DS-GVO-Bilanz: erste Erfahrungen, aktuelle Entwicklungen und Abmahnrisiken in der Praxis

von RA, FA für MedizinR Alexander Maur, Köln, www.kanzlei-am-aerztehaus.de

 In den Monaten seit dem Inkrafttreten der Datenschutzgrundverordnung (DS-GVO) sind Erfahrungen im Umgang mit den Neuregelungen gewonnen worden. In vielerlei Hinsicht war unklar, wie die neuen gesetzlichen Vorgaben zu interpretieren und in der Praxis umzusetzen sind. Damit einher ging die Sorge vor Abmahnwellen. Zeit für ein erstes Zwischenfazit und einen Ausblick auf die kommenden Monate.

Erste Abmahnungen rügten fehlende Informationen

Wenn es bisher zu Abmahnungen kam, wurden in erster Linie Internetseiten angegriffen. So wurde etwa gegen das Fehlen datenschutzrechtlicher Informationen bzw. von Cookie-Hinweisen vorgegangen. Auch das Fehlen einer SSL-Verschlüsselung wurde beanstandet, wenn Kontaktformulare das Übermitteln personenbezogener Angaben erlaubten.

Künftig wird aber sicher auch intensiver diskutiert werden, inwiefern datenschutzrechtliche Informationen inhaltlich den gesetzlichen Anforderungen gerecht werden.

Als besonders abmahnanfällig hat sich hier bereits das Verwenden sog. Plug-ins oder Erweiterungen (z. B. Google Analytics, Google Fonts, „Share-Buttons“ zum Teilen von Inhalten oder „Like-Buttons“ von Facebook) im Rahmen der eigenen Internetpräsenz erwiesen.

Merke

Häufig ist Praxisinhabern nicht bewusst, dass bestimmte Programmierhilfen vielfach personenbezogene Daten der Besucher einer Seite an den Anbieter der Hilfsmittel übermitteln. Mitunter besteht nicht einmal Kenntnis, dass die typischerweise extern programmierte Webpräsenz auf diese Programme Dritter zurückgreift. Datenschutzrechtliche Defizite können in solchen Fällen die Folge sein.

 

Abmahnfähigkeit datenschutzrechtlicher Verstöße wird bezweifelt

In Auseinandersetzungen um bereits erfolgte Abmahnungen vor datenschutzrechtlichem Hintergrund wird zunehmend kritisch hinterfragt, ob diese auf Basis der DS-GVO überhaupt noch statthaft sind.

Abmahnungsgegner berufen sich darauf, dass die DS-GVO ein umfangreiches Instrumentarium spezieller Rechtsschutzmöglichkeiten und Sanktionen beinhaltet. Diese detaillierten Regelungen legten die Interpretation nahe, dass die Rechtsfolgen und Rechtsschutzmöglichkeiten datenschutzrechtlicher Verstöße hierdurch abschließend geregelt werden sollen und keine darüber hinausgehende Abmahnung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) zulässig sei. Unterlassungsansprüche für Wettbewerber sind in der DS-GVO nicht vorgesehen. Eine Positionierung der deutschen Rechtsprechung zu dieser Frage steht noch aus.

Gesetz gegen Missbrauch von Abmahnungen ist geplant

Parallel zur dargestellten Diskussion arbeitet der deutsche Gesetzgeber daran, dem Missbrauch von Abmahnungen entgegenzuwirken. Ein entsprechendes Ziel war bereits im Koalitionsvertrag der aktuellen Regierung definiert und erhielt mit Inkrafttreten der datenschutzrechtlichen Neuerungen tagespolitische Relevanz. Der derzeitige Gesetzentwurf sieht u. a. vor, Massenabmahnungen mittels einer Limitierung der erstattungsfähigen Aufwendungen ihrer Lukrativität zu berauben. Die Verabschiedung des Gesetzes wird noch für 2018 erwartet.

Es ist alles andere als Rechtsklarheit eingetreten

Im Hinblick auf die Interpretation der DS-GVO haben die ersten Monate nach ihrem Inkrafttreten – nicht unerwartet – nur wenig Rechtsklarheit gebracht. Vielmehr werden die Diskussionen um verschiedene Auslegungsmöglichkeiten der enthaltenen Vorgaben nun erst recht kontrovers geführt. Exemplarisch ist die Frage, ob Arztpraxen und Apotheken generell oder erst ab 10 Mitarbeitern einen Datenschutzbeauftragten (DSB) benötigen. Diskutiert wird primär am Beispiel der Apotheken, wenngleich die ausgetauschten Argumente auch auf radiologische Praxen übertragbar scheinen:

  • Die deutschen Datenschutzbehörden hatten hier zunächst gemeinschaftlich empfohlen, dass im Regelfall ein DSB benannt werden muss, wenn mindestens 10 Personen in der Arztpraxis oder Apotheke beschäftigt sind. An dieser ursprünglichen Empfehlung wird vielerorts festgehalten.
  • Das bayerische Innenministerium geht – nicht abgestimmt mit dem Landesdatenschutzbeauftragten – offenbar davon aus, dass selbst bei einer Mitarbeiterzahl von 10 Personen und mehr ein betrieblicher DSB nicht zwingend ist.
  • Der hessische Landesdatenschutzbeauftragte empfiehlt dagegen, dass Apotheken unabhängig von der Zahl der dort Tätigen einen DSB benennen.

Die vertretene Meinungsvielfalt scheint hier täglich zuzunehmen. Klarstellende Rechtsprechung ist derzeit noch nicht verfügbar.

Fazit

Die gravierenden Unklarheiten zur Auslegung der DS-GVO bestehen auch Monate nach ihrem Inkrafttreten fort. Erfreulicherweise setzen die Behörden ihre Ressourcen bisher vorrangig ein, um zu einer möglichst einheitlichen Auslegungspraxis zu finden und stellen den Beratungsgedanken zunächst über eine sanktionierende Tätigkeit.

Abmahnaktivitäten zielten bisher primär auf Internetpräsenzen und dort bevorzugt auf leicht wahrnehmbare Angriffspunkte, die bei einer Vielzahl von Seitenanbietern gegeben sind (z. B. Inhalte der Datenschutzerklärung). Eine sorgfältige Prüfung dieser besonders angriffsanfälligen Inhalte kann das Abmahnrisiko von radiologischen Praxen signifikant senken.

 

Weiterführende Hinweise