DSGVO – erste Entwicklungen seit Ende Mai

DSGVO_erste-Entwicklungen

DSGVO – erste Entwicklungen seit Ende Mai

Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung in Kraft getreten. Nachdem es in den Wochen davor und unmittelbar danach reichlich Wirbel und Verunsicherung um das neue Gesetz gab, sind diese zwar juristisch nicht kleiner geworden, gleichwohl ist ein wenig Ruhe eingekehrt und bisher Abmahnwellen ausgeblieben.

Die Frage, ob Datenschutzverstöße überhaupt abmahnfähig sind, hat durch eine aktuelle politische Diskussion an Brisanz gewonnen. Nach einer Empfehlung des federführenden Ausschusses für Innere Angelegenheiten sowie des Wirtschaftsausschusses vom 05.10.2018 (zum Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU; Drucksache 430/1/18) ist beabsichtigt, die Bestellung eines Datenschutzbeauftragten erst bei Institutionen ab 50 Mitarbeitern, die dauerhaft mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, zu fordern. Darüber hinaus ist avisiert, Verstöße gegen die DSGVO nicht (mehr) als abmahnfähig zu erachten. Dann wären keine Abmahnungen auf Grund der DSGVO mehr möglich; das Landgericht Würzburg (s.u.) sieht dies noch anders. 

 

Allererste Hausaufgaben

Auch die meisten Zahnarztpraxen haben die allerersten (!) Hausaufgaben erledigt: Verzeichnis von Verarbeitungstätigkeiten angelegt, technisch-organisatorische Maßnahmen durchgeführt, ggf. einen Datenschutzbeauftragten bestellt und Auftragsverarbeitungsverträge abgeschlossen. Natürlich gehörte auch eine Überarbeitung der Website und der Datenschutzerklärung dazu. Praxen, die dies noch nicht erledigt haben, sollten so schnell wie möglich aktiv werden.
Wichtig sind auch Hinweise zum Datenschutz an die Patienten auszugeben, in denen diese über Ihre Rechte belehrt werden. Bei Verstößen drohen ggf. Bußgelder der Datenschutzaufsichtsbehörden, auch wenn diese gerade bei kleinen Unternehmen zunächst beratend tätig sein wollen. Zudem können Betroffene bei Datenschutzverletzungen materiellen und immateriellen („Schmerzensgeld“) Schadensersatz geltend machen. Momentan ist insbesondere eine Anwaltskanzlei dabei, für einen Mandanten wegen mangelnder SSL-Verschlüsselungen von Kontaktformularen auf Homepages Schmerzensgelder zwischen 8.500 und12.500 Euro zu fordern. Wer davon betroffen ist, sollte sich unbedingt wehren. Hier steht sowohl bei der Frage des „Ob“ als auch des „Wie hoch“ eine Rechtswidrigkeit im Raum.

 

Überforderung der Behörden

Aktuell jedoch stöhnen die Datenschutzbehörden unter der Vielzahl der Informationsanfragen der Unternehmen. Bis zu 140 telefonische Anfragen pro Tag werden nach Medienberichten zum Beispiel in Nordrhein-Westfalen gemeldet. Aber auch die Anzahl der Bürgerbeschwerden hat zugenommen. Erfreulicherweise sind Arzt- und Zahnarztpraxen, Krankenhäuser, Apotheken und Unternehmen aus der Gesundheitswirtschaft noch nicht im Fokus. Sprunghaft stand aber auch die Zahl der Unternehmen die fahrlässige Datenschutzverstöße meldeten – ohne eine solche Meldung droht ebenfalls ein Bußgeld.

 

Abmahnungen gegen Arztpraxen

Von Abmahnungen gegen Arztpraxen aufgrund DSGVO-Verstößen wird aktuell allerdings aus Nordwestdeutschland berichtet. Die Kassenärztliche Vereinigung Bremen (KVHB) warnt davor auf Ihrer Homepage. Die Abmahnungen richten sich im Wesentlichen gegen mangelhafte Datenschutzerklärungen auf Internetseiten. Die KVHB rät dabei, die Internetseiten vorläufig vom Netz zu nehmen und die Datenschutzerklärungen anzupassen.

Wer Opfer einer solchen Abmahnung geworden ist, sollte jedoch nicht die geforderten Anwaltskosten von ca. 700 Euro an den Abmahner zahlen. Vielmehr sollte er selbst einen Rechtsanwalt konsultieren. Oftmals sind Abmahnungen mangels Konkurrenzverhältnis schon unwirksam. Zudem ist es aktuell unter Juristen sehr streitig, ob überhaupt aufgrund der DSGVO abgemahnt werden kann. Das Landgericht Würzburg hat hierzu in einem aktuellen Beschluss vom 13.09.2018 (Az.: 11 O 1741/18 UWG) allerdings entschieden, dass DSGVO-Verstöße grundsätzlich abmahnfähig sind.

 

(Noch) keine Hilfe aus der Politik

Die Bundestagsfraktionen von CDU/CSU und SPD hatten in Aussicht gestellt, kurzfristig kleinen und mittelständischen Unternehmen sowie Vereinen zu helfen, in dem eine gesetzgeberische Lösung nach österreichischem Vorbild beschlossen wird: Beim ersten Verstoß zunächst eine Beratungspflicht der Behörden und zudem ein – ggf. temporäres – Abmahnverbot. Schließlich konnten sich die Politiker jedoch nicht einigen und präferieren nun mehr eine „große Lösung“, mit der sie das Abmahnwesen an sich stark einschränken wollen.

 

Zahntechnik als Auftragsverarbeitung?

Unklar bleibt weiterhin, ob das Verhältnis zwischen Zahnärzten und Zahntechnikern ein Auftragsverarbeitungsverhältnis oder eine Gemeinsame Datenverarbeitung vorliegt. Aufgrund der auch medizinrechtlich speziellen Regelungen über die Zusammenarbeit dieser Berufsgruppen gibt es für beide Sichtweisen nachvollziehbare datenschutzrechtliche Argumente. Momentan herrscht in Deutschland ein Flickenteppich bzgl. der Einschätzung der jeweiligen Landesdatenschutzbeauftragten. Verbände und Kammern drängen aktuell auf einer Entscheidung der Konferenz der Datenschutzbeauftragten der Länder und des Bundes. Hier ist hoffentlich bald eine Entscheidung zu erwarten.

 

Fazit

Zahnarztpraxen müssen den Datenschutzregelungen nachkommen. Die großen Prüf- und Abmahnwellen sind – vielleicht auch aus Kapazitätsgründen und weil noch niemand die Regeln genau auslegen kann – bislang ausgeblieben.

Stand: 21. August 2018

 

15-07-07-MLP-Logo-orange-RGB-72dpi

Autor: Rechtsanwalt Jens Pätzold

Jens Pätzold ist Rechtsanwalt, Fachanwalt für Medizinrecht und als Healthcare-Experte spezialisiert auf die Beratung medizinischer Leistungserbringer. Seit 2002 betreut er bundesweit (Zahn-) Arztpraxen bei der strategischen Optimierung und hat dabei zahlreichen Praxen in Deutschland mit seinem strategischen und rechtlichen Fachwissen zu einem weit überdurchschnittlichen Wachstum und Ertrag verholfen. Weitere Beratungsschwerpunkte sind das Compliance Management im Gesundheitswesen sowie die Beratung und Vertretung von Healthcare-Unternehmen (z.B. Medizinprodukte- und Medizingerätehersteller, Hersteller von Nahrungsergänzungsmitteln oder Kosmetika).

 

Hierbei handelt es sich um einen Gastbeitrag von LYCK+PÄTZOLD HEALTHCARE.RECHT, Fachanwälte für Medizinrecht. Wir übernehmen daher keine Verantwortung und Gewähr für die Richtigkeit und den Inhalt.