Homepage, Facebook und Co.: Aktuelle Rechtsprechung

Für niedergelassene Ärzte wird es immer wichtiger, zum Zwecke der Patientengewinnung und der Patientenbindung im Online-Bereich präsent zu sein. Neben der eigenen Praxishomepage gewinnen auch die Sozialen Medien an Bedeutung.

*verfasst am 08.10.2019 / aktualisiert am 11.10.2022

Wann ist eine Datenschutzerklärung überhaupt erforderlich?

Eine Datenschutzerklärung ist immer dann erforderlich, wenn personenbezogene Daten über eine der o.g. Plattformen erhoben werden. Es ist bereits ausreichend, dass der Server, auf dem die Seiten gehostet werden, im Hintergrund personenbezogene Daten in Form von Server-Logfiles erhebt. Diese Logfiles enthalten IP-Adressen, welche personenbezogene Daten darstellen. Auch wenn auf den Seiten selbst keine persönlichen Daten der Nutzer verarbeitet werden (z. B. Kontaktformular), werden personenbezogene Daten durch den Hoster erhoben.

Welche Pflichtangaben sollte die Datenschutzerklärung enthalten?

Eine häufige Fehlerquelle stellt der Cookie-Hinweis dar. In einem Urteil des Europäischen Gerichtshofs (EuGH Urteil v. 1.10.2019, AZ: C-673/17) hat dieser dargelegt, dass eine aktive Einwilligung der Nutzer von Webseiten für die Nutzung von nicht technisch notwendigen Cookies nötig ist. Ein voreingestelltes Ankreuzkästchen, welches abgewählt werden muss, reicht nicht mehr aus. Der Besucher muss beim erstmaligen Aufrufen der Seite auf die Nutzung von Cookies und die Datenschutzerklärung hingewiesen werden, in welcher die Nutzung von Cookies und der verbundene Sinn und Zweck der Datenspeicherung und Datennutzung ausführlich beschrieben wird. 

Das Bußgeldrisiko für einen Verstoß gegen das Datenschutzrecht bezogen auf Cookie-Banner steigt in Deutschland, auch wenn es bisher noch keine Sanktionen gegeben hat. In anderen Ländern der EU, wie zum Beispiel Spanien oder Belgien wurden bereits derartige Bußgelder in Höhe von 1.600 Euro bis 30.000 Euro verhängt. Ein Verstoß gegen die Artikel 6 und 7 der DSGVO im Hinblick auf die Einwilligung zieht ebenfalls das "große Bußgeld" gem. Art. 83 Abs. 5 DSGVO nach sich, welches bis zu 20 Millionen Euro oder auch 4 Prozent des Konzernjahresumsatzes ausmachen kann.

Um der Gefahr eines Bußgeldes zu entgehen, sollten Praxis-Homepage-Inhaber daher ihren Cookie-Hinweis überprüfen. Wenn der Einsatz von Cookies nicht zwingend nötig ist, wäre eine Entfernung der Cookies die einfachste Variante. Sollen jedoch Cookies eingesetzt werden, so ist als bisher sicherste Variante der Einsatz eines sog. "Einwilligungs-Banners" zu empfehlen. Dieser müsste der eigentlichen Homepage vorgeschaltet sein. Wichtig ist neben einem solchen Banner auch, die Datenschutzerklärung dementsprechend zu überarbeiten und insbesondere die Angabe zu ergänzen, um welche Cookies es sich handelt.

Zudem müssen Websites, auf denen personenbezogene Daten erhoben werden, diese Daten grundsätzlich verschlüsselt übertragen. Weil jede Website zumindest die IP-Adresse eines Besuchers erfasst, ist die Verschlüsselung Pflicht. Das Ziel ist zu verhindern, dass Unbefugte Zugriff zu den übermittelten Daten der Besucher erhalten.

Welche Besonderheiten bestehen bei der Praxishomepage?

Auf der Praxishomepage wird nicht selten ein umfangreiches Serviceangebot angeboten. Sowohl bei der Bereitstellung eines Online-Terminservices, der Bestellung von Rezepten und Überweisungen oder Patienten-Newslettern als auch bei der Beantwortung von Anfragen werden personenbezogene Daten verarbeitet. Es ist darauf zu achten, dass all diese Serviceangebote auch in der Datenschutzerklärung in präziser, transparenter und verständlicher Form benannt sind.

Ebenfalls eine Besonderheit bei Arztpraxen stellen Angaben dar, in denen die Patienten etwas über ihre Gesundheit mitteilen. Dann handelt es sich nämlich um besondere Kategorien von Daten, die nur auf Grundlage von Artikel 9 DSGVO verarbeitet werden dürfen. Bereits die Tatsache, dass ein Patient bei einer bestimmten Arztpraxis einen Termin hat, dürfte als gesundheitsbezogene Daten im Sinne des Art. 9 DSGVO zu werten sein, wofür die besonderen Erlaubnisnormen dieses Artikels gelten.

Welche Besonderheiten gelten bei der Nutzung der Sozialen Medien?

Das Bundesverwaltungsgericht hat am 11. September 2019 entschieden, dass der Betreiber einer Fanpage gemeinsam mit Facebook für die dortige Datenverarbeitung verantwortlich ist. Datenschutzbeauftragte der Länder fordern jedoch nunmehr, Fanpages gänzlich abzuschalten, da ein datenschutzkonformer Betrieb einer Fanpage nicht möglich sei. Gemäß eines Gutachtens der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fehlt es sowohl an einer wirksamen Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, als auch an der Erfüllung der Informationspflichten gem. Art. 13 DSGVO. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte im Juni 2022 verkündet, dass er den datenschutzkonformen Betrieb von Fanpages bei Facebook aktuell für nicht möglich hält. 

Falls auf den Betrieb einer Fanpage dennoch nicht verzichtet werden soll und die Fanpage zumindest möglichst datenschutzkonform betrieben werden kann, ist es neben dem Abschluss der Vereinbarung über eine gemeinsame Verantwortlichkeit mit Facebook (sog. Facebook Insights) erforderlich, eine eigene Datenschutzerklärung sowie ein eigenes Impressum auf der Fanpage im Feld "Notiz schreiben" zu veröffentlichen, oder zumindest über eine Verlinkung im Impressum der Webseite zu integrieren.

Die Praxis-Datenschutzerklärung der Fanpages sollte folgende Angaben enthalten:

Für den Einsatz von Social Plugins, u. a. dem "Gefällt mir"-Button von Facebook, hat der EuGH eine ähnliche Entscheidung gefällt, sodass diese Angaben, die bei den "Fanpages" aufgeführt wurden, für den Einsatz von Social Plugins ebenfalls in der Datenschutzerklärung aufgeführt werden müssen. Darüber hinaus ist zu erwarten, dass die gleiche gemeinsame Verantwortlichkeit auch für andere Social-Media-Kanäle angenommen wird. Die dargestellte Vorgehensweise wird daher auch für den Einsatz eines YouTube-Kanals oder auch Twitter, Google+ oder Instagram nahegelegt.

Ausblick

Mit der Einführung der ePrivacy-Verordnung, als sog. Schwester der DSGVO für den Online-Bereich, sollen weitere datenschutzrechtliche Anforderungen sowie mögliche Sanktionen definiert werden. Ziel der Verordnung ist es, die Regeln zur elektronischen Kommunikation an die DSGVO anzunähern. Sie sollte ursprünglich zeitgleich mit der DSGVO bereits 2018 in Kraft treten. Nach einer vierjährigen Verhandlungsphase im Rat der EU kam es aber erst 2021 zu den sog. Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat der EU und der Europäischen Kommission. Da die Positionen von Rat und Parlament jedoch weit auseinander liegen, wird mit einer endgültigen Einigung wohl erst im Laufe des Jahres 2022 zu rechnen sein.

Ob diese neue Verordnung eine Erleichterung des organisatorischen Aufwandes bringen wird, bleibt abzuwarten. Da die Patienten laut einer Studie des Instituts für betriebswirtschaftliche Analysen, Beratung und Strategie-Entwicklung die Qualität der Homepage einer Praxis mit der Qualität der Praxis gleichsetzen, wird der niedergelassene Arzt seine Online-Präsenz jedoch zukünftig nicht mehr ohne ein stetiges Bewusstsein auch für die datenschutzrechtlichen Anforderungen gestalten können.

 

KI_Logo_DE_PNG.png

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.