Datenschutzerklärung

Viele Ärzte und Arztpraxen sind unsicher, ob sie einen Datenschutzbeauftragten benötigen.

 

Grds. ist  ein Datenschutzbeauftragter (DSB) in Unternehmen immer zu benennen wenn 20 oder mehr Personen einschließlich der oder dem Verantwortlichen mit der Verarbeitung von Gesundheitsdaten befasst sind. Bei weniger als 10 Personen benötigen Sie dennoch einen Datenschutzbeauftragten

 

Ob ein Datenschutzbeauftragter in der Arztpraxis zwingend notwendig ist, hängt von konkreten Umständen ab, die in Art. 37 DSGVO festgelegt sind.

Demnach ist in drei Fällen ein Datenschutzbeauftragter zwingend zu benennen.

  1.  

 Die  Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle, mit Ausnahme von Gerichten.

Dies dürfte eher die Ausnahme sein.

  1.  

Die Kerntätigkeit der Arztpraxis bzw. Auftragsverarbeiter besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.

Auch dies dürfte bei Ärzten eher die Ausnahme darstellen

  1.  

Die Kerntätigkeit besteht in der umfangreichen Verarbeitung von Daten nach Artikel 9 und 10 DSGVO. Dazu gehören Nach Art. 9 DSGVO auch „Gesundheitsdaten“.

Die aktuell herrschende Meinung nimmt an, dass eine umfangreiche Verarbeitung nicht bei einer Praxis mit einem Arzt stattfindet. Unklar ist aber, ob dies auch für zwei, drei oder vier Ärzte gilt. Die wohl herrschende Auffassung geht hier von einer umfassenden Verarbeitung von Gesundheitsdaten aus.

Ab fünf Ärzten stellt sich die Frage in der Regel nicht mehr, da durch die Anzahl der Sprechstundenhilfen  wieder die „20 Personen Regel“ nach § 38 BDSG eingreift, so dass man in jedem Fall  einen Datenschutzbeauftragten benötigt.

Zusammenfassend lässt sich sagen, dass bei einer Arztpraxis mit mehreren Berufsträgern ein Datenschutzbeauftragter zwingend benannt werden muss .Das gilt folglich für Gemeinschaftspraxen mit mehr als einem Arzt.

Auch wenn bei einem Einzelarzt ein Datenschutzbeauftragter nicht zwingend vorgeschrieben ist, sollte dennoch überlegt werden, ob nicht trotzdem einer bestellt wird. Denn auch der Einzelarzt muss viele datenschutzrechtliche Vorgaben beachten.

Wir sind u.a. auf die Beratung von Arztpraxen spezialisiert und helfen ihnen schnell  und effektiv bei der Umsetzung der Vorschriften der DSGVO. Wir sind als externe Datenschutzbeauftragte in Arztpraxen tätig.

 

Nutzen Sie unsere kostenlose telefonische Ersteinschätzung um sich zu orientieren. Wir helfen gern!

Wir bieten auch Schulungen zum Thema Datenschutz in Arztpraxen an.

Diese Frage wird uns seit Inkrafttreten der DSGVO (Datenschutzgrundverordnung immer wieder gestellt wird, so dass wir das Thema anhand dieses Artikels kurz darstellen wollen.

Was ist eigentlich ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte hat die Funktion eines Experten im Hinblick auf das geltende Datenschutzrecht und sorgt für die praktische Umsetzung der datenschutzrechtlichen Bestimmungen, sozusagen als dauerhaft eingerichtetes Kontrollinstrument, welches die Selbstregulierung der Unternehmen im Hinblick auf das Datenschutzrecht sicherstellt.

Wer braucht einen Datenschutzbeauftragten?

Auch schon vor In Kraft treten der DSGVO gab es die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn das Unternehmen bestimmte Voraussetzungen erfüllt. Dieser Anwendungsbereich wurde nun aber erweitert.  Der deutsche Gesetzgeber hat mit Erlass des neuen Bundesdatenschutzgesetzes (BDSG-neu) überdies von der Möglichkeit Gebrauch gemacht, weitere Anwendungsfälle zu schaffen, die zur Benennung eines Datenschutzbeauftragten verpflichten:

Gemäß § 38 BDSG-neu ist ein Datenschutzbeauftragter zu bestellen, wenn regelmäßig zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ob es sich dabei um fest angestellte Mitarbeiter, freie Mitarbeiter oder Aushilfen handelt ist irrelevant.

Darüber hinaus entsteht die Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn das Unternehmen personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet.

Ebenso, wenn das Unternehmen besonders sensible Daten, wie beispielsweise Bonitäts- oder Gesundheitsdaten verarbeitet.

In solch einer Situation besteht unabhängig von der Anzahl der Beschäftigten eine grundsätzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten.

Kommen Unternehmen der Verpflichtung zur Benennung eines Datenschutzbeauftragten nicht nach, so drohen Bußgelder in Höhe von bis zu 10 Millionen Euro bzw. bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des betroffenen Unternehmens, je nachdem, welcher Betrag höher ist.

Was sind die Vorteile eines externen Datenschutzbeauftragten?

Unternehmen haben die Wahl einen internen oder eine externen Datenschutzbeauftragten zu benennen.  

Die Bestellung eines internen Datenschutzbeauftragten bringt jedoch stets das Risiko einer möglichen Interessenkollision in der Abwägung zwischen Datenschutz und Wirtschaftlichkeit mit sich, sodass ein interner Datenschutzbeauftragter Gefahr laufen kann, den gesetzlichen Anforderungen nicht zu entsprechen.

Weiter genießt der interne Datenschutzbeauftragte zumindest in Deutschland auch zukünftig einen umfassenden Kündigungsschutz. Die Abberufung eines betrieblichen Datenschutzbeauftragten richtet nach § 626 BGB, einer arbeitsrechtlichen Kündigungsschutzklausel, wonach die Kündigung nur aus „wichtigem Grund“ erfolgen kann.

Schon aus diesen Gründen ist nach unserer Auffassung ist die Benennung eines externen Datenschutzbeauftragten zu empfehlen.

Darüber hinaus hat die externe Benennung in aller Regel eine positive Außenwirkung, auf Kunden und Dritte, da die externe Benennung für eine qualitativ hochwertige Umsetzung des Datenschutzrechts spricht.  Unternehmen können damit offensiv werben und sich so von Wettbewerbern abheben.

Gerne prüfen wir für Sie, ob Ihr Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet ist.

 

Wir stehen Ihnen gerne mit Rat und Tat zu Seite.

 

Dr. Stephan Schenk

Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz

Zertifizierter Datenschutzbeauftragter (DSB-TÜV)

 

 

Sind Verstöße gegen die Datenschutz -Grundverordnung wettbewerbswidrig?

Diese Frage ist unter Juristen umstritten. Umstritten ist konkret die Frage, ob die Pflicht aus dem Datenschutzrecht, eine rechtskonforme Datenschutzerklärung anzubieten, nach dem Inkrafttreten der DSGVO eine Marktverhaltensregelung im Sinne des Wettbewerbsrechts ist, die einzelnen Mitbewerbern das Recht gibt, Verstöße abzumahnen.

Das Landgericht Bochum (Urteil vom 7. August 2018, Az: I-12 O 85/18) ist dabei der Ansicht, dass Datenschutzverstöße nicht abmahnbar sind.

Der Fall:

Die Parteien des Rechtsstreits sind Online-Händler. Sie vertreiben Druckerzeugnisse, Autokleber, Textilien, Bürobedarf und Werbemittel an Verbraucher. Der Verfügungskläger mahnte seinen Mitbewerber ab, weil in dessen Webshop der Link auf die OS-Plattform fehlte und die AGB diverse unzulässige Klauseln enthielten. Im Verfahren vor dem Landgericht Bochum machte der Verfügungskläger zusätzlich einen wettbewerbsrechtlichen Unterlassungsanspruch als Mitbewerber geltend, weil das Online-Angebot seines Mitbewerbers keine Datenschutzerklärung mit den Informationen nach Art. 13 DSGVO enthielt. Zu Recht?

Das Urteil:

Im Ergebnis gab das Landgericht Bochum dem Verfügungskläger nur im Hinblick auf den fehlenden Link auf die OS-Plattform und die unzulässigen AGB-Klauseln Recht. Den wettbewerbsrechtlichen Unterlassungsanspruch wegen der fehlenden datenschutzrechtlichen Informationen lehnte das Gericht mit folgender Begründung ab:

„Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.“

Im Ergebnis stützt das LG Bochum somit seine Auffassung auf einen führenden Kommentar zum Wettbewerbsrecht.

Welche Auswirkungen das Urteil auf die Praxis im Wettbewerbsrecht haben wird, bleibt noch abzuwarten. Die Rechtslage dürfte auch weiterhin mit Unsicherheiten verbunden sein.  Denn das Landgericht Würzburg (Beschluss vom 13.09.2018, Az. 11 O 1741/18 UWG) entschied nur wenig später ganz anders als das Landgericht Bochum. Nach Ansicht des LG Würzburg stellt eine fehlende Datenschutzerklärung auf einer Website einen Wettbewerbsverstoß dar, der von Konkurrenten abgemahnt werden kann.

Somit bleibt es trotz der aktuellen Entscheidung weiterhin abzuwarten, ob künftig Verstöße gegen die DSGVO aufgrund des UWG verfolgt werden können.

 

Zunächst hieß es: keine Panik wegen der DSGVO!

Dies haben anscheinend einige Marktteilnehmer zum Anlass genommen, Ihre Angebote nicht oder nicht rechtzeitig zu aktualisieren und haben prompt die ersten Abmahnungen kassiert.

So soll eine Esslinger Rechtsanwaltsgesellschaft mbH bereits vermeintliche Verstöße gegen die DSGVO wegen fehlender oder falscher Datenschutzinformationen auf der Webseite eines Kollegen ausgesprochen haben.

Unter anderem sollen die fehlende Opt-in und Opt-out-Möglichkeit bei Google-Analytics bemängelt worden sein.

Aber auch unter Händlern soll es schon Abmahnungen gegeben haben.

So wird berichtet, dass die Firma Erich Andreas Speck Dienstleistungen, Karlsruher Str. 22, 76351 Linkenheim-Hochstetten, eine Abmahnung wegen gänzlich fehlender Datenschutzhinweise auf der Seite des Mitbewerbers abgemahnt hat.

Ausgesprochen wurde die Abmahnung am 25.05.2018 durch Rechtsanwalt Orhan Aykac von der A ∙ Anwaltskanzlei, Konrad-Adenauer-Allee 63, 86150 Augsburg.

In der Abmahnung wurde neben der Abgabe einer strafbewehrten Unterlassungserklärung die Erstattung der Rechtsanwaltskosten auf einem Gegenstandwert von 7.500,00 € gefordert.

Dabei wurde ausgeführt, dass der Gegenstandswert sich aus „aus dem Jahreswert der Kosten für die vollständige und ordnungsgemäße Umsetzung der DSGVO“ ergebe.

Allein aufgrund der neuesten Abmahnung gilt nach unserer Auffassung nach wie vor der Grundsatz: keine Panik!

Es ist zu beachten, dass auch schon vor der Geltung der DSGVO die Notwendigkeit einer Datenschutzerklärung vorhanden war und nach UWG abgemahnt werden konnte – also wettbewerbsrechtlich relevant war.

Wer also bis zum heutigen Tage noch keine Datenschutzerklärung hat, sollte dies schnellmöglich nachholen.

Selbstversändlich helfen wir auch bei erhaltenen Abmahnungen. Ob die Abmahnung tatsächlich berechtigt ist, muss möglicherweise erstmal durch die  Gerichte geprüft werden.

Gerne stellen wir Ihnen auch entsprechende Rechtstexte zur Verfügung

Nächste Seite »