Praxishomepage und DSGVO: Was Sie als Websitebetreiber jetzt wissen sollten! Interview mit Hans-Joachim Nolte

fotolia©Robert KneschkeSeit 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung DSGVO. Sicherlich haben Sie sich inzwischen fit gemacht und Ihre Praxis in puncto interner Datenschutz auf den neuesten Stand gebracht. Doch gilt das auch für Ihre Praxishomepage? Auch hier bringt die DSGVO etliche Verschärfungen mit sich.

Was Sie als Websitebetreiber jetzt zu beachten haben, darüber hat Sonja Kohn, Heilpraktikerin und freie Redakteurin, mit Hans-Joachim Nolte, Media-Experte, Inhaber der Werbeagentur Nolte-IMP und seit September 2017 stetig mit der DSGVOUmsetzung befasst, gesprochen.

Herr Nolte, müssen Heilpraktiker (immer m/w), wenn sie eine Praxishomepage betreiben, ihre Datenschutzerklärung und das Impressum auf ihrer Website jetzt anpassen?

Da das Impressum und die Datenschutzerklärung öffentlich eingesehen werden können, lohnt sich eine detaillierte Überarbeitung auf jeden Fall. Stichprobenartige Untersuchungen unsererseits haben gezeigt, dass auf zahlreichen Homepages aus der Stadt und Region Hannover bereits vor Monaten mit frei verfügbaren ImpressumsGeneratoren, die von Rechtsanwälten angeboten werden, gearbeitet worden ist. Doch gerade innerhalb der letzten Wochen und Monate haben sich Änderungen in der Formulierung ergeben, die unbedingt angepasst werden sollten. Speziell geht es hier um die Hinweise zum Widerruf der Datenverarbeitung und Umgang mit den erfassten Besucherdaten. Moderne Websites nutzen zur einheitlichen Darstellung von Schriften Google Fonts. Hierbei werden ebenfalls Daten des Nutzers an Google übertragen wie bei der gerne wahrgenommenen Einbindung von Google Maps. Hinweise hierzu sind unbedingt zu ergänzen, falls diese Dienste genutzt werden. Sollten Sie Google Analytics zum Erfassen Ihrer Besucher und deren Aktionen auf Ihrer Website nutzen, erfordert dieses nicht nur einen detaillierten Hinweis auf Ihrer Website, sondern auch einen abgeschlossenen Vertrag mit Google. Sie sollten sich also überlegen, ob Sie Google Analytics weiterhin gebrauchen möchten. Wenn Sie das Tracking von Google nutzen, überprüfen Sie bitte, ob im Quelltext Ihrer Website der Code „ga(‚set‘, ‚anonymizeIp‘, ‚true‘);“ eingebaut ist. Sollte dieses nicht der Fall sein, übertragen Sie im Hintergrund sämtliche Besucherdaten an Google, was schon jetzt gesetzlich nicht einwandfrei ist und eine Abmahnung auslösen kann.

Mit Datum vom 26. April 2018 hat die DSK (Datenschutzkonferenz) ein Positionspapier veröffentlicht, das sich mit den rechtlichen Anforderungen an das Tracking von Nutzern auf Websites und Apps beschäftigt. Die DSK ist ein Gremium, in dem sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen. Im Positionspapier wird eine Aussage formuliert, dass das Tracking von Nutzern wie z. B. durch Analysetools wie Google Analytics oder durch Werbetracker nur noch durch eine explizite Zustimmung des Nutzers legitimiert werden kann. Hier sollte man also gespannt sein, wie die korrekte Umsetzung im Detail aussehen wird.

Was muss der Heilpraktiker als „Websitebetreiber“ besonders dabei beachten?

Soweit wir erkennen können, gibt es keine neuen Auflagen seitens der DSGVO im Bereich des Betreibens einer Website speziell für Heilpraktiker. Die Pflichtangaben sollten weiterhin abgebildet werden. Da sich die DSGVO nicht ausschließlich auf den Betrieb der Website bezieht, sehe ich den Großteil der Vorgaben durch die DSGVO eher bei der Umsetzung im täglichen Betrieb. Kurz genannt seien hier die Stichworte „Verzeichnis der Verarbeitungstätigkeiten“ und „Auftragsverarbeitung“. Hierbei geht es um eine detaillierte Dokumentation der Datenerfassung und darum, welche Daten – und warum – an Mitbehandler, externe Labore, Krankenkassen etc. weitergegeben werden und wie die von Ihnen übermittelten Daten geschützt werden. Wenn dann noch dafür gesorgt werden muss, dass es Patienten niemals möglich sein darf, Daten anderer Patienten einzusehen, z. B. weil der Empfang in Ihrer Praxis kurz unbeaufsichtigt ist, dass die gesamte IT vor Diebstahl gesichert werden soll, Patientendaten auf den Rechnern mindestens verschlüsselt sein sollen, dann stellt die Internetseite unseres Erachtens nach das kleinste Problem dar.

Gibt es irgendwelche Hilfen/Checklisten, mit denen unsere Mitglieder prüfen können, ob ihre Homepages mit der DSGVO konform sind?

Einen Impressums- und Datenschutz-Generator finden Sie auf den Seiten e-recht24.de. Dort wird ebenfalls über die DSGVO in regelmäßigen Postings berichtet. Wir sind dort Mitglied und haben somit Zugriff auf weitere Tools und Checklisten.

Die DSGVO ist (auch wenn dieses gefühlt der Fall ist) keine „Erfindung“ der deutschen Regierung. Umso bemerkenswerter finde ich, dass sich deshalb eine deutsche Behörde die Mühe gemacht hat, gerade kleineren Unternehmen bei der Umsetzung der DSGVO unter die Arme zu greifen – mit einer „Handreichung“, wie man dieses beim federführenden Bayerischen Landesamt für Datenschutzaufsicht nennt. Diese Informationen finden Sie hier: https://www.lda. bayern.de/de/kleine-unternehmen.html

Warum ich Ihnen einen Hinweis auf die Website aus Bayern nenne? Wenn Sie auf der zuständigen Seite der Landesbeauftragten für den Datenschutz in Niedersachsen (https://www.lfd.niedersachsen.de/startseite/) vorbeischauen, finden Sie keine so gut aufbereiteten Informationen wie die aus Bayern.

Was sind die häufigsten Fehler, die Websitebetreiber derzeit noch machen?

Die häufigsten Fehler wurden schon genannt: Einbindung von externen Dienstleistern ohne Hinweis darauf, welche Daten erhoben werden. In erster Linie geht es ja gerade um Transparenz in der Verarbeitung von Daten. Aber seien wir mal ehrlich: Die Heilpraktiker sind bei der Erstellung und beim laufenden Betrieb der Website immer auf Grafiker/Designer/Programmierer angewiesen. Und diese Personengruppe ist gar nicht befugt, Rechtsauskünfte im Einzelfall zu geben. Diese Aufgaben darf nur ein Rechtsanwalt übernehmen. Auch ein Datenschutzbeauftragter darf keine Rechtsberatung leisten. Hier ist also ganz klar zu erkennen, dass sowohl Designer, Programmierer, Datenschutzbeauftragte oder schlussendlich Hoster der Website gar keine Angaben zu einem rechtskonformen Webauftritt leisten dürfen.

Damit wäre also in der Theorie der häufigste Fehler ganz klar benannt: Wenn Sie keinen Rechtsanwalt mit der Überwachung Ihrer Website beauftragt haben, dann kann das ein Fehler sein, der teuer werden kann. Gegenfrage: Was meinen Sie, wie viele Ihrer Kollegen für die Betreuung Ihrer Praxishomepage einen Rechtsanwalt beschäftigt haben? Spätestens bei dieser Fragestellung erkennen Sie, dass zwischen der Androhung von Bußgeldern bis 20 Mio. Euro oder bis zu 4 % des gesamten weltweit erzielten Konzernumsatzes (Schreiben der Mitarbeiterin der Landesbeauftragten für den Datenschutz in Niedersachsen) und Ihrem alltäglichen Tagesablauf Welten klaffen. Sie haben eben schon den Begriff „weltweit erzielten Konzernumsatzes“ lesen können. Diese Formulierung und auch die Höhe der Strafen kommt aus dem Bereich des Kartellrechts. Passt das für Sie? Sicherlich nicht.

Aber bedenken Sie: Die Umsetzung der DSGVO wird in den nächsten Monaten und Jahren noch zahlreiche Urteile und Verfahren an deutschen und EU-Gerichten provozieren. Deshalb macht es keinen Sinn, eine Schulung zum Datenschutzbeauftragten zu buchen, die über 5-7 Tage stattfindet. Warum? Am Ende erhalten Sie ein Zertifikat, das Sie gut sichtbar in Ihrer Praxis platzieren können. Und wählen Sie diesen Platz mit Bedacht: Sie haben mehrere Tage an Arbeit investiert und dafür mindestens 1 000 Euro bezahlt. Ein Gemälde oder Kunstwerk in dieser Preisklasse ziert sicherlich nicht Ihre Praxiswand.

Datenschutz verändert sich stetig. Die verantwortliche Person muss sich also ständig über neuste Gesetze zum Thema informieren können. Die Fachqualifikation sollte also niemals infrage gestellt werden können. Wenn hier also nach den häufigsten Fehlern gefragt wird, dann lautet unsere Antwort: Das Thema Datenschutz lässt sich nicht mit dem Besuch eines Seminars erledigen. Datenschutz heißt, dass der verantwortlichen Person (dem Datenschutzbeauftragten) die Möglichkeit eröffnet wird, sich stetig darüber informieren zu können, welche gesetzlichen Neuigkeiten zu beachten sind. Diese zeitintensive Aufgabe kann von Einzelpersonen neben der normalen Praxistätigkeit jedoch nur schwerlich geleistet werden. Die Konsequenz wäre: die Bestellung eines externen Datenschutzbeauftragten, obwohl dieses bei Einzelpraxen, die in der Regel weniger als zehn Personen beschäftigen und die regelmäßig mit Kundendaten arbeiten, gesetzlich nicht vorgeschrieben ist.

Welche Elemente, die auf Praxishomepages verwendet werden, können für uns Heilpraktiker besondere Gefahren bergen?

Wie bereits erwähnt, gibt es hier eine Menge an Fallstricken: Die Verwendung von Google Analytics setzt einen Vertrag zur ADV (Auftragsdatenverarbeitung) mit Google voraus. Den sollten Sie auf jeden Fall abschließen. Wenn Sie einen Shop betreiben, sind nochmals zahlreiche Details zu beachten, da hier u. a. Zahlungsschnittstellen externer Dienstleister eingesetzt werden. Hier übermitteln Sie also Daten Ihrer Websitebesucher an externe Dienstleister.

Wenn Sie einen Newsletter auf Ihrer Website bereitstellen und den Versand über Dritte anbieten (z. B. MailChimp, Newsletter2Go, CleverReach), dann müssen Sie ebenfalls einen ADV mit diesen Firmen abschließen.

Gemäß der DSGVO soll analysiert werden, an welchen externen Dienstleister Sie „Daten Ihrer Kunden“ weitergeben. Allein ausreichend ist in diesem Fall die Erfassung/ Übertragung eines Namens und die dazugehörige E-Mail-Adresse. Wenn Sie also Dropbox, WeTransfer, Google Docs oder ähnliche Dienste nutzen, über die Sie Daten freigeben, dann haben Sie datenschutzrechtlich ein Problem.

Sie fragten, welche Elemente auf der Praxishomepage für Heilpraktiker eine besondere Gefahr bergen. Bei einigen Websites, die wir im Vorfeld dieses Interviews analysieren konnten, wurden komplette Websites über Dienstleister in den USA erstellt und dort vorgehalten (gehosted). Dazu gehören z. B. Wix.com und Blogger. com. Im Fall von Blogger.com blendet der Betreiber (Google) zurzeit folgenden Hinweis ein: „EU-Gesetze verlangen, dass du Besucher aus der Europäischen Union über die in deinem Blog verwendeten Cookies informierst. In vielen Fällen verlangen diese Gesetze sogar, dass du dir eine entsprechende Zustimmung einholst. […] Du selbst bist dafür verantwortlich, zu prüfen, ob der Hinweis für deinen Blog ausreicht und angezeigt wird“. Schlussendlich sind Sie als Websitebetreiber verantwortlich. Und anhand dieses Hinweises können Sie erkennen, dass sogar weltweit agierende Firmen wie Alphabet Inc. (Mutterunternehmen von Google) die Verantwortung in Ihre Hände legen.

Müssen wir auch aufpassen, wenn wir einen Blog oder Social Media betreiben?

Auf jeden Fall. Anfang Mai wurde eine ausgeweitete Klage zum Thema Datenaustausch zwischen der EU und den USA an den EuGH weitergeleitet. Zu prüfen ist, ob der grenzübergreifende Datenaustausch von Facebook, Google, Apple und Co. legal ist. Insbesondere die Nutzung von Facebook kann hier für die Heilpraxis zum Problem werden. Im Detail geht es darum, welche Daten der Besucher der Facebook-Praxisseite aufgezeichnet und übermittelt werden. Eine Entscheidung steht noch aus.

Facebook, Twitter, Google+ und Co. bieten Websitebetreibern den Einsatz von Social Plugins auf ihren Websites an. Der Begriff Social Plugins meint dabei Erweiterungen für Websites, die ein Teilen der Inhalte mit sozialen Gruppen ermöglichen. Einer der wohl am weitesten verbreiteten Social Plugins ist sicherlich der Like-Button von Facebook.

Das Problem: Bei einer direkten Einbindung der Social Buttons auf einer Website stellen diese Plugins bereits beim „Betreten“ der Website eine Verbindung zu den sozialen Netzwerken her. Welche Daten dabei im Einzelnen übermittelt werden, ist offiziell nicht bekannt. In der Praxis heißt das: Sie als Betreiber der Website übermitteln Daten Ihrer Besucher an die jeweiligen Firmen. Welche Art von Daten übermittelt werden, können Sie nicht einschätzen. Wenn Sie also weiterhin Ihre Postings/News über die sozialen Netzwerke verbreiten möchten, dann kommt direkt aus Hannover die passende Lösung: Der Heise-Verlag bietet kostenlos eine Lösung namens Shariff an. Hier werden Daten an die jeweiligen Anbieter erst durch Freigabe des jeweiligen Besuchers Ihrer Website weitergeleitet.

Warum sollten Websites jetzt auf „SSL/ TLS“ umgestellt werden?

Sofern Sie ein Formular auf Ihrer Website eingebunden haben, bei dem Sie Daten abfragen, sind Sie schon jetzt verpflichtet, diese Datenerfassung gemäß „Stand der Technik“ abzusichern. Dabei ist ein SSLZertifikat unbedingt vonnöten.

Als Hersteller des Browsers Chrome wiederholt Google seit Jahren, dass eine SSLVerschlüsselung nötig ist. Diese Verschlüsselung wirkt sich auch positiv auf die Suchmaschinenergebnisse aus. Ab Juli 2018 wird bei jeder Website, die nicht über das SSL-Protokoll ausgeliefert wird, der Hinweis „NICHT SICHER“ direkt in der Adressleiste der jeweiligen Website erscheinen. Dieser Hinweis kann zahlreiche Besucher Ihrer Website davon abhalten, weitere Unterseiten zu besuchen. Hierbei ist besonders zu beachten, dass älteren Besuchergruppen oftmals Warnungen zum verantwortlichen Gebrauch des Internets direkt von ihren – mittlerweile erwachsenen Kindern – mitgeteilt wurden. Ein Warnhinweis (von Google Chrome) im Browser kann deshalb zum sofortigen Stopp des weiteren Besuchs Ihrer Website durch diese Personengruppe führen.

Möchten Sie uns zum Ende dieses Interviews noch etwas mitteilen?

Nolite necare nuntium! (Tötet nicht den Boten!)

Da die Umsetzung der DSGVO mit Aufwand und Kosten auch für Sie als Heilpraktiker verbunden ist, möchten wir an dieser Stelle darauf hinweisen, dass dieses Gesetz nicht von uns stammt oder im Rahmen einer Lobbyarbeit durch uns lanciert wurde. Ebenfalls ist die DSGVO keine „Erfindung“ aus Deutschland.

Persönlich wichtig ist mir folgender Hinweis, der Ihnen vielleicht aufzeigen wird, weshalb „kostenlos“ nicht „umsonst“ ist:

Wenn Sie Google Analytics nutzen, werden sämtliche Daten bezüglich Besuchszeit, Browser, Dauer der Zugriffszeit, angezeigter Unterseiten inklusive Daten zum Ort, des verwendeten Browsers und weiterer Informationen detailliert für Sie zur Verfügung gestellt. Diese Daten werden jedoch ebenfalls an Google übertragen und von Google verwendet, um Mitbewerbern Werbechancen durch die Schaltung von AdWords-Anzeigen vorzuschlagen. Durch die Interaktionen der Besucher Ihrer eigenen Website informieren Sie Google also über die vollständigen Klicks. Dieser Dienst wird für Sie kostenlos zur Verfügung gestellt – die Daten der Besucher Ihrer Website werden an Google weitergeleitet. Wollen Sie das wirklich?

Ähnlich verhält es sich mit der Nutzung von Facebook. Sie nutzen die Infrastruktur von Facebook dafür, Ihre Kontakte zu pflegen, News zu posten oder Fotos zu publizieren. Auch hier entstehen aufseiten von Facebook Kosten für die Bereitstellung der Server und des Personals. Wie die aktuellen Meldungen aus der Presse zeigen, werden die von Ihnen über Facebook publizierten Informationen auch außerhalb von Facebook verwendet. Sie profitieren also von den Facebook-Diensten, haben aber keine vertraglich geregelte Grundlage hierfür.

Wenn Sie sich bei der Umsetzung der DSGVO mit einem echten Profi zusammensetzen, dann sollten Sie nicht überrascht sein, wenn dieser auf Ihre Frage „Hätten Sie gerne einen Kaffee? Milch? Zucker?“ mit folgendem Satz antwortet.

„Ich trinke meinen Kaffee #000000“. (Eine Suche bei Google wird Sie auf eine Anzeige des Heise-Verlags aus Hannover aufmerksam machen. #000000 steht in der digitalen Welt für Schwarz.)

Herzlichen Dank für diese spannenden Informationen!

Foto: fotolia©Robert Kneschke