Hausarzt-SpecialDatenschutz-Abmahnung – und nun?

Immer öfter geraten Hausärzte ins Visier von Datenschützern. Erste Erfahrungsberichte aus den Landeshausärzteverbänden zeigen jedoch: Nicht immer sind die Schreiben, die in den Praxen eintreffen, auch berechtigt.

Frage

Dr. A. ist seit vielen Jahren in Nordrhein-Westfalen mit seinen Kollegen Dr. B. und Dr. C. in einer Berufsausübungsgemeinschaft (BAG) hausärztlich tätig. Als Service für die Patienten der Praxis unterhalten die Ärzte auch einen Internetauftritt. Hier haben sie sich bereits in der Vergangenheit darum bemüht, alle rechtlichen Rahmenbedingungen einzuhalten und dabei insbesondere Wert auf ein rechtskonformes Impressum gelegt. Nun wurde den Ärzten immer wieder berichtet, dass Kollegen abgemahnt worden seien, da datenschutzrechtliche Vorgaben nicht eingehalten worden seien. Wann ist eine solche Abmahnung rechtskonform – und wie sollten Ärzte reagieren, wenn ein Schreiben eintrifft?

Zweifellos gilt, dass die rechtlichen Vorgaben etwa im Zusammenhang mit dem Betrieb einer Praxiswebseite eingehalten werden müssen. Insbesondere muss neben dem Impressum eine vollständige Datenschutzerklärung vorgehalten werden.

Die Datenschutzerklärung umfasst alle wesentlichen Aspekte, die mit der Datenverarbeitung für den Betrieb der Webseite stattfinden. Hier ist zu beachten, dass regelmäßig eine Verarbeitung von personenbezogenen Daten bereits dann stattfindet, wenn ein Nutzer die Webseite lediglich aufruft; es ist also nicht erforderlich, dass der Nutzer aktiv Daten – etwa in eine Datenmaske – eingibt. Welche Daten konkret in welchem Zusammenhang erhoben werden, ist grundsätzlich individuell festzustellen. Hierzu sollten die Ärzte in enger Abstimmung mit den Erstellern der Webseite zusammenarbeiten.

Cave: Ärzte haften bei fehlender Datenschutzerklärung

In datenschutzrechtlicher Hinsicht sind die Ärzte der BAG als Praxisinhaber und Gesellschafter sogenannte datenschutzrechtlich Verantwortliche. Das heißt, die Gesellschafter “haften” für die Verletzung der datenschutzrechtlichen Vorgaben.

Ist eine Datenschutzerklärung fehlerhaft, nicht vollständig oder fehlt eine solche ganz, so kann und wird die zuständige Datenschutzaufsichtsbehörde Nordrhein-Westfalen eine Sanktion aussprechen, wenn sie von der Verletzung des Datenschutzes Kenntnis erlangt. Wie die Sanktion konkret ausfallen wird, richtet sich nach dem Fehlverhalten im individuellen Einzelfall (Belehrung, Verwarnung, Bußgeld etc.).

Ahndung obliegt den Behörden

Dass Patienten oder Mit-/Wettbewerber mit eigenen Mitteln, also etwa mit einer eigens ausgesprochenen Abmahnung, gegen die Ärzte der BAG vorgehen, ist eigentlich ausgeschlossen. Denn: Die Verfolgung und Ahndung von Verstößen gegen den Datenschutz ist ausdrücklich Aufgabe der Datenschutz-Aufsichtsbehörden.

Zu den Aufgaben der Behörde gehört dabei nicht nur die Überwachung der datenschutzrechtlichen Vorgaben, sondern neben vielen weiteren Aufgaben eben auch die Verfolgung von Datenschutzverstößen oder die Bearbeitung von Beschwerden durch Patienten und Mitbewerber. Will ein Patient oder Mit-/Wettbewerber einen datenschutzrechtlichen Verstoß der Ärzte der BAG rügen, so muss der Weg also über die Datenschutz-Aufsichtsbehörden gegangen werden.

Abmahnung durch Patienten?

Die Datenschutzgrundverordnung (DSGVO) sieht zwar vor, dass etwa auch Patienten – soweit sie von einem Datenschutzverstoß betroffen sind, etwa bei einem Verlust der Patientendaten – aktiv gegen die Ärzte der BAG vorgehen und Schadenersatz aufgrund einer Verletzung des allgemeinen Persönlichkeitsrechts verlangen könnten – vorausgesetzt, sie können im Einzelfall darlegen, dass ein Schaden in einer bestimmten Höhe tatsächlich entstanden ist.

Die Abmahnung aufgrund datenschutzrechtlichen Fehlverhaltens wiederum müsste aber eine Verletzung des freien Wettbewerbs darstellen und beurteilt sich damit nach wettbewerbsrechtlichen Grundsätzen. Datenschutz bedeutet zunächst jedoch Schutz der personenbezogenen Daten einer natürlichen Person (etwa eines Patienten).

Ob darüber hinaus auch der freie Wettbewerb zwischen Ärzten geschützt werden soll, ist bisweilen nicht abschließend geklärt. Während die Gerichte vereinzelt dazu tendiert haben, dies zu bejahen, haben andere Gerichte entschieden, dass ein datenschutzrechtlicher Verstoß nicht durch einen Patienten oder Mit- sowie Wettbewerber abgemahnt werden kann.

Tipp: Keiner Zahlungsaufforderung nachkommen!

Versucht ein Patient oder Mit-/Wettbewerber dennoch mittels einer Abmahnung ein datenschutzrechtliches Fehlverhalten zu ahnden, sollten die Ärzte auf keinen Fall eine sogenannte Verpflichtungs- oder Unterlassungserklärung unterzeichnen. Auch sollte einer etwaigen Zahlungsaufforderung des Abmahnenden niemals nachgekommen werden.

Es empfiehlt sich – gerade mit Blick auf die ergangenen gerichtlichen Entscheidungen – rechtlichen Rat einzuholen. Dies gilt unabhängig davon, wie seriös die Abmahnung auch aussehen mag – denn dies sagt wiederum nichts über deren Rechtmäßigkeit aus.

Praxistipp

Eine besondere Gefahr der – rechtswidrigen – Abmahnung besteht in Bereichen, in denen es für außenstehende Dritte besonders leicht ist, datenschutzrechtliches Fehlverhalten “aufzudecken” – also etwa im Bereich der öffentlichen Internetpräsenz einer Praxis. Gleichwohl können sich insbesondere Mit-/Wettbewerber zukünftig auch andere Bereiche des Praxisalltags herausnehmen und dort einen – angeblich – fehlerhaften Datenschutz mittels Abmahnung rügen.

Nicht zuletzt aus diesem Grund sollte die Praxis besonderen Wert darauf legen, datenschutzrechtliche Vorgaben zu implementieren und im Praxisalltag aktiv zu leben. Umso besser diese Voraussetzungen erfüllt sind, umso weniger besteht die Gefahr, Opfer einer (unrechtmäßigen) Abmahnung zu werden.

Sieben Schritte auf dem Weg zum korrekten Datenschutz hat “Der Hausarzt” für Praxen zusammengestellt: https://hausarzt.link/o6qzs

E-Mail-Adresse vergessen? Schreiben Sie uns.
Passwort vergessen? Sie können es zurücksetzen.
Nur wenn Sie sich sicher sind.

Sie haben noch kein Passwort?

Gleich registrieren ...

Für Hausärzte, VERAH® und ÄiW (Allgemeinmedizin und Innere Medizin mit hausärztlichem Schwerpunkt) ist der Zugang immer kostenfrei.

Mitglieder der Landesverbände im Deutschen Hausärzteverband profitieren außerdem von zahlreichen Extras.

Hier erfolgt die Registrierung für das Portal und den Newsletter.


Persönliche Daten

Ihr Beruf

Legitimation

Die Registrierung steht exklusiv ausgewählten Fachkreisen zur Verfügung. Damit Ihr Zugang freigeschaltet werden kann, bitten wir Sie, sich entweder mittels Ihrer EFN zu legitimieren oder einen geeigneten Berufsnachweis hochzuladen.

Einen Berufsnachweis benötigen wir zur Prüfung, wenn Sie sich nicht mittels EFN autorisieren können oder wollen.
Mitglied im Hausärzteverband
Mitglieder erhalten Zugriff auf weitere Inhalte und Tools.
Mit der Registrierung als Mitglied im Hausärzteverband stimmen Sie zu, dass wir Ihre Mitgliedschaft überprüfen.

Newsletter
Sie stimmen zu, dass wir Ihre E-Mail-Adresse für diesen Zweck an unseren Dienstleister Mailjet übermitteln dürfen. Den Newsletter können Sie jederzeit wieder abbestellen.

Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.
Newsletter abbestellen

Wenn Sie den Newsletter abbestellen wollen, geben Sie bitte Ihre E-Mail-Adresse an und wählen Sie die gewünschte Funktion. Wir senden Ihnen dann eine E-Mail zur Bestätigung.