Die FMH ist der Berufsverband der schweizerischen Ärztinnen und Ärzte. Die FMH veröffentlicht für ihre Mitglieder, wie viele Berufsverbände, Empfehlungen im Hinblick auf das neue Datenschutzrecht in der Schweiz.
Die FMH hat unter anderem eine Muster-Datenschutzerklärung für Arztpraxen erstellt. Dabei begeht die FMH datenschutzrechtliche Kunstfehler. Arztpraxen sollten diese Muster-Datenschutzerklärung deshalb nicht 1:1 auf ihrer Website veröffentlichen.
Gleich im ersten Absatz beschränkt die FMH ihre Muster-Datenschutzerklärung nicht auf die Information, sondern behauptet eine Einwilligung allein durch die Nutzung der Arztpraxis-Website:
«Mit der Nutzung dieser Webseite erklären Sie sich mit der Bearbeitung Ihrer Personendaten gemäss der vorliegenden Datenschutzerklärung einverstanden.»
Ein Kunstfehler ist einerseits, dass auf diesem Weg keine rechtswirksame Einwilligung eingeholt werden kann. Besucherinnen und Besucher der Website erteilen keine gültige Einwilligung, nur weil das irgendwo auf der Website – in diesem Fall in der Datenschutzerklärung – behauptet wird.
Wer käme auf die Idee, ein Website-Betreiber könne Geld für den Besuch seiner Website verlangen, bloss weil «Mit dem Besuch der Website erklären Sie sich mit der Zahlung von 100 Franken pauschal einverstanden» in der Datenschutzerklärung steht?
Ein Kunstfehler ist andererseits, dass überhaupt versucht wird, in einer Datenschutzerklärung eine Einwilligung einzuholen. Eine Datenschutzerklärung soll betroffenen Personen ermöglichen, sich über die Bearbeitung ihrer Personendaten und ihre Rechte zu informieren – es handelt sich um einseitig veröffentlichte Informationen und nicht um eine zweiseitige Vereinbarung.
Wer eine Datenschutzerklärung mit Einwilligungen versieht, gibt ihr damit ohne Not vertraglichen Charakter im Sinn von Allgemeinen Geschäftsbedingungen (AGB). Das ist normalerweise unerwünscht, denn anstatt einseitig Informationen zu veröffentlichen, bewegt man sich im Vertragsrecht mit den betroffenen Personen als Vertragspartei.
Die Angaben in einer Datenschutzerklärung können sich jederzeit ändern, denn eine Datenschutzerklärung muss immer aktuell und vollständig gehalten werden. Bei AGB oder einem sonstigen Vertrag hingegen müssen die Parteien mit jeder Änderung einverstanden sein. In AGB kann eine Regelung zur Änderung enthalten sein. Änderungen sind aber nicht beliebig und jederzeit möglich, denn AGB dürfen nicht missbräuchlich sein.
Einwilligung den Daten-Export zu Google in den USA in der Datenschutzerklärung?
Den Kunstfehler mit der Einwilligung begeht die FMH mit ihrer Muster-Datenschutzerklärung sogar bei der Nutzung von Google Analytics:
«[…] Informationen über die Nutzung dieser Webseite (einschliesslich Ihrer IP-Adresse) können z.B. im Falle von Google Analytics an Server im Ausland übertragen und dort gespeichert werden. Mit der Nutzung unserer Webseite erklären Sie sich einverstanden mit der Übertragung dieser Daten.»
Wer die Website einer Arztpraxis besucht, erklärt sich allein durch die Nutzung der Website nicht damit einverstanden, dass eigene Personendaten an Google in den USA übermittelt werden.
Wenn die FMH davon ausgeht, dass für die Verwendung von Google Analytics durch eine Arztpraxis eine Einwilligung eingeholt werden muss, was zu diskutieren wäre, taugt die Datenschutzerklärung dafür nicht.
Eine allenfalls erforderliche Einwilligung müsste mit einem Cookie-Banner oder einem vergleichbaren Mechanismus eingeholt werden. Dabei sind die Anforderungen hoch, sobald Gesundheitsdaten und damit besonders schützenswerte Personendaten bearbeitet werden. Gemäss Art. 6 Abs. 6 u. 7 lit. a nDSG müsste die Einwilligung in diesem Fall ausdrücklich, freiwillig und informiert erteilt werden.
Ab welchem Punkt beim Besuch der Website einer Arztpraxis besonders schützenswerte Daten überhaupt anfallen, wäre ebenfalls zu diskutieren.
Den Kunstfehler mit der Einwilligung findet sich in der Muster-Datenschutzerklärung an mindestens einer weiteren Stelle, nämlich im Zusammenhang mit Dritt-Diensten:
«Unsere Arztpraxis kann weitere Serviceangebote von Drittanbietern nutzen, um deren Inhalte und Services wie z.B. Videos oder Beiträge in die Webseite einzubinden. […] Mit der Nutzung unserer Webseite erklären Sie sich damit einverstanden.»
Hingegen ist für Social Media-Funktionen eine Einwilligung im Einzelfall durch den Klick auf eingebundene Buttons von Social Media-Plattformen vorgesehen:
«Auf dieser Webseite können Schaltflächen (‹Social-Media-Plugins›) platziert sein, die einen Kontakt mit den Servern von sozialen Netzwerken (Facebook, Twitter, Instagram etc.) herstellen. Mit dem Klick auf einen dieser Buttons erteilen Sie Ihre Zustimmung, dass notwendige Daten wie IP-Adresse, Besuch der Webseite u.a. an den jeweiligen Betreiber des sozialen Netzwerks übermittelt werden. »
Allerdings werden mit einem eingebundenen Button die Daten der Besucherinnen und Besucher einer Website standardmässig an die entsprechende Social Media-Plattform übermittelt. Die Einwilligung durch den Button-Klick kommt zu spät. Die Einwilligung müsste vor der Übermittlung erteilt werden, zum Beispiel mit der sogenannten Zwei-Klick-Lösung.
Disclaimer und weitere Auffälligkeiten in der Muster-Datenschutzerklärung
Beim Durchlesen der Muster-Datenschutzerklärung habe ich weitere Auffälligkeiten entdeckt, insbesondere:
- Die FMH beschränkt die Datenschutzerklärung auf die Website, das heisst, es handelt sich nicht um eine allgemeine Datenschutzerklärung für Arztpraxen. Ärztinnen und Ärzte müssen die Information über die sonstige Bearbeitung von Personendaten anderweitig sicherstellen.
- Die FMH hat in der Datenschutzerklärung verschiedene Haftungsausschlüsse (Disclaimer) untergebracht, die genauso wenig rechtswirksam sind wie die erwähnten Einwilligungen.
- Die FMH behauptet in der Datenschutzerklärung, es könne «nicht sichergestellt werden, dass […] Daten vertraulich übermittelt werden», was nicht überzeugend ist. Die Frage ist, welche Art der Übermittlung vertraulich genug ist.
- Die FMH schreibt «Webseite» statt «Website». «Webseite» meint streng genommen die einzelne Seite einer Website (englisch «web page»), «Website» (englisch «web site») hingegen die gesamte Webpräsenz mit fast immer mehreren einzelnen Webseiten.
Webinar: Populäre Irrtümer rund um das neue Datenschutzgesetz (Datenschutzpartner Academy)
Faustregel: Keine Einwilligungen und Disclaimer in Datenschutzerklärungen
Verantwortliche in der Schweiz haben erfreulich viel Spielraum beim Verfassen ihrer Datenschutzerklärungen. Das neue schweizerische Datenschutzgesetz erlaubt in Art. 19 ff. nDSG, Datenschutzerklärungen allgemein und kurz zu halten, aber genauso kann mit ergänzenden Angaben die Transparenz für die betroffenen Personen verbessert werden.
Unabhängig davon ist es als Faustregel nie empfehlenswert, Einwilligungen und Haftungsausschlüsse in einer Datenschutzerklärung unterzubringen.
Wer glaubt, von betroffenen Personen die Einwilligung in die Bearbeitung ihrer Personendaten einholen zu müssen, erhält allein durch die Erwähnung in einer Datenschutzerklärung keine rechtswirksame Einwilligung. Im Anwendungsbereich des schweizerischen Datenschutzrechts können Verantwortliche dabei nach dem Grundsatz handeln, dass Einwilligungen die Ausnahme und nicht die Regel darstellen.
Einwilligungen und Haftungsausschlüsse in Datenschutzerklärungen funktionieren übrigens auch im Anwendungsbereich der europäischen Datenschutz-Grundverordnung (DSGVO) nicht. Es gibt sogar europäische Stimmen, welche vom Begriff «Datenschutzerklärung» abraten und stattdessen «Datenschutzhinweise» oder «Datenschutzinformation» empfehlen.
Bild: Microsoft Bing Image Creator.
Danke für diesen Beitrag Bei solchen Erklärungen kann viel schief gehen. Als Ärzte liegt uns ein Rechtlicher Schutz natürlich am Herzen.