Approbation erhalten, eine schöne Praxisimmobilie im Auge und die Eintragung im Arztregister beantragt – jetzt fehlt nur noch eine neue Website, um neue und eventuell auch schon bestehende Patienten über das Tätigkeitsfeld und die Öffnungszeiten zu informieren. Vielleicht macht sogar ein Terminvergabetool Sinn. Spätestens an diesem Punkt müssen sich Ärztinnen und Ärzte auch mit den gesetzlichen Vorgaben der Datenschutzgrundverordnunng DSGVO vertraut machen. Damit Sie genau wissen, was es mit „Cookie Banner & Co.“ auf sich hat, haben wir Dr. Matthias Müller, Inhaber der Rechtsanwaltskanzlei Datenschutzdoktor aus Nürnberg, dazu befragt und geben Ihnen im nachfolgenden Fachbetrag wertvolle Tipps und Hinweise.
Cookie Banner oder besser sogenannte Cookie Consent Tools sind im Prinzip Software-Programme, die bei der Umsetzung der datenschutzrechtlichen Anforderungen helfen. Mit diesen wird beim Nutzer abgefragt, ob dieser mit dem Setzen bestimmter Cookies einverstanden ist (oder eben nicht).
Sollte der Nutzer nicht zustimmen, so stellt das Cookie Consent Tool im Idealfall sicher, dass die betreffenden Cookies tatsächlich auch nicht gesetzt werden.
Die meisten Website-Besucher sind eher genervt von Cookie Bannern. Jedoch sind nicht die jeweiligen Meldungen das eigentliche Problem, sondern die Websitebetreiber, die möglichst viele Informationen und Daten über Ihre Websitebesucher – durch sog. Tracking – sammeln möchten.
Ein Cookie ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Tablet oder Smartphone) jeweils zu einer besuchten Website (Webserver, Server) gespeichert wird und unterschiedliche Zwecke verfolgt. Zum Beispiel können mittels Cookies bestimmte Einstellungen gespeichert werden (Sprache, Schriftgröße, Artikel im Warenkorb, etc.), was durchaus hilfreich ist.
Leider werden Cookies aber überwiegend für statistische Zwecke oder zum Werbe-Tracking (Stichwort: personalisierte Werbung) eingesetzt. Je nach Zweck des eingesetzten Cookies greifen datenschutzrechtlich unterschiedliche Rechtsgrundlungen für die Verarbeitung. Hinsichtlich technisch erforderlicher Cookies kann sich der Verantwortlich auf sein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO stützen.
Soweit Cookies aber zu Zwecken des Marketings oder Trackings genutzt werden, benötigt der Verantwortliche eine ausdrückliche Einwilligung des Nutzers. Diese ist technisch so auszugestalten, dass der Nutzer sein Einverständnis zeitlich vor dem Setzen eines Cookies erteilen kann. Die datenschutzkonforme Realisierung zieht dann zumeist umsetzungstechnisch weitere Probleme nach sich.
Die Faustformel, wann ein Cookie-Banner benötigt wird, ist simpel:
Setzt die Website Cookies, die nicht zwingend aus technischen Gründen erforderlich sind? Dann benötigen Sie einen Cookie-Banner bzw. ein Cookie-Consent Tool.
Viele Cookie-Consent Tools überprüfen die eigene Website im Hinblick auf die eingesetzten Cookies automatisch und erstellen sog. Cookie-Tabellen, die auch in der Datenschutzerklärung implementiert werden können.
Darüber hinaus kann man Cookies auch mit bestimmten Browserplugins erkennen oder sie werden vom Browser direkt (häufig im „Expertenmodus“) angezeigt.
Für Ihre datenschutzkonforme Internetpräsenz benötigen Sie außerdem immer eine sog. Datenschutzerklärung.
Diese sollte gut auffindbar (am besten mit einem „Klick“ erreichbar) auf Ihrer Website eingebunden werden und alle Information des Art. 13 DSGVO beinhalten.
Der Nutzer erhält hierüber allgemeine Informationen zum Verantwortlichen sowie die Erhebung, Speicherung und Nutzung der personenbezogenen Daten, die während seines Besuchs auf der Website verarbeitet werden. Hintergrund hierfür ist der datenschutzrechtliche Grundsatz der Transparenz.
Im Idealfall werden in dieser Erklärung alle Verarbeitungsprozesse abgebildet, welche auf der Website erfolgen, auch wenn diese für den Nutzer nicht sichtbar sind und/oder im Hintergrund stattfinden.
Die klassischen Inhalte sind – neben dem Namen / Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten – insbesondere Informationen zur Verwendung von Cookies, Google Maps, Webfonts, eines Kontaktformulars oder dem Versand von Newslettern.
Je nach Umfang der eingesetzten Dienste oder Plugins (bspw. einem Facebook-Button), variiert der Umfang der Datenschutzerklärung. Genaue Details hierzu erhalten Sie von Ihrem Website-Betreuer.
Dabei ist es entscheidend, dass diese Informationen exakt und umfänglich vorliegen, um eine gesetzeskonforme Datenschutzerklärung erstellen zu können.
Bei Änderungen oder Neuerungen auf Ihrer Website ist deswegen auch immer zu überprüfen, ob hierdurch eine Aktualisierung der Datenschutzerklärung notwendig wird. Nur so können Sie teure Abmahnungen durch Dritte vermeiden, die täglich mit spezialisierter Software vollautomatisch unzählige Erklärungen von Websites auf solche Detailfehler durchsuchen.
Der Einsatz von Trackingtools wie Google Analytics birgt seit dem EuGH-Urteil vom 16. Juli 2020 (Rechtssache C-311/18 „Schrems II“) ein erhöhtes Rechtsrisiko. Der EuGH hat hier entschieden, dass die Rechtsgrundlage für Datenübermittlungen in die USA – mittels des sog. EU-US Privacy-Shield – unwirksam ist. Solche Übermittlungen in die USA sind seitdem somit unzulässig.
Wie der Einsatz von Google-Analytics & Co. nun trotz dieses Urteils datenschutzkonform ausgestaltet werden (Stichwort: „Standardvertragsklauseln“), ist eine Frage des Einzelfalls und sollte nur in Rücksprache mit Ihrem Datenschutzexperten erfolgen. Im Zweifelsfall käme hier auch eine Anfrage bei der zuständigen Datenschutzaufsichtsbehörde in Betracht. Aktuell ist jedoch vom Einsatz solcher Dienste unbedingt abzuraten, um keine bußgeldrelevanten Verstöße zu verursachen.
Praxisinhaber haben beim Betrieb der eigenen Praxiswebsite aus datenschutzrechtlicher Sicht einiges zu beachten. Die vorstehenden Punkte bilden aufgrund der Vielzahl an möglichen Verarbeitungsprozessen nur einen Teilbereich der gesamten Thematik ab und sind keinesfalls abschließend.
Um bußgeldrelevante Verarbeitungen zu vermeiden, sollten Praxisverantwortliche sich professionelle Unterstützung bei der Umsetzung der aktuellen gesetzlichen Vorgaben durch ihren Website-Betreuer und den eigenen Datenschutzbeauftragten /-berater einholen.
Sollten Sie Fragen zur gesetzeskonformen Umsetzung der datenschutzrechtlichen Vorgaben Ihrer Praxiswebsite oder andere Fragen rund um das Thema Datenschutz haben, stehen Ihnen die Rechtsanwälte vom Datenschutzdoktor gerne unverbindlich zur Verfügung.
Über weitere interessante Informationen, Tipps und Tricks rund um die Arztpraxis und andere Unternehmen aus dem Gesundheitswesen informieren wir Sie gerne in unserem Newsletter.
Die Rechtsanwaltskanzlei Datenschutzdoktor wurde im Jahre 2017 von RA Dr. Matthias Müller gegründet. Seitdem berät die Kanzlei mit mehreren Berufsträgern und Sitz in Nürnberg deutschlandweit Ärzte, Zahnärzte und Apotheker zum Thema Datenschutz und ist als externer Datenschutzbeauftragter bestellt.
RA Dr. Müller ist geschäftsführender Gesellschafter, zugelassener Rechtsanwalt und TÜV-zertifizierter Datenschutzbeauftragter. Nach seiner mehrjährigen Tätigkeit in einer internationalen Wirtschaftsrechtskanzlei, spezialisierte er sich auf das Thema Datenschutz mit dem Fokus auf Heilberufe.
Neben der Veröffentlichung von regelmäßigen Fachbeiträgen, hält er Seminare und Vorträge zum Thema: „Datenschutz in Heilberufen“ u.a. für die Niedersächsische Zahnärztekammer und wirkt an der Gestaltung zur Auslegung der datenschutzrechtlichen Regelungen für Heilberufe in mehreren Fachgremien mit.
