Datenschutzgrundverordnung: Das müssen Sie bei der Website Ihrer Praxis beachten
Bei stichprobenhaft untersuchten Websites fällt das Ergebnis der bayerischen Aufsichtsbehörde ernüchternd aus – nicht eine einzige erfüllt die Anforderungen der DSGVO. Gerade Praxisinhaber sollten aber genau darauf achten.
Auf fast jeder Website werden Cookies gesetzt oder Logfiles erstellt. Da damit Nutzerdaten erhoben und gespeichert werden, ist darüber ausführlich in einer Datenschutzerklärung zu informieren. Das sieht die Datenschutzgrundverordnung (DSGVO) so vor. „Setzen Sie die Hinweise zum Datenschutz am besten unter einen separaten Link ,Datenschutz‘, den Besucher von jeder Unterseite der Website abrufen und schnell finden können“, empfiehlt Susann Harder, Rechtsanwältin und Datenschutzbeauftragte bei Ecovis in Rostock. Inhalt dieser Datenschutzhinweise müssen Auskünfte darüber sein, welche personenbezogenen Daten, zum Beispiel Namen, E-Mail-Adressen, IP-Adressen oder Standortdaten, vom Website-Betreiber oder durch Drittanbieter wie Google Maps zu welchem Zweck verarbeitet werden.
Weiterhin ist bei jeder Website, die etwa Login-Daten oder Inhalte aus Kontaktformularen überträgt, eine sichere Transportverschlüsselung (https) nötig. Dies lässt sich durch ein SSL-Zertifikat gewährleisten. Damit lässt sich eine verschlüsselte Verbindung zwischen dem Browser des Nutzers und dem Server herstellen. Das grüne Schlosssymbol im Browser sorgt schließlich für einen sicheren Transport der Daten auf dem Weg durchs Internet.
Was Cookies machen können
Bei Cookies handelt es sich um kleine Textdateien, die auf dem Endgerät des Nutzers abgelegt werden. Sie speichern Informationen über das Nutzungsverhalten. Werden einem Nutzer aufgrund einer Cookie-Kennung personenbezogene Daten zugeordnet, beispielsweise Adressdaten eines Kontaktformulars, werden personenbezogene Daten verarbeitet. So lassen sich Profile der Nutzer erstellen, die für weitere Werbemaßnahmen genutzt werden können. „Auch Heilberufler können davon profitieren und beispielsweise ihre Praxisbroschüre anbieten und verschicken“, sagt Harder.
Diese Datenverarbeitung ist nur zulässig, wenn durch eine vorgeschaltete Abfrage beim ersten Aufrufen der Homepage eine Einwilligung eingeholt wird. Dies kann durch ein „Cookie-Banner“ erfolgen. Bis zur aktiven Einwilligung des Website-Besuchers, etwa durch Setzen eines Häkchens, darf keine Datenverarbeitung erfolgen.
Finger weg von Facebook
Eine Facebook-Fanpage kann sinnvoll sein, beispielsweise um Öffnungszeiten der Praxis oder die Adresse der Urlaubsvertretung mitzuteilen. Sowohl Facebook als auch die Fanpage-Betreiber müssen angeben, wie die Daten verarbeitet werden, und über den Umfang und Zweck informieren. Facebook hat dazu eine Vereinbarung über die gemeinsame Verantwortlichkeit (Seiten-Insights-Ergänzung) beider Parteien veröffentlicht. Allerdings behält sich Facebook die alleinige Entscheidungsmacht über die Datenverarbeitung vor. Zudem sind die bereitgestellten Informationen nicht ausreichend, damit Fanpage-Betreiber prüfen können, ob die Datenverarbeitung rechtmäßig ist. „Bis zur Nachbesserung durch Facebook ist es nicht möglich, eine Fanpage datenschutzkonform zu betreiben. Gerade Unternehmen in der Gesundheitswirtschaft empfehlen wir, die Finger davon zu lassen“, betont Harder.
Susann Harder, Rechtsanwältin bei Ecovis in Rostock
Fragen zum Datenschutz? Unsere Datenschutzberater helfen Ihnen gern.