Wirtschaft

Apothekenwebseiten und Datenschutz

Wie Sie sich vor Abmahnungen und behördlichen Maßnahmen schützen können

Datenschutzverstöße auf Webseiten sind leicht auffindbar und daher besonders gefährdet, zum Gegenstand von Abmahnungen oder behördlichen Maßnahmen zu werden. Dies hat die Abmahnwelle zu sogenannten Google Fonts Ende des vergangenen Jahres eindrücklich gezeigt. Schon alleine, um sich nicht mit solchen rechtsmissbräuchlichen Abmahnungen herumschlagen zu müssen, lohnt es sich, auf die Datenschutzkonformität der Apothekenwebseite zu achten.

1. Datenschutzinformationen

Eine Apothekenwebseite ohne Verarbeitung personenbezogener Daten ist kaum vorstellbar. Regelmäßig wird bei dem Aufruf einer Webseite jedenfalls die IP-Adresse des Besuchers der Webseite neben anderen Nutzungsdaten übermittelt. Die IP-Adresse gilt nach der Rechtsprechung des Europäischen Gerichtshofs als personenbezogenes Datum. Auch bei minimalistisch gehaltenen, rein informatorischen Apothekenwebseiten findet daher eine Datenverarbeitung statt und es sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten. Insbeson­dere sind die Besucher der Web­seite über die Datenverarbeitung zu informieren. Die Datenschutzinformationen müssen die nach Art. 13 DSGVO erforderlichen Angaben enthalten, u. a. die Kontaktdaten der Apotheke und ggf. des Datenschutzbeauftragten, die Zwecke der Datenverarbeitung und Rechtsgrundlagen, die Speicherdauer und die Rechte der Betroffenen. Diese Datenschutzinformationen sollten von jeder Unterseite der Apothekenwebseite mit einem Klick zu erreichen sein, beispielsweise über einen aussagekräftig betitelten Link im Footer oder Header der Webseite (z. B. Datenschutz, Datenschutzinformationen, Datenschutzhinweise). Es ist darauf zu achten, dass ein eventuell auf der Webseite enthaltenes Cookie-Banner (dazu sogleich) den Link nicht verdeckt.

Werden auf der Webseite Formulare eingesetzt, über die personenbezogene Daten erhoben werden (z. B. Newsletteranmeldung, Kontaktformular, Bestellformular), kann es sinnvoll sein, dort besonders auf die Datenschutzinformationen hinzuweisen. Keinesfalls sollte jedoch eine Einwilligung in die Datenschutzinformationen eingeholt, deren Akzeptanz oder Bestätigung der Kenntnisnahme gefordert werden. Denn damit können einerseits die Datenschutzinformationen als vertragliche Regelungen ausgelegt und einer (strengen) AGB-Kontrolle unterworfen werden. Andererseits geht aus einer jüngeren Entscheidung der Europäischen Datenschutzaufsichtsbehörden hervor, dass dies auch als Verstoß gegen den datenschutzrechtlichen Grundsatz von Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO) angesehen werden kann. Es sollte auf Datenschutzinformationen also immer nur hingewiesen werden, ohne dass der Besucher der Webseite diese in irgendeiner Form aktiv bestätigen muss.

2. Cookies und Cookie-Banner

Cookies sind kleine Textdateien, die über den Browser des Besuchers der Webseite auf dessen Endgerät gespeichert werden und Informationen enthalten bspw. zu Login-Daten, dem Warenkorb, den besuchten Seiten etc. Unabhängig davon, ob dies mit der Verarbeitung von personenbezogenen Daten einhergeht, sind beim Einsatz von Cookies rechtliche Vorgaben zu beachten. Denn nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist für jede Speicherung von Infor­mationen auf dem Endgerät des Besuchers der Webseite und für jeden Abruf solcher Informationen eine Einwilligung des Besuchers erforderlich. Eine Ausnahme gilt nur, soweit dies für die Bereitstellung der Apothekenwebseite technisch notwendig ist. Solche technisch erforderlichen Cookies, die keiner Einwilligung bedürfen, sind beispielsweise Cookies zur Abwicklung von Warenkörben im Onlineshop, Cookies zur Speicherung von Login-Daten während einer Session oder Cookies zu Sicherheitszwecken.

Foto: momius/AdobeStock

Cookie-Hinweise, die die Ablehnung von Cookies so unattraktiv wie möglich machen oder den Verbraucher durch die Gestaltung von Buttons manipulieren und zu nicht gewollten Einwilligungen verleiten, sind unzulässig oder zumindest rechtlich problematisch.

Alle anderen technisch nicht erforderlichen Cookies dürfen erst gesetzt werden, wenn der Besucher der Webseite seine Einwilligung erteilt hat. Diese wird regelmäßig über sogenannte Cookie-Banner eingeholt, die auftauchen, wenn der Besucher die Webseite erstmals aufruft. Die Gestaltung der Cookie-Banner unterliegt hohen rechtlichen Anforderungen, die im Einzelnen allerdings noch umstritten sind. Wichtig ist, dass eine aktive Einwilligung des Besuchers erfolgt, bevor Cookies aktiviert werden. Dies kann durch einen deutlich beschrifteten Button (bspw. „Cookies akzeptieren“) geschehen, den der Besucher anklicken kann. Formulierungen, wonach mit dem bloßen Weiter­surfen auf der Webseite die Cookies akzeptiert werden, sind dagegen ein No-Go.

Für den Besucher der Webseite muss das Ablehnen der Cookies genauso einfach sein wie die Annahme der Cookies. Findet sich die Möglichkeit zum Ablehnen erst in den tieferen Ebenen des Cookie-Banners, nachdem der Besucher Einstellungsmöglichkeiten durchgeklickt hat, sind die recht­lichen Anforderungen an eine freiwillige Einwilligung nicht erfüllt. Neben einem Akzeptieren-Button sollte das Cookie-Banner daher auf gleicher Ebene einen Ablehnen-Button enthalten. Inwiefern es zulässig sein kann, den Besucher bspw. durch farbliche Gestaltung der Buttons in Richtung des Akzeptieren-Buttons zu stupsen (sog. Nudging), ist noch nicht abschließend gerichtlich entschieden. Die Auffassungen der Datenschutzaufsichtsbehörden sind jedoch streng, sodass die rechtssichere Variante ist, Akzeptieren- und Ablehnen-Button grafisch gleichwertig zu gestalten.

Eine wirksame Einwilligung kann der Besucher der Webseite nur erteilen, wenn er ausreichend informiert ist. Es ist daher darauf zu achten, dass das Cookie-Banner alle relevanten Informationen zu den eingesetzten Cookies enthält, insbesondere zu den Zwecken der Verarbeitung, der Speicher­dauer, ggf. eingesetzten Drittdiensten und Drittstaatentransfers. Widersprüche zwischen den Datenschutzinformationen und dem Cookie-Banner sind zu vermeiden. Das gilt vor allem, wenn Cookie-Banner von Dienstleistern auf der Apothekenwebseite ein­gebunden werden.

3. Einbindung von Drittdiensten

Werden Drittdienste in Webseiten eingebunden, geht dies häufig mit der Übermittlung von personen­bezogenen Daten an diese Drittdienste einher; sei es, dass die Drittdienste Cookies setzen oder die IP-Adresse an die eingebundenen Drittdienste übermittelt wird. In diesem Fall bedarf es für die Datenübermittlung einer Rechtsgrundlage, die Datenschutzinformationen und ggf. das Cookie-Banner müssen hinsichtlich des Drittdienstes ergänzt werden und es ist zu prüfen, ob mit dem Einsatz ein Drittstaatentransfer einhergeht und dieser ausreichend rechtlich abgesichert ist.

Drittdienste, die Cookies setzen (bspw. Webseitenanalysedienste), sollten daher nur aktiviert werden, wenn der Besucher der Webseite darüber informiert wurde und im Cookie-Banner seine Einwilligung erteilt hat. Karten- und Videodienste sowie Social-Media-Plug-ins von Drittanbietern übermitteln häufig IP-Adressen an den Drittanbieter schon mit dem bloßen Besuch der Webseite, auf der die Dienste eingebunden sind, ohne dass der Besucher diese aktiv nutzt. Regelmäßig fehlt es dafür an einer Rechtsgrundlage. Datenschutzaufsichtsbehörden empfehlen daher eine sogenannte Zwei-Klick-Lösung, bei der zunächst nur eine Vorschau auf den externen Inhalt mit einem Hinweis auf die mit der Nutzung verbundene Datenverarbeitung eingeblendet wird und der Dienst erst mit einem aktiven Klick des Besuchers darauf aktiviert wird.

Foto: IB Photography/AdobeStock

Wer die Schriftarten von Google Fonts online in seine Webseite einbindet, kann damit gegen Datenschutzrecht verstoßen.

Kalt erwischt haben Abmahner diverse Webseitenbetreiber im vergangenen Jahr wegen der Einbindung von Google Fonts als Drittdienste. Es handelt sich dabei um Schriftarten, die Google anbietet. Diese können lokal heruntergeladen und in die Webseite ein­gebunden werden. Das ist datenschutzrechtlich unkritisch, da dann keine Datenübermittlung an Google erfolgt. Viele Webseiten­betreiber hatten die Schriftarten – oftmals aus Unkenntnis – jedoch über die Server von Google auf der Webseite eingebunden. Dann werden mit jedem Aufruf der Webseite durch einen Besucher dessen Daten (insbesondere seine IP-Adresse) an Google übertragen. Dies erfolgt regelmäßig ohne Rechtsgrundlage und ohne entsprechende Information der Besucher. Zudem geht dies mit einer datenschutzrechtlich derzeit ebenfalls problematischen Datenübermittlung in die USA einher, weshalb das Landgericht München in einem Einzelfall einem Besucher einer Webseite mit Google Fonts ein Schmerzensgeld in Höhe von 100 Euro zugesprochen hatte (Urt. v. 20.01.2022, Az. 3 O 17493/20). Abmahner versuchten, Ende des vergangenen Jahres daraus eine Einnahmequelle zu generieren. Mit sogenannten Web-Crawlern konnten Webseiten mit Google Fonts automatisiert im Internet aufgefunden und dazu massenhaft Abmahnungen ausgesprochen werden. Auch wenn viel dafür spricht, dass der automatisierte Aufruf von Webseiten mit Google Fonts keinen Datenschutzverstoß darstellt und dass dieses Vorgehen rechtsmissbräuchlich war (vgl. AG Berlin-Charlottenburg, Urt. v. 20.12.2022, Az. 217 C 64/22; LG Baden-Baden, Beschl. v. 11.10.2022, Az. 3 O 277/22), und mittlerweile straf- und berufsrechtliche Verfahren gegen die abmahnenden Anwälte eingeleitet sind, zeigt dies, dass bei der Einbindung von Drittdiensten besondere Vorsicht geboten ist. |

Dr. Timo Kieser und Dr. Svenja Buckstegge, Oppenländer Rechts­anwälte Stuttgart

Das könnte Sie auch interessieren

EuGH-Urteil  zum Facebook „Gefällt-mir“-Button

Datenschutz: Was Apotheken bei Social-Media-Plugins beachten müssen

Wie Sie Stolperfallen vermeiden / Vielfältige Vorgaben erfordern ein sorgsames Vorgehen bei der Umsetzung

Rechtssichere Gestaltung von Apothekenwebseiten

Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages

Sechs Monate DSGVO – ein Zwischenfazit

Welche datenschutzrechtlichen Veränderungen sich durch das E-Rezept ergeben

Geübte Praxis oder alles neu?

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 5: Informationspflichten und Kundenrechte

Neue Datenschutzregeln ante portas

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.