Kostenlose Kopie der Behandlungsunterlagen an den Patienten

Dass europäisches und nationales Recht sich nicht immer sinnvoll ergänzen, sondern teilweise kollidieren, ist nicht erst seit Einführung der DSGVO bekannt.

Eine solche Kollision besteht u.a. in Bezug auf die Bereitstellung einer Kopie der Behandlungsunterlagen für den Patienten. Hierzu gibt es nun die erste gerichtliche Entscheidung.

Das Problem

Nach deutschem Recht hat der Patient grundsätzlich ein Recht auf Einsichtnahme in die ihn betreffende, vollständige Patientenakte, soweit nicht z.B. erhebliche therapeutische Gründe dem entgegenstehen (§ 630g Abs. 1 S. 1 BGB). Er darf also einen Termin mit der Praxis vereinbaren und sich die Akte im Original vor Ort anschauen. Unabhängig hiervon kann der Patient auch elektronische Abschriften von der Patientenakte verlangen (§ 630g Abs.2 S. 1 BGB). Die für die Erstellung der Kopie entstandenen Kosten kann der Behandler vom dem Patienten ersetzt verlangen. Er kann die Übersendung der Kopie sogar von einem entsprechenden Vorschuss abhängig machen (§ 630g Abs. 1 S. 3 i.V.m. § 811 Abs. 2 S. 2 BGB). Der Patient müsste die Kosten dann nicht nur zahlen, sondern wäre vorschusspflichtig.

Auch nach der DSGVO kann der Patient Auskunft über seine personenbezogenen Daten verlangen (Art. 15 Abs. 1 DSGVO). Hiervon ist auch die Patientenakte umfasst. Ferner kann der Patient die Erstellung einer Kopie seiner personenbezogenen Daten von dem Arzt verlangen (Art. 15 Abs. 3 DSGVO). Eine Regelung zur Kostentragung sieht die DSGVO nur für „alle weiteren Kopien“ vor. Die Übersendung der ersten Kopie ist damit kostenfrei.

Geklärt werden musste nun, welche Regelung im Zweifel vorrangig ist.

Das Urteil

Das Landgericht Dresden entschied am 29.05.2020, dass die europäische Regelung der nationalen Regelung vorgeht. Dass sich der Anwendungsbereich der deutschen Regelung explizit auf das Verhältnis Arzt – Patient bezieht und somit eigentlich spezieller als die Regelung der DSGVO ist, überzeugte das Gericht nicht. Die DSGVO steht im Rahmen der Normhierarchie über der nationalen Regelung. Raum für abweichende nationale Bestimmungen lässt die DSGVO insoweit mangels Öffnungsklausel ebenfalls nicht.

Die Konsequenz

Die Entscheidung ist eher wenig überraschend. Verlangt ein Patient erstmalig Auskunft/Übersendung einer Kopie seiner Behandlungsakte, so sollte ihm diese kostenfrei zur Verfügung gestellt werden. Dies gilt jedenfalls dann, sofern er sein Auskunftsverlangen auf die DSGVO in Bezug auf seine personenbezogenen Daten stützt. Stützt er sein Verlangen hingegen auf das Einsichtsrecht eines Patienten, könnte die Übersendung einer Kopie weiterhin von einem Vorschuss abhängig gemacht werden. Die Unterscheidung in Bezug auf die Anspruchsgrundlagen dürfte auch in Bezug auf den Inhalt der Auskunft von Bedeutung sein. So ist aktuell noch nicht geklärt, ob das Einsichtnahmerecht des Patienten sowie das Auskunftsverlangen eines datenschutzrechtlich Betroffenen tatsächlich kongruent sind.

Jameda-Bewertungen: 24-Stunden-Reaktion oder ewiges Schweigen?

Der Umgang der Betreiber von Bewertungsportalen mit unsachgemäßen oder beleidigenden Bewertungen ist nicht immer einwandfrei. Vielfach wird um die Löschung entsprechend herabsetzender Bewertungen gestritten; die Kommunikation dabei ist meist zäh. Die Betreiberin des Bewertungsportals www.jameda.de kündigte nun kürzlich eine bedeutende Änderung ihres Bewertungssystems an und zieht damit offenbar Konsequenzen aus dem hohen Aufkommen von Auseinandersetzungen über Bewertungstexte. Ab sofort sollen alle auf jameda registrierten Heilberufler unabhängig von ihrem Kundenstatus – noch vor Veröffentlichung einer Patientenbewertung auf ihrem Profil – eine E-Mail mit der Mitteilung über den Eingang und Inhalt der neuen Bewertung erhalten. Nach Erhalt dieser E-Mail haben die Bewerteten binnen einer Frist von 24 Stunden die Möglichkeit, auf die Bewertung zu reagieren. Sie können die Bewertung direkt ohne Wartefrist veröffentlichen, sie kommentieren oder sie dem Jameda Qualitätsmanagement zur weiteren Prüfung melden. Die Portalbetreiberin teilt dazu in einer Pressemitteilung vom 22. Juli 2020 mit, man wolle „mit dem Angebot, Ärzten schon vor Veröffentlichung eines Berichtes die Möglichkeit zur Reaktion zu geben“, „nicht nur die Qualitätsprüfung um eine weitere Instanz verbessern“, sondern „Ärzten auch das Signal geben, dass wir ihre Anliegen sehr ernst nehmen und – wenn möglich – immer bereit sind, jameda mit ihrem Feedback weiter zu entwickeln“.

Auf den ersten Blick mag die Ankündigung den Anschein erwecken, durch die Änderung im Bewertungssystem erfolge eine Besserstellung der betroffenen Mediziner. Dieser Schein trügt jedoch.

Hintergrund der Änderung dürfte weniger das Interesse an verbesserter Bewertungsgerechtigkeit sein, als schlicht die Umsetzung eines datenschutzrechtlichen Erfordernisses. Denn auch die in einer Patientenbewertung enthaltenen Aussagen über die Person des behandelnden Arztes sind grundsätzlich personenbezogene Daten, die nach der Datenschutzgrundverordnung (DSGVO) besonderen Schutz genießen. Bei der Veröffentlichung von arztbezogenen Patientenbewertungen auf dem Bewertungsportal www.jameda.de handelt es sich datenschutzrechtlich um eine Verarbeitung dieser personenbezogenen Daten durch deren Bereitstellung. Dabei hat eine Betreiberin eines Bewertungsportals u.a. sicherzustellen, dass die personenbezogenen Daten „sachlich richtig“ sind und dafür zu sorgen, dass personenbezogene Daten, die unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Es erscheint indessen zweifelhaft, dass die angekündigte Änderung des Bewertungssystems zur Erreichung des beabsichtigten Zwecks – der Verbesserung der Qualitätsprüfung um eine weitere Instanz – geeignet ist; vielmehr wird sie die Unsicherheit der betroffenen Mediziner teilweise vergrößern. Problematisch ist dabei zunächst, dass eine Reaktion der Ärzte auf die Bewertung vor deren Veröffentlichung lediglich innerhalb einer Frist von 24 Stunden möglich ist. Nicht jeder Betroffene kann und möchte sich immer binnen dieser Frist mit dem Inhalt und dem Anlass einer Patientenbewertung befassen. Die von jameda willkürlich festgelegte Frist von 24 Stunden erscheint vor diesem Hintergrund als deutlich zu kurz. Das eigentliche Problem bei dieser Fristsetzung ist jedoch der durch sie entstehende Eindruck, es handele sich für den Bewerteten um eine Situation nach dem Motto: „Wenn jemand etwas einzuwenden hat, möge er jetzt sprechen oder auf ewig schweigen“. Zwar besteht keinerlei Verpflichtung der Betroffenen, überhaupt auf die Bewertung zu reagieren. Auch wirkt sich die Änderung nicht auf die Möglichkeit aus, auch nach Veröffentlichung der Bewertung noch gegen diese vorzugehen. Dennoch birgt dieser Eindruck die Gefahr, dass die Betroffenen voreilig reagieren, da sie Nachteile bei Verstreichenlassen der Frist fürchten und mit der voreiligen – inhaltlich ihren Handlungsspielraum verengenden – Reaktion ihre Rechtsposition schwächen. Andersherum besteht bei einer vorschnellen Bestätigung und Freigabe der Bewertung durch den Arzt darüber hinaus die Gefahr, dass dieser aktiven Handlung ein Erklärungswert dahingehend beigemessen wird, dass auf eine Beanstandung endgültig verzichtet werden soll. Auch eine Kommentierung der Bewertung könnte im Nachhinein als eine Bestätigung zumindest der Befugnis von jameda, die kommentierten Aussagen zu veröffentlichen und zu verbreiten, verstanden werden. Selbst für den Fall, dass Betroffene nicht auf die E-Mail reagieren, besteht zumindest das Risiko, dass jameda sich im Rahmen einer gerichtlichen Auseinandersetzung auf die Kenntnis des Arztes beruft und einwendet, ein nachträgliches Vorbringen der Unzulässigkeit der Veröffentlichung habe dieser durch seine vorherige Nichtreaktion verwirkt.

Allen Betroffenen ist zunächst zu raten, sich durch eine entsprechende E-Mail von jameda nicht unter Druck setzen zu lassen und sich darauf zu besinnen, dass sie nicht zu einer Reaktion (innerhalb der Frist) verpflichtet sind. Auch wenn der erste Impuls vieler Ärzte insbesondere bei negativen Bewertungen darin besteht, diese sofort kommentieren oder beanstanden zu wollen, kann gerade das die Erfolgsaussichten eines Vorgehens gegen die Bewertung deutlich verringern. Aus einer Nichtreaktion von Betroffenen kann und darf keine Bestätigung der Bewertung abgeleitet werden, sodass grundsätzlich sämtliche Optionen für ein weiteres Vorgehen nach Veröffentlichung der Bewertung verbleiben – diese sollten dann mit dem spezialisierten Rechtsberater/ der spezialisierten Rechtsberaterin besprochen werden.

Datenschutzrecht: „Privacy Shield“ zerbrochen, und nun?! Auswirkungen für Praxen und Anbieter digitaler Gesundheitsanwendungen

Nach dem „Safe-Harbour“-Abkommen erklären die Luxemburger Richter des EuGH mit Urteil vom 16.07.20 auch das Privacy-Shield-Abkommen zwischen der EU und den USA für unwirksam.
Wie sich das auf Leistungserbringer und Anbieter von digitalen Gesundheitsanwendungen (DiGA) in Deutschland auswirkt und wer nun handeln sollte, fassen wir nachfolgend in Kürze zusammen.

Was war der Vorteil des Privacy-Shield-Abkommens?

Nicht erst seit der EU-DSGVO ist klar: Das datenschutzrechtliche Niveau der EU-Staaten übersteigt das der USA. Problematisch kann das u.a. sein, wenn man Dritte (z.B. Auftragsverarbeiter) aus den USA in einen Datenverarbeitungsprozess einbindet. Als Verantwortlicher haftet man nämlich grundsätzlich auch für Datenschutzverstöße von z.B. (Sub)Auftragsverarbeitern. Bevor man sich für ein solch drittes Unternehmen entscheidet, sollte man daher sicherstellten, dass dieses seinerseits den Anforderungen der DSGVO gerecht wird. Dies gilt erst recht, wenn der Dritte selbst gar nicht der z.B. der DSGVO unterliegt. Für dritte Unternehmen aus den USA gab es hierfür eine Lösung: Das Privacy-Shield-Zertifikat. Bei Einsatz eines solch zertifizierten Unternehmens konnte man grundsätzlich davon ausgehen, dass dieses die Daten nach EU-Niveau verarbeitet. Eine eigene – praktisch kaum durchführbare Prüfung – der datenschutzrechtlichen Maßnahmen des Dritten war nicht erforderlich. Mit dem Wegfall des Privacy-Shield-Abkommens gibt es diese „Erleichterung“ in der Form ab sofort nicht mehr.

Inwieweit betrifft die Entscheidung auch mich als Leistungserbringer oder Anbieter von DiGA´s in Deutschland?

Relevant wird die Entscheidung insbesondere im Hinblick auf Auftragsverarbeitungsverhältnisse. Wer z.B. Cloud-Dienste, für die Terminvergabe, Software-Wartung, telemedizinische Dienste im Bereich der PKV oder die eigene Homepage Drittunternehmen einbindet, sollte einmal genauer hinschauen. Die meisten dieser Auftragsverarbeiter setzen ihrerseits Subunternehmen ein. Werden dabei Daten auf Servern in den USA gespeichert, gibt es den Schutz des „Privacy-Shields“ nicht mehr. Das wird auf kurz oder lang die Aufsichtsbehörden auf den Plan rufen.

Auch die Anbieter von digitalen Gesundheitsanwendungen müssen dann reagieren, wenn sie mit US-Unternehmen zusammenarbeiten. Gemäß § 4 Abs. 3 DiGAV ist eine Verarbeitung von personenbezogenen Daten durch die digitale Gesundheitsanwendung selbst sowie die Verarbeitung im Auftrag in einem Drittstaat außerhalb der EU, des EWR und der Schweiz nur zulässig, sofern ein Angemessenheitsbeschluss der EU-Kommission gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt.

Muss ich jetzt handeln?

Wer bislang z.B. Auftragsverarbeiter einsetzte, die ihrerseits Daten auf Servern in den USA speicherten, sollte achtsam sein und ggf. umdisponieren – und das sofort. Einen Ausweg könnten insoweit die sog. „Standardvertragsklauseln“ der EU-Kommission bieten. Diese wurden seitens des EuGH ausdrücklich nicht beanstandet. Doch auch diese sind kein Allheilmittel, da es bei der Verwendung solcher Klauseln auf den Einzelfall ankommt. Auch hier sollte also eine genauere Prüfung erfolgen. Wer sich unsicher ist, ob ihn der Wegfall des Privacy-Shield-Abkommens überhaupt betrifft, sollte im Zweifel einfach bei seinen Auftragsverarbeitern nachfragen oder selbst einen Blick in den Auftragsverarbeitungsvertrag werfen. Als letzter Ausweg bleibt stets der Wechsel zu einem Anbieter, welcher sich ohnehin an die europarechtlichen Vorgaben halten muss.

Vergleichbares gilt für Anbieter digitaler Gesundheitsanwendungen.

Datenschutzrechtlicher Durchbruch im Bereich der klinischen Forschung: DSK erkennt „broad consent“ an

Ende April teilte die Medizininformatik-Initiative (MII) mit, sie habe seitens der Konferenz der unabhängigen Datenschutzbeauftragten (DSK) „grünes Licht“ für eine Muster-Einwilligung zur (Weiter)Verarbeitung von Patientendaten zu wissenschaftlichen Forschungszwecken erhalten (hier geht es zur offiziellen Pressemitteilung).

Diese Mitteilung dürften viele (internationale) Forschungsinitiativen mit deutschem Einschlag freudig aufgenommen haben. Endlich wird der datenschutzrechtliche Nebel bei klinischen Forschungsvorhaben etwas gelichtet. Insbesondere die Vielzahl an neben der DSGVO zu beachtenden nationalen Regelungen (z.B. BDSG, LDSG, LKhG) führte zu einem nahezu undurchschaubaren Potpourri von Anforderungen.

Um diese unsichere Lage zu umgehen, wurde die Einwilligung allerdings nicht als geeignetes Mittel angesehen. Lange ging man  davon aus, dass eine wirksame Einwilligung des einzelnen Patienten im Rahmen von Forschungsvorhaben für jeden einzelnen konkreten Forschungszweck einzuholen war. Viele medizinische Fragestellungen stehen zu Beginn eines Forschungsvorhabens allerdings noch gar nicht fest. Damit war die Einwilligung als Rechtsgrundlage für die Forschung praktisch nahezu nicht umsetzbar. Eine „breite Einwilligung“ („broad consent“), um als Patient seine Daten pauschal der Forschung „spenden“ zu können, wurde als nicht wirksam angesehen.

Bis jetzt. Die DSK positionierte sich nunmehr erstmals pro „broad consent“. Damit kann der Patient – unter weiteren Voraussetzungen wie z.B. der Pseudonymisierung seiner Daten – eine breite Einwilligung abgeben. Dies dürfte in der Praxis für erheblich mehr Rechtssicherheit sorgen. Zumindest im Verhältnis zu den Landesdatenschutzbehörden ist mit einer Sanktionierung nicht zu rechnen, sofern sich an die entsprechenden Vorgaben gehalten wird. Ob sich die Rechtsprechung der Meinung der DSK anschließen wird, bleibt allerdings abzuwarten.

No-Spy-Abkommen in der (Zahn)Arztpraxis

Bundesverwaltungsgericht setzt Videoüberwachung enge Grenzen

Immer wieder denken Praxisinhaber zur Sicherheit ihrer Praxis und der Patienten darüber nach, den Eingangsbereich ihrer Praxisräume mit einer Videokamera zu überwachen. Mit einer aktuellen Entscheidung vom 27.03.2019 (Az.: BVerwG 6 C 2.18) hat das Bundesverwaltungsgericht diesem Wunsch enge Grenzen gesetzt.

Zu entscheiden war über den Fall einer zahnärztlichen Praxis, bei der die Inhaberin die nicht verschlossene Eingangstür bei nicht besetztem Empfangstresen ebenso überwachen lies, wie den öffentlich zugänglichen Wartebereich. Sie begründete dies damit, dass sie sich auf diese Art und Weise vor Straftraten schützen und mitunter durch die Behandlung beeinträchtigte Patienten im Wartebereich besser überwachen wolle. Im Übrigen komme es durch die Videoüberwachung zu einer Kostenersparnis, da auf diese Art und Weise der Empfangsbereich nicht ständig besetzt sein müsse.

Das Bundesverwaltungsgericht hat dies nunmehr letztinstanzlich versagt. Denn selbst falls die Videoaufnahmen nicht aufgezeichnet, sondern einzig Livebilder übermittelt werden, stellt dies einen Eingriff in das Persönlichkeitsrecht der Besucher dar. Dieser Eingriff lässt sich nur durch eine entsprechende Einwilligung oder das Überwiegen berechtigter Interessen des Praxisinhabers begründen. Eine Einwilligung liegt regelmäßig jedoch nicht vor. Insbesondere reicht ein deutlich sichtbar angebrachter Hinweis auf die Videoüberwachung nicht aus, um von einem Einverständnis mit der Beobachtung einzig durch Betreten des überwachten Raumes ausgehen zu dürfen.

Entscheidend ist demnach, ob die Videoaufzeichnung überwiegenden berechtigten Interessen des Praxisinhabers dient. Hierfür reicht es nicht aus, sich lediglich auf das Hausrecht zu berufen, sondern es müssen berechtigte Gründe dargelegt werden können. Hierzu kann die Verhinderung von Straftaten zählen. Subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen jedoch nicht aus. Es muss eine Gefährdungslage bestehen, die über das allgemeine Lebensrisiko hinausgeht, was sich aus tatsächlichen Erkenntnissen ergibt. Haben also keine Einbrüche, Überfälle oder Gewalttaten in der jüngeren Vergangenheit stattgefunden, wird sich ein berechtigtes Interesse nicht begründen lassen. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass in der Praxis Betäubungsmittel und Wertsachen aufbewahrt werden. Das Bundesverwaltungsgericht führt insoweit aus, dass zur Verhinderung von Diebstählen während der Öffnungszeiten entweder der Empfang zu besetzen wäre, oder alternativ Wertsachen in verschließbaren Schränken oder Behältern aufbewahrt werden können.

Soweit die Videoüberwachung dazu dienen soll, Betriebskosten der Praxis zu senken, ist eine solche Kostenersparnis grundsätzlich als berechtigtes Interesse denkbar. Die Kostenersparnis kann eine Videoüberwachung jedoch nur dann begründen, wenn die ansonsten entstehenden Kosten maßgeblich ins Gewicht fallen und schlicht unwirtschaftlich wären. Erforderlich sind also erhebliche Mehrkosten im Vergleich zur Videoüberwachung. Das Bundesverwaltungsgericht zeigte sich hier beim Einsatz ohnehin angestellter Mitarbeiter skeptisch. Diese könnten ohne Mehrkosten Ihren Verwaltungsaufgaben auch am Empfangsbereich nachgehen, ohne dass eine erhebliche Kostensteigerung zu erwarten wäre.

Zuletzt konnte auch das Anliegen, Patienten im Wartebereich nach der Behandlung rasch zur Hilfe kommen zu können, das Bundesverwaltungsgericht nicht überzeugen. Hilfebedürftigen Patienten könne beispielsweise ein Druckknopf in die Hand gegeben werden, den sie im Notfall betätigen können, um Hilfe herbeizurufen. Auf diese Art und Weise ließe sich der Schutzzweck gleichfalls erreichen, ohne in die Persönlichkeitsrechte der betroffenen Patienten oder sonstiger Besucher in vergleichbarer Weise einzugreifen.

Vor diesem Hintergrund ist der Praxisinhaberin die weitere Videoüberwachung untersagt worden. Der Fall zeigt deutlich die hohen Anforderungen, die die Rechtsprechung an eine Videoüberwachung in Praxisräumen stellt. Wenn man öffentlich zugängliche Räume wie den Praxisparkplatz, das Wartezimmer oder den Empfang überwachen will, bedarf es überwiegender berechtigter Interessen. Lässt sich dies im Einzelfall darstellen, muss zudem aufgrund der umfassenden Transparenzpflichten nach der DSGVO nicht nur ein einfacher Texthinweise erfolgen, sondern ein detailliertes Hinweisschild angebracht werden. Dieses muss die Videoüberwachung mitsamt Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten, der Zwecke und Rechtsgrundlagen der Datenverarbeitung, der Angabe der berechtigten Interessen, die mit der Videoüberwachung verfolgt werden und einem Hinweis auf die Speicherdauer etwaiger Videoaufzeichnungen erläutern.

Während eine Überwachung der Behandlungsräume darüber hinaus grundsätzlich ausgeschlossen ist, kann eine Überwachung der nicht für den öffentlichen Publikumsverkehr zugänglichen Gemeinschaftsräume denkbar sein, wenn eine Überwachung der Angestellten dies als ultima ratio bei Verdacht auf eine konkrete Straftat erfordert. Hierzu sollten aufgrund der besonderen Interessenlage aller Beteiligten und der schutzwürdigen Interessen der Arbeitnehmer jedoch alle vorhergehenden Maßnahmen ausgeschöpft sein und eine solche Überwachung räumlich wie zeitlich begrenzt werden.

Die engen Vorgaben und die aktuelle Entscheidung des Bundesverwaltungsgerichts zeigen, dass auch der mit besten Absichten gepflasterte Weg kein gangbarer ist. Praxisinhaber sollten daher vor Installation einer Videoüberwachung eine ausführliche Abwägung vornehmen und sich rechtlich beraten lassen.

Datenschutz: Die ersten Abmahnungen sind da

Der Datenschutz bleibt im Gesundheitswesen auch nach Inkrafttreten der DSGVO ein zentrales Thema. Dabei kam es, wie es kommen musste: Die ersten Abmahnungen sind da.

Zum Glück ist die ganz große Abmahnwelle, die viele befürchtet hatten, ausgeblieben. Dies mag aber nur eine vorübergehende Situation im Sinne einer „Ruhe vor dem Sturm“ sein.

Die ersten Abmahnungen, von denen wir im Rahmen unserer praktischen Anwaltstätigkeit Kenntnis erlangten, beziehen sich dabei wie erwartet auf Probleme in der Außenwirkung der betroffenen Praxen. Dies bedeutet, dass die abmahnenden Patienten, die dabei die umtriebigen Abmahnanwälte vor den Karren spannen (wenngleich es auch nicht selten anders herum ist) vor allem den Verstoß gegen gewisse Informationspflichten rügen. Dies setzt auf Seiten der Abmahnenden stets eine detaillierte Analyse der Datenschutzerklärung der Internetseite der Praxen voraus, die diesen Praktiken zum Opfer fallen.

Dabei treten in praxi auch zu Hauf unberechtigte Abmahnungen auf: Nach dem Motto „man kann’s ja mal versuchen“.

Eine Abmahnung ist die Aufforderung zur Abgabe einer strafbewehrten Unterlassungserklärung. Voraussetzung für eine korrekte Abmahnung ist  ein Unterlassungsanspruch des Abmahnenden gegen den Abgemahnten. Ein solcher Unterlassungsanspruch kann sich nur bei einer Verletzung eigener Rechte des Abmahnenden ergeben oder dann, wenn wettbewerbsrechtliche Probleme bestehen. Letzteres ist der Fall, wenn beispielsweise ein Arzt, der sich selbst in seiner Praxis an alle datenschutzrechtlichen Vorgaben hält, bemerkt, dass einer seiner Wettbewerber noch nicht alle datenschutzrechtlichen Vorgaben einhält und somit einen Wettbewerbsvorteil haben könnte. In diesem Fall besteht ein Unterlassungsanspruch aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) für den Abmahnenden. Nach ganz überwiegender Ansicht ist der Großteil der Datenschutz-Regelungen aus DSGVO und aus dem neuen Bundesdatenschutzgesetz (BDSG) wettbewerbsrechtlich relevant und damit abmahnfähig.

Wie kann man sich denn nun schützen? – Viele Mandanten richten diese Frage an uns.

Hier ist leider zu antworten, dass ein Schutz gegen Abmahnungen nur dann möglich ist, wenn alle datenschutzrechtlichen Anforderungen eingehalten werden. Dabei sollte man sich, sofern man hier noch nicht die neuen Datenschutzvorgaben in Gänze umgesetzt hat, im ersten Schritt auf die Außenwirkung der eigenen Praxis fokussieren.

Insbesondere eine rechtlich saubere Datenschutzerklärung ist wichtig, flankiert von einer ansonsten unbedenklichen Homepage, einem guten Datenschutz-Management im Empfangsbereich der Praxis sowie einem korrekten Telefon-Service.

Das größte Problem von Abmahnungen ist sicherlich die Notwendigkeit, bei einem tatsächlichen Verstoß auch die außergerichtlichen Rechtsverfolgungskosten der Gegenseite zu tragen. Häufig werden Abmahnungen auch mit Meldungen an die Datenschutzbehörden flankiert.

Ein Grund zur Panik besteht dennoch nicht. Wer sich dem Thema widmet und sich rechtssicher aufstellt, hat in aller Regel nichts zu befürchten. Weitere Informationen und unsere diesbezüglichen anwaltlichen Beratungsangebote finden Sie auch in unserem Sonderblatt zum Datenschutz.

Praxis-Pages auf Facebook: Was ist noch erlaubt?


Der stete technische Wandel und die zahlreichen Möglichkeiten der Digitalisierung bringen nicht nur Vereinfachungen für Ihr berufliches Umfeld mit, sondern werfen auch neue Fragen auf und können sogar erhebliche Risiken bergen. Hiermit möchten wir Sie als Ihr zuverlässiger rechtlicher Begleiter über neueste Entwicklungen im Zusammenhang mit Facebook und anderen digitalen Medien, die Sie eventuell für den Betrieb Ihrer Praxis oder Ihres Labors verwenden, aufklären.

Zahlreiche Praxen oder andere medizinische Versorger betreiben sogenannte „Fan-Pages“, also Seiten für eine bestimmte Person oder ein Unternehmen auf Facebook und ähnlichen sozialen Medien, welche die Praxis vorstellen und für sie werben sollen. Bereits vor dem Inkrafttreten der neuen Datenschutzgrundverordnung Ende Mai diesen Jahres  war dabei umstritten, ob neben dem Unternehmen Facebook selbst auch der Betreiber einer sogenannten „Fan-Page“ für die Verarbeitung der Besucherdaten verantwortlich ist.

Diese Frage wurde nunmehr vom Europäischen Gerichtshof (C-210/16) nach einer sogenannten Vorlage durch das Bundesverwaltungsgericht im Rahmen eines dort anhängigen Verfahrens positiv beantwortet. Die Entscheidung wurde in Fachkreisen mit großem Interesse verfolgt und allgemein als Umbruch im Umgang mit Datenschutz in sozialen Medien und damit verwandten digitalen Medien gesehen.

Doch was bedeutet dies für Sie als Betreiber einer „Praxis Fan-Page“?

Sicher ist zunächst, dass der Betreiber einer solchen Seite nun „Verantwortlicher“ im Sinne der neuen Datenschutzgrundverordnung bezüglich der – eigentlich von Facebook erhobenen – Besucherdaten ist. Sofern die Verwendung der Daten durch Facebook einen Verstoß gegen datenschutzrechtliche Vorschriften darstellt, könnte auch der Betreiber der Seite Adressat von Bußgeldern durch die Aufsichtsbehörden oder Abmahnungen seitens Dritter werden. Dabei hat der Betreiber einer Seite gegenüber Facebook derzeit keine Möglichkeit, die Erhebung und Verwendung der Daten zu steuern.

Ob Facebook durch die eigenen Datenverarbeitungen tatsächlich gegen Datenschutzrecht verstößt, ist allerdings noch nicht festgestellt, allerdings mit Blick auf die bisherige Rechtsprechung sehr wahrscheinlich.

Andererseits muss zum jetzigen Zeitpunkt aber dennoch noch nicht zwingend mit der Verhängung von Bußgeldern oder mit diesbezüglichen Abmahnungen gerechnet werden. Das eigentliche Verfahren vor dem Bundesverwaltungsgericht ist immer noch anhängig und eine Entscheidung bleibt abzuwarten.

Gut möglich erscheint, dass die Datenschutzbeauftragten der Länder sich nach jetziger Rechtslage vorrangig an das Unternehmen Facebook-Deutschland wenden müssen, um den Datenschutzverstoß zu beseitigen, anstatt an die einzelnen Seitenbetreiber. Die Verwaltung hat ihr dahingehendes Ermessen so auszuüben, dass das mildeste aller gleich effektiven Mittel gewählt wird, um den Verstoß zu unterbinden. Ein Vorgehen von Facebook scheint uns zumindest deutlich effizienter, als ein Vorgehen gegen alle einzelnen Seitenbetreiber. Ein milderes Mittel könnte auch die Anordnung darstellen, Erhebung und Verwendung der Daten soweit einzuschränken, dass kein Verstoß mehr zu befürchten ist. Auch ein Bußgeld gegenüber dem einzelnen Seitenbetreiber erscheint daher vor der endgültigen Entscheidung durch das Bundesverwaltungsgericht sehr unwahrscheinlich, zumal die Datenschutzbehörden zumindest bisher als fair im Umgang mit der Ahndung potentieller Verstöße bekannt sind.

Ähnlich verhält es sich mit Abmahnversuchen: Solange die Rechtslage ungeklärt ist, besteht für den Mahnenden das Risiko, eine unberechtigte Abmahnung auszusprechen und später wiederum Unterlassungsverfügungen ausgesetzt zu sein.

Das weitere Vorgehen Facebooks bleibt abzuwarten. Dass in Zukunft alle „Fan-Pages“ Geschichte sind, halten wir angesichts der mittlerweile erheblichen wirtschaftlichen Bedeutung dieses Marketing-Instruments für unwahrscheinlich. Dagegen wird eher mit einer Einschränkung der Erhebung und der Weitergabe von Daten seitens Facebooks in der Weise zu rechnen sein, dass insgesamt kein Verstoß mehr gegen datenschutzrechtliche Vorschriften besteht.

Unklar – und letztlich der Grund für die Sprengkraft, die dem Urteil des EuGH zumessen wird – sind die Folgen der Daten-Verantwortlichkeit der Nutzer mit Blick auf andere digitale Instrumente wie etwa Analyse-Tools auf Webseiten oder ähnliche Onlinemarketing-Services. Zu nennen ist hier vor allem der weit verbreitet Dienst „Google-Analytics“. Aber auch die „Google-Fonds“, die auf den meisten Webseiten eingebettet sind, könnten der Entwicklung der Rechtsprechung zum Opfer fallen. Risiken könnten sich auch im Bereich der Messenger, allen voran WhatsApp, mit seinen in den USA gelegenen Servern, ergeben.

Für Sie als „Fan-Page“-Betreiber stellt sich nun vor allem die Frage, ob Sie Ihre Seite sofort abschalten sollten. Hier ist jedoch, wie oben erläutert, das Risiko von Bußgeldern und Abmahnungen eher als gering einzuschätzen.

Letztlich stellt das Betreiben einer „Fan-Page“ als Werbemaßnahme eine unternehmerische Entscheidung dar, die von einer Abwägung ihres Nutzens und der dadurch drohenden Risiken geleitet werden sollte. Im Ersten Schritt dürfte es – zumindest bis zur finalen Entscheidung durch das Bundesverwaltungsgericht – ausreichend sein, jede Fan-Page mit einem eigenen Impressum und einer eigenen Datenschutzerklärung zu versehen.

Ansonsten gilt, dass die Entscheidung des Bundesverwaltungsgerichts abzuwarten ist. Bei einer Änderung der Rechtslage werden wir Sie selbstverständlich zuverlässig auf dem neuesten Stand halten.

 

Bildquelle: Thorben Wengert  / pixelio.de

Verband für Datenschutz in der Medizin (VDM)

Das Thema Datenschutz ist nach wie vor in aller Munde. Auch nach Inkrafttreten der DSGVO bleibt dieses Thema brandaktuell.

Auf verschiedensten Wegen bekundeten viele Interessenten und Mandanten in der Vergangenheit Interesse an weiteren Informationen über unsere datenschutzrechtliche Expertise im Gesundheitswesen: Sei es über den direkten Kontakt, via eMail oder als Teilnehmer unserer Vorträge zu dem Thema.

Im Fokus stand dabei – neben unserem umfassenden Dokumentenpaket zur Umsetzung der DSGVO – auch der von uns angekündigte

Verband für Datenschutz in der Medizin (VDM).

Wir freuen uns, Ihnen heute gemeinsam mit unserem Kooperationspartner, der DSB GmbH Münster, die Gründung des Verbands mitzuteilen. Unter dem Link

www.vds-med.de

finden Sie weitere Informationen und können sich insbesondere auch auf der Interessentenliste eintragen.

Dabei gilt, dass diejenigen Praxen, die bis heute bereits unser kwm-Datenschutzpaket bestellt haben, die ersten 12 Monate der Verbandsmitgliedschaft kostenlos erhalten.

Über Ihre Rückmeldung und die Eintragung in die Interessentenliste würden wir uns freuen. Künftig soll der VDM der zentrale Ansprechpartner für die datenschutzrechtlichen Belange von Leistungserbringern im Gesundheitswesen sein. Nutzen Sie jetzt die Gelegenheit, frühzeitig Mitglied zu werden und sich und Ihre Praxis rechtssicher aufzustellen.

Herzlich,

Ihr kwm-Team

 

Bildquelle: Martin Bergien / pixelio.de