· Fachbeitrag · Datenschutz
DSGVO-Verstöße sind wettbewerbsrechtlich abmahnfähig: So schützen Sie Ihre Praxis
von RA Tobias Jung, Reume GbR, Köln, reume.de
| Die Datenschutz-Grundverordnung (DSGVO) schützt auch den Wettbewerb. Unterlassungsklage und wettbewerbsrechtliche Abmahnungen gelten nun auch für DSGVO-Verstöße auf Unternehmens-Websites. Das betrifft vor allem die Pflicht zur Datenschutzinformation nach Art. 13 DSGVO (Oberlandesgericht [OLG] Stuttgart, Urteil vom 27.02.2020, Az. U 257/19). Inhaber von Physiopraxen sind nun gut beraten, das Impressum und die Datenschutzerklärung ihrer Website genau zu prüfen. denn bei Fehlern drohen hier nun teure Abmahnungen, auch durch sog. „Abmahnvereine“. |
Zunahme von Abmahnungen ist zu befürchten
Bislang drohte Praxen Schaden wegen Datenschutzverstößen, wenn betroffene Patienten diese bei den Aufsichtsbehörden angezeigt haben. Hoch umstritten war bislang, ob auch Mitbewerber und Wettbewerbsvereine ‒ also Personen die gar nicht unmittelbar betroffen sind ‒ Verstöße gegen die DSGVO beanstanden konnten. Die meisten Landgerichte haben dies bislang verneint und auch die Politik befürchtete eine ausufernde Abmahnwelle.
Da einige Anwälte es sich zum Geschäftsmodell gemacht haben, Wettbewerbsverstöße aufzuspüren und kostenpflichtig abzumahnen, dürfte sich nun ein neues Betätigungsfeld aufgetan haben. Von praktischer Relevanz dürfte dies jedoch zunächst nur für Datenschutzverstöße im Internet sein, d. h. auf der Praxis-Website oder dem Facebook-Auftritt der Praxis. Datenschutzverstöße innerhalb der Praxis könnten zwar theoretisch abgemahnt werden. Tatsächlich wird dies aus praktischen Gründen jedoch kaum vorkommen. Da aber Datenschutzverstöße z. B. in der Datenschutzerklärung der Website schnell und für jedermann leicht zu finden sind, droht hier Gefahr.
Datenschutzerklärung auf der Website: große Unsicherheit
Gerade bei Datenschutzerklärungen auf Websites herrscht große Unsicherheit. Diese wird dadurch verschärft, dass Datenschutzerklärungen bisher nach den Vorgaben des Telemediengesetzes zu gestalten waren. Das OLG Stuttgart hat in seinem Urteil jedoch bekräftigt, dass seit Inkrafttreten der DSGVO nur noch diese für die Datenschutzerklärung der Website als Maßstab gilt.
PRAXISTIPP | Die meisten Datenschutzerklärungen auf Internetseiten ‒ auch und vor allem die aus sog. Generatoren ‒ sind überfrachtet. So besteht etwa keine Pflicht über die Art der auf der Website verarbeiteten Daten wie z. B. über Logfiles zu informieren. Prüfen Sie auch, ob die Datenschutzerklärung tatsächlich inhaltlich mit der Website der Praxis übereinstimmt. Gerade formularmäßige Datenschutzerklärungen von sog. Generatoren enthalten oft Textbausteine, die gar nicht auf die Website passen. Auch hier drohen nun Abmahnungen. |
Cookies
Vor allem der Einsatz sog. Trackingcookies im Zusammenhang mit Google Analytics ohne Einwilligung der User kann zum Gegenstand von Abmahnungen werden (PP 01/2020, Seite 13). Holen Sie sicherheitshalber für das Setzen von entsprechenden Trackingcookies eine Einwilligung ein. Wird diese über ein Kästchen zum Ankreuzen eingeholt (Checkbox), darf das Häkchen nicht standardmäßig gesetzt sein. Auf sog. Tracking-Pixel sollte verzichtet werden.
YouTube, Google-Maps und Social-Media-PlugIns
Auf vielen Internetseiten von Praxen sind Videos von Behandlungen oder Kartenausschnitte von Google Maps zur Darstellung des Anfahrtswegs eingebunden. Dabei wird oft übersehen, dass bereits beim Laden der Seite Informationen des Nutzers an YouTube bzw. Google gesendet werden, auch wenn dieser sich das Video oder die Karte gar nicht angeschaut hat. Auch hier sollte die Darstellung des Videos oder der Karte ‒ und damit das Laden des PlugIns ‒ vor eine Einwilligungssperre gesetzt werden.
Der Facebook-Auftritt einer Praxis muss unbedingt sowohl ein Impressum als auch eine Datenschutzerklärung enthalten. Das Impressum muss dabei leicht erreichbar sein (Kammergericht Berlin, Urteil vom 20.12.2019, Az. 5 U 42/12). Das Impressum kann i. d. R. von der Praxishomepage 1 : 1 übernommen werden. Die Datenschutzerklärung muss auf Facebook und auf die gemeinsame Verantwortlichkeit gemäß Art .26 DSGVO angepasst werden.
MERKE | Nach Auffassung vieler Datenschutzbehörden kann eine Facebook-Seite zzt. nicht DSGVO-konform betrieben werden. Denn Facebook stellt keinen Vertrag gemäß Art. 26 DSGVO zur Verfügung (für den Fall, dass es mehrere Verantwortliche für die Datenverarbeitung gibt, wie z. B. Facebook Inc. und die Physiopraxis, die Facebook für ihren Auftritt nutzt). |
Nicht jede Abmahnung ist berechtigt
Trotz des Urteils des OLG Stuttgart ist die Rechtslage noch nicht ausdiskutiert. Erst wenn der Bundesgerichtshof eine Entscheidung fällt, kann die Rechtslage als gefestigt angesehen werden. Bis dahin gilt im Notfall: Ruhe bewahren.
|
|