Seit einem Jahr gilt die DSGVO – auch für Webseiten-Betreiber im Gesundheitswesen. Was müssen Praxisinhaber beachten, um ihre Webseite abmahnsicher nach DSGVO zu gestalten? Das erklärt Rechtsanwalt Christian Solmecke heute in seinem Gastbeitrag.
Sie sind Inhaber einer Arztpraxis und betreiben eine Website? Dann müssen auch Sie sich an die Vorschriften der seit dem 25. Mai 2018 anwendbaren Datenschutzgrundverordnung (DSGVO) halten. Denn fast alle Seiten sammeln sog. personenbezogene Daten – also Informationen, die Rückschlüsse auf eine bestimmte Person zulassen. Bereits wenn ein Besucher die Website aufsucht, wird grundsätzlich schon seine IP-Adresse übertragen.
Gerade Ärztinnen und Ärzte müssen in Sachen Datenschutz besonders aufpassen: Denn regelmäßig geht es hier um Gesundheitsdaten von Menschen, die von der DSGVO als besonders sensibel eingestuft werden.
Wenn Sie hier das Datenschutzrecht nicht beachten, drohen im schlimmsten Fall Bußgelder der Aufsichtsbehörden oder Abmahnungen Ihrer Konkurrenten.
Doch auf was müssen Sie eigentlich achten? Wie können diese Vorschriften praktisch umgesetzt werden? In diesem Beitrag erhalten Sie einen ersten Überblick darüber, wie Sie Ihre Website fit für die DSGVO machen.
Grundlagen: Wann dürfen Ärzte überhaupt Daten verarbeiten?
Ärzte sind wie alle, die personenbezogene Daten verarbeiten, sog. „Verantwortliche“. Das bedeutet, das Gesetz erlegt ihnen einige Pflichten auf, um die Daten ihrer Patienten zu schützen. Personenbezogene Daten dürfen sie nur verarbeiten, wenn das Gesetz es ausdrücklich erlaubt. Daher nennt man die entsprechenden Passagen der DSGVO auch „Erlaubnisnormen“.
Wann „normale“ personenbezogene Daten wie etwa Name, Adresse, Geburtsdatum oder IP-Adresse verarbeitet werden dürfen, steht in Artikel 6 DSGVO. Die praktisch relevantesten Erlaubnisnormen nach Art. 6 DSGVO sind:
- Einwilligung des Betroffenen (Art. 6 Abs. 1a)
- für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1b)
- zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen (Art. 6 Abs. 1f)
Eine Besonderheit stellen alle Angaben dar, in denen Ihre Patienten Ihnen etwas über ihre Gesundheit mitteilen. Dann nämlich handelt es sich um besondere Kategorien von Daten, die nur auf Grundlage von Artikel 9 DSGVO verarbeitet werden dürfen.
[socialpug_tweet tweet=“‚Letztlich dürfte bereits die Tatsache, dass ein #Patient bei Ihnen als #Arzt einen Termin hat, schon als gesundheitsbezogenes Datum zu werten sein.‘ @solmecke via @serapionblog #dsgvo #datenschutz #digitalhealth“ display_tweet=“Letztlich dürfte bereits die Tatsache, dass ein Patient bei Ihnen als Arzt einen Termin hat, schon als gesundheitsbezogenes Datum zu werten sein.“]
Deswegen müssen sich Ärzte meist auf diese besondere Erlaubnisnorm stützen. Praktisch relevant sind für Sie daher folgende Erlaubnisnormen:
- Einwilligung des Betroffenen (Art. 9 Abs. 2a)
- Für medizinische Zwecke wie etwa Diagnostik oder Behandlung bzw. aufgrund eines Vertrags mit einem Arzt (Art. 9 Abs. 2h)
Die meisten Daten, die Sie von Ihren Patienten erhalten, verarbeiten Sie, um Ihren Behandlungsvertrag zu erfüllen.
Wenn Sie aber zusätzliche Dienste anbieten, z.B. einen Rückrufservice, ein Online-Terminvergabesystem oder einen besonderen Kommunikationsweg, müssen Sie möglicherweise eine Einwilligung Ihrer Patienten einholen.
Wie Sie die Einwilligung DSGVO-konform einholen
Wenn Sie von Ihren Patienten eine Einwilligung nach der DSGVO einholen, müssen Sie bei der Ausgestaltung einer Einwilligung folgende Punkte unbedingt beachten:
- Die Einwilligung muss sich auf einen bestimmten Fall und auf einen bestimmten Verarbeitungszweck beziehen.
- Die Einwilligung muss freiwillig erteilt werden und darf nicht an den Erhalt einer Leistung gekoppelt sein.
- Der Betroffene muss ausreichend über die Reichweite der Einwilligung informiert gewesen sein, insbesondere auch über die Zwecke der Datenverarbeitung.
- Der Verantwortliche muss das Vorliegen einer Einwilligungserklärung nachweisen können.
- Der Einwilligungstext muss klar formuliert sein.
- Der Text muss gut zugänglich sein.
- Sie müssen deutlich auf die jederzeitige Widerrufsmöglichkeit hingewiesen haben.
- Kinder müssen mindestens 16 Jahre alt sein, um einwilligen zu können. Bei jüngeren Kindern müssen die Eltern zustimmen.
Da jede Einwilligung vom Nutzer bewusst und eindeutig zu erfolgen hat, empfehlen wir Ihnen eine Ausgestaltung als Opt-In mit einer nicht vorangekreuzten Checkbox.
Immer, wenn Sie die Einwilligung eines Nutzers einholen müssen, sollten Sie bereits im Vorfeld auf die Datenschutzerklärung (dazu gleich) hinweisen und auf diese verlinken.
Auch Einwilligungen, die Sie sich in der Vergangenheit eingeholt haben, müssen den Grundsätzen der neuen DSGVO entsprechen. Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen. Hier müssen Sie z.B. darauf achten, dass nun eine Altersgrenze von 16 Jahren gilt.
Datenschutzerklärung
Der erste Aspekt, den Sie auf Ihrer Praxiswebsite angehen sollten, ist die Datenschutzerklärung. Dieses Dokument ist öffentlich verfügbar und kann leicht von Wettbewerbern oder Aufsichtsbehörden eingesehen werden. Daher bietet es eine große Angriffsfläche. Durch die DSGVO sind neue Informationspflichten im Vergleich zur alten Rechtslage dazugekommen, Sie müssen bestehende Datenschutzerklärungen also in jedem Fall der DSGVO anpassen.
Mit Ihrer Datenschutzerklärung informieren Sie die Besucher Ihrer Seite über den Umfang und die Zwecken, zu denen ihre personenbezogenen Daten verarbeiten werden. Datenschutzerklärungen sollen die Datenverarbeitung für Ihre Patienten transparent machen und ihnen so die Möglichkeit geben, soweit möglich selbst über die Verarbeitung ihrer Daten zu entscheiden. Gleichzeitig ist es ein Instrument für Sie, Ihren gesetzlichen Informationspflichten nachzukommen, indem Sie dort den Betroffenen zum Beispiel über seine Rechte informieren können.
In Art. 13 DSGVO findet sich eine Liste der Informationen, die nach der DSGVO zwingend in einer Datenschutzerklärung stehen müssen und an der Sie sich orientieren können. Es müssen vor allem (nicht abschließend) folgende Informationen leicht und verständlich formuliert und übersichtlich gegliedert für Ihre Patienten zu lesen sein:
Zwingend:
- Hinweis, dass Sie personenbezogene Daten verarbeiten, z.B. Name, Postanschrift, E-Mail-Adresse, Telefonnummer, IP-Adresse, etc.
- Name und Kontaktdaten des Verantwortlichen, also meist des Praxisinhabers.
- Der Zweck, zu dem Sie personenbezogene Daten verarbeiten – also z.B. zum Zweck der Terminvereinbarung, zur Beantwortung von Anfragen, etc.
- Die Rechtsgrundlage, die es Ihnen erlaubt, diese Daten zu verarbeiten.
- Aufklärung über Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung).
- Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde.
- Speicherdauer der Daten (jedenfalls die Kriterien für die Festlegung dieser Dauer).
Situationsabhängig:
- Falls Sie sich auf die „berechtigten Interessen“ stützen: Die Angabe Ihrer berechtigten Interessen bzw. die eines Dritten.
- Falls eine Einwilligung Rechtsgrundlage ist: Hinweis auf die Möglichkeit des jederzeitigen Widerrufs.
- Bei gesetzlicher oder vertraglicher Pflicht zur Datenerhebung: Aufklärung des Betroffenen über diese Pflicht und die möglichen Folgen einer Nichtbereitstellung.
- Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten.
- Wenn Sie Daten an Dritte weiterleiten: Angabe der Empfänger/ Kategorie von Empfängern.
- Angabe der Absicht zur Datenübermittlung ins Ausland (dann auch Angabe des von der Kommission festgelegten Datenschutzniveaus des jeweiligen Drittlandes).
Datenschutzerklärungen müssen natürlich einzelfallgerecht und umfassend formuliert werden. Dies kostet aber Zeit. Eine Möglichkeit, um erst einmal eine Datenschutzerklärung auf Ihrer Website zu haben, ist es, eine solche Erklärung über den Datenschutz-Generator der Rechtsanwaltskanzlei »Wilde Beuger Solmecke« zu generieren: http://wbs.is/dsgenerator. Allerdings kann die Kanzlei keine Haftung für die Korrektheit der Datenschutzerklärung geben oder dafür garantieren, dass sie in Ihrem konkreten Einzelfall völlig passend ist. Jedenfalls minimieren Sie aber das Risiko negativer Konsequenzen.
Die Datenschutzerklärung muss von jeder Seite und auch von mobilen Endgeräten aus jederzeit erreichbar sein. In der Praxis hat es sich etabliert, den Link auf die Datenschutzerklärung neben den Link auf das Impressum zu platzieren, weshalb der durchschnittliche Internetnutzer in der Fußzeile der Website mittlerweile diese Links zu den allgemeineren Informationen erwartet.
Nicht zulässig ist es, die Datenschutzerklärung innerhalb des Impressums oder der AGB zu verstecken.
Datenübertragung zum Webserver verschlüsseln
Websites, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich diese Daten verschlüsselt übertragen. Weil jede Website zumindest die IP-Adresse eines Besuchers erfasst, ist die Verschlüsselung Pflicht. Das Ziel einer solchen Verschlüsselung ist, zu verhindern, dass Unbefugte Zugriff zu den übermittelten Daten Ihrer Besucher erhalten. Ob eine Seite verschlüsselt ist, können Sie leicht erkennen: Die URL muss mit „https“ (statt „http“) anfangen. In vielen Browsern wird dann auch ein Schloss davor angezeigt oder das Wort „sicher“.
Sollte die von Ihnen verwendete Seite nicht sicher sein, müssen Sie dies unbedingt ändern und Ihre Seite mit einem SSL-Zertifikat versehen. SSL steht für „Secure Sockets Layer“ (mittlerweile ist oft auch von der Nachfolgetechnologie TLS, „Transport Layer Security“, die Rede). Mit dieser Technologie wird die Datenkommunikation von einem Computer zu einem Server Ende-zu-Ende-verschlüsselt. Wer nicht weiß, wie die Umstellung funktioniert, kann beispielsweise seinen Web-Hoster oder einen IT-Dienstleister kontaktieren.
Kontaktformulare
Bieten Sie für Anfragen Kontaktformulare auf Ihrer Website an, benötigen Sie eine gesetzliche Erlaubnis für die Verarbeitung der Daten, die Ihre Patienten Ihnen preisgeben. Wenn es darum geht, einen Termin zu vereinbaren, dann ist die Datenspeicherung schon „zur Erfüllung eines Vertrages“ notwendig, Art. 9 Abs. 2h) DSGVO. Sofern Patienten nur eine allgemein Anfrage, z.B. zu Sprechzeiten haben und keine gesundheitlichen Informationen übermittelt werden, dürften Ihre Interessen an der Verarbeitung der Daten regelmäßig überwiegen, Art. 6 Abs. 1 f) DSGVO. In anderen Fällen, in denen Gesundheitsdaten übermittelt werden, kann es im Einzelfall erforderlich sein, dass Ihre Besucher aktiv in die Übermittlung der Daten einwilligen.
Zudem müssen Sie das Prinzip der Datensparsamkeit beachten:
So dürfen Sie vom Nutzer keine Informationen als Pflichtangaben verlangen, die Sie nicht benötigen, um seine Anfrage zu bearbeiten.
Was tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Pflichtfelder müssen als solche gekennzeichnet werden. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind. Freifelder sollten Sie nur dann anbieten, wenn Sie sicher sein können, dass niemand außer Ihnen Zugang zu den Daten hat. Denn hier machen Patienten oft detaillierte Angaben zu ihrer Gesundheit.
Auch hier müssen Sie auf die bereits erwähnte Verschlüsselung der Daten achten, um zu verhindern, dass Dritte an die Daten gelangen könnten. Wenn Sie hier technische Unterstützung brauchen, sollten Sie einen IT-Dienstleister kontaktieren, um eine sichere Verschlüsselung einzurichten.
Zudem muss eine Erläuterung der Datenverarbeitung über Kontaktformulare in Ihrer Datenschutzerklärung enthalten sein. Vor dem Absenden des Formulars sollten Sie auf Ihre Datenschutzerklärung verlinken.
Schließlich sollten Sie, falls Sie mit einem Hoster oder einem anderen externen Dienstleister zusammenarbeiten, auf den Abschluss eines Datenverarbeitungsvertrags achten (dazu gleich mehr).
Kommunikation mit den Patienten per E-Mail und Messenger?
Natürlich gibt es auch andere Möglichkeiten, Kontakt aufzunehmen. Allerdings können wir von den meisten gängigen Methoden nur abraten.
[socialpug_tweet tweet=“‚Generell ist es nicht empfehlenswert, sich WhatsApp auf dem beruflich genutzten Handy zu installieren‘ @solmecke via @serapionblog. #datenschutz #dsgvo #digitalhealth“ display_tweet=“Generell ist es nicht empfehlenswert, sich WhatsApp auf dem beruflich genutzten Handy zu installieren, „] weil sich der Dienst automatisch alle Daten aus dem Adressbuch „zieht“ und in die USA übermittelt. Ohne Einwilligung aller beruflich genutzten Kontakte ist dies ein DSGVO-Verstoß.
Zumindest aber besteht bei WhatsApp eine Ende-zu-Ende-Verschlüsselung, sodass der Dienst selbst sowie Dritte keinen Einblick in die Inhalte der Kommunikation erhalten können.
Eine solche Verschlüsselung existiert bei normalen E-Mail-Diensten hingegen gerade nicht. Daher birgt die Nutzung dieses Kommunikationsmittels ein hohes Datenschutz-Risiko. Ohne besondere Vorkehrungen sind E-Mails daher wie der Versand einer Postkarte – jede am Transport der Nachricht beteiligte Stelle kann auf die Inhalte zugreifen, z.B. auch der Mail-Anbieter oder der Provider.
Vertrauliche Informationen wie Arztbriefe oder Befunde dürfen Sie also nur per Mail verschicken, wenn Sie die Daten vorher sicher verschlüsselt haben.
Eine Möglichkeit ist es, die Daten mit einem sicheren Passwort als ZIP-Datei zu verschlüsseln, wenn nur der Patient das Passwort kennt. Das Passwort müssen Sie dann auf einem anderen Weg weitergeben als per Mail – z.B. am Telefon. Programme für die Verschlüsselung finden Sie im Internet, z.B. WinZIP, 7-ZIP oder IZArc für Windows Betriebssysteme. Es gibt natürlich auch spezielle Lösungen für verschlüsselte Übertragungen – informieren Sie sich hier bei einem IT-Experten.
Damit Patienten Ihnen auch nicht einfach ungefragt sensible Informationen per E-Mail zusenden, empfehlen wir Ihnen, auf Ihrer Kontakt-/Impressums-Seite einen Hinweis aufzunehmen, dass die Mail-Adresse nur für organisatorische Anfragen und nicht für den Austausch über Gesundheitliches verwendet werden sollte.
Online-Terminvergabesysteme
Wenn Sie mit einem Online-Terminvergabesystem auf Ihrer Website arbeiten, müssen Sie nicht nur die DSGVO beachten, sondern auch das Berufsgeheimnis der Ärzte nach § 203 Abs. 3 S. 2 Strafbesetzbuch (StGB).
Sollten externe Personen von den Inhalten, die das Arzt-Patienten-Verhältnis betreffen, Kenntnis nehmen können, dann müssen Ärzte mit externen IT-Dienstleistern eine vertragliche Verschwiegenheitserklärung abschließen. Diese Personen dürfen wiederum andere Hilfspersonen mit einbinden, wenn sie ihrerseits entsprechende Vereinbarungen abschließen.
Es muss also eine lückenlose vertragliche Kette vom Arzt hin zu allen mit der Datenverarbeitung beteiligten Personen existieren.
Verstoßen die Hilfepersonen gegen die Vereinbarung, können sie sich sogar selbst als Täter einer Verletzung der Verschwiegenheitspflicht strafbar machen.
Wenn es aus technischer Sicht nicht mit 100%iger Sicherheit ausgeschlossen ist, dass ein externer Mitarbeiter in die Daten Gesundheitsdaten Einsicht nehmen kann, müssen Ihre Patienten zusätzlich darin einwilligen, dass die externen Mitarbeiter Einsicht in Ihre Daten nehmen können. Dafür muss sich Patient durch Setzen eines Hakens und eine entsprechende Aufklärung aktiv entscheiden.
Darüber hinaus müssen natürlich die allgemeinen Anforderungen der DSGVO eingehalten werden. Auch hier ist es wichtig, nur das absolute Minimum an Daten abzufragen. Hat der Arzt einen IT-Dienstleister ausgewählt, muss er selbst prüfen, ob auch dieser auch die nötigen technischen und organisatorischen Maßnahmen (TOM) getroffen hat, um personenbezogene Daten zu schützen. Außerdem muss er mit diesem einen Auftragsdatenverarbeitungsvertrag (dazu gleich mehr) abschließen.
Cookie-Banner: Rechtsunsicherheit
Ein weiteres großes Thema auf Websites sind die berühmt-berüchtigten „Cookie-Banner“. Hier lässt sich eine Vielzahl von Varianten finden, wie auf solche Cookies hingewiesen wird. Von einem bloßen Cookie-Hinweis, den man mit einem „ok“ bestätigen soll, bis hin zur Möglichkeit, aus drei Varianten von Cookies auszuwählen, findet sich im Netz derzeit einiges an Zwischenstufen. Wie macht man es denn nun richtig?
Fakt ist: Hier besteht tatsächlich Rechtsunsicherheit. Die Rechtslage der kleinen Datenpakete war schon vor der DSGVO umstritten, in der Praxis hatte sich zumindest in Deutschland aber das Cookie-Banner mit dem „ok“-Button eingebürgert. Zukünftig sollen Rechtsfragen zu Cookies mit der ePrivacy-Richtlinie geregelt werden. Hierzu gibt es aber noch kein Verhandlungsergebnis. Daher bemessen sich Cookies derzeit noch anhand der DSGVO.
Das bedeutet: Um Cookies zu setzen, benötigt man wieder eine sog. Erlaubnisnorm nach der DSGVO. Hier kommen konkret das berechtigte Interesse gemäß Art. 6 Abs. 1 f) DSGVO und die (freiwillige) Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO in Betracht. Kann man sich auf ersteres stützen, muss man auf die gesetzten Cookies nur hinweisen. Im zweiten Fall bedarf es einer informierten Einwilligung der Nutzer. Diese Einwilligung muss vorliegen, bevor Cookies gesetzt werden.
Ob Sie sich auf Ihre überwiegenden berechtigten Interessen stützen können, hängt nach überwiegender Ansicht unter Juristen maßgeblich von der Art des Cookies ab.
Nutzerfreundliche Cookies können ohne Einwilligung gesetzt werden.
Denn sie dienen primär dem Zweck, die Website beispielsweise mit einem Warenkorb-Cookie anwendungsfreundlich zu gestalten, weshalb in diesem Fall die Interessen des Website-Betreibers die Schutzinteressen der Websitebesucher regelmäßig überwiegen werden. Auch bedarf es weiterhin keiner Einwilligung, wenn der Cookie technisch erforderlich ist, um den jeweiligen Dienst zu erbringen, und der Nutzer den Dienst ausdrücklich gewünscht hat (Session-Cookie, zum Beispiel bei einem Warenkorb) oder der Betreiber der Website den Cookie nur zur Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz benötigt. Anders kann dies hingegen bei einem Cookie zur Website-Analyse aussehen. Hierbei hängt die Interessenabwägung von der konkreten Ausgestaltung des Cookies ab und davon, ob der Betroffene diese Art der Datenverarbeitung erwarten konnte. Im Zweifel sollte hier eine Einwilligung eingeholt werden.
Ist jedoch eine Einwilligung nötig, besteht weiterhin Unsicherheit darüber, wie die Einholung der Einwilligung genau aussehen soll. Nicht den Anforderungen der DSGVO genügend ist ein bloßer Hinweis auf Cookies, in dem steht, dass man durch den weiteren Besuch der Website automatisch in das Setzen von Cookies einwilligt. Das rechtssicherste Vorgehen ist es, eine vollinformierte, freiwillige Einwilligung (s.o.) einzuholen. Dabei muss der Betroffene beim erstmaligen Aufrufen einer Seite auf die Nutzung von Cookies hingewiesen werden. Zudem muss ein Hinweis auf die Datenschutzerklärung erfolgen, in der die Nutzung von Cookies und der damit verbundene Sinn und Zweck der Datenspeicherung und Datennutzung ausführlich beschrieben wird. Im Sinne der Transparenz können auch noch weitere Informationen zu den genutzten Cookies erfolgen. Schließlich darf der Hinweis auf das Widerrufsrecht nicht vergessen werden. Diese Information müssen Betroffene erhalten, bevor Sie etwa durch Anklicken eines Buttons einwilligen. Erst dann darf der Cookie gesetzt werden.
Schließlich bedürfen der Einsatz von Cookies und die Erläuterung zur Erlaubnisnorm einer Aufklärung in der Datenschutzerklärung.
Auftragsverarbeitungs-Verträge abschließen
Bereits mehrfach war nun schon die Rede von den Auftragsverarbeitungs-Verträgen, die Sie mit Ihren Dienstleistern schließen müssen. Tatsächlich ist jeder, der unter Ihrer Weisung personenbezogene Daten verarbeitet, Ihr Auftragsverarbeiter. Das können z.B. sein: Externe Wartungsdienstleister, EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Ihre Daten, externe Rechenzentren, E-Mail-Provider, Elektronische Terminvergabe-Anbieter, Cloud-Anbieter wie Google Drive oder die Dropbox, etc.
Bei Ihren Dienstleistern müssen Sie nach Art. 28 DSGVO vor allem auf folgendes achten: die Auswahl, die vertragliche Ausgestaltung und die anschließende Kontrolle Ihrer externen Dienstleister. Denn wenn Sie hier Fehler machen, drohen Bußgelder. Sie müssen sicherstellen, dass auch Ihre Auftragsverarbeiter sich an die DSGVO halten.
Der Gesetzgeber hat in Art. 28 Abs. 3 DSGVO klare Vorstellungen darüber, was der Vertrag zwischen Ihnen und dem Auftragsverarbeiter im Detail zu regeln hat. Sie können einen solchen Vertrag entweder individuell aushandeln oder einen Vordruck verwenden, den Ihr Dienstleister erstellt hat und ggf. auf der Website anbietet. Im Internet werden auch entsprechende Muster angeboten. Generell sollten Sie beachten, dass Sie alle Bestandteile des Vertrags genau daraufhin überprüfen sollten, ob diese Ihren Interessen gerecht werden. Teilweise empfiehlt es sich, den Vertrag ggf. selbst gestalten oder anzupassen.
Beachten Sie dabei auch Ihr Haftungsrisiko.
Denn Sie und der Auftragsverarbeiter haften gegenüber dem Betroffenen grundsätzlich gemeinsam, wenn es zu Rechtsverstößen kommt. Macht Ihr Dienstleister einen Fehler, können Sie sich von der Mithaftung nur befreien, wenn Sie nachweisen können, dass er sich nicht an Ihre Anweisung gehalten hat und Sie in keinerlei Hinsicht für den Schaden verantwortlich sind.
Im Vertrag muss also genau stehen, wie er die Daten DSGVO-konform verarbeiten muss. Begrenzen Sie seine Befugnisse auf das Nötigste.
Über den Autor:
Christian Solmecke (45) hat sich als Rechtsanwalt und Partner der Kölner Medienrechtskanzlei WILDE BEUGER SOLMECKE auf die Beratung der Internet und IT-Branche spezialisiert. So hat er in den vergangenen Jahren den Bereich Internetrecht/E-Commerce der Kanzlei stetig ausgebaut und betreut zahlreiche Medienschaffende, Web 2.0 Plattformen und App-Entwickler. Neben seiner Tätigkeit als Rechtsanwalt ist Christian Solmecke vielfacher Buchautor und als Geschäftsführer der cloudbasierten Kanzleisoftware Legalvisio.de auch erfolgreicher LegalTech Unternehmer.
