Vertraulichkeit und Datenschutz in der Mediation
Verschwiegenheitspflichten für Mediatoren und Parteien
Wer als Mediator oder als beteiligte Person ein Verfahren begleitet, unterliegt der Verschwiegenheit. Das gilt auch für Mitarbeiter einer Plattform, wenn sie Zugriff auf einen Fall haben. In solchen Fällen muss die Vertraulichkeit vertraglich festgelegt sein.
Für die Parteien selbst gilt diese Pflicht dagegen nicht automatisch. Sie muss ausdrücklich vereinbart werden, zum Beispiel in einer Mediationsvereinbarung oder in einer separaten Vertraulichkeitsvereinbarung [4][3]. Genau deshalb sollte eine passende Klausel in jeder Mediationsvereinbarung stehen.
Äußerungen aus der Mediation lassen sich in einem späteren Verfahren grundsätzlich nicht ohne Weiteres verwenden [3]. Datenschutz und Vertraulichkeit greifen hier zwar ineinander, meinen aber nicht dasselbe.
Daraus ergeben sich klare Vorgaben für Zugriff, Weitergabe und Speicherung. Es reicht also nicht, nur über Verschwiegenheit zu sprechen. Auch die Absicherung der Falldaten muss sauber geregelt sein.
Technische und organisatorische Schutzmaßnahmen für digitale Falldaten
Damit Vertraulichkeit nicht nur auf dem Papier steht, braucht es technische und organisatorische Schutzmaßnahmen.
Fallunterlagen sollten nur für den zuständigen Mediator und die direkt beteiligten Parteien zugänglich sein [2]. In der Praxis läuft das meist über rollenbasierte Zugriffsrechte: Jede Rolle sieht nur die Daten, die sie für den jeweiligen Fall braucht. Dazu kommt das Trennungsgebot. Falldaten müssen logisch oder physisch von den allgemeinen Marktplatzdaten getrennt gespeichert werden, damit Mitarbeiter ohne Fallbezug keinen Zugriff erhalten [2].
Bei besonders sensiblen Inhalten ist Ende-zu-Ende-Verschlüsselung sinnvoll, etwa mit S/MIME oder PGP [2].
Auch auf der organisatorischen Seite braucht es klare Regeln. Dazu zählen vor allem:
- ein Verarbeitungsverzeichnis nach Art. 30 DSGVO
- feste Löschfristen
- die Beachtung gesetzlicher Aufbewahrungsfristen, etwa 10 Jahre nach § 147 AO im Steuerrecht oder 6 Jahre für anwaltliche Mediatoren nach § 50 BRAO [1][2]
So wird aus Vertraulichkeit mehr als nur ein Versprechen im Vertrag. Sie wird im täglichen Umgang mit digitalen Falldaten auch praktisch abgesichert.
Rechtskonforme Datenverarbeitung auf Gunfinder: vom Streiteingang bis zur Fallschließung
DSGVO-konforme Mediation: Datenphasen & Rechtsgrundlagen im Überblick
Datenerhebung und Rechtsgrundlagen in jeder Mediationsphase
Nach den Schutzmaßnahmen geht es jetzt um den praktischen Ablauf der Fallbearbeitung auf Gunfinder.
Wichtig ist dabei: Nicht jede Phase verarbeitet dieselben Daten. Und genau deshalb braucht auch jeder Schritt seine eigene Rechtsgrundlage.
| Mediationsphase | Verarbeitete Daten | Rechtsgrundlage (Art. 6 DSGVO) | Empfohlene Schutzmaßnahmen |
|---|---|---|---|
| Streiteingang | Name, Kontaktdaten, Gunfinder-ID, Transaktions-ID | Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich) | Verschlüsselte Eingangsformulare; Zugriff nur für das Eingangs-Team; Löschung nach kurzer Frist, wenn kein Verfahren folgt [2] |
| Identitätsprüfung | geschwärzte Ausweiskopie, Eigentumsnachweis | Art. 6 Abs. 1 lit. c DSGVO | Löschung der Ausweiskopie nach Prüfung; Zugriff nur für zuständige Personen |
| Beweissichtung | Chat-Verläufe, Artikelfotos, Zahlungsbelege, Gutachten | Art. 6 Abs. 1 lit. b DSGVO | Schwärzung nicht relevanter personenbezogener Daten; gesicherter digitaler Fallordner |
| Sitzungen | Aussagen, Video-/Audioaufnahmen, Mediatornotizen | Art. 6 Abs. 1 lit. b DSGVO; bei Aufnahmen zusätzlich Art. 6 Abs. 1 lit. a DSGVO | Einwilligung vor Aufnahmen; getrennte Ablage der Mediatornotizen |
| Einigung und Abschluss | Einigungstext, Kontodaten für Erstattungen, Unterschriften | Art. 6 Abs. 1 lit. b DSGVO | Digitale Signaturen; eingeschränkter Zugriff auf die finale Vereinbarung |
| Aufbewahrung/Archivierung | Rechnungen, Abschlussvereinbarungen, steuerrelevante Kommunikation | Art. 6 Abs. 1 lit. c DSGVO | 10-jährige Aufbewahrung für steuerrelevante Unterlagen [1][2]; automatisierte Löschfristen |
Die Logik dahinter ist ziemlich klar: Beim Streiteingang reichen meist Basisdaten zur Zuordnung des Falls. Später, bei Identitätsprüfung oder Beweissichtung, wird es deutlich sensibler. Spätestens bei Sitzungen, Aufnahmen und Abschlussdokumenten solltest Du deshalb genau trennen, wer was sehen darf und wie lange die Daten gebraucht werden.
Betroffenenrechte und Mediationsvertraulichkeit
Betroffenenrechte gelten auch im Mediationsverfahren. Sie stehen also nicht einfach still, nur weil ein Streitfall läuft.
Trotzdem gibt es Grenzen. Wenn eine Auskunft oder Löschung die Vertraulichkeit der Mediation oder den Schutz des Verfahrens gefährden würde, können diese Rechte im Einzelfall zurücktreten. § 29 BDSG kann den Auskunftsanspruch zusätzlich einschränken. Mediatornotizen sollten deshalb getrennt im Aktenbereich liegen; sie sind meist nicht auskunftspflichtig.
Gerade hier zeigt sich, wie wichtig eine saubere Aktenstruktur ist. Wenn alles in einem einzigen Ordner landet, wird es bei Auskunftsersuchen oder Löschanfragen schnell unübersichtlich.
Grenzüberschreitende Fälle und Aufbewahrungsfristen
Nach Abschluss und Archivierung kommen oft noch ein paar knifflige Punkte dazu, vor allem bei Fällen mit Bezug ins Ausland.
Innerhalb der EU und des EWR gilt die DSGVO direkt. Für die Schweiz greift der Angemessenheitsbeschluss. Bei anderen Drittländern brauchst Du Standardvertragsklauseln nach Art. 46 DSGVO [1][2].
Bei den Fristen ist die Lage ebenfalls klarer, als sie auf den ersten Blick wirkt: Das MediationsG selbst nennt keine festen Fristen. Für steuerrelevante Unterlagen gelten 10 Jahre, für anwaltliche Mediatoren zusätzlich 6 Jahre [1][2]. Ein automatisierter Löschkalender ist hier fast Pflicht. Er hilft dabei, Fristen sauber zu dokumentieren und Löschungen pünktlich anzustoßen.
Die größten Risiken liegen am Ende oft nicht im Eingang eines Falls, sondern später im Alltag:
- zu breite Zugriffsrechte
- verspätete Löschung
- lückenhafte Dokumentation
Genau dort entscheidet sich, ob die Datenverarbeitung auf Gunfinder im Alltag sauber läuft oder ob aus einem kleinen Versehen später ein ernstes Datenschutzproblem wird.
Risikomanagement und Fazit: Mediationsverfahren rechtskonform und verlässlich halten
Wenn die Prozessschritte einmal feststehen, zeigt sich im Alltag schnell, worauf es ankommt: Risikomanagement macht den Unterschied bei der Qualität.
Typische Compliance-Risiken in Mediationsakten und Kommunikation
Nach der Prozesslogik aus dem vorigen Abschnitt kommt jetzt die heikle Seite der Praxis. Anders gesagt: Wo geht es im Alltag oft schief?
| Risikoszenario | Mögliche Auswirkung | Gegenmaßnahme |
|---|---|---|
| Unverschlüsselte Weitergabe | Sensible Daten können abgefangen werden | Verschlüsselte Übertragung und Ablage |
| Zu lange Datenspeicherung | Verstoß gegen Speicherbegrenzung | Dokumentiertes Löschkonzept mit festen Fristen |
| Zu breite interne Zugriffsrechte | Verletzung der Vertraulichkeit nach § 4 MediationsG | Rollenbasierte Zugriffskontrollen; physische und digitale Datentrennung |
| Einsatz öffentlicher Cloud-KI-Dienste | Vertrauliche Falldaten dürfen nicht in öffentliche KI-Tools fließen | Lokal betriebene oder gesicherte KI-Systeme; ausdrückliche Einwilligung der Parteien [6] |
| Datenpanne (z. B. verlorenes Gerät) | Meldepflicht; Bußgelder nach Art. 83 DSGVO; Reputationsschaden | Vollplattenverschlüsselung; Fernlöschung (Remote Wipe); 72-Stunden-Meldeworkflow [2] |
| Offenlegung von Mediationsinhalten vor Gericht | Mediationsinhalt wird als Beweismittel verwendet | Vertragliche Verwertungsbeschränkung in der Mediationsvereinbarung [4] |
Ein Punkt wird dabei oft übersehen: § 4 MediationsG bindet den Mediator und Hilfspersonen. Für die Parteien selbst reicht das aber nicht automatisch. Dafür braucht es eine eigene Vertraulichkeitsklausel.
Dokumentation, Schulung und Privacy by Design
Aus diesen Risiken ergeben sich drei Stellschrauben: Dokumentation, Schulung und technische Begrenzung.
Das Verarbeitungsverzeichnis nach Art. 30 DSGVO hält Zweck, Phase und Löschfrist fest. So bleibt nicht alles im Kopf oder in einzelnen E-Mails hängen, sondern ist sauber dokumentiert. Gerade bei Mediationsverfahren ist das wichtig, weil sich Datenflüsse sonst schnell verselbstständigen.
Dazu kommen regelmäßige Schulungen für Mitarbeitende und Mediatoren. Das klingt erstmal trocken, ist im Alltag aber oft der Punkt, an dem Fehler vermieden werden. Denn viele Probleme entstehen nicht durch böse Absicht, sondern durch Routine, Zeitdruck oder einen unbedachten Klick.
Bei KI-Tools gilt eine klare Linie: Sie laufen nur lokal oder in gesicherten Systemen. Vertrauliche Falldaten gehören nicht in öffentliche Dienste. Und wenn ein Datenschutzvorfall passiert, läuft die Meldung binnen 72 Stunden.
Kernaussagen
Rechtskonforme Mediation braucht klare Zuständigkeiten, so wenig Daten wie möglich und saubere Löschfristen. Für Gunfinder als Plattform heißt das: klare Rechtsgrundlagen für jede Verarbeitungsphase, strikt begrenzte Zugriffsrechte und ein dokumentiertes Löschkonzept.
FAQs
Wann brauche ich für Mediationsdaten eine Einwilligung?
Eine Einwilligung brauchst du dann, wenn die Verarbeitung personenbezogener Daten in der Mediation nicht bereits auf einem anderen Rechtfertigungsgrund beruht.
Das ist vor allem bei sensiblen Daten der Fall, zum Beispiel bei Angaben zur Gesundheit oder zu politischen Einstellungen. Auch dann, wenn du Daten für Zwecke nutzen willst, die in der ursprünglichen Datenschutzinformation nicht genannt wurden, ist eine Einwilligung nötig.
Wer ist in der Mediation datenschutzrechtlich verantwortlich?
Datenschutzrechtlich verantwortlich im Sinne der DSGVO ist die Person oder Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet. In der Mediation sind das die Mediatoren.
Das heißt ganz praktisch: Sie tragen die Verantwortung für den Umgang mit den Daten. Sie müssen die Grundsätze des Datenschutzes einhalten, über die Verarbeitung informieren, die Rechte der betroffenen Personen wahren und passende technische sowie organisatorische Maßnahmen zum Schutz der Daten umsetzen.
Welche Mediationsdaten muss ich wie lange aufbewahren?
Personenbezogene Daten darfst Du nur so lange speichern, wie dafür eine Rechtsgrundlage besteht oder die Daten für den jeweiligen Zweck noch gebraucht werden. Eine feste Standardfrist gibt es nicht.
Für Rechtsanwältinnen und Rechtsanwälte gilt bei Handakten nach § 50 Abs. 2 BRAO eine Aufbewahrungsfrist von fünf Jahren. Längere Fristen können sich aber etwa aus § 147 AO, aus anhängigen Rechtsstreitigkeiten oder aus § 3 Abs. 3 Mediationsgesetz ergeben.
Sobald der Zweck wegfällt, müssen die Daten gelöscht werden.
Auktion
