ddm | Ausgabe 2 | 2020 40 Praxiswebseite DSGVO-konform gestalten Teil 2 – Die sichere Kommunikation Christian Solmecke ABRE§ Die Praxiswebseite ist zunächst ein guter Weg für (zukünftige) Patienten, sich z. B. über den Zahnarzt, sein Team und seine Behandlungsmethoden zu informieren. Doch wie wir bereits im ersten Teil dieses Beitrags erläutert haben: Bereits beim erstmaligen Aufrufen einer Webseite werden personenbezogene Daten übermittelt. Daher gilt es, die Webseite zu verschlüsseln, um die Übertragung sicher zu gestalten. Darüber hinaus gibt es zahlreiche Möglichkeiten, für Ärzte und Patienten, auf elektronischem Weg zu kommunizieren. Doch auch hier gibt es einiges zu beachten. Webseite verschlüsseln Websites, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein. Weil jede Website zumindest die IP-Adresse eines Besuchers erfasst, ist die Verschlüsselung Pflicht. Das Ziel einer solchen Verschlüsselung ist, zu verhindern, dass Unbefugte Zugriff zu den übermittelten Daten der Besucher erhalten. Ob eine Seite verschlüsselt ist, ist leicht erkennbar: Die URL muss mit „https“ anfangen. In vielen Browsern wird dann auch ein Schloss davor angezeigt oder das Wort „sicher“. Sollte die Seite nicht sicher sein, muss dies unbedingt geändert werden, indem mithilfe eines sog. SSL-Zertifikats die Seite umgestellt wird. SSL steht für „Secure-Sockets-Layer“. Mit dieser Technologie wird die Datenkommunikation von einem Computer zu einem Server Ende-zu-Ende-verschlüsselt. Wer nicht weiß, wie die Umstellung funktioniert, kann z. B. seinen Web-Hoster oder einen IT-Dienstleister kontaktieren. Kontaktformulare Wenn Ärzte für Anfragen Kontaktformulare auf der Website anbieten, benötigen sie eine gesetzliche Erlaubnis für die Verarbeitung der Daten, die Patienten ihnen preisgeben. Wenn es darum geht, einen Termin zu vereinbaren, dann ist die Datenspeicherung schon „zur Erfüllung eines Vertrages“ notwendig, Art. 9 Abs. 2 lit. h) DSGVO. Sofern Patienten nur eine allgemein Anfrage, z. B. zu Sprechzeiten, haben und keine gesundheitlichen Informationen übermittelt werden, dürften die Interessen der Seitenbetreiber an der Verarbeitung der Daten regelmäßig überwiegen, Art. 6 Abs. 1 lit. f) DSGVO. In anderen Fällen, in denen Gesundheitsdaten übermittelt werden, kann es im Einzelfall erforderlich sein, dass die Besucher aktiv in die Übermittlung der Daten einwilligen. Zudem muss das Prinzip der Datensparsamkeit beachtet werden: So dürfen vom Nutzer keine Informationen als Pflichtangaben verlangt werden, die nicht notwendig sind, um seine Anfrage zu bearbeiten. Was tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Pflichtfelder müssen als solche gekennzeichnet werden. Wer noch weitere Daten erheben will, muss dem Nutzer deutlich machen, dass diese Angaben freiwillig sind. Freifelder sollten nur dann angeboten werden, wenn man sich sicher sein kann, dass niemand sonst Zugang zu den Daten hat. Denn hier machen Patienten oft detaillierte Angaben zu ihrer Gesundheit. Auch hier muss auf die bereits erwähnte Verschlüsselung der Daten geachtet werden, um zu verhindern, dass Dritte an die Daten gelangen könnten. Zudem muss eine Erläuterung der Datenverarbeitung über Kontaktformulare in der Datenschutzerklärung enthalten sein. Vor dem Absenden des Formulars sollte auf die Datenschutzerklärung verlinkt werden. Schließlich sollten Zahnärzte, die mit einem Hoster oder einem anderen externen Dienstleister zusammenarbeiten, auf den Abschluss eines Datenverarbeitungsvertrags achten (dazu gleich mehr). Kommunikation mit den Patienten per E-Mail und Messenger Natürlich gibt es auch andere Möglichkeiten, Kontakt aufzunehmen. Allerdings kann von den meisten gängigen Methoden nur abgeraten werden. Generell ist es nicht empfehlenswert, sich WhatsApp auf dem beruflich genutzten Handy zu installieren, weil sich der Dienst automatisch alle Daten aus dem Adressbuch „zieht“ und in die USA übermittelt. Ohne Einwilligung aller beruflich genutzten
RkJQdWJsaXNoZXIy NzIxMjU=