Warum Ihre Datenschutzerklärung nicht mehr ausreicht
Tracking, Cookies, Social Media, das TTDSG und die DSGVO – Gemeinsam führen sie dazu, dass Mustertexte von früher für die Datenschutzerklärung auf einer Webseite von heute nicht mehr reichen. Zum Glück gibt es arztfreundliche Lösungen.
Nutzt Ihre Webseite eine Muster-Datenschutzerklärung, wie wir als Verband der niedergelassenen Ärzte sie viele Jahre lang angeboten haben? Also eine Textvorlage, die Sie an einigen Stellen angepasst haben, die aber ansonsten wortgleich übernommen wurde? Dann sollten Sie jetzt tätig werden.
Denn seit dem 1.12.2021 gilt in Deutschland – neben der EU-DSGVO und vielen weiteren Vorschriften – nun auch das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG). In § 25 TTDSG geht es um das Setzen von Cookies, ohne die kaum eine Webseite heutzutage mehr auskommt:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Der User muss also einwilligen. Deshalb zeigen die allermeisten Webseiten auch einen Cookie-Banner an. Besucher der Webseite können dann auswählen, welche Cookies gesetzt bzw. genutzt werden dürfen. So passiert das auch auf der Virchowbund-Webseite. Solange keine Zustimmung vorliegt, dürfen keine Cookies (oder nur technisch absolut notwendige) gesetzt werden.
Doch das TTDSG bringt eine entscheidende Wendung: Ab sofort muss die Einwilligung zur Datenverarbeitung auch dann vor (!) der Verarbeitung von Nutzerdaten der Nutzer eingeholt werden, wenn gar kein „Cookie“ im technischen Sinne gesetzt wird, sondern andere Informationen – etwa Browserdaten des Besuchers – genutzt werden. Als Ausnahme von dieser Pflicht kommen nur solche Datenverarbeitungen in Betracht, die für Sicherheit, Stabilität oder Funktionalität der Webseite wirklich erforderlich sind.
Was fällt alles unter diese Pflicht zur vorherigen Einwilligung? Wann ist die Einwilligung ungültig, da der Nutzer sie informiert treffen können muss? Zu den Unsicherheiten durch die DSGVO kommen nun weitere Unsicherheiten durch das TTDSG. Die Datenschutzkonferenz veröffentlichte zwar Leitlinien. Diese machen es allerdings in der Praxis nicht einfacher. Denn im Urteil „Schremms II“ hat der Europäische Gerichtshof (EuGH) selbst für eine einfache Facebook-Fanpage eine sogenannte „Gemeinsame Verantwortung“ für den Datenschutz der Besucher zwischen der Plattform und dem Administrator der Seite unterstellt.
Das bedeutet: Ein Webseiten-Betreiber (z. B. ein Arzt bzw. eine Arztpraxis) müsste genau wissen, was die Programmierer der Webseite technisch „verbaut“ haben und welche Daten dafür von den Nutzern erhoben werden. Das ist von außen jedoch kaum feststellbar.
Moderne Webseitengestaltung z. B. ist responsiv, passt sich also dem Endgerät der User an. Die Virchowbund-Webseite sieht auf Ihrem Smartphone anders aus als auf einem Desktop-PC. Dafür arbeiten Webentwickler oft mit Bibliotheken veränderlicher Schriften und Grafiken. Auch andere Nutzergewohnheiten erfordern zusätzliche Tools, damit die sogenannte „User Experience“ positiv ausfällt. Zum Beispiel, wenn Beiträge auch über Facebook oder Twitter geteilt werden können, Kommentare möglich sind (wie hier im Praxisärzte-Blog), das Content-Management-System mehr Flexibilität bieten soll und vieles mehr. Viele Programmierer und auch Anbieter von Baukasten-Systemen für Webseiten bauen eine Reihe solcher Tools standardmäßig in ihren Programmcode ein.
Und genau das kann für den unwissenden Betreiber einer Seite zur Gefahr werden, wenn er blind auf Mustertexte vertraut. Der früher übliche Hinweis, dass „diese Seite Cookies verwendet“ und man „mehr in den Informationen zum Datenschutz“ lesen und zudem einer Verarbeitung seiner Daten „widersprechen“ kann, reicht nicht mehr aus. Das Landgericht München I hat z. B. im Urteil vom 20.01.2022 (Az. 3 O 17493/20) Schadensersatz verhängt, weil eine Webseite Google Fonts einsetzte ohne dafür eine Einwilligung der Nutzer einzuholen.
Aber „viel hilft viel“ ist leider ebenso falsch. Datenschutzbehörden haben auch schon abgestraft, dass die Datenschutzerklärung Funktionen benannte, die de facto noch gar nicht auf der Webseite eingebunden waren.
Was Sie jetzt tun sollten
Wir empfehlen deshalb dringend, sich von solchen „one size fits all“-Texten möglichst rasch zu verabschieden. Wählen Sie besser eine individuelle Lösung für die Datenschutzerklärung, die an Ihre Praxishomepage und deren Funktionalitäten angepasst sind.
Dafür haben Sie mehrere Möglichkeiten:
- Sie wenden sich an Ihren Webseitendesigner. Er sollte mindestens Informationen zu den programmierten Funktionen geben und darauf basierende Textbausteine liefern. Auch wenn laut Gesetz Sie als der Auftraggeber selbst für die Einhaltung des Datenschutzes und der Gesetzeskonformität sorgen und einen Datenschutzbeauftragten benennen müssen: Nur der Programmierer kann wissen, was „unter der Haube“ seiner Anwendung passiert – und das ist es, was nach der neuen Rechtslage entscheidend ist und in den Informationen für die Nutzer zur Einwilligung zutreffend dargestellt werden muss.
- Sie nutzen einen Textgenerator für die Datenschutzerklärung. Die Preise sind moderat. Der Vorteil eines solchen Datenschutzgenerators: Durch das Baukasten-Prinzip ist er einfach zu bedienen und spätere rechtliche oder technische Änderungen lassen sich im Text leicht updaten. Es gibt einige seriöse Anbieter am Markt, die auch weiterführende Informationen bieten, zum Beispiel der Datenschutzgenerator von Dr. Thomas Schwenke oder der Kanzlei WBS.
- Sie lagern die Verantwortung an einen Consent Management Provider (CMP) aus. Der CMP sollte Ihnen auch die Gestaltung des rechtskonformen Cookie-Banners abnehmen. Hier finden Sie eine Übersicht an Anbietern. Der CMP sollte seinen Sitz in der EU haben. Ein deutscher Anbieter mit Renommee ist Usercentrics.
Wie schon nach der Einführung der DSGVO wird das Thema Datenschutz für niedergelassene Ärzte und Ärztinnen durch das TTSDG leider nicht einfacher, sondern komplexer. Scheinbar aufwandsarme Mustertexte auf der Praxiswebseite sind leider keine gute Lösung. Sie vermitteln nur eine trügerische – und bei Schadensersatzforderungen ggfs. auch teure – Sicherheit.
Das ist der Grund, weshalb auch der Virchowbund keine Musterdatenschutzerklärung mehr anbietet. Nutzen Sie besser eine der drei genannten Alternativen, um rechtlich auf der sicheren Seite zu bleiben. Natürlich führen wir unser anderes Angebot rund um Datenschutz im Praxismanagement fort:
- Praxisinfo 26: „Datenschutz − DSGVO in der Arztpraxis“
- Praxisinfo 41: „Praxis-Webseite“
- Vorlage: Patienteninformation zum Datenschutz
- Vorlage: Patienteninformation – Einwilligungserklärung zur Datenweitergabe
- Vorlage: Verschwiegenheitserklärung extern (Dienstleister)
- Vorlage: Verschwiegenheitserklärung intern (Mitarbeiter)
Ist Ihre Praxishomepage vom TTDSG betroffen? Welche Variante der Datenschutzerklärung haben Sie gewählt? Hinterlassen Sie uns einen Kommentar oder steigen Sie tiefer ein auf unseren Seiten zur Praxishomepage und zum Datenschutz.
Kommentare
Keine Kommentare