ddm Ausgabe 1 | 2020

48 ddm | Ausgabe 1 | 2020 ABRE§ Praxiswebseite DSGVO-konform gestalten Teil 1 – Grundlagen der DSGVO Christian Solmecke Inhaber einer Zahnarztpraxis, die eine Website betreiben, müssen sich an die Vorschriften der seit dem 25. Mai 2018 anwendbaren Datenschutzgrundverordnung (DSGVO) halten. Denn fast alle Seiten sammeln sog. personenbe- zogene Daten – also Informationen, die Rückschlüsse auf eine bestimmte Person zulassen. Bereits wenn ein Besu- cher die Website aufsucht, wird grundsätzlich schon seine IP-Adresse übertragen. Gerade Ärzte müssen in Sachen Datenschutz besonders aufpassen: Denn regelmäßig geht es um Gesundheitsdaten von Menschen, die von der DSGVO als besonders sensibel eingestuft werden. Wer hier das Datenschutzrecht nicht beachtet, dem drohen im schlimmsten Fall Bußgelder der Aufsichtsbehörden oder Abmahnungen der Konkurrenten. Doch auf was müssen Zahnärzte eigentlich achten? Wie können diese Vorschriften praktisch umgesetzt werden? Dieser Beitrag vermittelt einen ersten Überblick darüber, wie auch eine Zahn- arzt-Website fit für die DSGVO gemacht werden kann. Wann dürfen Ärzte überhaupt Daten verarbeiten? Zahnärzte sind wie alle, die personenbezogene Daten verarbei- ten, sog. „Verantwortliche“. Das bedeutet, das Gesetz erlegt ihnen einige Pflichten auf, um die Daten ihrer Patienten zu schützen. Personenbezogene Daten dürfen sie nur verarbeiten, wenn das Gesetz es ausdrücklich erlaubt. Daher nennt man die entspre- chenden Passagen der DSGVO auch „Erlaubnisnormen“. Wann „normale“ personenbezogene Daten wie etwa Name, Adresse, Geburtsdatum oder IP-Adresse verarbeitet werden dür- fen, steht in Artikel 6 DSGVO. Die praktisch relevantesten Erlaub- nisnormen nach Art. 6 DSGVO sind: • Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a) • für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b) • zur Wahrung der berechtigten Interessen des Veran- wortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f) Eine Besonderheit stellen alle Angaben dar, in denen Patienten etwas über ihre Gesundheit mitteilen. Dann nämlich handelt es sich um besondere Kategorien von Daten, die nur auf Grundlage von Artikel 9 DSGVO verarbeitet werden dürfen. Letztlich dürfte bereits die Tatsache, dass ein Patient bei einem Arzt einen Ter- min hat, schon als gesundheitsbezogenes Datum zu werten sein. Deswegen müssen sich Ärzte meist auf diese besondere Erlaub- nisnorm stützen. Praktisch relevant sind daher für Zahnärzte fol- gende Erlaubnisnormen: • Einwilligung des Betroffenen (Art. 9 Abs. 2 lit. a) • für medizinische Zwecke wie etwa Diagnostik oder Behandlung bzw. aufgrund eines Vertrags mit einem Arzt (Art. 9 Abs. 2 lit. h) Die meisten Daten, die Ärzte von ihren Patienten erhalten, ver- arbeiten sie, um den Behandlungsvertrag zu erfüllen. Wer aber zusätzliche Dienste anbietet, z. B. einen Rückrufservice, ein Online- Terminvergabesystem oder einen besonderen Kommunikations- weg, muss möglicherweise eine Einwilligung der Patienten ein- holen. Einwilligung DSGVO-konform einholen Wer von den Patienten eine Einwilligung nach der DSGVO einholt, muss bei der Ausgestaltung einer Einwilligung folgende Punkte unbedingt beachten: • Die Einwilligung muss sich auf einen bestimmten Fall und auf einen bestimmten Verarbeitungszweck beziehen. • Die Einwilligung muss freiwillig erteilt werden und darf nicht an den Erhalt einer Leistung gekoppelt sein. • Der Patient muss ausreichend über die Reichweite der Einwilligung informiert gewesen sein, insbesondere auch über die Zwecke der Datenverarbeitung. • Der Zahnarzt muss das Vorliegen einer Einwilligungser- klärung nachweisen können. • Der Einwilligungstext muss klar formuliert sein. • Der Text muss gut zugänglich sein. • Der Arzt muss deutlich auf die jederzeitige Widerrufs- möglichkeit hingewiesen haben. • Kinder müssen mindestens 16 Jahre alt sein, um ein- willigen zu können. Bei jüngeren Kindern müssen die Eltern zustimmen. Da jede Einwilligung vom Nutzer bewusst und eindeutig zu erfolgen hat, empfiehlt sich für Webseiten-Betreiber eine Ausge- staltung als Opt-In mit einer nicht vorangekreuzten Checkbox. Immer, wenn die Einwilligung eines Nutzers eingeholt werden muss, sollte bereits im Vorfeld auf die Datenschutzerklärung (dazu gleich) hingewiesen und auf diese verlinkt werden. Auch Einwilli- gungen, die in der Vergangenheit eingeholt wurden, müssen den Grundsätzen der neuen DSGVO entsprechen. Bisher erteilte Ein- willigungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen. Datenschutzerklärung Der erste Aspekt, den jeder Zahnarzt auf seiner Praxiswebsite angehen sollte, ist die Datenschutzerklärung. Dieses Dokument ist öffentlich verfügbar und kann leicht von Wettbewerbern oder Aufsichtsbehörden eingesehen werden. Daher bietet es eine große Angriffsfläche. Durch die DSGVO sind neue Informa-