Cookie Banner und Co. – Was muss ich bei meiner Praxishomepage datenschutzrechtlich beachten?

Approbation erhalten, eine schöne Praxisimmobilie im Auge und die Eintragung im Arztregister beantragt – jetzt fehlt nur noch eine neue Website, um neue und eventuell auch schon bestehende Patienten über das Tätigkeitsfeld und die Öffnungszeiten zu informieren. Vielleicht macht sogar ein Terminvergabetool Sinn. Spätestens an diesem Punkt müssen sich Ärztinnen und Ärzte auch mit den gesetzlichen Vorgaben der Datenschutzgrundverordnunng DSGVO vertraut machen. Damit Sie genau wissen, was es mit „Cookie Banner & Co.“ auf sich hat, haben wir Dr. Matthias Müller, Inhaber der Rechtsanwaltskanzlei Datenschutzdoktor aus Nürnberg, dazu befragt und geben Ihnen im nachfolgenden Fachbetrag wertvolle Tipps und Hinweise.

Was genau sind Cookie Banner überhaupt?

Cookie Banner oder besser sogenannte Cookie Consent Tools sind im Prinzip Software-Programme, die bei der Umsetzung der datenschutzrechtlichen Anforderungen helfen. Mit diesen wird beim Nutzer abgefragt, ob dieser mit dem Setzen bestimmter Cookies einverstanden ist (oder eben nicht).

Sollte der Nutzer nicht zustimmen, so stellt das Cookie Consent Tool im Idealfall sicher, dass die betreffenden Cookies tatsächlich auch nicht gesetzt werden.

Was genau sind eigentlich diese Cookies?

Die meisten Website-Besucher sind eher genervt von Cookie Bannern. Jedoch sind nicht die jeweiligen Meldungen das eigentliche Problem, sondern die Websitebetreiber, die möglichst viele Informationen und Daten über Ihre Websitebesucher – durch sog. Tracking – sammeln möchten.

Ein Cookie ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Tablet oder Smartphone) jeweils zu einer besuchten Website (Webserver, Server) gespeichert wird und unterschiedliche Zwecke verfolgt. Zum Beispiel können mittels Cookies bestimmte Einstellungen gespeichert werden (Sprache, Schriftgröße, Artikel im Warenkorb, etc.), was durchaus hilfreich ist.

Leider werden Cookies aber überwiegend für statistische Zwecke oder zum Werbe-Tracking (Stichwort: personalisierte Werbung) eingesetzt. Je nach Zweck des eingesetzten Cookies greifen datenschutzrechtlich unterschiedliche Rechtsgrundlungen für die Verarbeitung. Hinsichtlich technisch erforderlicher Cookies kann sich der Verantwortlich auf sein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO stützen.

Soweit Cookies aber zu Zwecken des Marketings oder Trackings genutzt werden, benötigt der Verantwortliche eine ausdrückliche Einwilligung des Nutzers. Diese ist technisch so auszugestalten, dass der Nutzer sein Einverständnis zeitlich vor dem Setzen eines Cookies erteilen kann. Die datenschutzkonforme Realisierung zieht dann zumeist umsetzungstechnisch weitere Probleme nach sich.

Unserer Erfahrung nach ist beim Thema Cookies „weniger oft mehr“. Dient Ihre Website hauptsächlich dazu, den Besucher und (potenziellen) Patienten Informationen über Ihre Praxis zu geben, sollten Sie auf nervige Cookie Banner noch aufwendige Einwilligungserklärungen verzichten.

Wann benötigt man ein Cookie-Banner und was bedeutet das für die Homepage einer Arztpraxis?

Die Faustformel, wann ein Cookie-Banner benötigt wird, ist simpel:

Setzt die Website Cookies, die nicht zwingend aus technischen Gründen erforderlich sind? Dann benötigen Sie einen Cookie-Banner bzw. ein Cookie-Consent Tool.

Wie erkenne ich, ob eine Website Cookies setzt?

Viele Cookie-Consent Tools überprüfen die eigene Website im Hinblick auf die eingesetzten Cookies automatisch und erstellen sog. Cookie-Tabellen, die auch in der Datenschutzerklärung implementiert werden können.

Darüber hinaus kann man Cookies auch mit bestimmten Browserplugins erkennen oder sie werden vom Browser direkt (häufig im „Expertenmodus“) angezeigt.

Weiteres zum Datenschutz auf der Praxishomepage

Für Ihre datenschutzkonforme Internetpräsenz benötigen Sie außerdem immer eine sog. Datenschutzerklärung.

Diese sollte gut auffindbar (am besten mit einem „Klick“ erreichbar) auf Ihrer Website eingebunden werden und alle Information des Art. 13 DSGVO beinhalten.

Der Nutzer erhält hierüber allgemeine Informationen zum Verantwortlichen sowie die Erhebung, Speicherung und Nutzung der personenbezogenen Daten, die während seines Besuchs auf der Website verarbeitet werden. Hintergrund hierfür ist der datenschutzrechtliche Grundsatz der Transparenz.

Im Idealfall werden in dieser Erklärung alle Verarbeitungsprozesse abgebildet, welche auf der Website erfolgen, auch wenn diese für den Nutzer nicht sichtbar sind und/oder im Hintergrund stattfinden.

Die klassischen Inhalte sind – neben dem Namen / Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten – insbesondere Informationen zur Verwendung von Cookies, Google Maps, Webfonts, eines Kontaktformulars oder dem Versand von Newslettern.

Je nach Umfang der eingesetzten Dienste oder Plugins (bspw. einem Facebook-Button), variiert der Umfang der Datenschutzerklärung. Genaue Details hierzu erhalten Sie von Ihrem Website-Betreuer.

Dabei ist es entscheidend, dass diese Informationen exakt und umfänglich vorliegen, um eine gesetzeskonforme Datenschutzerklärung erstellen zu können.

Bei Änderungen oder Neuerungen auf Ihrer Website ist deswegen auch immer zu überprüfen, ob hierdurch eine Aktualisierung der Datenschutzerklärung notwendig wird. Nur so können Sie teure Abmahnungen durch Dritte vermeiden, die täglich mit spezialisierter Software vollautomatisch unzählige Erklärungen von Websites auf solche Detailfehler durchsuchen.

Datenschutz-TIPP vom Experten

Der Einsatz von Trackingtools wie Google Analytics birgt seit dem EuGH-Urteil vom 16. Juli 2020 (Rechtssache C-311/18 „Schrems II“) ein erhöhtes Rechtsrisiko. Der EuGH hat hier entschieden, dass die Rechtsgrundlage für Datenübermittlungen in die USA – mittels des sog. EU-US Privacy-Shield – unwirksam ist. Solche Übermittlungen in die USA sind seitdem somit unzulässig.

Wie der Einsatz von Google-Analytics & Co. nun trotz dieses Urteils datenschutzkonform ausgestaltet werden (Stichwort: „Standardvertragsklauseln“), ist eine Frage des Einzelfalls und sollte nur in Rücksprache mit Ihrem Datenschutzexperten erfolgen. Im Zweifelsfall käme hier auch eine Anfrage bei der zuständigen Datenschutzaufsichtsbehörde in Betracht. Aktuell ist jedoch vom Einsatz solcher Dienste unbedingt abzuraten, um keine bußgeldrelevanten Verstöße zu verursachen.

 

Diese 6 Schritte helfen Ihnen, die Website Ihrer Arztpraxis datenschutzrechtlich sicherer zu machen

  1. Bereithalten einer vollständigen Datenschutzerklärung auf der Website, welche mit max. 2 Klicks erreichbar ist
  2. Einsatz eines DSGVO-konformen Cookie-Consent-Tools (Cookie-Banners)
  3. Dienste, die personenbezogene Daten ohne Rechtsgrundlage in die USA übertragen, vorläufig abschalten
  4. Beim Einsatz von Newslettern auf die richtige Ausgestaltung des „Double-Opt-In“ – Verfahrens achten
  5. Auf die https-Verschlüsselung der Website achten
  6. Den Grundsatz der Datenminimierung bei Kontaktformularen beachten

In jeder Arztpraxis wichtig: So etablieren Sie ein erfolgreiches Qualitätsmanagement - damit die Pflicht zur Freude wird!

In diesem Ebook finden Sie wertvolle Tipps und Beispiele für das Qualitätsmanagement Ihrer Praxis - kostenlos als PDF zum Download! Jetzt eBook downloaden
Bild-EbookQM

Fazit: Mit guter Beratung Ärger vorbeugen

Praxisinhaber haben beim Betrieb der eigenen Praxiswebsite aus datenschutzrechtlicher Sicht einiges zu beachten. Die vorstehenden Punkte bilden aufgrund der Vielzahl an möglichen Verarbeitungsprozessen nur einen Teilbereich der gesamten Thematik ab und sind keinesfalls abschließend.

Um bußgeldrelevante Verarbeitungen zu vermeiden, sollten Praxisverantwortliche sich professionelle Unterstützung bei der Umsetzung der aktuellen gesetzlichen Vorgaben durch ihren Website-Betreuer und den eigenen Datenschutzbeauftragten /-berater einholen.

Sollten Sie Fragen zur gesetzeskonformen Umsetzung der datenschutzrechtlichen Vorgaben Ihrer Praxiswebsite oder andere Fragen rund um das Thema Datenschutz haben, stehen Ihnen die Rechtsanwälte vom Datenschutzdoktor gerne unverbindlich zur Verfügung.

Weitere Infos 6x im Jahr in unserem Newsletter

Über weitere interessante Informationen, Tipps und Tricks rund um die Arztpraxis und andere Unternehmen aus dem Gesundheitswesen informieren wir Sie gerne in unserem Newsletter.

DIREKT KONTAKT AUFNEHMEN

ZURÜCK ZUR ÜBERSICHT

Zur Person

 

Die Rechtsanwaltskanzlei Datenschutzdoktor wurde im Jahre 2017 von RA Dr. Matthias Müller gegründet. Seitdem berät die Kanzlei mit mehreren Berufsträgern und Sitz in Nürnberg deutschlandweit Ärzte, Zahnärzte und Apotheker zum Thema Datenschutz und ist als externer Datenschutzbeauftragter bestellt.

RA Dr. Müller ist geschäftsführender Gesellschafter, zugelassener Rechtsanwalt und TÜV-zertifizierter Datenschutzbeauftragter. Nach seiner mehrjährigen Tätigkeit in einer internationalen Wirtschaftsrechtskanzlei, spezialisierte er sich auf das Thema Datenschutz mit dem Fokus auf Heilberufe.

Neben der Veröffentlichung von regelmäßigen Fachbeiträgen, hält er Seminare und Vorträge zum Thema: „Datenschutz in Heilberufen“ u.a. für die Niedersächsische Zahnärztekammer und wirkt an der Gestaltung zur Auslegung der datenschutzrechtlichen Regelungen für Heilberufe in mehreren Fachgremien mit.