Seit dem 25.05.2018 ist sie also nun in Kraft, die neue europäische Datenschutz-Grundverordnung, kurz DSGVO. Und obwohl Ärzte und Zahnärzte den Datenschutz schon immer ernst genommen haben, bringt die neue Verordnung umfangreiche Pflichten mit sich. Dies betrifft besonders die Aufklärung darüber, welche Daten erhoben und wie diese verarbeitet werden.

DSGVO

Auch auf der Praxiswebsite werden in der Regel personenbezogene Daten erhoben. Und auch wenn eine Datenschutzerklärung auf der Praxiswebsite bisher schon Pflicht war, muss diese jetzt verständlich formuliert und in aller Regel auch erheblich ausführlicher abgefasst sein.

Da es sich um eine neue Verordnung handelt, ist momentan die Unsicherheit noch recht groß, wie denn nun eine solche Datenschutzerklärung auf der Praxiswebsite formuliert werden sollte und was da alles hinein muss. Manche Ärztekammern und kassenärztlichen Vereinigungen bieten umfangreiches Infomaterial und Mustertexte auf ihren Websites an. Besonders hervorheben möchte ich hier die Landesärztekammer Hessen, die ihre Mustertexte und Empfehlungen sogar mit dem hessischen Landesdatenschutzbeauftragten abgestimmt hat.

Datenschutzgeneratoren

Im Internet gibt es zahlreiche Datenschutzgeneratoren, mit denen eine Datenschutzerklärung zusammengestellt werden kann. In der Vergangenheit waren die meisten dieser Generatoren kostenlos. Mit der Einführung der Datenschutz-Grundverordnung sind viele dieser Dienste kostenpflichtig geworden. Auch übernehmen die Portale keine Gewähr für die Richtigkeit der erstellten Datenschutzerklärungen.

Wenn Sie auf Nummer sicher gehen möchten, sollten Sie sich von einem spezialisierten Rechtsanwalt beraten lassen.

Menülink für die Datenschutzerklärung

Die Datenschutzerklärung auf der Website sollte über einen eigenen Menülink erreichbar sein. Der Website-Besucher sollte auch von jeder Unterseite mit maximal 2 Mausklicks dorthin navigieren können. Es hat sich eingebürgert, die Links zum Impressum und zur Datenschutzerklärung im Fußbereich der Website vorzuhalten.

Formulare

Bieten Sie auf Ihrer Praxiswebsite Formulare an, zum Beispiel für die Kontaktaufnahme oder für die Bestellung von Rezepten und Überweisungen? Dann muss Ihre Website über ein SSL-Sicherheitszertifikat verfügen, damit die Daten aus den Formularen verschlüsselt an den Webserver übertragen werden können. Eine verschlüsselte Verbindung erkennen Sie daran, dass in der Adresszeile des Browsers "https://" statt "http://" steht und in der Browserzeile ein Schloss-Symbol zu sehen ist.

Weiterhin sollte der Website-Besucher vor dem Absenden des Formulars ein Kästchen anklicken müssen, dass er die Datenschutzerklärung zur Kenntnis genommen hat. Ohne das Häkchen in der Checkbox sollte das Formular nicht abgeschickt werden können. Die Juristen sind sich derzeit noch uneins, ob dies unbedingt notwendig ist. Der Trend geht jedoch dahin, eine solche Checkbox zu empfehlen.

Falls Sie per E-Mail oder über ein Kontakt- oder Bestellformular auf Ihrer Website Kontaktdaten wie E-Mailadresse oder Handynummer von Patienten erhalten, sollten Sie diese ausschließlich für die entsprechende Korrespondenz verwenden. Für Terminerinnerungen per E-Mail oder SMS oder den Versand eines Praxisnewsletters dürfen diese Daten nicht genutzt werden. Es ist notwendig, dafür eine eigene Einverständniserklärung einzuholen.

Google Analytics

Problematisch ist derzeit der Einsatz von sogenannten Tracking-Tools wie zum Beispiel Google-Analytics. Der Aufwand, um Google Analytics einigermaßen rechtskonform einzusetzen ist recht hoch. So muss beispielsweise mit Google ein Vertrag zur Auftragsverarbeitung abgeschlossen werden und es müssen Vorkehrungen getroffen werden, um die Besucherdaten zu anonymisieren.

Wer als Website-Betreiber die Besucherdaten regelmäßig auswertet und seine Website anhand dieser Daten fortlaufend optimiert, möchte auf Google Analytics sicher nicht verzichten. Meine Erfahrung ist jedoch die, dass Google Analytics irgendwann einmal installiert wurde, als die Website online ging. Schließlich wollte der Betreiber ja wissen, wie viele Besucher er auf seiner Website hat. Irgendwann war dies dann nicht mehr so wichtig und geriet vielleicht sogar in Vergessenheit. Google Analytics sammelt aber weiterhin fleißig Daten und übermittelt diese an die Google-Server in den USA.

Wer also nicht regelmäßig die Besucherdaten auswertet, sollte den Code von Google Analytics aus seiner Website entfernen.

Einbindung von Inhalten Dritter

Auf vielen Arztwebsites werden Inhalte eingebunden, die von fremden Servern abgerufen werden. Das betrifft zum Beispiel:

  • Karten von Google Maps oder OpenStreetMap
  • Videos von YouTube oder anderen Videoportalen
  • Siegel von Jameda
  • Online-Terminbuchungen

In der Datenschutzerklärung muss darauf explizit hingewiesen werden. Jameda stellt hierfür sogar einen eigenen Mustertext zur Verfügung.

Fotos

Haben Sie Namen oder Fotos Ihrer Mitarbeiter/innen auf der Website? Auch hier handelt es sich um personenbezogene Daten. Sicher haben Sie dafür auch ein mündliches o.k. von Ihren Mitarbeiter/innen bekommen. Ich empfehle Ihnen jedoch, solche Einwilligungen zukünftig schriftlich einzuholen.

Auch eine weitere Pflicht kommt in diesem Fall hinzu. Die Veröffentlichung von Fotos von Mitarbeiter/innen sollte ins Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Ebenso übrigens die Website selbst, da auf ihr in der Regel die IP-Adressen der Website-Besucher erhoben werden.

Vertrag zur Auftragsverarbeitung

Weiterhin ist es sinnvoll, mit Ihrem Webhoster einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abzuschließen.

Weitere Informationen

Zum Thema Datenschutzgrundverordnung für Heilberufe habe ich übrigens eine umfangreiche Linksammlung erstellt.

Fragen?

Für Fragen stehe ich Ihnen selbstverständlich jederzeit zur Verfügung.