Datenschutz ist ein äußerst wichtiges Thema für alle Arzt- und Zahnarztpraxen. Naturgemäß verarbeiten Ärzte und Zahnärzte und ihre Teams persönliche Daten von besonders schützenswerter Art, nämlich Gesundheitsdaten.
Artikel 9 Absatz 1 der DSGVO untersagt die Verarbeitung von Gesundheitsdaten, außer zum Zweck der medizinischen Diagnostik (ebd. Absatz 2 h) durch Fachpersonal oder unter dessen Verantwortung (ebd. Absatz 3). In Deutschland bedeutet das vor allem eines: für den Datenschutz in einer Praxis ist der Arzt oder Zahnarzt selbst verantwortlich und kann persönlich zur Rechenschaft gezogen werden.
Unser Service für Ihre Datenschutzbelange
Die Datenschutzerklärung gehört zu den ungeliebten, aber notwendigen Elementen einer Website. Viele ratlose Webmaster und auch Datenschutzbeauftragte scheuen den Gang zum Fachanwalt. Diese sind ohnehin sehr dünn gesät, denn auch ein Anwalt ist meist nicht in der Lage, die technischen Gegebenheiten einer Website wirklich zu erfassen. Und der Datenschutzbeauftragte in den meisten Fällen ebensowenig, denn die notwendigen technischen Kenntnisse gehören nicht zum Berufsbild.
Glücklicherweise können wir auch hier helfen, denn Robin ist zertifizierter Datenschutzbeauftragter und hat die notwendige Ahnung von Website-Technik.
Was beim Datenschutz auf Praxis-Websites oft schiefläuft
Machen wir ein kleines Spielchen: Was glauben Sie, welche Probleme verbergen sich womöglich hinter den Ausklappfeldern? Überlegen Sie, bevor Sie sie aufklappen. Wenn Sie richtig vermuten, haben Sie womöglich bereits ein Gespür für den Datenschutz entwickelt.
Wir haben im Prinzip gar nichts gegen Datenschutzgeneratoren, wir nutzen sie selbst. Aber wenn man nicht über die notwendige Sachkenntnis verfügt, in den Generatoren die zutreffenden Elemente zu wählen, oder diese gar nicht erst angeboten werden, ist die Benutzung schwierig. Also kreuzt man einfach mal alles an und hofft, dass das Richtige schon irgendwie dabei ist. Aber dabei nimmt man sich leicht ein Recht heraus, das sich in dieser Form abmahnfähig erweist. Beispiel: die Misere mit den extern geladenen Google Fonts 2022. Dass dieser Vorgang mit einer Rechtsgrundlage als technisch notwendig oder berechtigtes Interesse in der Datenschutzerklärung stand, hatte keinerlei Bedeutung, weil beides schlicht nicht zutrifft.
Datenschutzerklärungen für Websites gibt es schon eine ganze Weile, die DSGVO kam dann 2018 mit ihren speziellen Anforderungen dazu. Wir erinnern uns, dass wirklich jeder damals panisch eine Datenschutzerklärung erstellen ließ. Und die wurde seitdem auch nicht mehr angefasst.
Aber die Anforderungen an die Datenschutzerklärung haben sich weiterentwickelt und tun das noch. Die Datenschutzerklärung sollte also regelmäßig geprüft werden, ob alles noch der aktuellen Handhabung entspricht. Und das vor allem auch dann, wenn sich an der Websitetechnik etwas ändert. Sonst entwickeln sich behaupteter Datenschutz und gelebter Datenmissbrauch auf der Website immer weiter auseinander.
Es gibt viele Anbieter von Online-Terminvereinbarungen für Arztpraxen. Wir bieten selbst einige Vertreter dieser Art sehr gerne an. Aber sie alle haben eines gemeinsam: es sind Auftragsverarbeiter. Die Zusammenarbeit mit Auftragsverarbeitern muss in der Datenschutzerklärung erläutert werden und es muss ein AV-Vertrag geschlossen werden. Das beginnt übrigens schon beim Hoster der Website. Den AV-Vertrag bieten die meisten deutschen Hoster mittlerweile automatisiert an, aber wurde er auch abgeschlossen? Auch einer mit dem Dienstleister für die Terminvereinbarung? Und steht das alles auch richtig in der Datenschutzerklärung?
Die Berichterstattung zur DSGVO hat leider viel zu lange immer nur von Cookies gesprochen. Dabei sagt die DSGVO gar nichts über diese kleinen Textdateien aus. Datenschutzprobleme entstehen durch Weitergabe persönlicher Daten an Dritte, vor allem werbetreibende Dritte, die solche Daten zur Profilerstellung sammeln. Ob das mittels Cookies oder Drittverbindungen oder Fingerprinting passiert, ist dabei ganz egal. Es reicht also nicht, keine Cookies zu setzen. Auf der anderen Seite muss man sich technisch notwendige Cookies (z.B. Warenkorb) nicht erlauben lassen. Man muss alles prüfen, vor allem auch die leicht nachweisbaren Drittverbindungen.
Dies ist ein weiteres Problem mit altem Wissen. Deutschland hat sich sehr lange geziert, die e-privacy-Richtlinie umzusetzen, die es eigentlich schon 2003 verbot, Cookies auf Rechnern der Besucher zu speichern. In Deutschland war der Gesetzgeber lange der Ansicht, dass Cookie-Hinweise nach dem Motto „Friss Kekse oder spiel woanders“ in Ordnung sind. Aber das ist nicht mehr so. Heutzutage reicht ein lapidares „wenn du hier weitersurfst, sind Cookies für dich OK“ nicht mehr. Es muss eine klare Erläuterung aller Cookies (und auch aller weiteren einwilligungspflichtigen Dinge) erfolgen.
Wer weiß schon wirklich, was die eigene Website treibt? Selbst Webmaster, die ihre Website mit WordPress selbst erstellen, treffen hier schnell auf ihre Grenzen. Setzt das neue Plugin Cookies, baut es Drittverbindungen auf, lädt es Google Fonts von extern, ist es erklärungspflichtig? Und noch viel stärker gilt das für fremderstellte Websites. Viele Agenturen klatschen vollautomatisch im eigenen Interesse Google Analytics auf so eine Website, und zwar ohne jede vorgeschaltete Einwilligungsanforderung. Der Betreiber erfährt zwar nie, welche Daten da gesammelt werden, könnte sie selbst auch kaum korrekt interpretieren, aber verantwortlich für diesen Datenmissbrauch durch Dritte ist er trotzdem.
... und das ist nur die Spitze des Eisbergs.
Wir sorgen für die Beruhigung Ihrer Datenschutz-Nerven. Mit unserem Angebot der Datenschutzprüfung durch einen zertifizierten Datenschutzbeauftragten schauen wir, welche datenschutzrelevanten Vorgänge auf Ihren Webauftritten stattfinden und ob sie richtig erklärt werden und Einwilligungen korrekt eingeholt werden.
Sie erhalten von uns zeitnah einen schriftlichen Bericht über die Ergebnisse der Prüfung, die wir auch gerne in einem Telefonat näher erläutern. Wir geben Informationen zur Lösung von Problemen, die Sie dann in der Regel mit Ihrer Agentur sowie Ihrem Datenschutzbeauftragten oder Anwalt angehen können.
Natürlich stehen wir auch gerne zur Verfügung, falls Sie keine solchen Ansprechpartner für die Umsetzung unserer Vorschläge haben.
Das leisten wir für Sie:
Datenschutzprüfung
Passt die vorhandene Datenschutzerklärung zu dem, was auf der Website passiert?-
Prüfung der Website und sozialen Medien auf Datenschutzprobleme
-
Aufstellung datenschutzrelevanter Vorgänge bei den Internetauftritten
-
Berichterstellung und erklärendes Gespräch im Nachgang
-
Unterstützung bei der Umsetzung der Änderungen
- Inhaltlich-technischer Check der Webseite auf Datenschutz-Konformität durch zertifizierten Datenschutzbeauftragten.
- Relevante Punkte u.a.:
• Impressum
• Datenschutzerklärung
• Cookies und Einwilligungen
• Google Fonts u. a. Drittverbindungen
• Dienste und Dienstleister mit Einwilligungs-, Erklärungs- oder AV-Vertragspflicht - Sie erhalten zeitnah nach erfolgter Buchung einen Bericht inkl. der zu behebenden Punkte schriftlich und / oder per Telefon mit anschließender Besprechung auf Wunsch.
- Gerne unterstützen wir Sie bei der Umsetzung der erforderlichen Änderungen.
Die Verantwortung für die Umsetzung und den korrekten Datenschutz verbleibt beim Kunden.
Unsere Dienstleistung bezieht sich auf die inhaltlich-technische Prüfung des Internet-Auftritts und der damit verbundenen Technologie und erstreckt sich nicht auf praxisinterne Abläufe. Wenn Änderungen an der Datenschutzerklärung empfohlen werden, raten wir zur Durchführung seitens des in der Datenschutzerklärung genannten Datenschutzbeauftragten oder durch einen Fachanwalt.
Haben wir Ihr Interesse geweckt?
Nehmen Sie einfach Kontakt für ein erstes Gespräch mit uns auf: