Die neue EU-Datenschutz-Grundverordnung – was radiologische Praxen für das Betreiben ihrer Webseite wissen müssen
Nach einer Übergangszeit von zwei Jahren ist die EU-Datenschutz-Grundverordnung ab dem 25. Mai 2018 verbindlich – auch für Praxen, die sich mit ihren Angeboten an EU-Bürger wenden. Was haben diese zukünftig beim Betreiben ihrer Website zu beachten?
Die Datenschutz-Grundverordnung gilt gemäß Artikel 2 der DSGVO „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Als personenbezogene Daten gelten sämtliche Informationen, die sich auf eine identifizierbare Person beziehen. Neben Angaben wie Name und Adresse gehören dazu auch Online-Kennungen wie IP-Adressen und Cookie-Kennungen. Es fallen zudem pseudonymisierte Daten darunter, wenn diese mit anderen Informationen zum Zwecke des Profilings zusammengeführt werden.
Die Datenverarbeitung als solches ist generell erlaubt, sobald …
• … die betroffene Person der Datenverarbeitung zugestimmt hat, zum Beispiel mittels Double-Opt-In-Verfahren (zweistufiger Zustimmungsprozess), oder
• … ein berechtigtes zweckgebundenes Interesse zur Datenverarbeitung seitens der Praxis besteht oder
• … die Datenverarbeitung erforderlich ist, zum Beispiel zum Schutz lebenswichtiger Interessen.
DSGVO und Google Analytics
Im Zuge der DSGVO sind auch einige Aspekte beim Gebrauch von Google Analytics zu beachten. Um Google Analytics datenschutzkonform auf der eigenen Praxis-Website nutzen zu können, gilt es folgende Punkte umzusetzen:
1. Vertragsabschluss mit Google:
Schließen Sie einen entsprechenden schriftlichen Vertrag mit Google ab. Die Vertragsvorlage von Google finden Sie hier: https://static.googleusercontent.com/media/www.google.com/en//analytics/terms/de.pdf
Betreibt der Inhaber der Seite weitere Online-Auftritte, genügt es, den Vertrag einmal abzuschließen.
2. Datenschutzerklärung und Widerspruch:
Ergänzen Sie Ihre Datenschutzerklärung und stellen Sie eine Erläuterung zur Nutzung der Daten inklusive eines Hinweises auf Widerspruchsmöglichkeiten zur Verfügung. Dem Webseiten-Besucher muss klar kommuniziert werden, welche Daten für welchen Zweck erhoben werden und wie er der Datenerhebung widersprechen kann.
3. Anonymisierung der IP-Adressen:
Die IP-Adressen der Website-Besucher müssen zwingend anonymisiert werden. Dazu braucht es eine Anpassung des Quellcodes. Entsprechende Hinweise bietet Google hier:
https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
4. Altdaten löschen:
Eventuelle Altdaten, welche nicht datenschutzkonform erhoben wurden, müssen unbedingt fristgemäß gelöscht werden.
5. Cookie-Warnung:
Um rechtlich auf der sichereren Seite zu stehen, empfiehlt sich die Implementierung einer automatisch erscheinenden Cookie-Meldung. Die Cookie-Warnung sollte beim ersten Aufruf der Webseite eingeblendet werden.
DSGVO und Matomo (Piwik)
Mit der Aktualisierung auf Version 3.3.0 wurde aus Piwik Matomo. Matomo positioniert sich als datenschutzrechtlich sensiblere Alternative zu Google Analytics. Die in diesem Jahr kommende Version 4.0 bringt neue Datenschutzmaßnahmen mit sich, damit das Tool mit der DSGVO konform geht.
Die Anonymisierung der IP-Adressen erfolgt durch das Aktivieren des integrierten Plugins AnonymizeIP. In den Datenschutzbestimmungen müssen User aktiv auf das Tracking hingewiesen werden. Zudem muss ihnen die Möglichkeit zum Widerspruch gegeben werden. Matomo bietet dazu ein IFrame, das dafür sorgt, dass dem User beispielsweise beim Aufruf der Webseite die Datenschutzerklärung präsentiert wird.
Weiterhin empfiehlt es sich, Referrer-Daten (Suchbegriffe, Herkunfts-Webseiten etc.) sparsam zu verwenden. Mit der Deaktivierung des Referrer- Plugins wird die Verarbeitung der Referrer-Daten komplett ausgesetzt. Weiterhin sollte die Lebensdauer von Cookies möglichst knapp gehalten werden. Alle Datensätze sollten regelmäßig gelöscht werden.
Verzeichnis von Verarbeitungstätigkeiten
Alle Tätigkeiten der Datenverarbeitung müssen zukünftig in einem Verzeichnis von Verarbeitungstätigkeiten beschrieben werden, so auch Tätigkeiten, die die Datenverarbeitung via Webseite betreffen. (Lesen Sie dazu hier mehr.)
Das Prinzip der datenschutzfreundlichen Technik
„Privacy by Design and Privacy by Default“ dient der Erhöhung der Datensicherheit der von einer Datenerhebung betroffenen Person. Das Prinzip ist nicht neu, erlangt aber vor dem Hintergrund der Verankerung in Art. 25 DSGVO neue Bedeutung.
„Privacy by Design“ bezweckt den Schutz personenbezogener Daten im Sinne der DSGVO durch das und organisatorischer Maßnahmen bereits bei der Entwicklung eines Datenverarbeitungssystems (Art. 25 Abs. 1 DSGVO). Eine solche Maßnahme ist beispielsweise die Pseudonymisierung.
„Privacy by Default“ zielt darauf ab, dass die technischen Voreinstellungen ausschließlich absolut notwendige Datenverarbeitungen ermöglichen (Art. 25 Abs. 2 DSGVO). Weniger technikaffine Nutzer sollen hier geschützt werden, indem sie beispielsweise nicht gezwungen sind, bestimmte Datenerhebungen abzulehnen, die gemäß Voreinstellungen bereits aktiviert sind.
Benennung des Datenschutzbeauftragten
Der Datenschutzbeauftragte (DSB) ist bei Verarbeitung personenbezogenen Daten weiterhin ab 10 Mitarbeitern zu benennen. Es ist eine Funktions-E-Mail-Adresse für den DSB einzurichten und auf der Website zu nennen. Der DSB selbst muss dabei nicht zwingend namentlich auf der Webseite genannt werden (z.Bsp. datenschutzbeauftragter@meineradiologie.de).
Bis zum 25. Mai 2018 müssen alle Anpassungen an Ihrer Webseite vorgenommen werden. Wir unterstützen Sie dabei gern. Sprechen Sie uns an.
Ihr Ansprechpartner:
W4 (www.w-4.com) bietet ein Komplettpaket „Sorgenfreie Homepage“ speziell für Praxen. Radiologienetz-Mitglieder erhalten gesonderte Konditionen.
Lilian Schwarzweller
