Frage
Dr. A. ist seit vielen Jahren in Nordrhein-Westfalen mit seinen Kollegen Dr. B. und Dr. C. in einer Berufsausübungsgemeinschaft (BAG) hausärztlich tätig. Als Service für die Patienten der Praxis unterhalten die Ärzte auch einen Internetauftritt. Hier haben sie sich bereits in der Vergangenheit darum bemüht, alle rechtlichen Rahmenbedingungen einzuhalten und dabei insbesondere Wert auf ein rechtskonformes Impressum gelegt. Nun wurde den Ärzten immer wieder berichtet, dass Kollegen abgemahnt worden seien, da datenschutzrechtliche Vorgaben nicht eingehalten worden seien. Wann ist eine solche Abmahnung rechtskonform – und wie sollten Ärzte reagieren, wenn ein Schreiben eintrifft?
Zweifellos gilt, dass die rechtlichen Vorgaben etwa im Zusammenhang mit dem Betrieb einer Praxiswebseite eingehalten werden müssen. Insbesondere muss neben dem Impressum eine vollständige Datenschutzerklärung vorgehalten werden.
Die Datenschutzerklärung umfasst alle wesentlichen Aspekte, die mit der Datenverarbeitung für den Betrieb der Webseite stattfinden. Hier ist zu beachten, dass regelmäßig eine Verarbeitung von personenbezogenen Daten bereits dann stattfindet, wenn ein Nutzer die Webseite lediglich aufruft; es ist also nicht erforderlich, dass der Nutzer aktiv Daten – etwa in eine Datenmaske – eingibt. Welche Daten konkret in welchem Zusammenhang erhoben werden, ist grundsätzlich individuell festzustellen. Hierzu sollten die Ärzte in enger Abstimmung mit den Erstellern der Webseite zusammenarbeiten.
Cave: Ärzte haften bei fehlender Datenschutzerklärung
In datenschutzrechtlicher Hinsicht sind die Ärzte der BAG als Praxisinhaber und Gesellschafter sogenannte datenschutzrechtlich Verantwortliche. Das heißt, die Gesellschafter “haften” für die Verletzung der datenschutzrechtlichen Vorgaben.
Ist eine Datenschutzerklärung fehlerhaft, nicht vollständig oder fehlt eine solche ganz, so kann und wird die zuständige Datenschutzaufsichtsbehörde Nordrhein-Westfalen eine Sanktion aussprechen, wenn sie von der Verletzung des Datenschutzes Kenntnis erlangt. Wie die Sanktion konkret ausfallen wird, richtet sich nach dem Fehlverhalten im individuellen Einzelfall (Belehrung, Verwarnung, Bußgeld etc.).
Ahndung obliegt den Behörden
Dass Patienten oder Mit-/Wettbewerber mit eigenen Mitteln, also etwa mit einer eigens ausgesprochenen Abmahnung, gegen die Ärzte der BAG vorgehen, ist eigentlich ausgeschlossen. Denn: Die Verfolgung und Ahndung von Verstößen gegen den Datenschutz ist ausdrücklich Aufgabe der Datenschutz-Aufsichtsbehörden.
Zu den Aufgaben der Behörde gehört dabei nicht nur die Überwachung der datenschutzrechtlichen Vorgaben, sondern neben vielen weiteren Aufgaben eben auch die Verfolgung von Datenschutzverstößen oder die Bearbeitung von Beschwerden durch Patienten und Mitbewerber. Will ein Patient oder Mit-/Wettbewerber einen datenschutzrechtlichen Verstoß der Ärzte der BAG rügen, so muss der Weg also über die Datenschutz-Aufsichtsbehörden gegangen werden.
Abmahnung durch Patienten?
Die Datenschutzgrundverordnung (DSGVO) sieht zwar vor, dass etwa auch Patienten – soweit sie von einem Datenschutzverstoß betroffen sind, etwa bei einem Verlust der Patientendaten – aktiv gegen die Ärzte der BAG vorgehen und Schadenersatz aufgrund einer Verletzung des allgemeinen Persönlichkeitsrechts verlangen könnten – vorausgesetzt, sie können im Einzelfall darlegen, dass ein Schaden in einer bestimmten Höhe tatsächlich entstanden ist.
Die Abmahnung aufgrund datenschutzrechtlichen Fehlverhaltens wiederum müsste aber eine Verletzung des freien Wettbewerbs darstellen und beurteilt sich damit nach wettbewerbsrechtlichen Grundsätzen. Datenschutz bedeutet zunächst jedoch Schutz der personenbezogenen Daten einer natürlichen Person (etwa eines Patienten).
Ob darüber hinaus auch der freie Wettbewerb zwischen Ärzten geschützt werden soll, ist bisweilen nicht abschließend geklärt. Während die Gerichte vereinzelt dazu tendiert haben, dies zu bejahen, haben andere Gerichte entschieden, dass ein datenschutzrechtlicher Verstoß nicht durch einen Patienten oder Mit- sowie Wettbewerber abgemahnt werden kann.
Tipp: Keiner Zahlungsaufforderung nachkommen!
Versucht ein Patient oder Mit-/Wettbewerber dennoch mittels einer Abmahnung ein datenschutzrechtliches Fehlverhalten zu ahnden, sollten die Ärzte auf keinen Fall eine sogenannte Verpflichtungs- oder Unterlassungserklärung unterzeichnen. Auch sollte einer etwaigen Zahlungsaufforderung des Abmahnenden niemals nachgekommen werden.
Es empfiehlt sich – gerade mit Blick auf die ergangenen gerichtlichen Entscheidungen – rechtlichen Rat einzuholen. Dies gilt unabhängig davon, wie seriös die Abmahnung auch aussehen mag – denn dies sagt wiederum nichts über deren Rechtmäßigkeit aus.
Praxistipp
Eine besondere Gefahr der – rechtswidrigen – Abmahnung besteht in Bereichen, in denen es für außenstehende Dritte besonders leicht ist, datenschutzrechtliches Fehlverhalten “aufzudecken” – also etwa im Bereich der öffentlichen Internetpräsenz einer Praxis. Gleichwohl können sich insbesondere Mit-/Wettbewerber zukünftig auch andere Bereiche des Praxisalltags herausnehmen und dort einen – angeblich – fehlerhaften Datenschutz mittels Abmahnung rügen.
Nicht zuletzt aus diesem Grund sollte die Praxis besonderen Wert darauf legen, datenschutzrechtliche Vorgaben zu implementieren und im Praxisalltag aktiv zu leben. Umso besser diese Voraussetzungen erfüllt sind, umso weniger besteht die Gefahr, Opfer einer (unrechtmäßigen) Abmahnung zu werden.
Sieben Schritte auf dem Weg zum korrekten Datenschutz hat “Der Hausarzt” für Praxen zusammengestellt: https://hausarzt.link/o6qzs