Nachdem auch in Deutschland zunehmend höhere Bußgelder verhängt wurden, diskutieren die Datenschutzbehörden nunmehr ein nachvollziehbares Modell zur Bemessung der Bußgeldhöhe. Teilweise wird dieses Modell auch schon eingesetzt, wie erste darauf verweisende Bescheide deutlich machen.

Anders als die frühere Gesetzgebung zum Datenschutz sieht die DSGVO empfindliche Sanktionsmöglichkeiten bei Datenschutzverstößen vor. Nach Art. 83 DSGVO können die Datenschutzbehörden Bußgelder von bis zu 20 Mio Euro oder von bis zu 4 % des Vorjahresumsatzes–je nachdem, welche Betrag höher ist–verhängen. Die Verordnung sieht selbst aber keine detaillierten Regelungen vor, wie ein Bußgeld im Einzelfall innerhalb dieser Bandbreiten zu bemessen ist. Dieser Mangel soll mit dem bisher unveröffentlichten Modell beseitigt werden.

Konkret sieht der Entwurf vor, den Vorjahresumsatz eines Unternehmens als Grundlage für die Berechnung zu nehmen. Dieser Wert wird durch 360 geteilt, um zu einem Tagessatz zu kommen. Der Tagessatz wird dann – abhängig von der Schwere des Verstoßes – mit einem Faktor zwischen 1 und 14,4 multipliziert, um das Basis-Bußgeld zu berechnen. Die Zahl 14,4 ist kein Zufall: sie spiegelt nach Rückrechnung die zuvor erwähnten 4 % wider. Diese Vorgehensweise hat jedoch zur Folge, dass selbst ein Verstoß “mittlerer Schwere” und damit ein Faktor von 7,2 zu einem Basis-Bußgeld von 2 % des Vorjahresumsatzes führt.

Auf das Basis-Bußgeld werden sodann Auf- und Zuschläge berechnet, mit denen die Art und Weise des Verstoßes, seiner Folgen und weitere Umstände gewürdigt werden. Beachtenswert ist jedoch, dass hier wesentlich mehr Umstände für Zuschläge als für Abschläge berücksichtigt werden.

Mit dem vorgeschlagenen Modell ergeben sich aus unserer Sicht handfeste Konflikte mit den Vorgaben der DSGVO. Diese sieht nämlich vor, dass Bußgelder nicht nur wirksam und abschreckend sondern eben auch verhältnismäßig sein müssen. Und besagter Art. 83 DSGVO enthält auch eine Liste von Umständen, die “in jedem Einzellfall” von den Datenschutzbehörden “gebührend berücksichtigt” werden müssen. Dazu gehören:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
  • Einhaltung früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Eine pauschale Festlegung auf Basis des Vorjahresumsatzes gibt die DSGVO indes nicht her, erst recht nicht mit einem Faktor, der allein den ersten Punkt dieser Liste reflektiert. Mit der DSGVO soll die Durchsetzung der Datenschutzregeln anhand eines risikoorientierten Maßstabs geprüft werden, der akzeptiert, dass Verstöße auch bei bester Umsetzung aller angemessenen und gebotenen Maßnahmen durch die Verantwortlichen geschehen können. Diese können dann nicht nur deswegen hoch bestraft werden, weil der Verantwortliche viel Umsatz macht.

Bisher ist das Berechnungsmodell nicht veröffentlicht und damit einer öffentlichen Diskussion nur bedingt zugänglich. Mit einer Veröffentlichung ist nach Aussage der Datenschutzkonferenz im November zu rechnen. Wir bleiben dran!

Durch das Inkrafttreten der DSGVO soll der Umgang mit besonders sensiblen persönlichen Daten der Betroffenen – hier also der Patienten – gewahrt werden. Ärzte benötigen hierfür ein Datenschutzmanagement, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz in Ihrer Arztpraxis entsprechend der DSGVO anwenden.

Was muss ich tun? Wo fange ich am besten an? Brauche ich überhaupt einen Datenschutzbeauftragten?

Der Datenschutzbeauftragte: Wer ist das? Was macht er? Wer braucht ihn?

Die Rolle des Datenschutzbeauftragten als zentrale Anlaufstelle für Betroffene, Verantwortliche, Auftragsverarbeiter und Aufsichtsbehörden ist durch die DSGVO gestärkt worden. Sie ist zugleich Ausdruck des in Art. 5 DSGVO verankerten datenschutzrechtlichen Transparenzgrundsatzes. Der Datenschutzbeauftragte in der Arztpraxis hat die Aufgabe, den verantwortlichen Arzt über die Pflichten im Umgang mit Daten nach den neusten Regeln zu informieren und ihn zu beraten. Zudem überprüft er, ob die Regelungen zum Datenschutz in der Arztpraxis bei den internen Datenschutzverarbeitungsvorgängen eingehalten werden.

Besteht das Praxisteam aus mehr als 20 Personen, sollte also ein Datenschutzbeauftragter darunter sein.

Bei der Ermittlung der Personenanzahl kommt es allein auf die tatsächliche Anzahl der tätigen Personen an. Die Art der Beschäftigung (z. B. Voll- oder Teilzeit, Auszubildende, Praktikanten, Leiharbeit) ist hierfür unerheblich. Vereinfacht gesagt sind„Köpfe“ zu zählen. Die Anzahl von mindestens 20 Beschäftigten, die auf Dauer personenbezogene Daten automatisiert verarbeiten, muss „in der Regel“ gegeben sein. Vorübergehende Änderungen (Überschreitungen oder Unterschreitungen) des Personalbestands sind daher unschädlich. Ausgenommen werden können deshalb Personen, die nur zufällig im Rahmen der Erledigung anderer Aufgaben mit der Verarbeitung personenbezogener Daten zu tun haben (z. B. Wartungstechniker; kurzfristiger Entlastungsassistent; Mitarbeiter eines externen Dentallabors). Die automatisierte Verarbeitung personenbezogener Daten muss aber nicht Hauptaufgabe der beschäftigten Person sein, um „ständig“ zur Personenanzahl hinzugezählt werden zu müssen. Auf den Anteil bzw. Umfang der Verarbeitung an der gesamten Arbeit kommt es nicht an. Mitarbeiter sollten daher auch berücksichtigt werden, die über einen PC- Arbeitsplatz oder PC-Zugang verfügen. Für eine „ständige“ Beschäftigung müssen die Mitarbeiter ihre Aufgaben auf unbestimmte bzw. längere Zeit ausüben, d. h. immer, wenn sie anfällt.

Die Benennung eines Datenschutzbeauftragten sollte unverzüglich erfolgen, sobald die Pflicht zur Benennung besteht. Als Datenschutzbeauftragter kommen Mitarbeiter der Praxis in Betracht, die besonders geschult sein müssen. Ebenso besteht die Möglichkeit, einen externen Dienstleister zu beauftragen. Bei der Beauftragung des externen Datenschutzbeauftragten fallen zusätzliche Kosten an, zugleich wird das Haftungsrisiko minimiert, denn bei Fehlern im Umgang mit dem Datenschutz haftet dieser. Auf jeden Fall muss der interne oder externe Datenschutzbeauftragte daher über die erforderliche Sachkunde verfügen.

Der Praxisinhaber selbst oder Gesellschafter in einer BAG kommt hierfür nicht in Betracht, da eine Selbstüberwachung in diesem Bereich nicht vorgesehen ist.

Überprüfung aller internen Verarbeitungsvorgänge, Anpassung Verträge/Formulare und Verarbeitungsverzeichnisse

Alle wesentlichen Verarbeitungsvorgänge (beispielsweise Lohn- und Gehaltsabrechnungen der Mitarbeiter, Verarbeitung der Patientendaten zur Behandlung, Verarbeitung der Patientendaten zur Abrechnung, Betrieb der Website mit der Online-Terminbuchungsmöglichkeit) sind auf die datenschutzrechtliche Konformität zu prüfen. Die bislang verwendeten Verträge und Formulare sind an die DSGVO anzupassen. Einwilligungserklärungen müssen zudem den Hinweis der Widerrufbarkeit enthalten.

Sinn und Zweck dieser Bestandsaufnahme soll sein, zu prüfen, welche Daten auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein entsprechendes Verzeichnis für die Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Beispielsweise in Bezug auf Patienten die gesundheitliche Behandlung, Diagnose und Therapie. Auf Verlangen der Aufsichtsbehörde ist dieses Verzeichnis vorzulegen. Es ist anzunehmen, dass die Anforderung des Verarbeitungsverzeichnisses ein Mittel sein wird, zu dem die Aufsichtsbehörden gerne greifen werden. Sollte dieses nicht innerhalb der gesetzten Frist vorgelegt werden können, muss mit weiteren Nachforschungen der Aufsichtsbehörde rechnen.

Sicherheit in der Datenverarbeitung

Die Sicherheitsrisiken in einer Praxis müssen grundsätzlich als hoch eingestuft werden, da mit den Gesundheitsdaten hochsensible und von Art. 9 DSGVO geschützte Daten erhoben werden. Hier gilt grundsätzlich Vorsicht ist besser als Nachsicht. Durch geeignete technisch-organisierte Maßnahmen (Erarbeitung einer internen Datenschutzrichtlinie durch klare Verantwortlichkeiten oder Zutritts-, Zugangs-, Zugriffsbeschränkungen für Mitarbeiter, Passworthygiene oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung zu gewährleisten.

Die DSGVO formuliert u.a. auch die Erwartung, dass die Systeme wiederherstellbar sind, wenn es zur Störung kommt, Störanfälle automatisch gemeldet und die personenbezogenen Daten nicht beschädigt werden.

Informationspflichten gegenüber Patienten

Die Datenschutzgrundverordnung bringt weitreichende Informationspflichten mit sich. Wichtigste Verpflichtung ist nach Art. 13 DSGVO jedem Patienten bei der erstmaligen Datenerhebung eine Datenschutzerklärung zu übergeben. Die entsprechende Erklärung ist dem Patienten bei Erstaufnahme zu übergeben. Zu benennen sind dabei u.a. der Datenschutzbeauftragte, die Empfänger der Daten (KZV und private Abrechnungsstellen, der Hausarzt oder Fachärzte), die Speicherdauer (bei Zahnärzten grundsätzlich 10 Jahre) und die Aufsichtsbehörde sowie das Beschwerderecht.

Auskunftsrecht des Patienten

Gemäß Art. 15 DSGVO haben Patienten das Auskunftsrecht, wonach sie vom Arzt Auskunft über die zu ihrer Person ggf. gespeicherten Daten verlangen können. Hierfür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren eingerichtet werden, um entsprechende Anfragen schnell beantworten zu können. Zu beachten ist, dass kein Anspruch des Patienten besteht, Auskunft über personenbedingte Danten anderer Dritter zu erhalten.

Recht auf Löschung

Auch das Thema Löschung von Patientendaten gehört zum Datenschutz in der Arztpraxis. Nach Art. 17 DSGVO sind Löschungsfristen zu berücksichtigen. Auch hier sollte intern ein bestimmtes Verfahren festgelegt werden (wann und durch wen).

Verhältnis zu externen Dienstleistern und Dritten

Soweit Verträge mit externen Dienstleistern, z.B. mit Privaten Verrechnungsstellen, bestehen oder abgeschlossen werden sollen, müssen diese Verträge auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht überprüft werden. Der zwischen Praxisinhaber und allen Auftragsdatenverarbeitern zu schließende Vertrag hat bestimmte Mindestinhalte, die sich aus Art. 28 Abs. 3 DSGVO ergeben, im Detail aber ganz unterschiedlich sein können. Auch die Vorlage der nötigen ADV-Verträge gehört zu den denkbaren Abfragen der Aufsichtsbehörde, bei der Praxisinhaber künftig auf dem falschen Fuß erwischt werden könnten.

Mitarbeiterschulungen und praxiseigene Datenschutzrichtlinie

Damit jeder einzelne Mitarbeiter zum Datenschutz in der Arztpraxis auf den neusten Stand und it der Sicherheitstechnik vertraut ist, sollten regelmäßig Schulungen besucht und abgehalten werden. Zudem sollten die wichtigsten Regelungen transparent in einer praxiseigenen Datenschutzrichtlinie festgehalten werden. Es soll so sichergestellt werden, dass keine Fehler passieren, die auf den Praxisinhaber zurückzuführen sind, und er seiner Aufsichts- und Anleitungspflicht vollumfassend nachgekommen ist.

Was ist ein Datenschutzvorfall? Meldepflicht bei Verstößen!

Der Datenschutz in der Arztpraxis hat höchste Priorität. Trotzdem kann es zu einem Verlust des Praxis-Laptops, einem Hackerangriff oder einer unbewussten Veröffentlichung von personenbezogenen Daten im Internet kommen. Von einem Datenschutzvorfall spricht man, wenn die Sicherheit der personenbezogenen Daten, für die der Arzt verantwortlich ist, verletzt wird oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten auftreten – also die Daten nicht mehr sicher sind. Dabei spielt es keine Rolle, ob die Verletzung der Sicherheit absichtlich oder unbeabsichtigt erfolgt ist.

Bei einem Datenschutzvorfall besteht eine Meldepflicht. Das bedeutet, dass der Praxisinhaber die Verletzung des Schutzes innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde – im Regelfall dem Landesdatenschutzbeauftragten – mitteilen muss.

Außerdem kann es sein, dass die Meldung der Verletzung des Schutzes personenbezogener Daten auch an den betroffenen Patienten weitergegeben werden muss.

Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. Die Meldung ist dann zwar vorzunehmen. Es besteht aber ein prozessuales Verwertungsverbot und die Meldung kann in einem Strafverfahren oder Ordnungswidrigkeitenverfahren nur mit Zustimmung des Arztes verwendet werden.

Haftungsrisiken und Bußgelder

Sollten die Anforderungen an den Datenschutz in der Arztpraxis nicht erfüllt werden, so drohen dem Praxisinhaber erhebliche Haftungsrisiken und Bußgelder. Der Praxisinhaber haftet gegenüber den Patienten gem. Art. 82 Abs. 1, 2 DSGVO für den Schaden, der durch die rechtswidrige Verarbeitung personenbezogener Daten entstanden ist.

Die Verordnung sieht zudem Bußgelder für verschiedene Verstöße vor, die die Behörde verhängen kann. So kann, je nach Schwere und Folgen des Verstoßes, ein Bußgeld bis zur Höhe von 20. Mio. EUR drohen.

Die Auswirkungen der DSGVO auf den Gesundheitssektor

Für die Verarbeitung von Gesundheitsdaten gelten aufgrund von Art. 9 Abs. 1 sowie Art. 4 Abs. 11 DSGVO strenge Anforderungen. So ist unter anderem ein Datenschutzbeauftragter zu benennen. Die Aufgabe dieses Datenschutzbeauftragten ist es, umfangreich zum Thema Datenschutz zu beraten. Damit können auch Praxen, Apotheken, Unternehmen und Verbände, die diese Thematik vernachlässigt haben mit der Unterstützung eines Datenschutzbeauftragten die Einhaltung aller Datenschutzvorgaben erreichen. Die Pflicht, einen Datenschutzbeauftragten zu bestellen ist aber auch unabhängig von der Branche schnell erreicht: Bereits ab 20 Mitarbeitern muss ein Datenschutzbeauftragter bestellt werden, wenn diese mit der Verarbeitung von personenbezogener Daten beschäftigt sind (§ 38 BDSG-neu). Ein relevanter Umgang mit personenbezogenen Daten kann bereits in üblicher E-Mail-Kommunikation liegen, aber auch Buchhaltungsvorgänge oder der unternehmensinterne Lieferant fallen darunter.

Die Vorteile des externen Datenschutzbeauftragten

Ein Datenschutzbeauftragter kann intern oder extern bestellt werden. Soll der Datenschutzbeauftrage aus dem eigenen Betrieb besetzt werden, muss das Unternehmen dessen spezifisches Fachwissen nachweisen können. Es müssen regelmäßige Fortbildungsmaßnahmen gewährleistet und Fachliteratur angeschafft werden. Die Tätigkeit als Datenschutzbeauftragten bindet die Arbeitszeit des Mitarbeiters und der interne Datenschutzbeauftragte genießt auch einen umfassenden Kündigungsschutz. Gegen den internen Datenschutzbeauftragten spricht auch, dass der externe Datenschutzbeauftragte einen objektiveren Blick auf den Betrieb hat.

Auch wichtig: Wenn der externe Datenschutzbeauftragte nicht ordnungsgemäß arbeitet, haftet dieser, wenn das Unternehmen Zahlungsansprüchen ausgesetzt ist. Ein effizienzorientiertes Unternehmen sollte daher die Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten genau abwägen.

Gibt es keinen Datenschutzbeauftragten, obwohl die Datenschutz-Grundverordnung dies vorgibt, können hohe Bußgelder durch die Aufsichtsbehörden verhängt werden. Zu einer entsprechenden Prüfung der Aufsichtsbehörde kann es bereits aufgrund der Beschwerde eines Patienten oder Kunden kommen. Da die Geldstrafen viel höher ausfallen können, als unter der alten Gesetzeslage, ist das gesamte Thema „Datenschutz“ damit viel relevanter. Neben der Sorge um hohe Strafzahlungen gilt aber auch: Datenschutz ist zukünftig eines der wesentlichen Qualitätsmerkmale eines Unternehmens und damit nicht mehr ein zu vernachlässigender „Graubereich“, wie das Thema mitunter oft eingestuft wird.

Auch mit dem Inkrafttreten der Datenschutz-Grundverordnung haben Sie weiterhin ein Wahlrecht dahingehend, ob Sie einen internen oder externen Datenschutzbeauftragten bestellen. Die Vorteile eines externen Datenschutzbeauftragten überwiegen jedoch eindeutig:

  • Der teils lästige Kündigungsschutz eines internen Datenschutzbeauftragten entfällt;
  • Sie sparen sich die Investition in Aus- und Fortbildung des internen Datenschutzbeauftragten;
  • Keine Bindung von personellen Ressourcen;
  • Ein externer Datenschutzbeauftragter bringt mehr Unabhängigkeit und Souveränität mit, womit eine Lösungsfindung bei sensiblen Themen erleichtert werden kann.

Rechtliche Konsequenzen

Sie sollten die Vorschriften der DSGVO sehr ernst nehmen. Dieses Mal meinen es die Behörden ernst, dies zeigt der Beispielssachverhalt, welcher einer Entscheidung des Verwaltungsgerichts Karlsruhe vom 6. Juli 2017 zum Aktenzeichen 10 K 7698/16 zugrunde liegt, wo Behörden bereits vor Inkrafttreten der DSGVO Maßnahmen gegen ein Unternehmen verhängen wollten. Außerdem sind die nationalen Behörden den EU-Aufsichtsbehörden zur Rechenschaft verpflichtet. Deutschland als Mitgliedstaat der EU würde sich selbst Sanktionen aussetzen, sofern die Vorgaben der DSGVO nicht ordnungsgemäß eingehalten und Verstöße dagegen rechtlich geahndet werden.

Recht auf Vergessenwerden

Worum geht es? Ein aktuelles Urteil des Oberlandesgerichtes Frankfurt am Main (Urteil vom 6. September 2018 – 16 U 193/17) zum Datenschutz im Internet behandelt die Klage eines Geschäftsführers eines Regionalverbandes in Hessen gegen den Suchmaschinenbetreiber Google. Der Regionalverband war in eine finanzielle Schieflage geraten und musste im Jahr 2011 einen Fehlbetrag von knapp 1 Million € vermelden. Aus gesundheitlichen Gründen konnte der Kläger kurz vor Vermeldung der negativen Geschäftsentwicklung seiner Tätigkeit nicht mehr nachkommen und nicht an der letztlich erfolgreichen Restrukturierung mitwirken.

Die geschäftlichen Turbulenzen des Regionalverbandes führten zu einer entsprechenden Berichterstattung in der regionalen Presse und somit zu einer Reihe an Artikeln, die nicht nur in gedruckter Form veröffentlicht, sondern von den entsprechenden Verlagen auch online verfügbar gemacht wurden. Dementsprechend zeigt die Suchmaschine Google bei einer Suche nach dem Vor- und Zunamen des Klägers, sowohl isoliert als auch in Verbindung mit bestimmten geographischen Angaben, mehrere Treffer an, die zu diesen Online-Artikeln der örtlichen Presse führen. Das galt 2011 und ist auch heute noch der Fall – denn „das Internet vergisst nicht“.

Aber genau das wollte der ehemalige Geschäftsführer nicht länger hinnehmen. Mit seiner Klage am Oberlandesgericht Frankfurt wollte der Kläger erreichen, dass Google bei einer Suche nach seinem Namen nicht länger Treffer anzeigt, die die geschäftliche Entwicklung des Regionalverbandes in 2011 im Zusammenhang mit seinem Gesundheitszustand beschreiben.

Urteil stellt Informationsrecht über persönliche Interessen

Bei der Klage am Oberlandesgericht Frankfurt handelt es sich um ein Berufungsverfahren. Das Landgericht hatte die Klage erstinstanzlich als zulässig erachtet, aber als unbegründet abgewiesen.

Es sind zwei Aspekte, die den Fall aus einer juristischen Perspektive interessant machen. Zum einen ist seit der Klage am Landgericht die DSGVO in Kraft getreten. Und diese statuiert nach Art. 17 das Recht auf Löschung oder auch das „Recht auf Vergessenwerden“. Zum anderen stellt sich die Frage, wie Suchmaschinen mit sensiblen Gesundheitsdaten umzugehen haben und wie das Interesse des Einzelnen am Schutz seiner personenbezogenen Daten mit dem Interesse der Öffentlichkeit auf Meinungs- und Informationsfreiheit in Einklang gebracht werden kann.

Im vorliegenden Fall urteilt das Oberlandesgericht Frankfurt in einer noch nicht rechtskräftigen Entscheidung zugunsten der Suchmaschine. Das Gericht wertet das Recht der Nutzer von Google auf Kommunikationsfreiheit höher als den Schutz der personenbezogenen Daten des betroffenen Geschäftsführers.

In der Urteilsbegründung heißt es: Es handelt sich um „wahre Tatsachenbehauptungen, die grundsätzlich hinzunehmen sind, auch wenn sie nachteilig für den Betroffenen sind.“ Und: Die „Veröffentlichung dieser Daten war aber zulässig, auch wenn verständlich ist, dass der Kläger sie nicht in der Öffentlichkeit wissen möchte.“

Auch Google & Co. unterliegen der DSGVO

Auch wenn sich der konkrete Kläger im vorliegenden Fall nicht auf einen Unterlassungsanspruch nach Art. 17 DSGVO berufen konnte, lässt das Urteil einige spannende Schlussfolgerungen für die Praxis zu.

Die Entscheidung des Oberlandesgerichtes macht klar, dass die DSGVO durchaus auch Internetgiganten wie den amerikanischen Konzern Google bindet, wenn diese Daten von Personen in der Europäischen Union verarbeiten. Dies gilt zunächst für die sachliche Anwendbarkeit der DSGVO, da personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden. Das von Suchmaschinen vorgenommene Auffinden, Speichern und systematisierte Zur-Verfügung-Stellen von Informationen ist damit ohne Weiteres erfasst.

Dies gilt aber auch für die räumliche Anwendbarkeit der DSGVO auf Datenverarbeiter ohne Niederlassung in der Union. Voraussetzung hierfür ist, dass die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Europäischen Union Waren oder Dienstleistungen entgeltlich oder unentgeltlich anzubieten. Suchmaschinenbetreiber bieten die Möglichkeit, das Internet gezielt nach vorhandenen Informationen zu durchsuchen und auf diese zuzugreifen. Indiz zur Bejahung der Ware oder Dienstleistung ist dabei auch die verwendete Sprache.

Sensible Gesundheitsdaten werden nicht ausreichend geschützt

Das Urteil bleibt allerdings an anderer Stelle hinter den Erwartungen zurück. Nach Art. 17 DSGVO ist ein Löschungsgrund dann gegeben, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Stellt man hierbei auf den Inhalt der Presseartikel ab, so käme laut Oberlandesgericht unter Verweis auf die Rechtsprechung des Bundesgerichtshofes eine Zweckerfüllung „allenfalls dann in Betracht, wenn sich jegliches Informationsinteresse durch Zeitablauf erledigt hätte“. In der Urteilsbegründung räumt das Gericht selbst ein, dass „bereits zweifelhaft“ sei, ob die geforderte Zweckerfüllung „bei einem Presseartikel überhaupt eintreten kann“ . Zu Ende gedacht kann das Gericht hier also nur dahingehend verstanden werden, dass ein Anspruch auf Löschung von Presseartikeln nach Art. 17 DSGVO nie erwachsen kann. Diese zwei knappen Sätze des Gerichts sagen damit Großes aus: Das Internet vergisst nicht.

Dies ist umso bemerkenswerter, da es hier um besonders sensible personenbezogene Daten in Form von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO geht. In zeitlicher Hinsicht stellt das Urteil dabei heraus, dass die Interessen des Klägers auf Entfernung seiner personenbezogenen Daten aus der Trefferliste noch hinter dem öffentlichen Interesse an deren Abrufbarkeit – ihrer Sensibilität im Sinne des Art. 9 Abs. 1 DSGVO ungeachtet – zurücktreten müssten. Wann die an den Zeitablauf zu stellenden Anforderungen erfüllt sind, lässt das Gericht aber offen. Dies könne nur durch die Abwägung der widerstreitenden Interessen im Einzelfall festgestellt werden.

Datenschutz im Internet = das Internet vergisst nicht?

Es fällt auf, wie wenig Bedeutung den sensiblen Gesundheitsdaten des Klägers, die in künftigen Lebensbereichen immerhin herausragende Bedeutung entfalten können, beigemessen und wie behutsam dagegen der Suchmaschinenbetreiber in die Pflicht genommen wird. Wieso dieser eine „besondere Stellung“ einnehmen soll, ist nicht nachvollziehbar. Die Differenzierung zwischen einfachen personenbezogenen Daten und den hier vorliegenden sensiblen personenbezogenen Daten kommt aus nach unserer Einschätzung zu kurz.

Näher liegt da schon eher der Rückgriff auf die Rechtsprechung des EuGH zu den Facebook-Fanpages. Danach haftet der Betreiber einer Facebook-Fanpage mit Facebook gemeinsam für die Verarbeitung personenbezogener Daten auf der Fanpage. Datenschutzrechtlich „Verantwortliche“ sind demnach beide. Dass demgegenüber Suchmaschinenbetreibern nur die behauptet geringen Pflichten zukommen sollen, überzeugt nicht.

Es bleibt festzuhalten, dass die Entscheidung des Oberlandesgerichts Frankfurt am Main aufschlussreich ist, gleichwohl nicht vermag, den Ausschlag zu geben zwischen einem „Recht auf Vergessen“ einerseits und einem „Das Internet vergisst nicht“ andererseits. Gerade im Kontext sensibler Gesundheitsdaten ist eine Klärung der zugrundeliegenden Fragen aber über den konkreten Einzelfall hinaus von grundlegender Bedeutung. Entsprechend mit Spannung zu erwarten ist die Revision über die Frage der zeitlichen Anwendbarkeit von Art. 17 DSGVO, der Anwendbarkeit der Norm auf das konkrete Begehren des Klägers sowie des Umgangs von Suchmaschinen mit sensiblen Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO.