Blogserie Datenschutz in der Arztpraxis - Teil 1: Datenschutz für Ihre Praxis-Webseite

Datenschutz für Ihre Praxis-Webseite – mehr als nur ein Muster aus dem Generator

Ich wage eine kühne Behauptung: Annähernd jede Webseite (einer Arztpraxis) ist abmahnfähig. Sei es wegen Cookies, Google Analytics, fehlendem SSL, der fehlenden Information beim Formular bzw. den Stellenanzeigen oder wegen des falschen Verweises zur Datenschutzerklärung nach dem letzten Update … überall kann sich noch ein Fehler eingeschlichen haben oder unerkannt geblieben sein.

Es reicht nicht aus, die Datenschutzerklärung durch einen Generator erzeugen zu lassen und am Ende zu hoffen, dass Ihre Webagentur oder die Kassenärztliche Vereinigung (von denen haben Sie ja die Vorlage für die Datenschutzerklärung) für die Abmahnung aufkommt. Denn die Webseite ist die Visitenkarte Ihrer Arztpraxis und es soll nicht das Eldorado von Abmahnanwälten werden. Deswegen sollte der Datenschutz für die Webseite Ihrer Arztpraxis auch mit der höchsten Priorität angegangen werden. Sie glauben, Ihre Webagentur hat das schon erledigt? Na, dann müssen Sie ja nicht weiterlesen…

Viele Praxis-Webseiten haben Kontaktformulare. Zur Verarbeitung von personenbezogenen Daten mit Hilfe dieser Kontaktformulare benötigen Sie eine Rechtsgrundlage. Häufig kommt bei einfachen Kontaktformularen nur eine Einwilligung in Frage – gerade weil Ihnen die Adressaten Gesundheitsdaten mitteilen werden, die erstmal nichts mit einer Behandlung zu tun haben (für die Juristen: Keine Anwendung von §22 Abs. 1 Nr. 1 lit. b BDSG). Platzieren Sie die Einwilligung deutlich an das Kontaktformular. Verweisen Sie nicht auf einen ellenlangen Text in der Datenschutzerklärung Ihrer Webseite, denn das entspricht nicht den Transparenz-Anforderungen der DSGVO. Ein Muster / eine Vorlage einer Einwilligung stelle ich Ihnen zur Verfügung:

„Mit Betätigen des "Senden"-Button bestätige ich, dass ich die Datenschutzerklärung zur Kenntnis genommen habe. Ich stimme zu, dass meine Angaben und Daten zur Beantwortung meiner Anfrage elektronisch erhoben und gespeichert werden. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft per E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! widerrufen.“
 
Sobald Sie ein Formular nutzen, überträgt Ihre Praxis-Webseite / Homepage personenbezogene Daten vom Nutzer zum Server. Aus diesem Grund ist es dringend notwendig, dass die Webseite Daten verschlüsselt überträgt und mit einem SSL-Zertifikat betrieben wird. Die Einbindung eines solchen Zertifikats ist eine rechtliche Voraussetzung (Art. 32 Abs. 1 DSGVO: Maßnahme nach Stand der Technik), um das Kontaktformular weiterhin auf der Webseite betreiben zu dürfen. SSL-Zertifikate erhalten Sie für kleines Geld (ca. 50 Euro pro Jahr) von ihrem Internet-Provider. Es geht auch billiger bzw. kostenlos über kostenlose Zertifizierungsinstanzen – da bleibt nur die Frage wer Ihnen das Zertifikat einbindet.

Nachdem nun die Formular-Daten vom Nutzer zum Server sicher übertragen sind, kommt der nächste Punkt: Wie kommen die Formulardaten von dem Server zu Ihnen, z. B. in den Posteingang am Empfang? Per eMail? Unverschlüsselt? Dazu passt folgendes Zitat des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

„Die Versendung von unverschlüsselten E-Mails, die personenbezogene Daten enthalten, insbesondere für Angehörige von Berufsgruppen, die auch einer strafrechtlich sanktionierten Schweigepflicht nach § 203 StGB unterliegen, ist nach alledem nicht nur bedenklich, sondern stellt auch ein ungeeignetes Kommunikationsmittel dar.“
 
Beachten Sie also bitte, dass die Formulardaten auch vom Server zu Ihnen verschlüsselt übertragen werden. Auch hier ist die richtige Lösung individuell zu sehen, da die Lösung auf Ihre Praxisprozesse und das implementierte Formular passen muss.

Eine Online-Terminbuchung kann eine Sonderform eines Kontaktformulars sein – die datenschutzrechtlichen Anforderungen dazu sind ähnlich. Wenn Sie diese Terminbuchung von einem externen Anbieter wie Online-TIS nutzen (meist mit Einbindung in das eigene Patientenverwaltungssystem), müssen Sie sich in der Regel um den Datenschutz kaum kümmern. Wenn Ihre Webagentur eine eigene Lösung gebaut hat, müssen Sie sich um die Informationspflichten, Einwilligungserklärungen, Verschlüsselung etc. komplett selbst kümmern. Die Lösungen, um die Anforderungen in dem jeweils konkreten Fall umzusetzen, sind für diesen Blogeintrag zu vielschichtig.

Ein aus meiner Sicht berechtigtes Interesse ist Ihrerseits auch die Einbindung von Drittanbieter-Erweiterungen (Plugins). Häufig bei Praxiswebseiten genutzt werden Schriftarten (Fontsawesome, Google Webfonts), Analysewerkzeuge (Matomo, Google Analytics) und zur Arzt-Bewertung das Jameda-Widget. Beachten Sie bitte, dass vor der Nutzung dieser Drittanbieter-Erweiterungen teilweise eine Einwilligung des Nutzers Ihrer Webseiten nach Art. 7 DSGVO erforderlich ist. Falls Sie diese Drittanbieter-Erweiterungen ohne Einwilligung nutzen, tragen Sie rechtliche Risiken. Andersherum tragen Sie als Arzt und Freiberufler tagtäglich Risiken: Soll ich eine weitere Stuhlassistentin einstellen? Soll ich bei dem angestellten Zahnarzt die Stunden erhöhen? Mein Tipp: Sprechen Sie mit ihrem Datenschutzbeauftragten / Datenschutzberater: Er wird Ihnen das mit der Nutzung von Drittanbieter-Erweiterungen (Plugins) und Cookies einhergehende Risiko erläutern. Gleichzeitig gibt es Möglichkeiten diese Risiken zu reduzieren oder ganz abzustellen, z. B. durch eine interne Einbindung von Schriftarten auf dem eigenen Server, eine klare Beschreibung der Drittanbieter-Erweiterungen nach Art. 13 DSGVO oder kleine Vorschaltknöpfe, z. B. bei Google Maps.

Am Ende müssen Sie die genannten Punkte in einer Datenschutzerklärung nach Art. 13 DSGVO zusammenfassen und diese auf jeder einzelnen Webseite mit einem direkten Verweis bereitstellen. Veröffentlichen Sie die Datenschutzerklärung auf einer separaten Seite und nutzen Sie für das Impressum eine eigene Seite. Für die Rohform der Datenschutzerklärung gibt es die oben genannten Generatoren. Die fertige Datenschutzerklärung sollten Sie zumindest prüfen lassen, denn wie gesagt: "Die Webseite ist die Visitenkarte Ihrer Arztpraxis".

Darüber hinaus müssen Sie diese Informationspflichten auch in Bezug auf die von Ihnen genutzten Social-Media-Kanälen nachkommen, z. B. Facebook Fanpages, Jameda, Twitter, Instragram etc. Hier sind sowohl Ergänzungen in Ihrer Datenschutzerklärung als auch bei den Social-Media-Kanälen selbst notwendig. Dies im Detail hier auszuführen, würde diesen Blogartikel sprengen. Darüber hinaus ändert sich hier die Rechtslage auch ständig, weswegen eine permanente Beschäftigung mit dem Thema unabdingbar ist, um rechtliche Risiken zu reduzieren.

Weitere Punkte, die Sie beachten müssen, sind die Informationspflichten für Patienten (falls Sie Patientendaten auf der Webseite erheben) und den Arbeitnehmerdatenschutz (z. B. aufgrund von Mitarbeiterfotos). Beide Punkte thematisiere ich in den folgenden Teilen der Blogserie: Teil 2: Patienteneinwilligung und Patienteninformation (online seit dem 28.10.2018) und Teil 3: Datenschutz bei Mitarbeiterinnen und Mitarbeitern (online ab 11.11.2018).

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok