Klienteninfo Ausgabe 9 / Dezember 2019

Inhalt:

 

09.12.2019

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Datenschutzerklärung

Das Problem der Datenschutzerklärung betrifft alle Leute, die Kunden, Klienten oder Patienten haben. Und wer zusätzlich noch eine Website betreibt, den betrifft das doppelt. Grund genug also, sich ein wenig genauer mit ausgewählten Details der Datenschutzerklärung zu beschäftigen.

Die Datenschutzerklärung ist die Erfüllung der Informationspflicht des Verantwortlichen gegenüber den Betroffenen gem. Art. 13 und 14 DSGVO. Er muss erklären, welche Daten er zu welchem Zweck verarbeitet, weshalb das zulässig ist, wie lange er sie verarbeitet und allenfalls wer in seinem Auftrag ebenfalls mit den Daten zu tun hat. Außerdem muss der Betroffene auf seine Rechte hingewiesen werden, die ihm nach Art. 15 DSGVO zustehen. Die Informationspflicht besteht „zum Zeitpunkt der Erhebung“ der Daten, also noch BEVOR die Verarbeitung einsetzt!

Zahlreiche Gesundheitsberufe in Österreich sind durch das 2. Materien-Datenschutzanpassungsgesetz von der Erfüllung der Informationspflicht gem. Art. 13 und 14 ausgenommen worden. Unter Fachleuten ist das eine höchst umstrittene Aufweichung der DSGVO, sie wird möglicherweise seitens des EuGH aufgehoben. Bis dahin aber gilt die Ausnahme. Dazu hat Ideato bereits vor längerer Zeit HIER eine Tabelle veröffentlicht, aus der man rasch erkennen kann, welche Berufe allenfalls von der Pflicht zur Erstinformation in Österreich befreit sind.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Inhalt der Datenschutzerklärung

Grundsätzlich benötigt man Datenschutzerklärungen für zwei völlig getrennte Bereiche: einmal für die Kunden, Klienten oder Patienten; die zweite Erklärung ist für die Besucher der eigenen Website bestimmt (so es eine gibt). Gegenüber ihren Patienten können sich z.B. Ärzte und andere Gesundheitsberufe in Österreich (nicht in Deutschland!) derzeit auf die Ausnahmebestimmungen des 2. Materien-Datenschutzanpassungsgesetzes berufen. Sie haben bei der Aufnahme von Patientendaten keine Informationspflicht nach der DSGVO. Wenn der Arzt allerdings eine Website betreibt, unterliegt er dabei uneingeschränkt den gesetzlichen Verpflichtungen. Er muss also für die Website eine umfassende Datenschutzerklärung veröffentlichen.

Die Datenschutzerklärung muss zahlreiche Details zur Datenverarbeitung offenlegen (s.o.). Dazu gibt es viele gute Muster und Vorlagen der verschiedenen Berufsgruppenvertretungen. Auch Ideato unterstützt gerne bei der Abfassung einer Datenschutzerklärung. Vier Punkte, die sich in der Praxis als heikel erwiesen haben, werden nachfolgend zum besseren Verständnis speziell erläutert:

Zweck und Rechtsgrundlage der Verarbeitung:

Die bisherigen Entscheidungen der Datenschutzbehörden und der Gerichte verlangen dazu sehr konkrete Angaben. Wer Daten der Besucher seiner Website für Marketingzwecke erhebt, und „cookies“ setzt, kann grundsätzlich ein „berechtigtes Interesse“ für sich in Anspruch nehmen. Schwammige Angaben über den Verarbeitungszweck, wie etwa „Zur Optimierung des Surferlebnisses auf unseren Webseiten“, werden aber mit Sicherheit beanstandet. Auch muss die Möglichkeit angeboten werden, dass der Nutzer für jeden einzelnen „cookie“ und den mit ihm verbundenen Zweck eine gesonderte Entscheidung trifft. Manche Seiten deutscher Anbieter haben diese Aufgabe bereits vorbildlich gelöst.

Zum Thema „cookies“ gibt es ein höchst unterhaltsames YouTube-Video, das die wichtigsten Anforderungen perfekt beschreibt. Selbst wenn man am Inhalt nur mäßig interessiert ist, sollte man es sich ansehen – des Vergnügens wegen.

Für Personen, mit denen eine Geschäftsbeziehung besteht (Kunden, Klienten, Patienten) ist der Zweck und die Rechtgrundlage der Datenverarbeitung in der Regel leicht beschreibbar, weil er sich ohnehin aus sachlichen Notwendigkeiten ergibt. Die Zusendung von Newsletters erfordert allerdings eine vorherige Zustimmung des Betroffenen, die er jederzeit rückgängig machen kann.

Kategorien der verarbeiteten Daten:

Bei Geschäftsbeziehungen sind dies in der Regel z.B. Name, Adresse, Telefonnummer, Bankverbindung, Mailadresse etc. Bei Websites sind es alle Daten, die mittels der cookies erhoben und ausgewertet werden. Dazu gehört in der Regel auch die IP-Adresse des Gerätes, von dem aus die Seite aufgerufen wird. IP-Adressen werden vom Gesetz genauso wie Sozialversicherungsnummern als personenbezogene Daten behandelt und müssen daher in der Datenschutzerklärung angeführt werden.

Dauer der Verarbeitung:

Die Dauer der Verarbeitung (also die Dauer der Aufbewahung der Daten) soll so kurz wie möglich gehalten werden. Oft wird man mit wenigen Monaten bis zu einigen Jahren (Steuerrecht) auskommen. In Österreich ist aber grundsätzlich eine bis zu 30jährige Aufbewahrungsdauer für Unterlagen begründbar, denn gem. §§ 1478 und 1489 ABGB (Allgemeines Bürgerliches Gesetzbuch) kann man drei Jahre lang Schadenersatz fordern, sobald man den Schädiger und den Schaden kennt. Diese Möglichkeit besteht bis zu 30 Jahren. Wer also bspw. nach 27 Jahren einen Schaden feststellt und seinen Schädiger namhaft machen kann, hat noch 3 Jahre Zeit, Schadenersatz zu verlangen. Vorallem im Gesundheitsbereich sowie für Bau- und Immobilienunternehmen ist das wichtig. Jedenfalls ist es gerechtfertigt, dass der Verantwortliche Unterlagen aufbewahrt, die er im Fall der Fälle vor Gericht als Beweise vorlegen kann. Die Ärztekammer Wien empfiehlt deshalb sogar die Aufbewahrung über 30 Jahre, auch wenn das Ärztegesetz lediglich 10 Jahre vorschreibt.

Wie lange Analysedaten von Webseiten aufbewahrt werden dürfen, ist im Einzelfall zu beurteilen. Länger als ein paar Monate wird es wohl nicht sein. Ob man in Erfahrung bringen kann, welche Daten wie lange bei Google und bei Facebook verarbeitet werden, ist unsicher. Allerdings übernimmt der Verantwortliche einer Website nach einer Entscheidung des EuGH eine juristische Mitverantwortung dafür und muss die Besucher seiner Website ausreichend informieren – sofern er Google-Analytics oder Facebook einbindet.

Datenweitergabe:

Selbst Unternehmer, die bei der Auftragsbearbeitung keine Daten weitergeben, betreiben in der Regel Datenaustausch: Steuerberater, Buchhaltung und Bank erhalten Rechnungsdaten. Die Information an die Patienten oder Klienten könnte z.B. lauten: „Abrechnungsdaten werden regelmäßig an den Steuerberater XYZ und die FFF-Bank übermittelt.“ Ärzte in Österreich müssen die Zustimmung ihrer Patienten einholen, wenn sie deren Gesundheitsdaten an andere Ärzte übermitteln, bei denen die jeweilige Person ebenfalls in Behandlung steht (Ärztegesetz!).

Wer in seine Website Analysecode von Google oder einen „Like-Button“ von Facebook einbaut, gibt damit Daten der Besucher seiner Seite an die beiden Unternehmen weiter. Um herauszufinden, was Google und Facebook „absaugen“ muss man deren Allgemeine Geschäftsbedingungen sehr genau studieren. Jedenfalls muss der Verantwortliche einer Website ausreichende Angaben machen, was Google und Facebook tun. In der Praxis verweisen manche Verantwortliche einer Website einfach mittels eines Links auf die Datenschutzerklärungen von Google oder Facebook. Es gibt zwar keine Behördenentscheidungen zur Frage, ob solche Verweise als ausreichend gelten. Bis auf Weiteres kann man jedoch davon ausgehen.

In jedem Fall gilt seit einem Urteil des EuGH vom Oktober 2019, dass der Nutzer einer Website aktiv zustimmen muss, BEVOR seine Daten an Google und Facebook weitergeleitet werden. Bei der technischen Realisierung ist das eine Herausforderung, denn die Nutzerdaten werden schon weitergeleitet, wenn jemand die betreffende Seite erstmals aufruft. Es sollte also VOR der Frontpage noch eine Informationsseite vorgeschaltet werden, die auf die Einbindung von Google oder Facebook hinweist und eine Entscheidung der Nutzer im Sinne eines "opt-in" ermöglicht.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!