Mahnschreiben an Website-Betreiber bezüglich DSGVO-Konformität

Empfehlung eine eigene Website auf DSGVO-Konformität zu überprüfen bzw. überprüfen zu lassen, insbesondere bei Nutzung von „Google Fonts“ oder „Google Maps“.

Seit Anfang Juli erhalten manche Personen - auch Ärztinnen und Ärzte -, die eine Website betreiben, ein Schreiben von einem Rechtsanwalt. In diesem erklärt dieser, Beweise für eine Datenschutzverletzung zu haben, stellt einen Antrag auf Auskunft und bietet einen Vergleich an. Die Bundeskurie der niedergelassenen Ärzte hat dazu ein Rundschreiben (50/2022) ausgeschickt sowie ein von der ÖÄK empfohlenes Muster-Antwortschreiben entworfen. Beides finden Sie weiter unten.

Wir empfehlen allen Mitgliedern, die eine Website betreiben, diese auf DSGVO-Konformität zu überprüfen bzw. überprüfen zu lassen, insbesondere bei Nutzung von „Google Fonts“ oder „Google Maps“.

Worum geht es konkret?

In dem besagten Brief wird behauptet, dass jemand Ihre Website besucht hätte, woraufhin die IP-Adresse dieser Person an Google weitergeleitet worden sei. Als Beleg enthält der Brief einen Screenshot Ihrer Website und einen Screenshot der Einbindung von Google im Quellcode. Außerdem wird eine Schadenersatzforderung gestellt und man soll Auskunft über die verarbeiteten Daten geben.

Worum geht es überhaupt, was sind Google Fonts und wo liegt das Problem?

Google Fonts sind Schriftarten von Google, die auf dem Computer verwendet werden. Werden Google Fonts in eine Website eingebunden, werden beim Besuchen dieser Website Daten über die:den „Besucher:in“ zu Google in die USA weitergeleitet. Ob dies rechtmäßig ist, ist rechtlich nicht geklärt. Wahrscheinlich gibt es eine gemeinsame datenschutzrechtliche Verantwortlichkeit von Websitebetreiber:innen mit Google.

Eine Einbindung von Google Fonts ist allerdings gar nicht notwendig, es kann einfach mit anderen Schriftarten gearbeitet werden. Gerade Ärzt:innen sollten hohe Standards bezüglich Datenschutz und Datensicherheit einhalten, um zu verhindern, dass Rückschlüsse auf bestimmte gesundheitliche Zustände geschlossen werden können.

Was sollten Sie in jedem Fall tun?
Lassen Sie Ihre Website überprüfen, ob darin Google Fonts oder andere Produkte von Google eingebunden sind. Eine erste schnelle Überprüfung kann zum Beispiel über folgenden Link erfolgen. Wir empfehlen in jedem Fall, mit Ihrer EDV-Beratungsfirma Kontakt aufzunehmen, um die Verlässlichkeit des Ergebnisses zu verifizieren bzw. zu konkretisieren. Werden Google Fonts gefunden, entfernen Sie die betroffenen Passagen und binden Sie lokale Schriftarten ein. Im Anschluss daran ist auch die Datenschutzerklärung entsprechend anzupassen. Sollten Sie dies verabsäumen, kann nicht ausgeschlossen werden, dass künftig tatsächlich berechtigte Betroffene mit höheren Schadenersatzforderungen Ansprüche erheben. Jene Kanzlei, die zuletzt die Abmahnschreiben verschickt hat, möchte zwar keine weiteren Schreiben versenden, bereits verschickte Mahnschreiben bleiben aber gültig. Vorsicht ist geboten bei Angeboten von Kanzleien oder Beratungsunternehmen, einzelne nutzen die Situation mit überhöhten Preisen derzeit aus.

Was ist zu tun, wenn Sie ein Abmahnschreiben erhalten haben?

  • Ist die erwähnte IP-Adresse in den Log-Files Ihrer Website enthalten, geben Sie diese Daten der betroffenen Person bekannt. Sind die Daten in den Log-Files nicht enthalten, geben Sie bekannt, dass sie die im Abmahnschreiben enthaltenen Daten nur zur Abwehr der dort geltend gemachten Ansprüche verarbeiten. Sollten Sie Daten dieser Person verarbeiten, weil es sich um eine:n Patient:in handelt, ist dies ebenfalls bekanntzugeben. Entsprechende Musterschreiben stellt zum Beispiel die Wirtschaftskammer hier zur Verfügung.
  • Sobald Sie Google Fonts von Ihrer Website entfernt haben, geben Sie eine Unterlassungserklärung ab.
  • Lehnen Sie den Schadenersatzanspruch ab. Es gibt noch keine österreichische Entscheidung in dieser Sache.
  • Wichtig ist eine fristgemäße Beantwortung innerhalb eines Monats. Wird nicht rechtzeitig oder gar nicht reagiert, kann die betroffenen Person die Datenschutzbehörde und das Zivilgericht einschalten, was zu erheblichen Kosten führen kann.

Für weitere Fragen steht Ihnen die Rechtsabteilung der Ärztekammer für Niederösterreich gerne zur Verfügung.

 

Lesen Sie dazu unseren Beitrag vom 24.08.2022:

Ärztliche Homepage - Vorwurf einer Datenschutzverletzung

Mit Muster-Antwortschreiben der ÖÄK

Seit Anfang Juli kann es sein, dass Ärztinnen und Ärzte, die eine Homepage betreiben, ein Schreiben von Rechtsanwalt Mag. Marcus Hohenecker bekommen (haben). In diesem Schreiben erklärt er namens seiner Mandantin Beweise für eine Datenschutzverletzung zu haben, stellt einen Antrag auf Auskunft gemäß Art. 15 DSGVO und bietet einen Vergleich an.

Lesen Sie dazu das Rundschreiben 50/2022 der Bundeskurie der niedergelassenen Ärzte, eine Information zu „Mahnschreiben Nutzung Google-Dienste Datenschutzverletzung“:

Als Muster-Antwortschreiben empfiehlt die ÖÄK den mit dem Datenschutzbeauftragten Mag. Dörfler entwickelten Text:

„Sehr geehrter Herr Mag. Hohenecker,

wir als Betreiber der Website [DOMAINNAME ERGÄNZEN] bestreiten den von Ihnen im Schreiben vom [DATUM ERGÄNZEN] geltend gemachten Anspruch dem Grunde und der Höhe nach.

Zum Auskunftsanspruch: Über Ihre Mandantin verarbeiten wir – mit Ausnahme des Auskunftsbegehrens – keine personenbezogenen Daten. Ihre Mandantin hat das Recht, die Datenschutzbehörde anzurufen, wenn sie der Meinung ist, dass ihre datenschutzrechtlichen Ansprüche verletzt worden sind.“

Bitte beachten Sie, dass – sollten Sie bei der Suche nach dem im Anwaltsschreiben genannten Namen fündig werden (sollte sie z.B. Patientin sein) - ein umfassendes Auskunftsschreiben zu verfassen ist.

Unter folgendem Link finden Sie auch eine Zusammenfassung vom Datenschutzbeauftragten Mag. Dörfler:

https://www.h-i-p.at/blog/abmahnwelle-durch-rechtsanwalt-hohenecker-im-namen-von-frau-eva-zajaczkowska-wegen-google-fonts/

zurück
zurück