Sehr geehrte Damen und Herren,
wie versprochen erhalten Sie den dritten Teil meiner Ausführungen zur Neuregelung des Datenschutzrechts. Zunächst möchte ich noch einiges zu Teil 2 nachtragen. Durch Ihre Reaktionen auf meine letzte Mail hat sich weiterer Beratungsbedarf hinsichtlich der Datenschutzbeauftragten ergeben:
A) Nachtrag zur Datenschutzbeauftragten
1.
Nicht erwähnt habe ich, daß interner Datenschutzbeauftragter kein Gesellschafter einer Gemeinschaftspraxis und kein Inhaber einer Praxis sein kann. Die „Geschäftsführung“ soll durch die Datenschutzbeauftragte kontrolliert werden. Natürlich kann sich niemand selbst kontrollieren, sodaß diese bisher im deutschen Datenschutzrecht bestehende Möglichkeit dauerhaft ausscheidet.
2.
Interne und externe Datenschutzbeauftragte dürfen keine Interessenkollisionen bei der Wahrnehmung ihrer Aufgaben haben, Art. 38 Abs.6 DSGVO. Das hat zu der Frage geführt, ob zum Beispiel jemand, der gleichzeitig die Computer der Praxis betreut, überhaupt Datenschutzbeauftragter sein kann. Ich bin der Auffassung, daß solche Personen sehr wohl Datenschutzbeauftragte sein können. Jeder Angestellte, der interner Datenschutzbeauftragter ist, hat ja in irgendeiner Weise eine Interessenkollision, weil er vom Arbeitgeber bezahlt wird. Auch ein externer Datenschutzbeauftragter erhält für seine Tätigkeit vom Praxisinhaber Geld. Dies kann also nicht ausreichen, um eine Interessenkollision zu begründen. Da es zu diesem Punkt noch keine Rechtsprechung gibt, wird man abwarten müssen, wie streng die Rechtsprechung der Frage der Interessenkollision handhaben wird. Ich gehe bisher davon aus, daß man einigermaßen großzügig sein wird und eine Interessenkollision nur annehmen wird, wenn zum Beispiel familiäre oder sonstige intimen Beziehungen zum Praxisinhaber bestehen, oder wenn der Praxisinhaber sich ein bestimmtes Verhalten des/der Datenschutzbeauftragten erkauft. Sicher verboten ist, daß die Datenschutzbeauftragte gleichzeitig wirtschaftlich über den Einsatz von Datenverarbeitungsanlagen, also z.B. über die Anschaffung von Programmen, entscheidet. Ihre Aufgabe darf allein die Beratung der Praxisinhaber sein.
3.
Zur Haftung der Datenschutzbeauftragten ist nachzutragen, daß damit nicht die Haftung gegenüber dem Praxisinhaber, also dem Arbeitgeber, gemeint war. Diese Haftung tritt nach allgemeinen arbeitsrechtlichen Vorschriften nur bei grober Fahrlässigkeit ein, also bei einer Verschuldensgrenze, die schon in die Nähe einer absichtlichen Schädigung kommt. Diese Art der Haftung kann deshalb vernachlässigt werden. Die von mir empfohlene Haftpflichtversicherung betrifft die Haftung gegenüber Dritten, insbesondere gegenüber denjenigen, deren Daten verarbeitet werden, also den Patienten. Die Haftung des Praxisinhabers gegenüber solchen Personen wird im Wesentlichen von der Berufshaftpflichtversicherung abgedeckt sein und ist als Vermögensschadenhaftpflicht für gewöhnlich in dieser Versicherung enthalten. Über diese Versicherung ist die Datenschutzbeauftragte teilweise mitversichert, hat hierüber aber keine Kontrolle. Wenn also z.B. der Praxisinhaber einen Schaden nicht rechtzeitig meldet oder seine Versicherungsprämie nicht bezahlt, verliert er nicht nur seinen eigenen Versicherungsschutz, sondern dies trifft auch die Datenschutzbeauftragte.
Damit Sie sich unter solchen Haftungsfällen etwas vorstellen können, folgender (echter) Beispielsfall: Durch einen Fehler der Datenschutzbeauftragten erfährt der Ehemann einer Patientin, daß diese eine Abtreibung hatte. Er ist aber seit Jahren steril. Die Datenschutzbeauftragte haftet neben den Praxisinhabern gegenüber der Patientin für die sogenannten Abwicklungskosten der Ehe, also die Scheidungskosten.
Davon abgesehen kann eine Haftung der Datenschutzbeauftragten eintreten, ohne daß zugleich der Praxisinhaber haftet, etwa bei der Verletzung Dritter, die zur Praxis keine vertragliche Verbindung haben, also z.B. bei öffentlicher Preisgabe irrtümlich übersandter Unterlagen von Nichtpatienten. Es bleibt daher bei meiner Empfehlung, die Datenschutzbeauftragte zusätzlich zu versichern.
Eigentliches Thema der heutigen Folge ist die Gestaltung der Praxis-Homepage unter Berücksichtigung der Neuerungen im Datenschutzrecht:
B) Fotos im Internet
Besondere Vorsicht ist geboten, wenn Fotos von Personen eingestellt werden. Es ist bei vielen Praxen üblich, Fotos der Angestellten und Ärzte auf die Praxis-Homepage zu stellen. Dagegen ist auch im Allgemeinen nichts einzuwenden. Insbesondere bei der Abbildung von Angestellten kann es aber dazu kommen, daß ein Angestellter, der die Praxis im Streit verläßt, dem ehemaligen Arbeitgeber sehr schaden kann, wenn bei der Verwendung der Fotos nicht bestimmte Regeln eingehalten wurden. Ich empfehle deshalb, von jedem, der auf der Praxis-Homepage abgebildet ist, eine schriftliche Einwilligungserklärung unterschreiben zu lassen. Auch hierzu möchte ich ein Muster liefern:
__________________________________________________________
Einwilligung zu Fotoaufnahmen
Die Gemeinschaftspraxis für Pathologie X-Stadt beabsichtigt, Fotos der unterzeichnenden Arbeitnehmer an folgender Stelle im Internet zu veröffentlichen: www.pathologie-x-stadt.de.
Die Veröffentlichung soll auf unbestimmte Zeit erfolgen. Es ist darauf hinzuweisen, daß Fotos im Internet von beliebigen Personen abgerufen werden können. Es kann nicht ausgeschlossen werden, daß solche Personen die Fotos weiterverwenden und weitergeben. Dieser Einwilligungserklärung gilt ab dem Datum der Unterschrift und über die Beendigung des Arbeitsverhältnisses hinaus. Der Arbeitnehmer kann die Einwilligung nach Beendigung des Arbeitsverhältnisses nur dann widerrufen, wenn er nachweist, daß dies erforderlich ist, um seine berechtigten Interessen zu schützen.
Datum, Ort
Unterschrift Arbeitnehmer 1
Unterschrift Arbeitnehmer 2
Unterschrift Arbeitnehmer 3
_______________________________________________________________
Alternativ kann die Einwilligung zeitlich befristet werden bis zur Beendigung des Arbeitsverhältnisses. Das bedeutet aber im Streitfall, daß der Arbeitgeber sehr schnell handeln muß, um das Foto löschen zu lassen, und hieran natürlich auch erst einmal denken muß. Ich empfehle deshalb die oben ausformulierte unbefristete Variante. Minderjährige Arbeitnehmer, also insbesondere Auszubildende und Praktikanten, sollten mit Foto überhaupt nicht abgebildet werden, weil hierzu widersprüchliche und schwierige Rechtsprechung vorliegt und man sich ohne Not in ein rechtliches Minenfeld begibt.
C) Benennen der Datenschutzbeauftragten
Das Gesetz fordert die Veröffentlichung der Kontaktdaten der Datenschutzbeauftragten, damit sich Betroffenen an die Datenschutzbeauftragte wenden können, Art. 37 DSGVO. Hierzu muß aber nicht der Name der Datenschutzbeauftragten genannt werden und erst recht keine Anschrift oder derlei Dinge. Es genügt eine E-Mail-Adresse allgemeiner Art wie zum Beispiel datenschutzbeauftragte@pathologie-x-stadt.de.
Die Veröffentlichung sollte im Impressum der Homepage und in der Datenschutzerklärung erfolgen.
Darüber hinaus sind die Kontaktdaten der Datenschutzbeauftragten (mindestens Mailadresse, Praxisanschrift und Telefonnummer) an die Aufsichtsbehörde zu melden. Voraussichtlich werden die einzelnen Landesdatenschutzbehörden hierzu Online-Formulare zur Verfügung stellen. Lediglich wenn das nicht geschieht (bisher ist nichts zu sehen), ist die Meldung unaufgefordert vorzunehmen. Hier genügt dann zunächst einmal ein an den jeweiligen Landesdatenschutzbeauftragten gerichtetes Schreiben, das in etwa lautet:
Hiermit teilen wir gemäß Art. 37 Abs.7 DSGVO mit, daß Frau … von unserer Gemeinschaftspraxis zur betrieblichen Datenschutzbeauftragten bestellt worden ist. Sie ist erreichbar unter der Mailadresse…, Tel…., Adresse….
D) Datenschutzerklärung
Bereits nach den Vorschriften des Bundesdatenschutzgesetzes ist eine Datenschutzerklärung auf der Homepage erforderlich. Es empfiehlt sich übrigens nicht, kritiklos die Datenschutzerklärung zur Homepage zu nehmen, die Ihr Homepage-Betreuer Ihnen vielleicht anbietet. Es ist nicht gewährleistet, daß solche Datenschutzerklärungen fehlerfrei sind. Sie sind manchmal irgendwo im Internet kopiert worden und genügen teilweise nicht den gesetzlichen Anforderungen. Es liegt auf der Hand, daß ein Arzt eine andere Datenschutzerklärung benötigt als ein Friseur oder eine Metzgerei.
Als Beispiel können Sie hier meine eigene Datenschutzerklärung einsehen: https://www.pathrecht.de/j/privacy
Diese Datenschutzerklärung stellt das absolute Minimum dessen dar, was auf einer Homepage vorhanden sein sollte. Soweit über die Homepage Kommunikation erfolgen soll, Online-Formulare vorhanden sind und neben den Einsendern auch Patienten als unmittelbare Kommunikationspartner in Frage kommen, sollten Sie mein Formular nicht nutzen und individuell etwas eigenes erstellen.
Grundsätzlich soll eine Datenschutzerklärung bei Ärzten die Information beinhalten,
- warum Daten erhoben werden,
- welche Daten erhoben werden,
- wie die E-Mail der Datenschutzbeauftragten lautet.
Die Datenschutzerklärung muß so eingebunden werden, daß sie von überall her abrufbar ist, also ebenso wie das Impressum am besten in einer Fußzeile oder in einer permanent sichtbaren Steuerleiste. Falls Cookies genutzt werden, muß die Zustimmung der Anwender eingeholt werden.
Ein Hinweis auf Bildrechte gehört nicht in die Datenschutzerklärung, sondern ins Impressum.
E) Sonstiges und Ausblick
Auf der Praxis-Homepage kann man auch noch vieles andere falsch machen. Insbesondere müssen alle Angaben und Darstellungen auch berufsrechtlich zulässig sein. Für die Homepage gilt, was grundsätzliche Angaben zur Praxis angeht, das Gleiche wie für Praxisschilder. Die sogenannte „Ankündigung“ einer Praxis unterliegt sehr differenzierten und in allen Bundesländern verschiedenen Regeln. Gleiches gilt für das Heilmittelwerberecht. Es empfiehlt sich, die eigene Homepage alle paar Jahre rechtlich überprüfen zu lassen. Gegenstand einer solchen Überprüfung ist im Idealfall dann auch, ob die Homepage an die eigenen Einsender und Patienten akquisitorisch die richtige Botschaft aussendet.
Aufgrund der mittlerweile doch sehr vielfältigen Vorschriften für einen Internet-Auftritt ist davon auszugehen, daß derzeit fast keine Ärzte-Homepage ganz unangreifbar ist. Es dürfte kaum möglich sein, eine Homepage so zu gestalten, daß sie in jeder Hinsicht sicher vor den ebenso spitzen wie gierigen Fingern spezialisierter Abmahnanwälte ist. Es muß allerdings auch nicht sein, daß – wie ich es gegenwärtig feststelle – etwa jede zweite Praxis-Homepage schwere und schwerste Mängel aufweist, die ebenso leicht zu erkennen wie zu beseitigen sind.
Die Reihe wird kurzfristig fortgesetzt. In Teil 4 wird es u.a. um die Zusammenarbeit mit Einsendern gehen, ein Bereich, in dem derzeit erhebliche Verwirrung und teilweise panikartiger Aktionismus herrschen.
In der Ruhe liegt die Kraft.
Mit freundlichen Grüßen
RA Claus Renzelmann
Fachanwalt für Medizinrecht und Erbrecht
Seeblick 9
42399 Wuppertal
Tel. Büro: 0202-49590099
Handy: Wird ärztlichen Mandanten auf Wunsch bekannt gegeben
www.PathRecht.de
RA@Pathrecht.de