Wie steht es um die Datenschutzhinweise nach der neuen EU-Datenschutzgrundverordnung?

Warum lohnt sich der Frühjahrsputz für Ihren Internetauftritt?

Über den Datenschutz zu informieren, ist Pflicht. Selbstverständlich gilt dies auch für die Unternehmenswebseite, weil dort immer personenbezogene Daten verarbeitet werden. Mindestens ist es die Speicherung von IP-Adressen auf dem Webserver Ihres Hosting-Dienstleisters, meist fallen aber noch mehr Speichervorgänge oder Datenweitergaben an Dritte an, von denen Sie selber bisher noch gar nicht wussten.

Meine Empfehlung: Packen Sie es an im Sinne eines Frühjahrsputzes. Dann haben Sie es hinter sich – und anschließend eine tragfähige Grundlage, die in die Zukunft wirkt. Schließlich stehen Sie mit Ihrer Webseite im Rampenlicht. Anhand der Datenschutzhinweise lässt sich erkennen, wie gut Sie bei diesem Thema aufgestellt sind. Wer das wissen will? In erster Linie sind es natürlich Ihre Kunden, Patienten und Geschäftspartner, dazu aber auch die Aufsichtsbehörden, Wettbewerber und manchmal sogar Abmahnanwälte. Denn als Betreiber der Webseite sind Sie persönlich haftbar, und nicht Ihre Dienstleister. Alle, die sich gern selbst informieren wollen, finden die Kernvorschriften für die Inhalte von Datenschutzhinweisen in den Artikeln 12 und 13 der DSGVO.

Was sind die erforderlichen Bestandteile der Datenschutzhinweise auf der Laborwebseite?

Nutzen Sie für den Frühjahrsputz Ihrer Datenschutzhinweise die folgenden Fragen als Checkliste. Zu einigen Punkten finden Sie Erläuterungen und Beispiele.

• Sind die Texte präzise und verständlich geschrieben, transparent positioniert und in klarer, einfacher Sprache formuliert?
  Der in „Juristendeutsch“ verfasste Datenschutzhinweis, den Sie womöglich von einer anderen Webseite kopiert haben, erfüllt nicht mehr die gesetzlichen Anforderungen. Nutzen Sie lieber die Chance und erstellen Sie einen eigenen Text in patientenfreundlicher Sprache, der dazu noch für Ihr Unternehmen wirbt. Wir werden in den nächsten Jahren viele kreative Beispiele von Unternehmen sehen, die diese Chance für sich erkannt haben.
• Sind die Datenschutzhinweise leicht zugänglich? Werden die Informationen zeitgleich zur Datenerhebung gegeben?
  Von jeder Unterseite müssen die Datenschutzhinweise ohne Aufwand erreichbar sein. Praktischerweise benötigen Sie dafür einen eigenen Navigationspunkt „Datenschutz“ – zusätzlich zum Impressum. Bei E-Mail-Newslettern, internen Mitgliederbereichen oder E-Mail-Formularen sollten Sie zusätzlich den Datenschutzhinweis direkt im Umfeld des Onlineformulars gut sichtbar anordnen.
• Haben Sie den Namen und die Kontaktdaten Ihres Dentallabors angegeben?
  Vergessen Sie nicht, den Vertreter des Unternehmens zu nennen, beispielsweise wenn es sich um eine GmbH handelt. Unter der Überschrift „Verantwortliche Stelle“ können Sie die Kontaktdaten aus dem Impressum kopieren.
• Haben Sie die Kontaktdaten Ihres Datenschutzbeauftragten genannt?
  Der Name und die E-Mail-Adresse dürften hier ausreichen, damit Betroffene wissen, an wen sie sich wenden können.
• Wird klar, welche Daten von Ihrem Dentallabor verarbeitet werden? Werden die Daten an Dritte weitergegeben und wenn ja, an wen bzw. welche Kategorie von Empfängern? Werden Daten außerhalb der Europäischen Union verarbeitet und wird in diesen Fällen ein angemessenes Schutzniveau gewährleistet?
  Dieser Punkt ist nicht zu unterschätzen. Selbst viele IT-Services, Werbeagenturen oder Webdesigner wissen nicht, welche Daten genau verarbeitet werden. Dies liegt daran, dass häufig vorgefertigte Module von externen Anbietern für die Webseitenerstellung genutzt werden oder die Erstellung der Webseite schon lange zurückliegt. Beispiele für Datenverarbeitungen auf Webseiten sind die über Kontaktformulare erfragten personenbezogenen Daten, die Datenspeicherungen des Webservers (IP-Adresse, Zeitpunkt, Datenmenge, Browserinformation), Cookies (z.B. beim Einsatz von Content-Managementsystemen), Webanalysetools (Google Analytics, Piwik/Matomo), Social-Media-Plugins, Schriftarten oder JavaScript-Bibliotheken. Wenn Drittanbieter zum Einsatz kommen (z.B. Google Analytics), sollten Sie darüber hinaus prüfen, ob vertragliche Regelungen mit dem Anbieter getroffen werden müssen.

Bei Anbietern außerhalb der EU muss geprüft werden, ob diese in einem sicheren Drittstaat niedergelassen sind (z.B. die Schweiz) oder ob Garantien gegeben werden, die europäischen Datenschutzstandard gewährleisten (z.B. die Vereinbarung von EU-Standardvertragsklauseln oder bei US-Dienstleistern alternativ die Auflistung in der sogenannten „EU-U.S. Privacy Shield“-Liste). Datenschutzbeauftragte beraten und unterstützen Sie bei dieser Arbeit. Dazu erhalten Sie beispielsweise eine Frageliste, die Sie an Ihren betreuenden externen IT-Service oder an die Werbeagentur zur Beantwortung weiterleiten. Dies dürfte für viele der praktischste und schnellste Weg zum Ziel sein. Bei der Nutzung von externen Dienstleistern wie Google Analytics oder E-Mail-Newsletter-Dienstleistern muss meistens zusätzlich ein Vertrag über die Auftragsverarbeitung zwischen dem Dentallabor und dem externen Dienstleister geschlossen werden.

Wird genannt, wie lange die personenbezogenen Daten verarbeitet oder gespeichert werden? Um dies zu klären, richten Sie eine Anfrage an Ihren IT-Service oder an den Webhosting-Dienst. Von diesen erfahren Sie, wie lange die unter Punkt 5 genannten Daten gespeichert werden und ob für die IP-Adresse eine Pseudonymisierung erfolgt, indem nicht die vollständige IP-Adresse gespeichert wird. Wer Webanalysetools wie Google- Analytics oder Piwik/Matomo einsetzt, muss auch die dort verwendete Speicherdauer angeben. Eine zeitlich sehr lange (mehrere Jahre) oder gar unbegrenzte Speicherung ist problematisch. Tipp: Sollten Sie Webanalysetools vorhalten, die Sie bei Erstellung der Webseiten interessant fanden, jetzt aber nur ganz selten nutzen, dann entfernen Sie diese. Bei umfangreicheren Verarbeitungen, beispielsweise bei Webshops, können weitere Angaben notwendig sein, die im Einzelfall zu prüfen sind.

• Wird klar, zu welchen Zwecken die Daten verarbeitet werden?
  Dieser Punkt ist meist relativ einfach. Schreiben Sie, wofür die Sie Webseite betreiben. Dabei können Sie durchaus für sich die Chance nutzen und ein wenig mehr schreiben, um beispielsweise den Herstellungsort herauszustellen. Beispiel: „Zweck der Datenverarbeitung ist das Betreiben einer Webseite als Unternehemenspräsentation für unser zahntechnisches Meisterlabor in Musterstadt. Auf unseren Webseiten bieten wir den Besuchern Informationen über die modernen Herstellungsverfahren von Zahnersatz ‚Made in Germany’ und die Serviceangebote unseres Dentallabors.“
• Ist ersichtlich, auf welcher rechtlichen Grundlage die Daten verarbeitet werden?
  In den meisten Fällen wird hier zukünftig vermutlich die Angabe „Artikel 6 EU-DSGVO“ genannt werden. Diesen Punkt sollten Sie unbedingt mit Ihrem Datenschutzbeauftragten besprechen. Bei der Rechtsgrundlage „Einwilligung“ müssen Sie auf das Widerrufsrecht hinweisen (z.B. bei E-Mail-Newslettern). Bei der Rechtsgrundlage „Interessenabwägung“ müssen Sie Ihr Interesse formulieren.
• Werden die Rechte den Betroffenen, also den Nutzern der Webseite, deutlich?
  Ein deutlicher Hinweis ist hier notwendig. Dies bezieht sich auf folgende Rechte: auf Auskunft, Berichtigung oder Löschung, auf Einschränkung der Verarbeitung bzw. auf das Recht der Verarbeitung zu widersprechen. Darüber hinaus muss auf das Recht auf Datenübertragbarkeit und auf das Beschwerderecht bei einer Aufsichtsbehörde hingewiesen werden. Hier werden von den allermeisten Unternehmen voraussichtlich Textbausteine verwendet werden. Dies wird vermutlich dazu führen, dass kaum jemand diese Hinweise lesen wird. Der Hinweis muss aber dennoch gegeben werden. Statt der Standardtexte, die kaum ein Mensch noch lesen wird, sollen zukünftig als Alternative auch grafische Symbole verwendet werden dürfen.
• Werden Verfahren einer automatisierten Entscheidungsfindung eingesetzt oder die Daten von Webseitenbesuchern nicht direkt beim Betroffenen erhoben?
  Bei klassischen Webseiten von Dentallaboren wird das eher selten der Fall sein. Zur Vollständigkeit soll dieser Punkt aber mit in die Checkliste aufgenommen werden. Häufiger betroffen sind E-Commerce-Anbieter und Unternehmen, die umfangreich Online-Marketingdienste nutzen.

Fazit

Für jedes Dentallabor, das eine Webseite betreibt, ist die Erstellung von aktuellen Datenschutzhinweisen, die der neuen EU-Datenschutzgrundverordnung entsprechen, eine Pflicht. Nutzen Sie die obige Checkliste zur Orientierung. Im Netz finden Sie „Datenschutzerklärungs-Generatoren“. Diese können Sie eventuell dabei unterstützen, eine Basis zu schaffen, die dann auf Ihre individuellen Erfordernisse geprüft und nachgearbeitet werden sollte. Beratung und Unterstützung erhalten Sie auch von externen Datenschutzbeauftragten. Auf den Internetseiten des Autors finden Sie ein Beispiel für ausformulierte Datenschutzhinweise für ein Muster-Dentallabor, die Sie ebenfalls als Basis verwenden dürfen. Mit der Frühjahrsputzaktion für Ihre Webseiten erzielen Sie eine Wirkung, die ganz weit in die Zukunft reicht, weil meist nur noch geringfügige Anpassungen bei den Datenschutzhinweisen notwendig werden. 

Weiterführende Links

• Ist Ihr Dentallabor gut vorbereitet?

Bildquellen sofern nicht anders deklariert: Unternehmen, Quelle oder Autor/-in des Artikels